La sicurezza delle email è fondamentale nell'attuale panorama digitale, e uno dei modi più efficaci per proteggere il tuo dominio dall'essere utilizzato in attacchi di spam o phishing è configurare i record SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) nel tuo Sistema dei Nomi di Dominio (DNS). Questi protocolli di autenticazione delle email aiutano a garantire che solo i mittenti legittimi possano utilizzare il nome del tuo dominio, aumentando l'affidabilità delle tue email e proteggendo il tuo marchio da attività fraudolente.

Questo articolo della knowledgebase fornirà una guida completa su come configurare i record DNS SPF, DKIM e DMARC, e su come questi meccanismi funzionano per migliorare la sicurezza delle email.

Cosa sono SPF, DKIM e DMARC?

SPF (Sender Policy Framework) SPF è un protocollo di autenticazione delle email utilizzato per convalidare che il server di posta mittente sia autorizzato dagli amministratori del dominio a inviare email per conto del dominio stesso. Aiuta a prevenire lo spoofing delle email, un metodo comune utilizzato negli attacchi di phishing.

SPF funziona controllando l'indirizzo IP del mittente rispetto a un elenco di indirizzi IP autorizzati pubblicati nei record DNS del dominio. Se l'indirizzo IP del server di invio non è nell'elenco, l'email viene contrassegnata come sospetta e ha più probabilità di essere rifiutata o contrassegnata come spam.

Come funziona SPF:

1. Il server di posta mittente include il dominio nell'intestazione "MAIL FROM".
2. Il server di posta del destinatario interroga i record DNS del dominio per il record SPF.
3. Se l'indirizzo IP del mittente corrisponde agli indirizzi IP autorizzati nel record SPF, l'email viene accettata. In caso contrario, viene rifiutata o contrassegnata come spam.

DKIM (DomainKeys Identified Mail) DKIM è un altro metodo di autenticazione delle email che utilizza firme crittografiche per verificare che un messaggio di posta elettronica sia effettivamente inviato dal dominio dichiarato. DKIM consente al server di ricezione di verificare che il contenuto dell'email non sia stato alterato durante il transito e che provenga davvero dal dominio da cui afferma di provenire.

Con DKIM, una chiave privata viene utilizzata dal server di posta mittente per firmare le email in uscita. La chiave pubblica corrispondente viene pubblicata nei record DNS del dominio. Quando l'email viene ricevuta, il server di posta del destinatario utilizza la chiave pubblica per verificare la firma dell'email.

Come funziona DKIM:

1. Il server di posta mittente genera una firma crittografica per l'email utilizzando una chiave privata.
2. L'intestazione dell'email include una firma DKIM, che è un valore hash del contenuto del messaggio.
3. Il server di posta del destinatario utilizza la chiave pubblica, archiviata nel DNS, per convalidare che la firma corrisponda al contenuto e all'intestazione dell'email.
4. Se la firma è valida, prova che l'email non è stata modificata durante il transito ed è inviata da un mittente autorizzato.

DMARC (Domain-based Message Authentication, Reporting & Conformance) DMARC è un framework di politiche che si basa sia su SPF che su DKIM per fornire una protezione più robusta contro lo spoofing delle email. DMARC aiuta i proprietari di domini a specificare come le loro email dovrebbero essere gestite se non superano i controlli SPF o DKIM e fornisce un meccanismo di reportistica per i fallimenti di autenticazione delle email.

Con DMARC, i proprietari di domini possono istruire i server di posta riceventi a prendere misure specifiche (ad esempio, mettere in quarantena o rifiutare le email) se le email del loro dominio non superano la validazione SPF o DKIM. Inoltre, DMARC fornisce report aggregati e forensi, che aiutano i proprietari di domini a monitorare l'efficacia della loro sicurezza delle email.

Come funziona DMARC:

1. Il proprietario del dominio crea un record DMARC nei record DNS, specificando la politica (ad esempio, rifiutare, mettere in quarantena o nessuna) per gestire le email che non superano i controlli SPF o DKIM.
2. Quando un'email viene ricevuta, il server di posta del destinatario verifica i risultati di SPF e DKIM.
3. Il server di posta applica la politica definita dal proprietario del dominio nel record DMARC.
4. Se l'email non supera SPF o DKIM, la politica DMARC determina se rifiutare, mettere in quarantena o accettare l'email.
5. Il server destinatario invia un report al proprietario del dominio con i risultati del controllo DMARC.

