DMARC, SPF e DKIM per proteggere la tua identità

Se hai un dominio, poco importa se sei un’azienda o sei un privato, devi leggere questo post: ti spiegherò perché ti interessa.

Uno dei difetti storici del sistema di posta su internet è la scarsa capacità di autenticazione del mittente di una email. Lo spam, da decenni, gioca su questa incapacità per tentare di raggiungere la vittima/destinatario.

Quante volte avete visto nella cartella dello spam delle email apparentemente inviate da persone a voi note o addirittura da voi stessi?

Il campo FROM di una mail, infatti, non è strettamente legato alla casella di posta del mittente, ma il protocollo SMTP ne permette lo spoofing, la falsificazione. Per farla breve, tecnicamente io potrei tentare di inviare una email apparentemente inviata tramite il vostro indirizzo email.

I sistemi di posta si sono evoluti nel tempo ed hanno cercato di trovare soluzioni a questa vulnerabilità. SPF, DKIM e ultimamente DMARC sono sistemi nati per cercare di riconoscere e limitare i tentativi di spoofing dell’indirizzo email. Non eliminano lo spam, ma aiutano i filtri antispam a lavorare meglio.

Perché è importante farne uso?

  • Se sei un’azienda una mail a tuo nome potrebbe essere considerata vera da un cliente e in base al contenuto potresti perderlo.
  • Se sei un privato le tue mail recapitate ad un familiare o ad un amico potrebbero rappresentare la chiave d’accesso ai loro sistemi. Quante fiducia in più abbiamo nel cliccare un link proveniente da una mail familiare?

La loro sicurezza passa anche dalla vostra capacità di proteggere l’uso indiscriminato dei vostri indirizzi di posta o del vostro dominio.

Come funzionano?

Non entrerò molto nel tecnico perché sarebbe utile un post per ognuna di queste tecnologie ma quel che vi importa sapere è il seguente:

  • SPF specifica quali server di posta autorizzate ad inviare per conto vostro. Solitamente qui vanno indicati gli indirizzi IP del vostro provider di posta.
  • DKIM specifica la chiave pubblica che verrà confrontata con la chiave inviata dal vostro provider per firmare la vostra email. Se la crittografia che sta alla base di questo concetto (chiave pubblica-chiave privata) è verificata, allora DKIM è valido.
  • DMARC è l’ultimo tassello, ratificato nel 2015, che aiuta il provider di posta del destinatario. Attraverso di esso infatti potrete consigliare al ricevente come trattare le mail in caso di fallimento di SPF o DKIM (“non fare nulla“, “invia nello spam“, “rifiuta totalmente la mail“).

Tool utili per il setup:

  • Per iniziare il processo potete utilizzare questo strumento della GlobalCyberAlliance. Cliccando su ognuna delle 3 tecnologie avvierete una procedura guidata utile alla configurazione dei vostri parametri.
  • Per verificare che le vostre mail partano con i corretti header DMARC mail-tester.com vi tornerà utile.
  • Infine, per un monitoring nel tempo dell’andamento delle vostre impostazioni potrete fare uso di DMARCian.
DMARCian - DreamsWorld

Qui sopra, ad esempio, le statistiche del mio account, con evidenti (in rosso) usi fraudolenti del mio nome e l’azione di reject segnalata ai provider dei riceventi.

Tutti i principali provider di posta odierni supportano DMARC. Utilizzarlo protegge i destinatari, protegge il vostro brand, fa risparmiare risorse spazio e banda ai sistemi di posta.

Domande? Scrivetemi nei commenti.

Emanuele

4 commenti » Scrivi un commento

  1. ciao, sono il responsabile informatico di un piccolo comune, ho un piccolo problema:
    dopo aver implementato spf, dkim e dmark con mail tester ottengo un punteggio di 10/10.
    perfetto se non fosse che alcuni domini di posta mi rimbalzano proprio con errore
    Connection established xxx.xxx.xxx.xxx:52648 –> xx.xx.84.34:25
    Waiting for protocol to start…
    <– 554 5.7.1 You are not allowed to connect.
    e altri dopo aver accettato la connessione (con indirizzo ip pubblio del ns server di posta) dicono che siamo in lista spam (con ip pubblico usato per la navigazione).
    tramite tool su internet controllo rdns ecc e segnala tutto ok…
    hai soluzioni?
    grazie
    ps uso email personale no istituzionale per altre info in privato

    • Ciao Pier, hai provato a verificare se l’IP del server è in blacklist? Puoi usare questo tool qui https://mxtoolbox.com/blacklists.aspx
      L’SPF è messo strict o soft?
      Comunque se il server destinatario risponde dicendo che sei in spam list, evidentemente il primo passo è quello di riuscire a farsi rimuovere. Puoi segnalare l’anomalia al gestore della SpamList.
      Ciao,
      Emanuele

      • ciao
        per farti un esempio, l’email che segnala che siamo in spam e una con multi destiantari. (sono 5) a tutti arriva… ad uno segnala che siamo spam!
        questo e record SPF configurato sul DNS
        comune.xxxxxxx.xx.xx.,900,”TXT”,””v=spf1 mx a:comune.xxxxxxx.xx.xx. a:comune.xxxxxxx.xx.xx a:mail.comune.comune.xxxxxxx.xx.xx ~all””
        fatto anche quello di rimuovere ip da spam…ma è indirizzo IP pubblico usato per navigazione dell’ente..quindi traffico a gogo di conseguenzaa spam.
        grazie

        • Beh se l’IP finisce nelle SpamList, c’è poco da fare. Bisogna identificare la ragione ed evitare che accada. Probabilmente c’è qualche macchina che esce da quell’IP che è infetta e spara email di spam che fan finire l’IP in blacklist. In tal caso, DMARC non può far miracoli. Tali tecnologie limitano l’uso illegittimo del proprio nome, ma non evitano che l’IP possa finire in spam per altre ragioni. Identifica in quale lista di spam venite inseriti e cerca di diagnosticare la ragione per cui vi marcano come tali. I server di posta si affidano a delle liste di spam mantenute da gestori esterni.
          Infine, riprendendo il tuo commento, vorrei chiarire una cosa banale ma magari sottovalutata: è possibile che quel destinatario (tra i 5) abbia qualche regola di filtering differente per cui sul suo client viene segnalata come Spam? In ogni caso puoi guardare negli header di quella mail (nel client in cui è finita in spam) per capire meglio le ragioni.
          Ciao,
          Emanuele

Rispondi a pier brivio Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.