Autenticazione SPF, DKIM e DMARC

Quando invii email, i provider di cassette postali (come Gmail, Outlook, AOL e Yahoo) devono identificare se il messaggio è un messaggio legittimo inviato dal proprietario o dall'indirizzo email del nome di dominio o un'email contraffatta inviata da uno spammer o phisher. Ciò include le email inviate da ActiveCampaign.

Prima di entrare nel vivo dei metodi di autenticazione, assicurati di utilizzare un dominio di invio valido (esistente e consolidato) di tua proprietà: il tuo dominio deve essere più vecchio di 30 giorni, con un "record A" valido.

È inoltre essenziale che questo dominio disponga di un record MX: questo record specifica il server di posta responsabile dell'accettazione dei messaggi email per conto di un nome di dominio. 

Il tuo dominio di invio è valido e dispone di un record MX? È ora di autenticarlo!

Esistono tre metodi consolidati per verificare l'identità di un mittente. Si tratta di SPF, DKIM e DMARC. Ti consigliamo di impostare questi metodi di autenticazione dell'email per diversi motivi. I più comuni sono:

  • Rafforzare il tuo branding
    Puoi rafforzare il tuo branding rimuovendo l'header "tramite... " da Gmail. Un effetto collaterale positivo dell'impostazione dell'autenticazione DKIM è che l'header scompare.
    Remove_the_
  • Costruire una reputazione come mittente di email sul tuo nome di dominio
    Inviare email senza autenticazione è come consegnare i compiti senza il proprio nome. Potresti aver ottenuto il massimo dei voti, ma non puoi prendertene il merito se non hai scritto il tuo nome. L'autenticazione DKIM, in particolare, aiuta a costruire la tua reputazione come mittente di email.
  • Applicare una sicurezza più rigorosa sul nome di dominio
    Gli standard di autenticazione come DMARC aiutano a proteggere il nome di dominio da un uso potenzialmente fraudolento.

L'autenticazione dell'email non risolve tutti i problemi di recapito, ad esempio se il destinatario desidera o meno ricevere l'email. Tuttavia, l'autenticazione risolve il problema di determinare da chi proviene l'email.

Un mittente che segue le procedure consigliate, come l'invio di email personalizzate di alta qualità a un elenco di sottoscrizione e l'esecuzione di un'igiene regolare dell'elenco, in generale vedrà un tasso di recapito maggiore quando utilizza l'autenticazione dell'email. Il suo dominio avrà la reputazione di un buon mittente con i destinatari che vogliono interagire con le sue email.

Un mittente che non segue le procedure consigliate, come utilizzare un elenco noleggiato o acquistato, non scrivere messaggi chiari durante il processo di opt-in sul tipo di email che verranno inviate e con quale frequenza, o che non esegue alcuna procedura di igiene dell'elenco, in generale vedrà un minore tasso di recapito anche con l'autenticazione dell'email. Il suo dominio avrà la reputazione di mittente di email indesiderate.

L'autenticazione consente ai mittenti validi di consolidare ulteriormente la propria reputazione e proteggere il proprio dominio da mittenti malintenzionati che potrebbero tentare di assumere il controllo del loro dominio.

​​Come illustrato di seguito, ActiveCampaign autentica già tutto il suo traffico con SPF e DKIM. Tuttavia, è ancora possibile autenticare il dominio di invio con questi standard.

Tieni presente che, sebbene non sia obbligatorio, ti consigliamo vivamente di impostare l'autenticazione sul tuo dominio di invio.

SPF

I record SPF (Sender Policy Framework) sono record TXT sul tuo dominio che autorizzano server specifici a inviare email utilizzando il tuo nome di dominio. ActiveCampaign configura automaticamente i record SPF per tutti i clienti. Ciò significa che non è necessario creare un record SPF o modificarne uno esistente per lavorare con ActiveCampaign. Questo vale anche se utilizzi un dominio personalizzato.

Se desideri comunque aggiungere ActiveCampaign al tuo record SPF esistente (anche se non è necessario), puoi aggiungere "include:emsd1.com" al tuo record SPF corrente. Ad esempio, se invii email sia da G Suite che da ActiveCampaign, il tuo record SPF potrebbe essere simile al seguente:

v=spf1 include:emsd1.com include:_spf.google.com ~all


Puoi creare un solo record SPF per il nome di dominio. Se disponi di un record SPF esistente, dovrai modificare il record corrente anziché creare un nuovo record SPF.

