Cosa sono DKIM, SPF e DMARC? E come aiutano con la consegna delle e-mail

Le tue email vengono costantemente bloccate dai filtri antispam dei tuoi destinatari? Peggio ancora, non si fanno vedere affatto?

La consegna delle e-mail è un problema per molte aziende e la risoluzione del problema a volte può essere un po' un'arte oscura. In questa guida, discutiamo tre soluzioni di cui sopra per migliorare la consegna delle e-mail: DKIM, SPF e DMARC.

L'impostazione di DKIM, SPF e DMARC per il tuo dominio può migliorare la consegna delle e-mail, riducendo anche il rischio che truffatori e spoofer inviino con successo e-mail che si spacciano per la tua organizzazione.

Cosa sono DKIM e SPF?

DKIM e SPF sono due metodi digitali utilizzati per la convalida della posta elettronica. Possono proteggere sia il mittente che il destinatario di un'e-mail da spoofing, phishing e furto d'identità.

Quando l'account e-mail di qualcuno riceve un'e-mail con una firma DKIM o SPF, i suoi filtri antispam controllano il dominio del mittente per assicurarsi che l'e-mail sia valida e non contraffatta. Le e-mail che superano il controllo DKIM o SPF si qualificano per essere consegnate; le email che non passano vengono rifiutate o messe in quarantena.

DKIM viene utilizzato per convalidare le e-mail inviate da un determinato dominio, mentre SPF convalida anche le e-mail inviate da terze parti per conto del dominio "mittente".

Cos'è DKIM?

Parliamo di DKIM e SPF in modo più dettagliato, a partire da DKIM.

DKIM (DomainKeys Identified Mail) è un protocollo di sicurezza che può dire all'account e-mail di qualcuno se un'e-mail è stata effettivamente inviata o meno dal dominio da cui afferma di essere stata inviata.

Nel 2005, prima del lancio di DKIM, lo spoofing della posta elettronica era particolarmente diffuso. Ciò ha spinto un gruppo di partecipanti al settore Internet di alto profilo, tra cui Yahoo!, Cisco e Microsoft, a trovare una soluzione: DKIM. Il gruppo ha identificato che l'associazione dichiarata tra un'e-mail e un dominio potrebbe essere convalidata aggiungendo una chiave di sicurezza ai metadati di ogni e-mail. Ciò fornirebbe ai domini un modo per dimostrare che le proprie e-mail sono legittime, rendendo più difficile per i truffatori fingere un'associazione tra le proprie e-mail contraffatte e il dominio di qualcun altro.

Quando un dominio ha DKIM impostato e quel dominio invia un'e-mail a un destinatario, l'account e-mail del destinatario verifica la firma DKIM nell'e-mail rispetto ai record DNS del dominio. (Un record DNS è il record online del dominio delle sue informazioni di identificazione di base). Se la firma corrisponde, l'e-mail supera il controllo DKIM e può quindi essere consegnata.

Come impostare DKIM sul tuo dominio

La configurazione di DKIM è un modo importante e accessibile per ridurre il rischio di spoofing della posta elettronica, migliorando al contempo la consegna della posta.

Il processo di configurazione di DKIM varia a seconda del provider di servizi di posta elettronica utilizzato. Ad esempio, Gmail completa automaticamente alcuni passaggi per conto del dominio. Se preferisci eseguire una configurazione DKIM completamente manuale, saranno necessari i seguenti passaggi:

1. Installa un pacchetto DKIM sul server di posta elettronica del dominio
2. Utilizzare uno strumento DKIM Wizard per creare una coppia di chiavi DKIM pubblica e privata
3. Carica un record TXT della chiave DKIM pubblica nel record DNS del dominio
4. Archivia la chiave DKIM privata in modo sicuro (ovunque il pacchetto DKIM indichi che dovrebbe essere archiviata)
5. Verificare se il provider di posta elettronica richiede una configurazione DKIM aggiuntiva e completare eventuali ulteriori passaggi appropriati

Agari.com offre una guida dettagliata su ogni fase del processo di installazione di DKIM.

Una volta impostato DKIM, il dominio dovrebbe essere in una buona posizione per raccogliere i vantaggi di una maggiore affidabilità e sicurezza. I filtri antispam ora avranno un chiaro segnale che le e-mail del dominio sono legittime, il che rimuove uno dei motivi più probabili per cui tali e-mail potrebbero essere state trattate come spam.

