Ottobre 15, 2021

SPF, DKIM, DMARC: i protocolli per l’autenticazione email

Tempo di lettura: circa 5 min
Young-bearded-man-in-suit-looking-camera-while-holding-laptop-computer-isolated

Probabilmente hai già ricevuto una truffa via email in cui il mittente si spaccia per una nota società, spesso una banca, per invitarti a cliccare su un link. Questo si chiama phishing. Non è necessario essere un genio del computer per impersonare qualcun altro. Il protocollo per l’invio di email (SMTP) non prevede alcun meccanismo di autenticazione. Puoi inviare un’email a nome di chiunque senza alcuna difficoltà.
Questo era particolarmente vero nei primi anni 2000. L’aumento del numero di email inviate, specialmente quelle indesiderate, ha spinto gli ISP a implementare standard di verifica come SPF, DKIM e DMARC

Crea facilmente campagne di email marketing

Non è necessario avere conoscenze tecniche o di web design, con Sendinblue puoi creare le tue email in pochi passaggi 🚀.

Voglio creare un account Sendinblue

SPF, DKIM, DMARC: definizione

SPF (Sender Policy Framework) è un modo per limitare il furto d’identità pubblicando nel DNS del tuo nome di dominio la lista dei server, o più precisamente degli indirizzi IP, che sono autorizzati a inviare posta con questo dominio.

In pratica, questo non significa che tutta la tua posta passerà i filtri antispam. SPF è lontano dall’essere l’unico criterio utilizzato dai filtri antispam. L’interesse principale è quello di evitare che il tuo nome di dominio sia dirottato. Un nome di dominio con un record SPF correttamente configurato sarà più difficile da sfruttare per gli spammer. Tuttavia, un’email che non ha una firma SPF non sarà considerata come spam.

Facciamo un semplice esempio. Diciamo che vogliamo pubblicare un record TXT sul server DNS del nome di dominio sendinblue.com. Apparirebbe così:

sendinblue.com IN TXT  "v=spf1 a ip4:80.12.95.191 -all"

Facciamo un passo indietro e approfondiamo in dettaglio cosa significa.

I server con indirizzo IP 80.12.95.191 sono autorizzati a inviare email per conto di Sendinblue.com. La “a” davanti all’indirizzo UP significa che tutti gli indirizzi IP del record A sono anche autorizzati a inviare email per questo nome di dominio. Infine, il “-all” significa che tutti gli altri IP devono essere rifiutati. Per creare il record TXT da inserire nel tuo DNS, puoi usare un generatore come quello di Powerdmarc.

Per verificare che questo funzioni correttamente, assicurati di trovare il “spf=pass” nell’intestazione delle email che invii.

spf=pass

Il protocollo DKIM

Nato dalla fusione dei protocolli DomainKeys (Yahoo) e Identified Internet Mail (Cisco), il protocollo DomainKeys Identified Mail (DKIM) stabilisce il legame tra il nome di dominio di invio e il messaggio. Lo scopo del protocollo DKIM non è solo quello di provare che il nome del dominio non è stato spoofato, ma che il messaggio non è stato alterato durante la trasmissione.

Il protocollo si basa su una procedura crittografica, con una chiave pubblica pubblicata nella zona DNS del dominio di invio, e una chiave privata, utilizzata per codificare il messaggio. Per impostare una firma DKIM, è necessario :

  • Creare una coppia chiave privata/chiave pubblica in formato RSA 1024 bit
  • Pubblicare la chiave pubblica nel DNS del tuo dominio
  • Configurare l’invio dei tuoi messaggi per la crittografia con la chiave privata

Se questo funziona bene, dovresti trovare il seguente codice nell’header della tua email

DKIM-Signature

Il protocollo DMARC

Creato nel 2011 da un consorzio di grandi società Internet, come Google, Yahoo e Microsoft, DMARC è soprattutto un complemento a SPF e DKIM. In poche parole, il protocollo DMARC permette al mittente di ricevere i risultati dell’autenticazione dei suoi invii dai principali operatori (Gmail, Hotmail, AOL, ecc.), e al sistema di posta elettronica del destinatario di sapere come deve gestire i messaggi che non hanno superato il test di autenticazione. DMARC non fornisce un modo diretto per sapere se un messaggio è fraudolento o meno. DMARC richiede che il messaggio sia conforme alle convalide SPF e DKIM, e inoltre che il messaggio sia “allineato” (corrispondenza dei nomi di dominio).

dmarc

Set-up e verifiche

Implementare i protocolli SPF, DKIM e DMARC

Sendinblue offre naturalmente tutti e 3 i protocolli, sia che invii usando un IP condiviso o un IP dedicato.
Se hai un IP condiviso, non devi fare nulla! Le firme SPF, DKIM e DMARC sono gestite sui nostri nomi di dominio.

Nel caso di un IP dedicato, puoi delegare un sottodominio a Sendinblue (vedi tutorial Sendinblue), nel qual caso i protocolli SPF e DKIM sono impostati automaticamente, oppure puoi rimanere sul tuo server DNS, nel qual caso devi impostare tu stesso i protocolli sul tuo nome di dominio. SPF è relativamente semplice da impostare, i protocolli DKIM e DMARC sono un po’ più complessi.

Controllare che le firme SPF, DKIM e DMARC funzionino

Per verificare che tutto funziona correttamente, basta guardare il codice sorgente di un’email che avete inviato. Come spesso accade, Gmail facilita l’accesso al codice sorgente dell’email in due clic. Dal menu azione di un’email, scegli “Mostra originale“.

mostra-originale-email

A questo punto devi solo controllare che le menzioni “spf=pass”, “dkim=pass”, “dmarc=pass” siano presenti. Tutto questo può sembrare un po’ noioso e complicato, ma dato che il numero di email di spam al giorno è stimato a 260 miliardi, è davvero essenziale impostare questi protocolli, o preferire che sia qualcun altro ad occuparsene e scegliere una soluzione come Sendinblue che ti assicura che tutto sia in perfetta regola.

Sendinblue non solo assicura un’ottima deliverability ma ti permette di creare newsletter dal forte impatto grazie all’editor drag&drop e se ti manca l’ispirazione puoi usare uno dei numerosi template gratuiti presenti nel tuo account.

Vuoi fartene un’idea? Crea un account da subito, è gratuito fino a 9 000 email al mese!

Sei pronto a fare marketing senza stress?

Elimina lo stress dal tuo lavoro quotidiano grazie a una soluzione costruita per te!

Inizia gratuitamente