Autenticazione SPF, DKIM e DMARC

Quando invii email, i fornitori di cassette postali (ad esempio Gmail, Outlook, AOL e Yahoo) devono stabilire se si tratta di un’email legittima inviata dal proprietario del nome di dominio o dell’indirizzo email o di un’email contraffatta inviata da uno spammer o un phisher. Questo vale anche per le email inviate da ActiveCampaign.

Esistono tre metodi consolidati utilizzati per verificare l’identità di un mittente: SPF, DKIM e DMARC. Ti consigliamo di configurare questi metodi di autenticazione email per diversi motivi. Tra i più comuni:  

  • Rimuovi l’intestazione "tramite..." da Gmail
    In questo modo rafforzi il branding (vedi l’immagine seguente). Un effetto positivo della configurazione dell’autenticazione DKIM è che questa intestazione scompare.
  • Rafforza la reputazione come mittente di email per il tuo nome di dominio
    Inviare email senza autenticazione è come consegnare i compiti senza scriverci sopra il nome. Puoi anche prendere voti pieni, ma senza il tuo nome scritto sopra non potrai prendertene il merito. L’autenticazione DKIM, in particolare, aiuta a rafforzare la tua reputazione come mittente di email.
  • Applica una protezione più restrittiva al tuo nome di dominio
    Gli standard di autenticazione, quale DMARC, aiutano a proteggere il tuo nome di dominio da un uso fraudolento da parte di spammer e phisher che mirano a danneggiare la tua reputazione o a truffare i tuoi clienti.

L’autenticazione email non è la soluzione magica a tutti i tuoi problemi di recapitabilità. L’autenticazione risolve il problema di stabilire da chi proviene l’email, ma non se l’email sia richiesta dal destinatario.

Un mittente che segue le procedure consigliate, ad esempio l’invio di email personalizzate di alta qualità a una lista di opt-in, e che esegue la regolare pulizia della lista, in genere otterrà una migliore recapitabilità quando utilizza l’autenticazione email. Il suo dominio creerà una reputazione di buon mittente tra i destinatari che vogliono interagire con le sue email.

Un mittente che non segue le procedure consigliate, ad esempio che utilizza una lista noleggiata o acquistata, che non manda messaggi chiari durante il processo di opt-in sul tipo e sulla frequenza delle email o che non esegue mai la pulizia della lista, in genere otterrà una minore recapitabilità con l’autenticazione email. Il suo dominio potrebbe acquisire una reputazione di mittente di email indesiderate.

L’autenticazione consente ai buoni mittenti di consolidare ulteriormente la propria reputazione e proteggere il proprio dominio da cattivi mittenti che potrebbero tentare di prenderne il controllo.

Di conseguenza, ti invitiamo a configurare l’autenticazione, anche se questa operazione non è obbligatoria. 

SPF

I record SPF (Sender Policy Framework) sono record TXT nel dominio che autorizzano determinati server a inviare email utilizzando il tuo nome di dominio. ActiveCampaign configura automaticamente il SPF per tutti i clienti. Questo significa che per utilizzare ActiveCampaign non dovrai creare un record SPF o modificarne uno esistente. Questo vale anche se utilizzi un dominio personalizzato.

Se desideri comunque aggiungere ActiveCampaign al tuo record SPF esistente (anche se questo non è necessario), puoi farlo aggiungendo "include:emsd1.com" al tuo record SPF esistente o creandone uno nuovo. Ad esempio, se invii email sia da G Suite che da ActiveCampaign, il tuo record SPF potrebbe avere un aspetto simile:

v=spf1 include:emsd1.com include:_spf.google.com ~all

Puoi creare un solo record SPF per il tuo nome di dominio. Se disponi di un record SPF esistente, dovrai modificare il record esistente anziché crearne uno nuovo.