Inoltre, se un mittente malintenzionato tenta di inviare e-mail sotto forma di dominio, le e-mail dovrebbero essere rilevate dai filtri antispam dei destinatari, a causa della mancanza di una chiave DKIM corrispondente a quella aggiunta al DNS del dominio.

Cos'è l'SPF?

SPF (Sender Policy Framework) è un modo per convalidare tutte le parti che inviano email per conto di un dominio, dai vari domini di invio che possono essere di proprietà del mittente, agli strumenti di email marketing come MailChimp e Campaign Monitor.

SPF facilita questo richiedendo all'account e-mail del destinatario di controllare un elenco di dettagli di invio consentiti nel registro del dominio del mittente. Se i dettagli dell'account mittente corrispondono ai dettagli elencati nel registro, l'e-mail può essere consegnata; se i dettagli non corrispondono, l'e-mail viene rifiutata o messa in quarantena.

Le idee e le tecnologie che sarebbero diventate SPF sono state sviluppate in collaborazione da una vasta comunità di esperti di posta elettronica nei primi anni 2000.

Come impostare SPF

L'impostazione di SPF per un dominio è fortunatamente semplice.

Innanzitutto, crea un record TXT che elenchi tutti i domini e i server approvati per l'invio di email per conto di un dominio. Ciò potrebbe includere server Web, server di posta interni, server di posta ISP, server di cassette postali dell'utente finale e server di posta di terze parti utilizzati per inviare e-mail per conto del dominio. Quindi, le azioni che devi eseguire sono:

1. Fare un elenco di domini e server rilevanti;
2. Crea un record TXT che includa i domini e i server elencati in questo formato.

Successivamente, puoi attivare SPF aggiungendo un record TXT SPF al DNS del tuo dominio. Google ha una guida dettagliata su come impostare SPF.

Una volta configurato SPF, gli account e-mail avranno un modo per verificare tutte le e-mail legittime inviate per conto del tuo dominio. Ciò migliora la consegna delle tue e-mail, pur mantenendo la protezione che i filtri antispam possono fornire contro le e-mail contraffatte che fingono di provenire dal tuo dominio.

Uno strumento per testare le firme e-mail DKIM e SPF

Dopo aver terminato la configurazione di DKIM e SPF, dovresti verificare che entrambe le tecnologie funzionino correttamente. Ti consigliamo di utilizzare lo strumento gratuito di mail-tester.com: controlla le tue chiavi SPF e DKIM.

Testare le precauzioni DKIM e SPF è fondamentale, perché una configurazione errata potrebbe effettivamente danneggiare la consegna delle tue e-mail.

Cos'è DMARC?

DMARC è un protocollo di sicurezza e-mail avanzato che aggiunge funzionalità di reporting alla protezione offerta da DKIM e SPF. Per i domini che utilizzano la posta elettronica su vasta scala, DMARC può essere uno strumento particolarmente potente ed efficiente per segnalare problemi di consegna e raccogliere informazioni sulle email problematiche associate al dominio.

Quando DKIM e SPF sono stati lanciati per la prima volta, si sperava che le tecnologie sarebbero state una soluzione ermetica per la convalida delle e-mail. Sfortunatamente, DKIM e SPF non si sono sempre dimostrati perfettamente efficaci nella prevenzione delle e-mail fraudolente, specialmente nei casi in cui il proprietario del dominio utilizza l'e-mail su larga scala e con più sistemi di posta elettronica.

Nel 2012, una coalizione di giganti di Internet tra cui PayPal, Google, Microsoft e Yahoo! riuniti per lavorare su un modo per puntellare i punti deboli di DKIM e SPF. Hanno creato un protocollo di sicurezza chiamato DMARC, che aggiunge funzionalità di reporting approfondite alle firme DKIM e SPF esistenti di un account di posta elettronica.

Con DMARC, ogni email viene comunque passata, rifiutata o messa in quarantena in base alla sua firma DKIM o SPF; la differenza viene dopo. Ogni volta che un'e-mail viene rifiutata o messa in quarantena, DMARC invia un rapporto di errore al dominio. E su base periodica, DMARC invia al dominio un "rapporto aggregato" che riunisce informazioni sulle e-mail passate, rifiutate e messe in quarantena.

I rapporti DMARC forniscono dettagli sul nome di dominio dell'autore, oltre a informazioni sull'interazione tra mittente e destinatario. Ciò offre al proprietario del dominio un vantaggio molto chiaro su come viene utilizzato il proprio canale di posta elettronica e su chi lo sta utilizzando, compresi i potenziali truffatori.

