Immagina di inviare un'email importante a un cliente, solo per poi vederla finire nella cartella spam o non riceverla affatto. Ancora più allarmante, immagina che qualcuno si spacci per il tuo dominio e invii email fraudolente a tuo nome, dando origine a truffe di phishing e spoofing di email dannose.

Tali scenari potrebbero sembrarti inverosimili, ma sono sorprendentemente comuni. Dai un'occhiata alle statistiche qui sotto:

  • Quasi 45.6% di tutte le email inviate nel mondo sono finite nelle cartelle spam dei destinatari.
  • 96% degli attacchi di phishing vengono effettuati tramite e-mail.

Ecco perché i protocolli di autenticazione e-mail sono importanti. Questa guida dettagliata approfondirà i quattro protocolli di autenticazione e-mail chiave (DKIM, DMARC, SPF e BIMI) e gli strumenti di validazione da utilizzare. Ma prima:

Che cos'è l'autenticazione e-mail?

L'autenticazione e-mail è il processo di verifica della legittimità di un messaggio di posta elettronica. Implica l'utilizzo di più protocolli che confermano che un'e-mail proviene dal mittente dichiarato e che il contenuto non è stato alterato durante il transito.

Sebbene l'autenticazione e-mail sia essenziale per tutti i mittenti di posta elettronica, è particolarmente importante per le aziende e le organizzazioni che fanno ampio affidamento sulle comunicazioni e-mail. Infatti, nel 2024, Google e Yahoo richiedere a tutti i mittenti di massa di impostare i metodi di autenticazione e-mail SPF, DKIM e DMARC per i propri domini.

Come funziona l'autenticazione e-mail

Quindi, come funziona l'autenticazione via email? Ecco una panoramica del processo:

  1. invio: Il primo passo è l'invio dell'e-mail, che viene effettuato da un indirizzo specifico dominio o sottodominioIl dominio è l'identità univoca che segue il simbolo "@" in un indirizzo email. Durante l'invio di un'email, il server del mittente allega i dettagli di autenticazione all'intestazione dell'email. Questi dettagli sono semplicemente le regole che il server di posta ricevente utilizzerà per autenticare l'email.
  1. Ricerca DNS: Il server ricevente esegue una ricerca DNS (Domain Name System) per recuperare i record SPF, DKIM e DMARC del dominio del mittente. Questi record contengono le regole e le chiavi pubbliche necessarie per verificare l'email.
  2. Decisione di consegna: In base ai risultati dei controlli SPF, DKIM e DMARC, il server ricevente prende una decisione finale, che rientrerà nelle seguenti categorie:
  • Consegnare: Se l'email supera i controlli SPF, DKIM e DMARC, viene recapitata nella casella di posta del destinatario. Ecco un esempio di un'email recapitata che ha superato tutti e tre i controlli.
  • Quarantena: Un'e-mail che non supera il controllo di autenticazione ma non è considerata una minaccia immediata viene messa in quarantena. Ad esempio, potrebbe essere inserita nella cartella spam, in attesa della revisione da parte dell'amministratore della posta elettronica.
  • Rifiuto: Se l'e-mail non supera i controlli di autenticazione ed è considerata sospetta o dannosa, viene rifiutata immediatamente. Dannosa le email vengono respinte restituiti agli indirizzi del mittente o scartati.

Si potrebbe semplicemente considerare il processo di autenticazione della posta elettronica come il server di posta mittente e il server di posta ricevente che comunicano per garantire che il messaggio giunga al destinatario integro.

Protocolli importanti di autenticazione e-mail

Ogni protocollo di autenticazione e-mail affronta un aspetto specifico della sicurezza della posta elettronica. Ecco un'analisi approfondita di questi pilastri dell'autenticazione e-mail:

1. SPF (Sender Policy Framework)

SPF consente ai proprietari di domini di creare un record DNS (Domain Name System) con un elenco di indirizzi IP autorizzati a inviare e-mail da quel dominio.

Quando viene inviata un'e-mail, il server di posta ricevente controlla il record SPF per verificare che l'e-mail provenga da un indirizzo IP autorizzato. Se l'indirizzo IP corrisponde, l'e-mail è considerata autentica.

• Strumenti di convalida:

Alcuni degli strumenti che puoi utilizzare per convalidare i componenti del record SPF includono SPF Record Check di MXToolbox, SPF Lookup di PowerDMARC, Strumenti di Google Postmastere EasyDMARC SPF Record Checker.

Gli strumenti misurano i seguenti parametri chiave per garantire che il record SPF sia configurato correttamente ed efficace:

  • Indirizzi IP: Il record specifica gli indirizzi IP autorizzati.
  • Errori di sintassi: Controlla eventuali errori di sintassi nel record SPF.
  • Dominio del mittente: Il dominio nell'indirizzo del mittente viene confrontato con il record SPF per garantire che corrisponda al dominio autorizzato.