DKIM

DKIM (Domain Keys Identified Mail) è essenzialmente una firma che qualsiasi mittente può applicare alle proprie email. Questa firma spiega che il presunto mittente del messaggio è in realtà il mittente del messaggio. Qualsiasi dominio può essere utilizzato come firma. Ad esempio, una società chiamata "Dog Bandanas" firmerà i propri messaggi con il dominio dogbandanas.com per confermare che il messaggio è stato effettivamente inviato da "Dog Bandanas".

Questo avviene tramite l’inserzione di una firma crittografica nascosta nell’intestazione delle email (operazione che verrà eseguita da ActiveCampaign) e quindi l’aggiunta di una chiave pubblica nel sito web che verifica l’autenticità di questa firma.

Per impostazione predefinita, tutti i messaggi inviati da ActiveCampaign utilizzano la firma DKIM di ActiveCampaign. La firma DKIM di ActiveCampaign ha un’ottima reputazione ed è sufficiente per la maggior parte dei mittenti. Tuttavia, se lo desideri potrai configurare facilmente DKIM per il tuo dominio.

Per configurare DKIM:

1. Fai clic su "Impostazioni."

2. Fai clic su "Avanzate".

3. Fai clic sull’opzione "Voglio gestire la mia autenticazione email".

sarahnicholaev

4. Digita il tuo dominio di invio nel campo DomainKeys Identified Mail (DKIM) e fai clic sul pulsante "Genera".

sarahnicholaev

Genereremo un nome e un valore per il record TXT.

sarahnicholaev

Tieni presente che i valori generati qui non verranno salvati nella pagina. Dovrai utilizzare questi valori per configurare un record TXT nel tuo host DNS.

L’host DNS è in genere la società presso cui hai registrato il dominio o che ospita il tuo sito web. La maggior parte degli host DNS richiederà i seguenti elementi per configurare il tuo record TXT:

  • Digita
    Scegli TXT.
  • Nome o Host
    Inserisci dk._domainkey (più comune) o il nome completo del record TXT visualizzato all’interno di ActiveCampaign (meno comune). Scegli quello da utilizzare a seconda che il tuo provider DNS aggiunga automaticamente o meno il nome di dominio ai record DNS che crei. Se non sei sicuro di quale utilizzare, esamina il formato degli altri record DNS nelle tue impostazioni (includono il nome di dominio nel campo Nome o Host?) o chiedi al tuo host DNS.
  • Valore o Record
    Inserisci il valore del record TXT visualizzato all’interno di ActiveCampaign.
  • TTL 
    Questo corrisponde al "Time Till Live". Utilizza l’impostazione consigliata o predefinita del tuo host DNS. Se non è presente un’impostazione predefinita, ti consigliamo 3600 (un’ora).

Per trovare istruzioni specifiche per l’host, utilizza il tuo motore di ricerca preferito per cercare "Aggiungi record TXT in _____", sostituendo la riga vuota con il nome del tuo provider DNS. Per comodità, abbiamo elencato di seguito alcuni provider DNS comuni:

Al termine, puoi utilizzare il nostro strumento di autenticazione o fare la prova con un’email nell’ambiente produttivo con mail-tester.com per assicurarti che DKIM funzioni.

Di seguito, un breve video con la procedura dettagliata per configurare DKIM:

DMARC

DMARC (Domain-based Message Authentication, Reporting e Conformance) è uno standard che si basa su SPF e DKIM. Questo standard consente al proprietario del dominio di creare una policy che istruisce i fornitori di cassette postali (ad esempio Google o Microsoft) su che cosa fare se l’email non supera i controlli SPF e DKIM. 

DMARC supporta tre configurazioni di policy principali:

  • "Nessuno"
    indica che in caso di errore DMARC le email devono essere trattate normalmente. Equivale a non avere un record DMARC, anche se è comunque possibile sfruttare le funzionalità di reporting di DMARC.
  • "Quarantena"
    indica che le email che non superano il controllo DMARC devono essere recapitate alla cartella di spam.
  • "Rifiuta"
    indica che le email che non superano il controllo DMARC devono essere respinte (non recapitate al destinatario).