Come utilizzare i rapporti DMARC

I report DMARC possono essere una risorsa enorme in termini di recapitabilità della posta elettronica. Gli errori evidenziati dai rapporti aiutano le aziende a identificare e gestire i casi di e-mail maligne associate al loro dominio. Ciò riduce il volume dei segnali negativi relativi a un dominio che vengono rilevati dai fornitori di servizi di posta elettronica, il che può avere un effetto positivo sulla consegna complessiva della posta elettronica del dominio.

I servizi di posta elettronica come Gmail e Outlook possono generare rapporti DMARC dettagliati che coprono tutte le e-mail inviate da un dominio, comprese le informazioni su tutti gli indirizzi IP che hanno utilizzato il dominio per inviare un'e-mail.

Per attivare i rapporti DMARC, il proprietario del dominio dovrà prima creare un record DMARC per il dominio. Errori nel record DMARC di un dominio potrebbero causare seri problemi con la consegna della posta elettronica, quindi consigliamo sempre di utilizzare un appaltatore o un servizio esperto per garantire che l'installazione di DMARC proceda senza intoppi.

Una volta che il record DMARC di un dominio è attivo, può iniziare a ricevere rapporti DMARC dai provider di servizi di posta elettronica.

I report DMARC sono difficili da comprendere nel loro formato non elaborato, quindi è consigliabile utilizzare un software di analisi DMARC, come DMARC Analyzer, per analizzare in modo efficiente ogni report alla ricerca di casi di utilizzo dannoso. Se il software rileva qualcosa di fraudolento, il proprietario del dominio può intraprendere le azioni appropriate, come ad esempio indicare a Gmail e ad altri servizi di posta elettronica di rifiutare i mittenti dannosi in futuro.

L'acronimo DMARC sta per Domain-based Message Authentication Reporting and Conformance.

Vorremmo ribadire che se sei interessato a DMARC, il nostro consiglio è di far configurare lo strumento da un esperto, che può monitorare le prestazioni e apportare modifiche per ottenere la tua politica DMARC nel modo giusto.

DKIM, SPF e DMARC come parte dell'igiene della consegna delle e-mail

DKIM, SPF e DMARC contribuiscono tutti alla consegna e alla sicurezza della posta elettronica. Tuttavia, per ottenere i migliori risultati, devono essere utilizzati come parte di un accurato regime di igiene della posta elettronica. Ciò significa che il dominio passa regolarmente attraverso una serie di processi, inclusa la gestione di DKIM, SPF e DMARC, per garantire la consegna ottimale della posta elettronica.

Per molti email marketer, il componente più importante dell'igiene della posta elettronica è riordinare la tua mailing list (AKA la tua mailing list). Ciò può comportare l'esame dell'elenco per identificare i destinatari che non hanno aperto un'e-mail da molto tempo e quindi la rimozione di tali destinatari dall'elenco di e-mail. Puoi anche controllare la tua lista di email per "incongruenze orizzontali" - dove una delle informazioni su un destinatario, come il nome, non sembra corrispondere all'indirizzo email (ad esempio nome: Dr. Norman Whibley-Castle; indirizzo email : bikerchickmartha2001[at]gmail[dot]com). Per ulteriori indicazioni sull'igiene della posta elettronica, vedere l'articolo di tye.io, "10 best practice essenziali per l'igiene della posta elettronica per il 2021".

Ti consigliamo di eseguire i seguenti passaggi per gestire DKIM, SPF e DMARC:

• DKIM e SPF : testa regolarmente le tue chiavi DKIM e SPF.
• DMARC : se stai utilizzando DMARC, chiedi a un membro del team di esperti o a un appaltatore di controllare regolarmente i tuoi rapporti DMARC e di modificare le impostazioni del dominio, se necessario.

Con DKIM, SPF e possibilmente DMARC in atto, il tuo dominio avrà un'ottima base per la consegna e la sicurezza della posta elettronica. Ricorda solo di gestire queste tecnologie come parte del tuo regime di igiene della posta elettronica, poiché ciò contribuirà a garantire che funzionino correttamente.

C'è molto lavoro da fare per impostare queste tecnologie di sicurezza della posta elettronica, ma alla fine sarai ricompensato vedendo una percentuale maggiore delle tue e-mail che arriva nella casella di posta del destinatario.