Vediamo come appare un record SPF di base:

v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 include:_spf.google.com ~all

  • v = spf1: Indica la versione SPF.
  • ip4:192.0.2.0/24: L'intervallo IP autorizzato (da 192.0.2.0 a 192.0.2.255).
  • IP4: 198.51.100.123: L'indirizzo IP autorizzato specifico (198.51.100.123).
  • include:_spf.google.com: Questa sezione indica al server quali organizzazioni terze parti possono inviare email per conto del dominio. Ad esempio, il nostro esempio consente ai server di posta di Google di inviare email per conto del dominio.
  • ~tutti: Specifica un soft fail per le email che non corrispondono al record SPF. Verranno contrassegnate come spam ma saranno comunque accettate. L'alternativa è -all, che indica che le email non in elenco devono essere rifiutate.

Sebbene SPF sia un'ottima soluzione, ha i suoi limiti. Ad esempio, l'autenticazione SPF verifica il dominio del mittente utilizzando il Return-Path, non l'indirizzo "From:" visualizzato dai destinatari. Pertanto, i phisher possono superare il controllo utilizzando un dominio falso nell'indirizzo "Return-Path" e falsificando l'indirizzo "From".

Ecco perché sono necessari altri protocolli di autenticazione e-mail per colmare le lacune.

2. DKIM (DomainKeys Identified Mail)

DKIM verifica che l'e-mail sia stata inviata da un server di posta autorizzato e che il suo contenuto non sia stato alterato durante il transito.

Funziona utilizzando tecniche crittografiche per firmare le email. Quando un'email viene inviata, il server di posta del mittente genera una firma digitale univoca basata sul contenuto dell'email e su una chiave privata. Questa firma viene aggiunta all'intestazione dell'email.

Il server di posta del destinatario utilizza quindi la chiave pubblica corrispondente, pubblicata nei record DNS del mittente, per verificare la firma. Se la firma è valida e corrisponde alla chiave pubblica, l'email supera il controllo DKIM.

• Strumenti di convalida

Diversi strumenti possono aiutare a verificare e risolvere i problemi delle configurazioni DKIM. Tra questi, DKIMValidator.com, Site24x7 DKIM Validator, SimpleDMARC DKIM Checker, EasyDMARC DKIM Checker, Unspam DKIM Checker e Dmarcian's DKIM Inspector.

I parametri chiave convalidati da questi strumenti includono:

  • Sartoriale: La firma digitale nell'intestazione del messaggio di posta elettronica viene verificata rispetto alla chiave pubblica pubblicata nei record DNS del mittente.
  • Domini: Il dominio nella firma DKIM viene controllato per garantire che corrisponda al dominio nell'indirizzo "Da:" dell'e-mail.
  • Selettore: Il selettore fa parte della firma DKIM che specifica quale chiave pubblica utilizzare per la verifica.

Ecco un esempio di record DKIM.

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCz4EZLtxhU3jY5EJ/GV6xS…

  • v=DKIM1: Indica la versione di DKIM utilizzata.
  • k=rsa: Specifica il tipo di chiave, in questo caso RSA.
  • p=…: La chiave pubblica utilizzata per verificare la firma DKIM.

Anche il protocollo di autenticazione e-mail DKIM, come SPF, ha i suoi limiti. Il principale è che se un malintenzionato entra in possesso delle tue chiavi DKIM, può facilmente usarle per impersonarti.

Quindi, assicurati di cambiare regolarmente le tue chiavi. Se scegli di ottenere la firma DKIM dal tuo provider di posta elettronica (ESP), evita quelli che forniscono ai loro utenti firme simili.

Tra i più richiesti strumenti di email marketing come Mailchimp, GetResponse o MailerLite semplificano l'autenticazione dei domini di tua proprietà o di quelli della tua organizzazione con DKIM. Gli strumenti offrono diverse funzionalità e prezzi, quindi ti consigliamo di registrarti per ottenere un account di prova gratuito e testarli a fondo.

La dashboard di GetResponse ti mostra suggerimenti su come impostare il tuo dominio per una corretta consegna delle campagne email

3. DMARC (autenticazione, segnalazione e conformità dei messaggi basata sul dominio)

DMARC si basa su SPF e DKIM. Lo fa aggiungendo una policy ai record DNS di un dominio. Questa policy specifica quale azione intraprendere quando un'email non supera i controlli SPF o DKIM: potrebbe mettere l'email in quarantena, rifiutarla o semplicemente monitorarne il motivo.