Configurazione dei Record SPF, DKIM e DMARC nei DNS

Configurazione di SPF I record SPF vengono aggiunti alle impostazioni DNS del tuo dominio come un record TXT. Il record SPF definisce quali server di posta sono autorizzati a inviare email per conto del tuo dominio.

Passaggi per creare un record SPF:

1. Accedi al pannello di gestione del tuo provider DNS: Questo è solitamente il luogo dove gestisci il tuo dominio e i record DNS.
2. Trova le impostazioni DNS per il tuo dominio: Trova la sezione in cui puoi aggiungere, modificare o eliminare i record DNS.
3. Aggiungi un record TXT per SPF: Un esempio di record SPF potrebbe essere il seguente: v=spf1 include:spf.miodominio.com ~all Ecco la spiegazione:
   • v=spf1: Specifica la versione SPF 1.
   • include:spf.miodominio.com: Specifica un altro dominio che è autorizzato a inviare email per conto del tuo dominio.
   • ~all: Specifica un fallimento morbido per tutti i server di posta che non sono esplicitamente autorizzati (cioè, marcati come spam).
4. Salva il record: Dopo aver aggiunto il record SPF, salva le modifiche e attendi che il record DNS si propaghi.

Configurazione di DKIM Per configurare DKIM, è necessario generare una coppia di chiavi pubblica/privata, con la chiave privata utilizzata dal server di posta per firmare i messaggi in uscita e la chiave pubblica pubblicata nei record DNS.

Passaggi per creare un record DKIM:

1. Genera una coppia di chiavi DKIM: La maggior parte dei provider di email o dei server di posta (come Google, Microsoft 365 o Postfix) offrono strumenti per generare le chiavi DKIM. Questo processo crea una chiave privata che verrà installata sul server di posta e una chiave pubblica che sarà posizionata nel DNS.
2. Crea un record TXT per DKIM: Aggiungi la chiave pubblica ai tuoi record DNS come un record TXT. Il record dovrebbe apparire così: selector._domainkey.miodominio.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4G...IDAQAB"
   • selector: Un nome univoco che identifica il record DKIM.
   • v=DKIM1: Specifica la versione DKIM.
   • k=rsa: Specifica il tipo di chiave.
   • p=: La chiave pubblica effettiva.
3. Configura il tuo server di posta: Aggiorna le impostazioni del tuo server di posta per firmare le email in uscita con la chiave privata.
4. Verifica DKIM: Dopo aver configurato DKIM, utilizza strumenti come DKIM Validator o Mail-Tester per verificare che la firma DKIM funzioni correttamente.

Configurazione di DMARC Una volta configurati SPF e DKIM, puoi configurare DMARC per far rispettare le tue politiche di autenticazione delle email.

Passaggi per creare un record DMARC:

1. Aggiungi un record TXT per DMARC. Esempio: v=DMARC1; p=reject; rua=mailto:dmarc-reports@miodominio.com
2. Salva e applica il record: Dopo aver aggiunto il record DMARC, salva le modifiche e attendi la propagazione.
3. Monitora i report DMARC: DMARC invierà report agli indirizzi email specificati nei campi rua e ruf. Questi report forniranno approfondimenti sui risultati dell'autenticazione del traffico email del tuo dominio, aiutandoti a identificare eventuali problemi.

Risoluzione dei Problemi con SPF, DKIM e DMARC

• Problema SPF: Le email vengono contrassegnate come spam nonostante il record SPF sia configurato.
  • Soluzione: Verifica che tutti gli IP di invio siano inclusi nel record SPF.
• Problema DKIM: Le email falliscono la verifica DKIM.
  • Soluzione: Verifica che la chiave pubblica DKIM nel DNS corrisponda alla chiave privata utilizzata dal server di posta. Verifica che il selettore sia corretto.
• Problema DMARC: I report DMARC mostrano fallimenti di autenticazione per email che dovrebbero passare.
  • Soluzione: Rivedi la configurazione SPF e DKIM e assicurati che entrambe le validazioni corrispondano al dominio nell'intestazione "From".