Per saperne di più, consulta questa guida SPF dettagliata del nostro team Postmark.

DKIM

DKIM (Domain Keys Identified Mail) è una firma che qualsiasi mittente può applicare ai propri messaggi email. Questa firma chiarisce che il presunto mittente del messaggio è il mittente del messaggio reale. Puoi utilizzare qualsiasi dominio come firma. Ad esempio, una società denominata "Dog Bandanes" firmerà i propri messaggi con il dominio "dogbandanas.com" per confermare che il messaggio è stato inviato da "Dog Bandanes".

Ciò si ottiene inserendo una firma crittografica nascosta nell'header dell'email (se ne occuperà direttamente ActiveCampaign) e una chiave pubblica sul sito web per verificare l'autenticità di questa firma.

Tutta la posta inviata da ActiveCampaign utilizzerà la firma DKIM di ActiveCampaign per impostazione predefinita. La firma DKIM di ActiveCampaign ha un'ottima reputazione ed è sufficiente per la maggior parte dei mittenti. Tuttavia, è facile configurare DKIM per il tuo dominio, se lo desideri.

Per configurare DKIM:

  1. Accedi al tuo account ActiveCampaign come utente admin del tuo account.
  2. Fai clic su "Impostazioni" nel menu a sinistra.
  3. Fai clic sulla scheda "Avanzate".
  4. Fai clic sull'opzione "Gestirò la mia autenticazione dell'email".
  5. Digita il tuo dominio di invio nel campo DKIM (DomainKeys Identified Mail) e fai clic sul pulsante "Genera".
    DKIM_setup_example_image.png

Genereremo un nome record TXT e un valore record TXT.

  I valori generati qui non verranno salvati nella pagina. Dovrai utilizzare questi valori per configurare un record TXT nell'host DNS.

Il tuo host DNS è in genere la società con cui hai registrato il tuo dominio o che ospita il tuo sito web. La maggior parte degli host DNS richiede i seguenti elementi per configurare il record TXT:

  • Tipo
    Scegli TXT.
  • Nome o Host
    Immetti dk._domainkey (più comune) o il nome completo del record TXT visualizzato all'interno di ActiveCampaign (meno comune). Quale utilizzare dipende dal provider DNS, che può aggiungere automaticamente o meno il nome di dominio ai record DNS creati. Se non sai quale utilizzare, guarda il formato di altri record DNS nelle tue impostazioni (includono il nome di dominio nel campo Nome o Host?) o chiedi al tuo host DNS.
  • Valore o Record
    Immetti il valore del record TXT visualizzato all'interno di ActiveCampaign.
  • TTL
    TTL significa "Time Till Live". Utilizza l'impostazione consigliata o predefinita dell'host DNS. Se non è presente un'impostazione predefinita, ti consigliamo 3600 (un'ora).

Per trovare istruzioni specifiche per il tuo host, utilizza il tuo motore di ricerca preferito e cerca "Aggiungi record TXT a _____", sostituendo la riga vuota con il tuo provider DNS. Per comodità, abbiamo incluso alcuni provider DNS comuni di seguito:

Una volta terminato, puoi utilizzare il nostro strumento di autenticazione o testare un'email in tempo reale con mail-tester.com per assicurarti che DKIM funzioni.

Guarda un video

Ecco una breve procedura video dettagliata sulla configurazione di DKIM:

DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) è uno standard che si basa su SPF e DKIM. Consente al proprietario del dominio di creare una policy che indica ai provider di cassette postali (come Google o Microsoft) cosa fare se l'email non supera i controlli SPF e DKIM. 

DMARC supporta tre configurazioni principali delle policy:

  • "Nessuno"
    Indica che le email devono essere trattate normalmente in caso di errore DMARC. Equivale a non avere un record DMARC, anche se è comunque possibile sfruttare le funzionalità di reporting di DMARC.
  • "Quarantena"
    Indica che le email devono essere recapitate nella cartella spam in caso di errore del controllo DMARC.
  • "Rifiuta"
    Indica che le email devono essere respinte (non consegnate al destinatario) in caso di errore del controllo DMARC.

