Gestisci campagne email professionali o aziendali? Ti stai chiedendo come implementarle? Record DMARC per la convalida e la sicurezza delle email? Lo sapevi? Puoi impostare un protocollo di autenticazione DMARC per migliorare il coinvolgimento via email e proteggi il tuo dominio dagli attacchi di impersonificazione tramite e-mail.

Pertanto, in questo articolo imparerai tutto ciò che devi sapere sui record DMARC, tra cui:

  • La definizione di DMARC
  • Che cos'è il Sender Policy Framework (SPF)
  • Che cos'è l'autenticazione DomainKeys Identified Mail (DKIM)
  • Il valore di DMARC per la sicurezza della posta elettronica
  • Come implementare DMARC con il tuo provider DNS
  • Processi di verifica DMARC
  • Come funziona DMARC e altro ancora

Detto questo, cominciamo a spiegare il significato di DMARC.

Che cos'è l'autenticazione DMARC?

DMARC è la forma abbreviata di Domain-based Message Authentication, Reporting, and Conformance, un sistema di autenticazione e-mail che protegge il dominio di posta elettronica della tua organizzazione da tentativi di imitazione tramite spoofing, phishing e altre truffe via e-mail.

L'obiettivo principale dell'implementazione di DMARC è garantire una maggiore sicurezza della posta elettronica e rendere difficile per i truffatori portare a termine attacchi di phishing e spoofing tramite posta elettronica.

Ma prima di applicare le policy sui record DMARC, è necessario applicare:

  1. Sender Policy Framework (SPF) e/o
  2. Autenticazione DomainKeys Identified Mail (DKIM)

Perché? DMARC utilizza questi due programmi di autenticazione e-mail per aumentare la sicurezza e la deliverability delle e-mail. Pertanto, è consigliabile applicare le certificazioni SPF o DKIM (gli esperti raccomandano di implementarle entrambe).

Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) sono elementi essenziali che aiutano a proteggere te e i destinatari delle tue email da falsi tentativi di impersonificazione e truffe. Ma cosa sono questi termini (SPF e DKIM)?

Prendiamo in esame le loro definizioni per comprendere meglio come soddisfano gli interessi di email marketing della tua azienda.

Che cos'è Sender Policy Framework (SPF)?

SPF è un sistema di autenticazione e-mail per la convalida dei mittenti. Aiuta gli Internet Service Provider (ISP) a confermare l'autorizzazione di un server di posta a inviare e-mail dal tuo dominio o da un dominio specifico. In altre parole, SPF consente ai server di posta riceventi di verificare che tu abbia autorizzato i messaggi in arrivo dal tuo dominio.

Di conseguenza, la policy SPF comprende un elenco di indirizzi IP autorizzati a inviare email utilizzando il tuo nome di dominio. Questo processo aiuta a rilevare e prevenire falsificazioni e altre frodi via email.

Come funziona la politica SPF

Il framework delle policy del mittente funziona in tre semplici passaggi. Il processo in tre fasi include:

  1. Pubblica la tua policy SPF (altrimenti chiamata record SPF) nei record DNS che descrivono tutti i server di posta legittimi autorizzati a inviare email dal tuo dominio. Dovrebbe contenere tutti gli indirizzi IP che utilizzi per inviare email.
  2. Una volta ricevute le email, i server di posta in entrata fanno riferimento al dominio principale del percorso di ritorno nel report DNS. Da lì, i server abbineranno gli indirizzi IP dei mittenti delle email con gli indirizzi IP approvati nella policy SPF.
  3. Successivamente, i server di posta in entrata utilizzeranno gli standard specificati nei record SPF per determinare l'azione da intraprendere. Pertanto, in base ai criteri SPF inviati, i server di posta riceventi decideranno se approvare e accettare l'email oppure rifiutarla.