FAQ Tecniche per la Configurazione Personalizzata dei DNS SPF, DKIM e DMARC

• Cos'è SPF e perché è importante? SPF è un protocollo di autenticazione delle email che impedisce ai mittenti non autorizzati di usare il tuo dominio per inviare email. È importante perché riduce lo spoofing delle email e gli attacchi di phishing.
• Come creo un record SPF per il mio dominio? Aggiungi un record TXT nelle impostazioni DNS del tuo dominio. Il record deve specificare quali server di posta sono autorizzati a inviare email per conto del tuo dominio. Un esempio di record SPF è: v=spf1 include:example.com -all
• Cos'è DKIM e come funziona? DKIM aggiunge una firma crittografica alle email in uscita, verificando l'autenticità dell'email e garantendo che non sia stata alterata durante il transito. La chiave pubblica è pubblicata nel DNS, mentre la chiave privata firma le email in uscita.

E-commerce Aziende
E-mail Transazionali: Le piattaforme e-commerce utilizzano SPF, DKIM e DMARC per proteggere le e-mail di conferma, il reset delle password e gli aggiornamenti degli ordini da essere contraffatte.
Protezione del Marchio: Utilizzando questi record DNS, le aziende e-commerce possono ridurre il rischio di attacchi di phishing nei confronti dei clienti che potrebbero danneggiare la loro reputazione.

Fornitori di Servizi di Marketing Digitale e di E-mail (ESP)
Deliverability delle E-mail: Gli ESP e i marketer digitali utilizzano le configurazioni DNS di SPF, DKIM e DMARC per garantire che le loro campagne e-mail raggiungano le caselle di posta in arrivo anziché essere contrassegnate come spam.
Monitoraggio delle Campagne: Questi record aiutano anche a monitorare le performance delle e-mail attraverso i report DMARC, assicurandosi che le campagne siano correttamente autenticate e conformi.

Grandi Imprese e Organizzazioni
Conformità alla Sicurezza: Le imprese con operazioni di e-mail su larga scala implementano SPF, DKIM e DMARC per rispettare i protocolli di sicurezza e garantire l'autenticità delle e-mail attraverso vari dipartimenti e piattaforme.
Sicurezza delle E-mail: Le grandi organizzazioni utilizzano questi record per prevenire l'impersonificazione, il phishing e altri attacchi dannosi alle loro infrastrutture di posta elettronica.

Enti Governativi
Comunicazioni Confidenziali: Gli enti governativi utilizzano SPF, DKIM e DMARC per proteggere le e-mail contenenti informazioni sensibili come dichiarazioni fiscali, risultati elettorali o avvisi legali.
Conformità alle Normative: Alcuni dipartimenti governativi richiedono il rispetto rigoroso degli standard di sicurezza delle e-mail, il che rende la configurazione di SPF, DKIM e DMARC fondamentale.

Piattaforme SaaS e Cloud
Comunicazione con i Clienti: Le piattaforme SaaS e cloud spesso comunicano con gli utenti via e-mail (reset delle password, aggiornamenti, notifiche). Garantire che queste e-mail siano autenticate aiuta a mantenere l'integrità del marchio e la fiducia.
Sicurezza delle E-mail Automatiche: Le piattaforme SaaS integrano i record SPF, DKIM e DMARC per i loro utenti per garantire che tutte le e-mail automatiche siano protette da impersonificazione.

Istituzioni Finanziarie
Prevenzione del Phishing: Le banche e le istituzioni finanziarie utilizzano SPF, DKIM e DMARC per prevenire l'uso fraudolento dei loro domini in tentativi di phishing che prendono di mira i clienti.
Conformità alle Normative: Le organizzazioni finanziarie devono spesso rispettare normative rigorose sulla sicurezza delle e-mail, e questi protocolli aiutano a mantenere la conformità.