L'utilizzo di una policy DMARC "Quarantena" o "Rifiuta" richiederà una corretta configurazione del record DKIM per il dominio di invio, altrimenti tutte le email da ActiveCampaign non supereranno il test DMARC. Il record filtrerà le email nella cartella spam ("Quarantena") o le bloccherà completamente ("Rifiuta"). Assicurati di configurare DKIM per tutti i tuoi domini di invio prima di impostare un record DMARC rigoroso.

DMARC non è uno strumento per migliorare la deliverability e non è necessario configurare DMARC per inviare email da ActiveCampaign. Tuttavia, è consigliabile utilizzare DMARC se:

  • Qualcuno sta eseguendo lo spoofing del tuo dominio, inviando posta fraudolenta e danneggiando la tua reputazione. Infatti, DMARC ti consente di identificare questa attività dannosa e arrestarla.
  • L'organizzazione dispone di policy di sicurezza delle email che richiedono l'autenticazione DMARC, ad esempio un ente governativo o un'organizzazione finanziaria.
  • Vuoi visualizzare un logo BIMI per le tue email.

Per iniziare a utilizzare DMARC, ti consigliamo di iniziare con una policy "Nessuno" in modo da non influire sulla deliverability in caso di errori di configurazione. Puoi quindi monitorare i report DMARC per vedere quale sarebbe l'impatto se utilizzassi una policy più rigorosa.

Di seguito è riportata una policy DMARC iniziale consigliata. Puoi configurarla creando un record TXT con Host o Nome _dmarc presso il provider DNS e immettendo il valore seguente per Valore o Record. Assicurati di sostituire l'indirizzo email qui sotto con il tuo indirizzo email:

v=DMARC1; p=none; pct=100; rua=mailto:latuaemail@esempio.com


Se non sostituisci l'indirizzo email nell'esempio precedente con il tuo indirizzo email, non riceverai i report DMARC. Tuttavia, a seconda del volume di messaggi email inviati, la cassetta postale per l'indirizzo email specificato potrebbe ricevere un numero troppo elevato di messaggi ed essere riempita fino alla quota. Inoltre, poiché i report DMARC vengono inviati in formato XML, sono difficili da leggere. Ecco perché consigliamo vivamente di lavorare con una soluzione di monitoraggio DMARC che può essere configurata per inserire email/report e fornire risultati più leggibili e utilizzabili. Dai un'occhiata a DMARC Digests, che ora fa parte della famiglia di prodotti ActiveCampaign.

DMARC_Digests_image.png

Inoltre, la quantità di tempo necessaria per indagare e intraprendere azioni appropriate potrebbe essere molto breve o molto lunga prima di poter configurare DMARC in modalità di applicazione.

Se desideri implementare una sicurezza più solida sul dominio, puoi impostare un record DMARC più rigoroso utilizzando una policy "Quarantena" o "Rifiuta". Per impostare un record DMARC rigoroso, ti consigliamo di visitare dmarc.org, dove troverai informazioni su come configurare correttamente il record.

Metodi di autenticazione aggiuntivi

BIMI

BIMI (Brand Indicators for Message Identification) è un nuovo standard che si basa su DMARC. Consente ai proprietari di domini che hanno implementato DMARC in modalità applicazione di acquistare un certificato di marchio verificato (VMC) per visualizzare un logo BIMI per il proprio brand nei messaggi email. Ciò offre ai destinatari un modo semplice per identificare visivamente i messaggi attendibili.

Poiché BIMI è uno standard particolarmente nuovo, non viene ancora adottato in modo diffuso da parte dei proprietari di domini o dei provider di cassette postali e la sua configurazione non è obbligatoria. Tuttavia, se vuoi saperne di più, puoi consultare i seguenti siti:

SenderID

SenderID è uno standard di autenticazione creato da Microsoft e inteso come sostituto di SPF. Tuttavia, SenderID è stato deprecato e non viene più utilizzato. Pertanto, non è necessario configurarlo.

Se disponi di record ID mittente attualmente impostati in DNS (record TXT che inizia con spf2.0), dovrai rimuoverli.

SPF (record che inizia con v = spf1) è ancora lo standard di autenticazione del settore ampiamente supportato e raccomandato.

Letture aggiuntive

In questo articolo, non abbiamo spiegato il processo tecnico relativo al funzionamento di SPF, DKIM e DMARC. Ognuno di questi protocolli di autenticazione ha un sito web pubblico in cui le specifiche tecniche sono spiegate in modo approfondito:

Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 55 su 67

Have more questions? Submit a request

Start free trial