Autenticazione

SPF spf

SPF (Sender Policy Framework) è uno standard di autenticazione e-mail che consente al proprietario di un dominio di specificare quali server e-mail possono inviare e-mail per conto di quel dominio. Questo standard utilizza il dominio nell’intestazione "Return-Path" dell’e-mail (noto anche come indirizzo "Envelope From").

NOTE
Puoi usare questo strumento esterno per verificare un record SPF.

L’SPF è una tecnica che, in una certa misura, ti consente di verificare che il nome di dominio utilizzato in un’e-mail non sia contraffatto. Quando un messaggio viene ricevuto da un dominio, viene eseguita una query sul server DNS del dominio. La risposta è un breve record (il record SPF) che indica quali server sono autorizzati a inviare e-mail da questo dominio. Supponendo che solo il proprietario del dominio abbia i mezzi per modificare questo record, possiamo considerare che questa tecnica non consente di falsificare l’indirizzo del mittente, almeno non la parte dalla destra di "@".

Nella specifica finale RFC 4408, vengono utilizzati due elementi del messaggio per determinare il dominio considerato come mittente: il dominio specificato dal comando SMTP "HELO" (o "EHLO") e il dominio specificato dall'indirizzo dell'intestazione "Return-Path" (o "MAIL FROM"), che è anche l'indirizzo non recapitato. Considerazioni diverse consentono di prendere in considerazione solo uno di questi valori; si consiglia di assicurarsi che entrambe le origini specifichino lo stesso dominio.

La verifica dell'SPF fornisce una valutazione della validità del dominio del mittente:

  • Nessuno: impossibile eseguire la valutazione.
  • Neutro: il dominio interrogato non abilita la valutazione.
  • Passaggio: il dominio è considerato autentico.
  • Non riuscito: il dominio è stato contraffatto e il messaggio deve essere rifiutato.
  • SoftFail: il dominio è probabilmente contraffatto, ma il messaggio non deve essere rifiutato esclusivamente in base a questo risultato.
  • TempError: un errore temporaneo ha interrotto la valutazione. Il messaggio può essere rifiutato.
  • PermError: i record SPF del dominio non sono validi.

È opportuno notare che i record creati a livello dei server DNS possono richiedere fino a 48 ore per essere presi in considerazione. Questo ritardo dipende dalla frequenza con cui vengono aggiornate le cache DNS dei server riceventi.

DKIM dkim

L'autenticazione DKIM (DomainKeys Identified Mail) è un successore di SPF. Utilizza la crittografia a chiave pubblica che consente al server e-mail ricevente di verificare che un messaggio sia stato effettivamente inviato dalla persona o dall’entità da cui afferma di essere stato inviato e se il contenuto del messaggio sia stato modificato tra il momento in cui è stato inviato originariamente (e DKIM "firmato") e il momento in cui è stato ricevuto. Questo standard utilizza in genere il dominio nell’intestazione "Da" o "Mittente".

DKIM proviene da una combinazione di DomainKeys, Yahoo! e Cisco hanno identificato i principi di autenticazione di Internet Mail e vengono utilizzati per verificare l’autenticità del dominio del mittente e garantire l’integrità del messaggio.

DKIM ha sostituito l'autenticazione DomainKeys.

L'utilizzo di DKIM richiede alcuni prerequisiti:

  • Sicurezza: la crittografia è un elemento chiave del DKIM. Per garantire il livello di sicurezza del DKIM, 1024b è la dimensione di crittografia consigliata come best practice. Le chiavi DKIM inferiori non sono considerate valide dalla maggior parte dei provider di accesso.
  • Reputazione: la reputazione si basa sull'IP e/o sul dominio, ma anche il selettore DKIM meno trasparente è un elemento chiave da considerare. La scelta del selettore è importante: evita di mantenere quello "predefinito" che potrebbe essere utilizzato da chiunque e che quindi ha una reputazione debole. È necessario implementare un selettore diverso per conservazione rispetto alle comunicazioni di acquisizione e per l'autenticazione.

Ulteriori informazioni sui prerequisiti DKIM quando si utilizza Campaign Classic in questa sezione.

DMARC dmarc

Il DMARC (Domain-based Message Authentication, Reporting and Conformance) è la forma più recente di autenticazione e-mail e si basa sull'autenticazione SPF e DKIM per determinare se un messaggio e-mail viene inviato o meno. DMARC è unico e potente in due modi:

  • Conformità: consente al mittente di indicare agli ISP come comportarsi con eventuali messaggi che non vengono autenticati (ad esempio: non accettarli).
  • Generazione rapporti: fornisce al mittente un rapporto dettagliato che mostra tutti i messaggi che non hanno superato l’autenticazione DMARC, insieme al dominio "Da" e all’indirizzo IP utilizzati per ciascuno di essi. Questo consente a un’azienda di identificare le e-mail legittime che non riescono a eseguire l’autenticazione e richiedono un qualche tipo di "correzione" (ad esempio, l’aggiunta di indirizzi IP al record SPF), nonché le origini e la prevalenza dei tentativi di phishing sui propri domini e-mail.
NOTE
DMARC può sfruttare i report generati da 250ok.
recommendation-more-help
ce4a522f-06e7-4189-95bc-98ae01b1a1ec