Generare una policy SPF e pubblicarla nel record DNS è un modo accettabile per proteggere il dominio del tuo brand e gli utenti finali della tua posta elettronica. Tuttavia, l'autenticazione dell'origine di un'email richiede l'applicazione di DKIM.

Che cos'è DomainKeys Identified Mail (DKIM)?

DKIM è l'acronimo di DomainKeys Identified Mail, uno strumento di verifica delle email che utilizza la "crittografia a chiave pubblica" per confermare che le email provengono da server di posta approvati.

Analogamente a SPF, DKIM consente agli ISP di certificare che il contenuto delle email provenienti dal tuo dominio o da un mittente verificato sia una copia autentica. In questo modo, salvaguarda la reputazione di un'azienda, il nome del mittente e gli abbonati da indirizzi falsi e email sospette, come lo spoofing.

Con DKIM, il destinatario della posta può verificare che l'amministratore di dominio abbia approvato le email provenienti da un dominio specifico. Di conseguenza, DKIM dispone di firme digitali nascoste agli utenti finali e convalidate dall'infrastruttura.

Come funziona DKIM?

Come affermato in precedenza, DKIM utilizza firme digitali invisibili che i destinatari non possono vedere. Pertanto, la soluzione di certificazione funziona incorporando firme camuffate nell'intestazione dei messaggi di posta elettronica.

Tuttavia, la firma DMARC prevede un processo in tre fasi:

1). Tu (il mittente del dominio) devi definire gli elementi da aggiungere alla firma digitale del record DKIM, come l'indirizzo del campo "Da:". Altri aspetti da considerare sono l'oggetto, il corpo del messaggio e altro ancora.
Nota: questi fattori devono rimanere invariati. Se modificati in corso d'opera, la certificazione DKIM non sarà valida.

2). Il servizio di posta elettronica utilizzato convertirà i campi di testo aggiunti alla firma DKIM in un hash o in una chiave, un'operazione che rigenera un valore in un altro. Dopo aver generato una stringa hash, il sistema utilizza una chiave privata per crittografarla, rendendola accessibile esclusivamente al mittente del dominio.

3). Con queste chiavi, il server di posta in uscita utilizza le chiavi DKIM per trovare l'email e decodificare la firma quando si invia un messaggio. Lo fa identificando la chiave pubblica che coincide con la chiave privata.

Successivamente, il server di posta elettronica ricevente produrrà una stringa hash separata degli elementi aggiunti alla firma DKIM. Quindi, confronterà la singola stringa hash con la chiave decodificata per garantirne la conformità.

In questo modo si garantisce che il messaggio di posta elettronica provenga dal mittente del dominio convalidato e che i componenti della firma siano originali e non alterati durante il transito.

Dopo aver configurato i record SPF o DKIM, o entrambi, è possibile avviare i processi di implementazione DMARC. Come? Impostando i record DMARC e inserendo le policy nei record di testo del dominio (TXT).

Ma prima di affrontare i processi di applicazione del DMARC, è necessario comprendere perché è prezioso per la sicurezza e la recapitabilità della posta elettronica.

Perché il record DMARC è fondamentale per la sicurezza della posta elettronica?

Email marketing è uno dei migliori canali di marketing digitale per coltivare, acquisire e fidelizzare i clienti. Per questo, l'87% dei marketer B2B utilizza le email per la distribuzione dei contenuti, secondo i dati del Content Marketing Institute.

Fonte grafica tramite CMI.

Inoltre, il 77% degli intervistati utilizza le newsletter via email per ottenere i migliori risultati di content marketing. Pertanto, data la grande importanza data alle campagne email, proteggere mittenti e abbonati è fondamentale. È qui che SPF, DKIM e DMARC svolgono un ruolo fondamentale.

L'applicazione del DMARC è fondamentale per la sicurezza della posta elettronica perché migliora la recapitabilità delle email e riduce il rischio di minacce via e-mail nelle caselle di posta dei destinatari. Con questa soluzione di certificazione, i truffatori troveranno difficile imitare l'identità del tuo marchio nelle caselle di posta dei clienti.