Organizzazioni Non Profit e Caritatevoli
Comunicazione con i Donatori: Le organizzazioni non profit utilizzano i record SPF, DKIM e DMARC per garantire che le loro e-mail (come le ricevute delle donazioni o le newsletter) arrivino alle caselle di posta senza essere intercettate o contraffatte.
Protezione del Marchio: Le organizzazioni non profit vogliono proteggere il loro dominio da attori malintenzionati che potrebbero impersonarle e sfruttare la loro reputazione.

Problemi Tecnici nella Configurazione Personalizzata di SPF, DKIM e DMARC nei DNS

Problemi con il Record SPF
Problema: Le e-mail del tuo dominio vengono segnate come spam, nonostante i record SPF siano configurati.
Causa: Il record SPF potrebbe mancare di determinati server di posta autorizzati o contenere errori di sintassi.
Soluzione: Controlla la sintassi del record SPF utilizzando uno strumento come MXToolbox. Assicurati che tutti i server autorizzati siano elencati nel record SPF e che il record non superi il limite di 255 caratteri.

Errori di Firma DKIM
Problema: Le e-mail vengono rifiutate a causa di errori di validazione della firma DKIM.
Causa: La chiave pubblica DKIM nei DNS non corrisponde alla chiave privata utilizzata dal server di posta, o il selettore DKIM è errato.
Soluzione: Verifica che il selettore DKIM e la chiave pubblica nei DNS siano configurati correttamente. Utilizza uno strumento di test DKIM come DKIMCore per verificare eventuali configurazioni errate.

Problemi con la Politica DMARC
Problema: I report DMARC mostrano e-mail non riuscite, ma la politica è impostata su "reject".
Causa: DMARC richiede che sia SPF che DKIM si allineino con il dominio "From". Se uno di questi controlli fallisce o è disallineato, DMARC non applicherà correttamente la politica.
Soluzione: Assicurati che i record SPF e DKIM siano allineati con il dominio "From". Modifica la politica "p" nel record DMARC da "none" a quarantine o reject per un'applicazione più rigorosa.

Record DNS Mancanti o Errati
Problema: I record SPF, DKIM o DMARC mancano, causando problemi di consegna delle e-mail.
Causa: I record DNS potrebbero non essere stati aggiunti correttamente o propagati.
Soluzione: Controlla che tutti i record DNS richiesti siano stati correttamente aggiunti nel pannello di gestione DNS. Usa strumenti di ricerca DNS come What’s My DNS per verificare la propagazione.

Problemi con la Lunghezza della Chiave DKIM e Algoritmi
Problema: Le firme DKIM non vengono convalidate perché la lunghezza della chiave è troppo corta o l'algoritmo di hashing non è supportato.
Causa: Alcuni server di ricezione potrebbero richiedere una lunghezza minima della chiave (2048 bit) o algoritmi di hashing specifici.
Soluzione: Genera una nuova coppia di chiavi DKIM con una lunghezza di almeno 2048 bit e utilizza un algoritmo di hashing ampiamente supportato (ad esempio SHA256).

Problemi con il Record SPF Troppo Lungo (Superamento del Limite di Lookup DNS)
Problema: I record SPF sono troppo lunghi o superano il limite di 10 lookup DNS, causando problemi di validazione.
Causa: Troppi meccanismi "include" o indirizzi IP nel record SPF.
Soluzione: Ottimizza il record SPF rimuovendo voci non necessarie o utilizzando sottodomini per suddividere i record SPF lunghi.

Report DMARC che Mostrano Alte Percentuali di Fallimento
Problema: I report DMARC indicano che una parte significativa delle e-mail fallisce l'autenticazione.
Causa: Le e-mail potrebbero essere inviate da server non autorizzati o l'indirizzo "From" potrebbe non corrispondere al dominio nel controllo SPF/DKIM.
Soluzione: Analizza i report DMARC per identificare eventuali configurazioni errate. Aggiorna i record SPF e DKIM per includere tutti i mittenti autorizzati e assicurati che siano allineati con il dominio "From".