• Strumenti di convalida

Gli strumenti di convalida DMARC includono PowerDMARC Checker Tool, DMARC-Validator.com, EasyDMARC DMARC Record Checker, DMARC-checker.org e MXToolbox DMARC Check Tool.

I parametri chiave convalidati da questi strumenti DMARC includono:

  • Allineamento SPF: assicura che il dominio nell'intestazione "Return-Path" corrisponda al dominio nell'indirizzo "From" o sia allineato ad esso.
  • Allineamento DKIM: Verifica che il dominio nella firma DKIM corrisponda al dominio nell'indirizzo "Da".
  • Domini: Conferma che i record DNS necessari (DMARC, DKIM, SPF) sono pubblicati e accessibili

Ecco un esempio di record DMARC:

v=DMARC1; p=rifiutare; rua=mailto:[email protected]; adkim=s; aspf=s;

  • v=DMARC1: indica che esiste una policy DMARC
  • p=reject: specifica che le email che non superano i controlli SPF o DKIM devono essere rifiutate. p=quarantine indica che i server devono "mettere in quarantena" le email che non superano i controlli, mentre p=none significa che anche le email che non superano i controlli possono essere accettate.
  • rua=posta:[email protected]: L'indirizzo email che riceverà il report DMARC. Il report contiene informazioni preziose che possono aiutare gli amministratori a modificare i propri criteri DMARC.
  • adkim=s e aspf=s: indica che i controlli DKIM e SPF sono impostati su "rigorosi". È anche possibile impostarli su "rilassati" modificando s in r

DMARC si basa sull'autenticazione SPF e DKIM, pertanto qualsiasi problema con questi protocolli comporterà il fallimento del controllo DMARC.

4. BIMI (Indicatori del marchio per l'identificazione del messaggio)

BIMI è uno standard di autenticazione e-mail che migliora la sicurezza e l'esperienza utente consentendo ai marchi di visualizzare il proprio logo insieme al proprio email autenticate nelle caselle di posta dei destinatari.

Quando un'email supera i controlli di autenticazione DMARC, i client di posta elettronica supportati come Gmail, Apple Mail e Yahoo visualizzano il logo del brand nella posta in arrivo. Nota la differenza tra le email con BIMI e quelle senza.

Fonte

L'indicatore visivo aiuta i destinatari a riconoscere il tuo marchio nella loro casella di posta e rassicura anche che sei il mittente legittimo.

Queste email avranno ovviamente tassi di apertura e tassi di conversione più elevati rispetto alle email non autenticate. Completatele con landing page ottimizzate con strumenti come Nostra e Intellimize per ottenere i migliori risultati.

• Strumenti di convalida

Gli strumenti principali che puoi utilizzare per convalidare i record BIMI includono EasyDMARC BIMI Record Checker, SimpleDMARC's BIMI Checker, GoDMARC BIMI Record Lookup Tool, Valimail BIMI Validator e VeriMarkCert BIMI Checker.

Questi strumenti di validazione BIMI in genere controllano i seguenti parametri:

  • Presenza del record BIMI: Verificano la presenza di un record DNS BIMI ben configurato per i domini.
  • Validità del logo: Verificare che il file del logo soddisfi le specifiche richieste e sia accessibile tramite l'URL specificato nel record BIMI.

Ecco un ottimo esempio di record BIMI:

v=BIMI1; l=https://tuo-dominio.esempio/percorso/verso/logo.svg; a=https://tuo-dominio.esempio/percorso/verso/vmc.pem

  • v=BIMI1: Specifica la versione BIMI.
  • l=https://tuo-dominio.esempio/percorso/verso/logo.svg: Indica l'URL del tuo logo in formato SVG.
  • a=https://tuo-dominio.esempio/percorso/verso/vmc.pem: Indica l'URL del tuo Certificato di Marchio Verificato (VMC), che dimostra la proprietà del logo

Affinché BIMI funzioni, il dominio deve disporre di rigidi criteri di autenticazione DMARC impostati su "quarantena" o "rifiuta". Ciò significa che non esiste mai una situazione in cui BIMI sia l'unico livello di sicurezza.

Conclusione

I protocolli di autenticazione e-mail come SPF, DKIM, DMARC e BIMI interagiscono per impedire l'uso non autorizzato del tuo dominio e proteggere la reputazione del tuo brand come mittente. Questo contribuisce a migliorare la recapitabilità delle e-mail.

Quindi, implementate oggi stesso questi protocolli di autenticazione e-mail.

Ricordate che i provider di posta elettronica, come Yahoo e Gmail, hanno imposto requisiti di autenticazione per le email. Pertanto, se vi state ancora chiedendo se sia necessario familiarizzare con questi protocolli e i relativi strumenti di convalida, la risposta è un sonoro SÌ.