I vantaggi dell'implementazione dei record DMARC:

  • DMARC protegge te e la tua azienda da attacchi di compromissione della posta elettronica aziendale (BEC), spoofing di dominio, impersonificazione della posta elettronica e phishing via e-mail.
  • L'applicazione di DMARC migliora la reputazione del mittente della posta elettronica.
  • DMARC ti aiuta a migliorare il tasso di recapito delle tue email del 10% nel tempo.
  • L'applicazione di DMARC al tuo server di dominio garantisce che le tue email non vengano mai contrassegnate come spam, aumentando di conseguenza i tassi di apertura.

Inoltre, le aziende possono facilmente creare un record di una persona autorizzata a inviare email aziendali dal proprio dominio. Ciò consente di evitare attività fraudolente. Come? Quando si pubblica il record DMARC del proprio dominio nella voce DNS, tutti i server di posta elettronica riceventi convalideranno le email in arrivo per garantirne l'attendibilità prima di recapitarle alle caselle di posta dei destinatari.

Di conseguenza, le email che non superano il controllo saranno soggette a due possibili azioni: mettere in quarantena o rifiutare il messaggio per bloccare malware e proteggere i destinatari da attacchi fraudolenti. Inoltre, impedisce l'uso illecito del tuo dominio email.

Come implementare i record DMARC con il tuo provider DNS

Ora che hai installato correttamente SPF e DKIM, puoi configurare e applicare i record DMARC con il tuo provider DNS.

I processi di configurazione e implementazione:

1)Accedi al tuo provider DNS e individua il campo per creare un record di testo (TXT) nel tuo DNS per _dmarc.[tuo-dominio] con il tuo record DMARC. (Tuttavia, potresti dover modificare solo i testi già creati con i tuoi record TXT).

2) Utilizzare i tag consigliati: v=, p=, fo=, rua e ruf.

  • v=versione del protocollo DMARC1.
  • p= rappresenta vari modelli di policy DMARC. Ad esempio, p=none è il sistema di monitoraggio. Consente di raccogliere dati preziosi sull'intero sistema di posta elettronica e aiuta a definire quali email sono autenticate e quali non lo sono. Altre policy sono "p=quarantine" e "p=reject".
  • fo= è un termine che si riferisce alla segnalazione forense; indica ai provider di servizi di posta di inviare segnalazioni di messaggi che non superano i controlli SPF e DKIM.
  • rua= è il campo in cui aggiungi il tuo indirizzo per ricevere report che ti aiutano a determinare e approvare le email verificate.
  • ruf= è il punto in cui aggiungere l'indirizzo per ricevere report forensi per valutare e-mail di phishing e altri attacchi di posta online.

3)Utilizzare il seguente ordine delle parole per i record DMARC: v=DMARC1; p=nessuno; fo=1; rua=mailto:[email protected]; ruf=mailto:[email protected] (Riceverai report forensi aggregati agli indirizzi che hai inserito).

4)È il momento di implementare il report DMARC nel tuo provider host DNS.

*Consigli * Dedica almeno una settimana al monitoraggio dei tuoi domini aziendali per assicurarti che le email del tuo dominio vengano autenticate correttamente. Dopodiché, puoi applicare la politica p=quarantine o p=reject.

Fonte: Amministratore di Google Workplace

Come verificare i record DMARC

Dopo la configurazione e l'applicazione, è essenziale verificare che il record DMARC funzioni. Non preoccuparti: non è un'impresa ardua e non è necessario alcun codice per verificare il tuo dominio. Diversi strumenti gratuiti per l'ispezione dei record DMARC ti aiuteranno a verificare se hai pubblicato correttamente i tuoi record TXT.