Ritardi nella Propagazione DNS
Problema: I nuovi record SPF, DKIM o DMARC non si riflettono immediatamente.
Causa: I record DNS impiegano del tempo a propagarsi attraverso Internet.
Soluzione: Attendi fino a 48 ore per la propagazione dei cambiamenti DNS. Usa DNSstuff o MXToolbox per controllare lo stato della propagazione.

Disallineamento SPF/DKIM/DMARC
Problema: Le e-mail superano SPF o DKIM ma falliscono l'allineamento DMARC.
Causa: DMARC richiede che il dominio nell'intestazione "From" si allinei con il dominio utilizzato nel controllo SPF o DKIM.
Soluzione: Assicurati che entrambi i controlli SPF e DKIM siano allineati con il dominio nel campo "From" e modifica i tuoi record come necessario.

Errori SPF con Servizi di E-mail di Terzi
Problema: Le e-mail inviate tramite un servizio di e-mail di terzi (ad esempio Mailchimp, Google Workspace) falliscono i controlli SPF.
Causa: I servizi di terzi potrebbero non essere inclusi nel record SPF, causando il fallimento dell'autenticazione delle e-mail.
Soluzione: Aggiungi il meccanismo "include" del servizio di terzi nel tuo record SPF (ad esempio, include:_spf.mailchimp.com per Mailchimp).

FAQ Tecnica per la Configurazione Personalizzata dei Record SPF, DKIM e DMARC nei DNS

Qual è la differenza tra SPF, DKIM e DMARC?
SPF autentica i mittenti di e-mail verificando i loro indirizzi IP.
DKIM utilizza firme crittografiche per garantire l'integrità del contenuto delle e-mail.
DMARC combina SPF e DKIM, permettendo ai proprietari dei domini di applicare politiche su come gestire le e-mail che falliscono l'autenticazione.

Come configuro SPF per il mio dominio?
Per configurare SPF, crea un record TXT nelle impostazioni DNS del tuo dominio. Il record elencherà i server di posta autorizzati a inviare e-mail per il tuo dominio, ad esempio:

v=spf1 include:spf.example.com -all

Come configurare DKIM per l'autenticazione delle e-mail?
Genera una coppia di chiavi DKIM (chiavi private/pubbliche). Aggiungi la chiave pubblica come record TXT nei DNS con il selettore appropriato. Il tuo server di posta firmerà poi le e-mail in uscita con la chiave privata.

Cos'è una politica DMARC e come configurarla?
DMARC definisce come i server di posta riceventi devono trattare le e-mail che falliscono i controlli SPF o DKIM. Per configurarlo, crea un record TXT con la politica, ad esempio:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@mydomain.com

Posso usare DKIM con i provider di e-mail di terzi?
Sì, molti provider di e-mail di terzi (ad esempio Google, Office 365) supportano DKIM. Dovrai generare una coppia di chiavi DKIM e aggiungere la chiave pubblica nei record DNS.

Perché le mie e-mail falliscono i controlli SPF nonostante un record SPF valido?
Le cause comuni includono indirizzi IP mancanti o nomi di dominio errati nel record SPF. Usa strumenti di test SPF per verificare e correggere eventuali problemi.

Con quale frequenza dovrei rivedere e aggiornare i miei record SPF, DKIM e DMARC?
Rivedi regolarmente i tuoi record, soprattutto dopo aver aggiunto nuovi servizi di e-mail o cambiato la tua infrastruttura di posta. Almeno trimestralmente o quando aggiungi una nuova fonte di invio.

Posso usare politiche diverse per sottodomini differenti con DMARC?
Sì, DMARC consente di impostare politiche differenti per i sottodomini utilizzando il tag "sp". Ad esempio:

v=DMARC1; p=reject; sp=none;

Cosa è un report DMARC e come lo leggo?
Un report DMARC fornisce feedback su come le tue e-mail si sono comportate nei controlli SPF e DKIM. Contiene informazioni sui risultati dell'autenticazione, in modo da identificare fonti di e-mail non autorizzate.

Perché DMARC richiede che SPF e DKIM siano allineati?
DMARC garantisce che l'autenticazione delle e-mail sia più robusta verificando sia l'allineamento SPF che DKIM. Se uno dei due fallisce, può portare al rifiuto o alla quarantena delle e-mail, a seconda della politica.