L’utilizzo di una policy DMARC "Quarantena" o "Rifiuta" richiederà la corretta configurazione dei record DKIM per il dominio di invio, altrimenti nessuna delle email provenienti da ActiveCampaign supererà il test DMARC. Questo recapiterà le email alla cartella di spam ("Quarantena") o le bloccherà ("Rifiuta"). Prima di impostare un record DMARC restrittivo, assicurati di aver configurato DKIM per tutti i tuoi domini di invio.

DMARC non è uno strumento per migliorare la recapitabilità e non è obbligatorio configurare DMARC per inviare email da ActiveCampaign. Tuttavia, dovresti utilizzare DMARC se:

  • Qualcuno sta tentando di falsificare l’identità del tuo dominio tramite spoofing, inviando posta fraudolenta e danneggiando la tua reputazione. DMARC ti consentirebbe di identificare questa attività dannosa e di arrestarla
  • La tua organizzazione ha una policy di sicurezza delle email che richiede l’autenticazione DMARC, come ad esempio un ente governativo o un’organizzazione finanziaria
  • Desideri mostrare un logo BIMI nelle email

Per iniziare a usare DMARC, ti consigliamo di partire dalla policy "Nessuno", in modo da non avere effetti negativi sulla tua recapitabilità in caso di errore di configurazione. Potrai quindi monitorare i rapporti DMARC per vedere quale sarebbe l’impatto di una policy più restrittiva.

Di seguito è riportata una policy DMARC iniziale raccomandata da noi. È possibile configurarla creando un record TXT con Host o Nome _dmarc presso il tuo provider DNS e inserendo il valore riportato di seguito per Valore o Record. Assicurati di sostituire l’indirizzo email qui sotto con il tuo indirizzo email:

v=DMARC1; p=none; pct=100; rua=mailto:youremail@example.com

Se non sostituisci l’indirizzo email nell’esempio precedente con il tuo indirizzo email, non riceverai rapporti DMARC.

Se desideri implementare una maggiore sicurezza nel tuo dominio, puoi configurare un record DMARC più restrittivo utilizzando una policy "Quarantena" o "Rifiuta". Per impostare un record DMARC restrittivo, ti consigliamo di visitare dmarc.org per suggerimenti su come configurare correttamente il record.

Ulteriori metodi di autenticazione

BIMI

BIMI (Brand Indicators for Message Identification) è un nuovo standard sperimentale che si basa su DMARC. Questo standard consente ai proprietari di dominio che hanno implementato DMARC di acquistare un certificato VMC (Verified Mark Certificate) in modo da mostrare un logo BIMI per il proprio marchio nei messaggi email. Questo consente ai destinatari di identificare visivamente i messaggi attendibili con facilità.

Poiché BIMI è un nuovo standard, non è ancora adottato ampiamente dai proprietari di domini o dai fornitori di cassette postali e non è necessario configurarlo. Tuttavia, se sei interessato a saperne di più, puoi consultare i seguenti siti:

SenderID

SenderID è uno standard di autenticazione creato da Microsoft e che aveva lo scopo di sostituire SPF. Tuttavia, SenderID è stato deprecato e non viene più utilizzato dalla maggior parte dei servizi di posta elettronica, e non è necessario configurarlo.

Se effettui invii a sistemi email legacy che utilizzano SenderID, ti consigliamo di configurare un SenderID vuoto per evitare potenziali conflitti con SPF:

spf2.0/pra

Lettura aggiuntiva

In questo articolo non abbiamo tentato di spiegare il processo tecnico di funzionamento di SPF, DKIM e DMARC. Ognuno di questi protocolli di autenticazione ha un proprio sito web pubblico in cui la relativa specifica tecnica viene spiegata in modo approfondito:

Altre domande? Invia una richiesta