Pertanto, scegli il tuo strumento di ispezione record DMARC o di ricerca, inserisci il tuo dominio e clicca sul pulsante "Scansiona il tuo dominio", "Scansiona ora" o "Autentica il tuo dominio". Il dominio verrà analizzato e ti verranno mostrati risultati dettagliati.

Ad esempio, ho utilizzato lo scanner di domini EasyDMARC per eseguire un controllo su GetResponse. Ecco i risultati:

Come puoi vedere nello screenshot qui sopra, digita il tuo nome di dominio e clicca sul pulsante "Scansiona ora".

Il verificatore DMARC analizzerà il tuo dominio e fornirà un risultato completo con un punteggio da 1 a 10. Dall'immagine qui sopra, puoi vedere che il dominio di GetResponse ha ottenuto un punteggio di 7 su 10. Ciò significa che il proprietario del sito deve migliorare i propri processi di autenticazione per ottenere risultati migliori.

Questo foglio di prestazioni dettagliato rivela che DMARC e GetResponse record BIMI presentano problemi, mentre SPF e DKIM sono eccellenti. Pertanto, qualunque sia l'email che invii (messaggi transazionali o professionali), applica questo sistema per proteggere il tuo dominio.

Pertanto, seleziona un analizzatore di record DMARC adatto alle tue esigenze e testa il tuo dominio dopo la configurazione per assicurarti che il tuo record di testo sia legittimo e pubblicato correttamente.

Come funziona DMARC?

Come indicato in precedenza, DMARC sfrutta altri due sistemi di autenticazione e-mail: Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) per potenziare la certificazione e-mail. DMARC utilizza questi strumenti di certificazione aggiuntivi per segnalare se un dominio del mittente del messaggio è protetto e convalidato da SPF e DKIM.

Tuttavia, DMARC non determina direttamente se le email del mittente sono fraudolente o spam. Richiede invece che le email superino l'autenticazione SPF o DKIM. Pertanto, DMARC controlla il dominio del mittente e si assicura che corrisponda al nome di dominio convalidato.

Tuttavia, se il rapporto di conferma indica che le email non hanno superato né l'autenticazione SPF né quella DKIM, DMARC comunica ai server di posta elettronica riceventi quali azioni intraprendere. Il client di posta elettronica ricevente eseguirà le seguenti tre policy DMARC se il dominio del mittente non supera il controllo:

  1. Monitor (p=nessuno): Invia l'e-mail come di consueto con un messaggio di avviso e aggiungila a un report delle e-mail che non hanno superato i test SPF o DKIM
  2. Quarantena (p=quarantena): Invia l'e-mail in quarantena (spam o cartella posta indesiderata) per l'approvazione manuale prima della consegna
  3. Rifiutare (p=rifiutare): Rifiuta l'e-mail o assoggettala a una policy personalizzata (queste e-mail vengono bloccate/eliminate e non raggiungono mai le caselle di posta dei destinatari)

In qualità di amministratore di dominio del marchio, puoi selezionare la policy DMARC desiderata e pubblicarne le preferenze nel DNS come record di testo (TXT). Il record TXT consente all'amministratore di dominio di inserire testo nel DNS.

Puoi vedere un esempio di un record DNS TXT Qui.Inoltre, il Domain Name Server ha due applicazioni essenziali:

  1. Prevenzione dello spam via e-mail
  2. Verifica della proprietà del dominio

In definitiva, l'implementazione di DMARC può aiutarti migliorare il rimbalzo delle email e aumenta le tue prestazioni di marketing.

Che cos'è una politica DMARC?

Nella sezione precedente, hai imparato che devi creare una policy DMARC e inserirla nel DNS pubblico come amministratore di dominio. Ma cos'è esattamente una policy DMARC?

Un criterio DMARC è un meccanismo che indica in che modo un client o un lettore di posta elettronica fornisce feedback al dominio del mittente in merito ai messaggi di posta elettronica che superano o non superano il controllo di verifica SPF o DKIM, o entrambi.

