Autenticazione

SPF

SPF (Sender Policy Framework) è uno standard di autenticazione e-mail che consente al proprietario di un dominio di specificare quali server e-mail possono inviare e-mail per conto di tale dominio. Questo standard utilizza il dominio nell’intestazione "Return-Path" dell’e-mail (noto anche come indirizzo "Envelope From").

NOTA

È possibile utilizzare questo strumento esterno per verificare un record SPF.

L’SPF è una tecnica che, in un certo senso, ti consente di assicurarti che il nome di dominio utilizzato in un’e-mail non sia forgiato. Quando un messaggio viene ricevuto da un dominio, viene eseguita una query sul server DNS del dominio. La risposta è un breve record (il record SPF) che specifica quali server sono autorizzati a inviare e-mail da questo dominio. Supponendo che solo il proprietario del dominio abbia i mezzi per modificare questo record, possiamo considerare che questa tecnica non consente di forgiare l'indirizzo del mittente, almeno non la parte a destra del "@".

Nella specifica finale RFC 4408, vengono utilizzati due elementi del messaggio per determinare il dominio considerato come mittente: il dominio specificato dal comando SMTP "HELO" (o "EHLO") e il dominio specificato dall'indirizzo dell'intestazione "Return-Path" (o "MAIL FROM"), che è anche l'indirizzo non recapitato. Considerazioni diverse permettono di tenere conto soltanto di uno di questi valori; è consigliabile assicurarsi che entrambe le origini specifichino lo stesso dominio.

Il controllo dell'SPF fornisce una valutazione della validità del dominio del mittente:

  • Nessuno: Impossibile eseguire alcuna valutazione.
  • Neutro: Il dominio interrogato non abilita la valutazione.
  • Passa: Il dominio è considerato autentico.
  • Non riuscito: Il dominio viene forgiato e il messaggio deve essere rifiutato.
  • SoftFail: Il dominio è probabilmente forgiato, ma il messaggio non deve essere rifiutato solo in base a questo risultato.
  • TempError: Un errore temporaneo ha interrotto la valutazione. Il messaggio può essere rifiutato.
  • PermError: I record SPF del dominio non sono validi.

Vale la pena notare che i record effettuati a livello dei server DNS possono richiedere fino a 48 ore per essere presi in considerazione. Questo ritardo dipende dalla frequenza con cui vengono aggiornate le cache DNS dei server riceventi.

DKIM

L'autenticazione DKIM (DomainKeys Identified Mail) è un successore di SPF. Utilizza la crittografia a chiave pubblica che consente al server e-mail ricevente di verificare che un messaggio sia stato effettivamente inviato dalla persona o dall’entità da cui sostiene di essere stato inviato e se il contenuto del messaggio è stato modificato tra il momento in cui è stato inviato originariamente (e DKIM "signed") e il momento in cui è stato ricevuto. In genere, questo standard utilizza il dominio nell’intestazione "Da" o "Mittente".

DKIM proviene da una combinazione di DomainKeys, Yahoo! e Cisco Identificato i principi di autenticazione della posta Internet e viene utilizzato per controllare l'autenticità del dominio del mittente e garantire l'integrità del messaggio.

L'autenticazione DKIM ha sostituito DomainKeys.

L’utilizzo di DKIM richiede alcuni prerequisiti:

  • Sicurezza: La crittografia è un elemento chiave del DKIM. Per garantire il livello di sicurezza del DKIM, la dimensione di crittografia 1024b è la best practice consigliata. Le chiavi DKIM inferiori non sono considerate valide dalla maggior parte dei provider di accesso.
  • Reputazione: La reputazione si basa sull’IP e/o sul dominio, ma anche il selettore DKIM meno trasparente è un elemento chiave da prendere in considerazione. La scelta del selettore è importante: evitare di mantenere quello "di default" che potrebbe essere utilizzato da chiunque e quindi ha una reputazione debole. È necessario implementare un selettore diverso per le comunicazioni Retention vs acquisition e per l'autenticazione.

Ulteriori informazioni sul prerequisito DKIM quando si utilizza Campaign Classic in questa sezione.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) è la forma più recente di autenticazione tramite e-mail e si basa sia sull’autenticazione SPF che su quella DKIM per determinare se un’e-mail viene passata o meno. Il DMARC è unico e potente in due modi importanti:

  • Conformità : consente al mittente di istruire gli ISP su cosa fare con qualsiasi messaggio che non riesce ad autenticarsi (ad esempio: non accettarlo).
  • Reporting : fornisce al mittente un rapporto dettagliato che mostra tutti i messaggi che non hanno eseguito l’autenticazione DMARC, insieme al dominio "Da" e all’indirizzo IP utilizzati per ciascuno di essi. Questo consente a un'azienda di identificare e-mail legittime che non stanno eseguendo l'autenticazione e che necessitano di un certo tipo di "fix" (ad esempio, l'aggiunta di indirizzi IP al proprio record SPF), nonché le fonti e la prevalenza di tentativi di phishing nei loro domini e-mail.
NOTA

DMARC può sfruttare i rapporti generati da 250ok.

In questa pagina