SPF, DKIM e DMARC consentono di autenticare i mittenti di e-mail verificando che le e-mail provengano dal dominio da cui affermano di provenire. Questi tre metodi di autenticazione sono importanti per prevenire spam, attacchi di phishing e altri rischi per la sicurezza della posta elettronica.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Cosa si intende per sicurezza della posta elettronica?
Come fermare le e-mail di spam
Come impedire il phishing
Business Email Compromise (BEC)
Sicurezza degli allegati e-mail
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
DMARC, DKIM e SPF sono tre metodi di autenticazione delle e-mail. Insieme, contribuiscono a impedire a spammer, phisher e altre parti non autorizzate di inviare e-mail per conto di un dominio* di cui non sono proprietari.
DKIM e SPF possono essere paragonati a una licenza commerciale o a una laurea in Medicina di un medico esposta sulla parete di un ufficio: contribuiscono a dimostrare la legittimità.
Nel frattempo, DMARC comunica ai server di posta come comportarsi quando DKIM o SPF non riescono nel loro intento, sia che si tratti di contrassegnare le e-mail non riuscite come "spam", consegnare comunque le e-mail o eliminare del tutto le e-mail.
I domini in cui SPF, DKIM e DMARC non sono impostati correttamente potrebbero scoprire che le loro e-mail vengono messe in quarantena come spam o non vengono consegnate ai loro destinatari. Rischiano anche che gli spammer li impersonino.
*Un dominio, in parole povere, è l'indirizzo di un sito Web come "example.com". I domini formano la seconda metà di un indirizzo e-mail: alice@example.com, ad esempio.
Sender Policy Framework (SPF) è un metodo utilizzato da un dominio per elencare tutti i server da cui inviano e-mail. Pensa a questo come a un elenco di dipendenti disponibile pubblicamente che aiuta qualcuno a confermare se un dipendente lavora per un'organizzazione.
I record SPF contengono tutti gli indirizzi IP di tutti i server a cui è consentito inviare e-mail dal dominio, proprio come un elenco di dipendenti contiene i nomi di tutti i dipendenti di un'organizzazione. I server di posta che ricevono un'e-mail possono confrontarla con il record SPF prima di trasmetterla alla posta in arrivo del destinatario.
DomainKeys Identified Mail (DKIM) consente ai proprietari di domini di "firmare" automaticamente le e-mail dai loro domini, proprio come la firma su un assegno consente di confermare chi ha compilato l'assegno. La "firma" DKIM è una firma digitale che utilizza la crittografia per verificare matematicamente che l'e-mail provenga dal dominio.
Nello specifico, DKIM utilizza la crittografia a chiave pubblica:
Domain-based Message Authentication Reporting and Conformance (DMARC) indica a un server di posta elettronica ricevente cosa fare in base ai risultati dopo aver controllato SPF e DKIM. Il criterio DMARC di un dominio può essere impostato in vari modi: può indicare ai server di posta di mettere in quarantena le e-mail che non superano SPF o DKIM (o entrambi), di rifiutare tali e-mail o di consegnarle.
I criteri DMARC sono archiviati nei record DMARC. Un record DMARC può anche contenere istruzioni per inviare report agli amministratori di dominio su quali e-mail superano o meno questi controlli. I report DMARC forniscono agli amministratori le informazioni di cui hanno bisogno per decidere come modificare i loro criteri DMARC (ad esempio, cosa fare se le e-mail legittime vengono erroneamente contrassegnate come spam).
I record SPF, DKIM e DMARC sono archiviati nel DNS (Domain Name System), che è disponibile pubblicamente. L'uso principale del DNS è abbinare gli indirizzi Web agli indirizzi IP, in modo che i computer possano trovare i server corretti per caricare i contenuti su Internet senza che gli utenti umani debbano memorizzare lunghi indirizzi alfanumerici. Il DNS può anche archiviare una serie di record associati a un dominio, inclusi nomi alternativi per tale dominio (record CNAME), indirizzi IPv6 (record AAAA) e record DNS inversi per le ricerche dei domini (record PTR).
I record DKIM, SPF e DMARC sono tutti archiviati come record TXT DNS. Un record TXT DNS memorizza il testo che un proprietario di dominio desidera associare al dominio. Questo record può essere utilizzato in vari modi, poiché può contenere qualsiasi testo arbitrario. DKIM, SPF e DMARC sono tre delle numerose applicazioni per i record TXT DNS.
La maggior parte dei client di posta elettronica fornisce un'opzione denominata "Mostra dettagli" o "Mostra originale" che mostra la versione completa di un'e-mail, inclusa la sua intestazione. L'intestazione, in genere un lungo blocco di testo sopra il corpo dell'e-mail, è il punto in cui i server di posta aggiungono i risultati di SPF, DKIM e DMARC.
Leggere un'intestazione così densa di contenuti può essere complicato. Gli utenti che la visualizzano su un browser possono fare clic su "Ctrl+F" o "Comando+F" e digitare "SPF ", "dkim" o "dmarc" per trovare questi risultati.
Il testo pertinente potrebbe essere simile a quello riportato di seguito:
arc=pass (i=1 spf=pass spfdomain=example.com dkim=pass
dkdomain=example.com dmarc=pass fromdomain=example.com);
La comparsa della parola "pass" nel testo sopra indica che l'e-mail ha superato un controllo di autenticazione. SPF=pass", ad esempio, indica l'e-mail ha superato SPF; proveniva da un server autorizzato con un indirizzo IP elencato nel record SPF del dominio.
In questo esempio, l'e-mail ha superato SPF, DKIM e DMARC e il server di posta è stato in grado di verificare che proveniva davvero da example.com e non da un impostore.
È importante notare che questi record stessi non applicano i criteri del dominio né autenticano le e-mail. I server di posta devono controllarli e applicarli correttamente affinché i record abbiano effetto.
È anche importante notare che i proprietari di domini devono configurare autonomamente i propri record SPF, DKIM e DMARC, sia per prevenire lo spam dal loro dominio che per assicurarsi che le e-mail legittime dal loro dominio non vengano contrassegnate come spam. I servizi di hosting Web non lo fanno necessariamente automaticamente. Anche i domini che non inviano e-mail dovrebbero almeno avere record DMARC in modo che gli spammer non possano fingere di inviare e-mail da quel dominio.
DMARC, DKIM e SPF devono essere configurati nelle impostazioni DNS del dominio. Gli amministratori possono contattare il loro provider DNS oppure la loro piattaforma di hosting Web può fornire uno strumento che consenta loro di caricare e modificare i record DNS. Per maggiori dettagli su come funzionano questi record, consulta i nostri articoli correlati:
Per configurare questi record in Cloudflare, utilizza Email Security DNS Wizard.