Quando crei un criterio di implementazione DMARC, stai comunicando ai client di posta elettronica quali passaggi intraprendere se un'e-mail che afferma di provenire dal tuo dominio non supera i controlli di certificazione.

In base a ciò, il destinatario dell'email può rifiutare, mettere in quarantena o approvare il messaggio. Ho già descritto le tre policy DMARC sopra; vi prego di rivalutarle attentamente.

Quale criterio DMARC dovresti utilizzare?

Stai pensando a quale programma di policy utilizzare? I tre hanno funzioni diverse e sarebbe utile scegliere quello giusto per il tuo dominio. Molti opterebbero per la policy "rifiuta" poiché blocca o elimina le email di mittenti non approvati, impedendo a malware e spam di raggiungere le caselle di posta dei clienti.

Ma sarebbe meglio iniziare con la specifica della policy "p=none" e passare gradualmente alle altre. Perché? Questo tipo di policy non impedisce a nessun messaggio di entrare nella posta in arrivo del destinatario.

Al contrario, consente alle email di raggiungere le caselle di posta dei destinatari, tiene traccia di quelle inviate dal tuo dominio e ti fornisce un feedback di conseguenza. In questo modo, puoi mantenere la deliverability delle email e individuare con precisione quali email sono autentiche e quali illegittime.

Successivamente, man mano che la tua attività di posta elettronica procede e con dati preziosi, puoi passare a “p=quarantena” politica. Invece di consentire a tutti i messaggi di entrare nella posta in arrivo, li mette in quarantena e-mail sospette e non autenticate nelle cartelle spam o posta indesiderata. p = quarantena Questo approccio ti consentirà di approvare manualmente le email come legittime.

Inoltre, puoi utilizzare il criterio di "rifiuto" DMARC per bloccare i messaggi non approvati. Tuttavia, per garantire che le tue email raggiungano le caselle di posta dei destinatari, dovresti inserire tutti i tuoi provider di posta elettronica nella whitelist. L'inserimento dei mittenti nella whitelist garantisce che le tue email di marketing raggiungano le caselle di posta dei destinatari.

In caso contrario, la policy p=reject impedirà l'invio di email da mittenti di domini non confermati e da tutti i provider di invio non inclusi nella whitelist. Ad esempio, è probabile che tu stia utilizzando uno o più dei seguenti strumenti di posta elettronica:

  • G Suite
  • Ufficio 365
  • Getresponse
  • mailerlite
  • ConvertKit
  • Hub di marketing HubSpot

Queste app software funzionano in modo simile, incluso l'invio di email. Quindi, se utilizzi una di queste o delle alternative, ti consigliamo di inserirle nella lista sicura prima di optare per la politica "p=reject" di DMARC.

Avvolgere

Come imprenditore, è comprensibile che tu invii campagne di marketing via email (commerciali o transazionali) per promuovere la tua attività. Questo perché l'email marketing ti consente di comunicare con potenziali clienti e clienti.

Ma quanto è sicuro il tuo dominio email da spoofing, phishing e altri attacchi email? Il phishing via email è una delle più grandi minacce online per la tua azienda.

La ricerca rivela che nel 2020, 75% di aziende attacchi di phishing sperimentati in tutto il mondo, con il 74% di Attacchi di phishing via e-mail di successo negli Stati Uniti. Di conseguenza, è fondamentale adottare misure per proteggere il dominio aziendale. Da qui la necessità di un'autenticazione tramite record DMARC.

Aiuta a proteggere il tuo dominio di posta elettronica, a bloccare l'impersonificazione e a bloccare gli attacchi di phishing. Questo sistema di convalida protegge anche la reputazione del tuo brand e migliora la recapitabilità delle email. Pertanto, applica i suggerimenti sopra riportati per proteggere il tuo dominio aziendale.

Tuttavia, se non sei sicuro di come impostare e implementare i record DMARC, chiedi aiuto all'amministratore DNS della tua azienda!