Autenticazione SPF, DKIM e DMARC

Quando invii email, i provider di caselle postali (come Gmail, Outlook, AOL e Yahoo) devono identificare se il messaggio è un'email legittima inviata dal proprietario del nome di dominio o dell'indirizzo email o un'email contraffatta inviata da uno spammer o da un phisher. Ciò include le email inviate da ActiveCampaign.

Esistono tre metodi consolidati utilizzati per verificare l'identità di un mittente. Si tratta di SPF, DKIM e DMARC. Ti consigliamo di impostare questi metodi di autenticazione della posta elettronica per diversi motivi. I motivi più comuni sono:  

  • Rimuovere l'intestazione "via..." da Gmail
    In questo modo si rafforzerà il branding (vedi immagine sotto). Un effetto collaterale positivo dell'impostazione dell'autenticazione DKIM è che questa intestazione scompare.
  • Costruisci la reputazione come mittente di email sul tuo nome di dominio
    Inviare email senza autenticazione è come consegnare un'esame senza aver scritto il nome. Potresti aver ottenuto il massimo, ma non puoi prendertene il merito senza il tuo nome. L'autenticazione DKIM in particolare aiuta a costruire la tua reputazione come mittente di email.
  • Applica una maggiore sicurezza al tuo nome di dominio
    Gli standard di autenticazione come DMARC aiutano a proteggere il tuo nome di dominio dall'uso fraudolento da parte di spammer e phisher che vogliono danneggiare la tua reputazione o truffare i tuoi clienti.

L'autenticazione email non è una formula magica per risolvere i problemi di recapito. L'autenticazione risolve il problema di determinare da chi proviene l'email, non se l'email è desiderata dal destinatario.

Un mittente che segue le best practice, come l'invio di email personalizzate di alta qualità a un elenco di consenso esplicito ed esegue la pulizia regolare dell'elenco, in genere vedrà una maggiore recapitabilità quando si utilizza l'autenticazione email. Il loro dominio costruirà una reputazione come un buon mittente con i destinatari che vogliono interagire con le loro email.

Un mittente che non segue le migliori pratiche, come l'utilizzo di un elenco noleggiato o acquistato, la mancanza di messaggi chiari durante il processo di opt-in su quale tipo di email verranno inviate e con quale frequenza, o che non esegue mai alcuna pulizia dell'elenco, in genere vedrà una minore recapitabilità con l'autenticazione email. Il loro dominio può costruire una reputazione come mittente di email indesiderate.

L'autenticazione consente ai buoni mittenti di consolidare ulteriormente la propria reputazione e proteggere il loro dominio da cattivi mittenti che potrebbero tentare di dirottare il loro dominio.

Pertanto, ti invitiamo a impostare l'autenticazione, ma non sei tenuto a farlo. 

SPF

I record SPF (Sender Policy Framework) sono record TXT nel dominio che autorizzano determinati server a inviare posta utilizzando il nome di dominio. ActiveCampaign configura automaticamente i record SPF per tutti i clienti. Ciò significa che non è necessario creare un record SPF o modificarne uno esistente per utilizzare ActiveCampaign. Questo vale anche se si utilizza un dominio personalizzato.

Se desideri comunque aggiungere ActiveCampaign al record SPF esistente (anche se non è necessario), puoi farlo aggiungendo "include:emsd1.com" al record SPF esistente o creandone uno nuovo. Ad esempio, se invii email sia dalla suite di Google che da ActiveCampaign, il tuo record SPF potrebbe essere simile al seguente:

v=spf1 include:emsd1.com include:_spf.google.com ~all

È possibile creare un solo record SPF per il nome di dominio. Se disponi di un record SPF esistente, dovrai modificare il record esistente anziché creare un nuovo record SPF.

DKIM

DKIM (Domain Keys Identified Mail) è essenzialmente una firma che qualsiasi mittente può applicare ai propri messaggi di posta elettronica. Questa firma chiarisce che il presunto mittente del messaggio è realmente il mittente del messaggio. Qualsiasi dominio può essere utilizzato come firma. Ad esempio, una società chiamata "Dog Bandanas" firmerà i propri messaggi con il dominio dogbandanas.com per confermare che il messaggio è stato effettivamente inviato da "Dog Bandanas".

Ciò si ottiene inserendo una firma crittografica nascosta nell'intestazione dell'email (ActiveCampaign lo farà) e quindi inserendo una chiave pubblica sul sito Web che verifica l'autenticità di questa firma.

Tutta la posta inviata da ActiveCampaign utilizzerà la firma DKIM di ActiveCampaign per impostazione predefinita. La firma DKIM di ActiveCampaign ha un'ottima reputazione ed è sufficiente per la maggior parte dei mittenti. Tuttavia, è facile configurare DKIM per il proprio dominio, se lo si desidera.

Come configurare DKIM:

1. Fai clic su "Impostazioni".

2. Fai clic su "Avanzate".

3. Fai clic sull'opzione "Gestirò la mia autenticazione email".

 sarahnicholaev

4. Digita il tuo dominio di invio nel campo DomainKeys Identified Mail (DKIM) e fai clic sul pulsante "Genera".

 sarahnicholaev

Genereremo un nome record TXT e un valore record TXT.

sarahnicholaev

Ricorda che i valori generati qui non verranno salvati nella pagina. Dovrai utilizzare questi valori per configurare un record TXT nell'host DNS.

Il tuo host DNS è in genere la società con cui hai registrato il tuo dominio o ospitato il tuo sito Web. La maggior parte degli host DNS richiederà i seguenti elementi per configurare il record TXT:

  • Digita
    Scegli TXT.
  • Nome o Host
    Immetti dk._domainkey (più comune) o il nome record TXT completo mostrato all'interno di ActiveCampaign (meno comune).  Quello da utilizzare dipende dal fatto che il provider DNS aggiunga automaticamente il nome di dominio ai record DNS creati. Se non sei sicuro di quale utilizzare, guarda il formato di altri record DNS nelle tue impostazioni (includono il nome di dominio nel campo Nome o Host?) o chiedi al tuo host DNS.
  • Valore o Record
    Immetti il valore del record TXT visualizzato all'interno di ActiveCampaign.
  • TTL 
    Questo è "Time Till Live". Utilizza l'impostazione consigliata o predefinita dell'host DNS. Se non è presente un'impostazione predefinita, si consiglia 3600 (un'ora).

Per trovare istruzioni specifiche per il tuo host, utilizza il tuo motore di ricerca preferito per cercare "Aggiungi record TXT a _____", sostituendo la riga vuota con il tuo provider DNS. Per comodità, abbiamo incluso alcuni provider DNS comuni di seguito:

Una volta terminato, puoi utilizzare il nostro strumento di autenticazione o testare un'email dal vivo con mail-tester.com per assicurarti che DKIM funzioni.

Ecco un breve video della procedura dettagliata per la configurazione di DKIM:

DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) è uno standard che si basa su SPF e DKIM. Consente al proprietario del dominio di creare un criterio che indica ai provider di caselle postali (come Google o Microsoft) cosa fare se l'email non supera i controlli SPF e DKIM. 

DMARC supporta tre configurazioni di criteri principali:

  • "Nessuno"
    Indica che le email devono essere trattate normalmente se DMARC non riesce. Equivale a non avere affatto un record DMARC, anche se è comunque possibile sfruttare le funzionalità di reporting di DMARC.
  • "Quarantena"
    Indica che le email devono essere recapitate alla cartella spam se il controllo DMARC non riesce.
  • "Rifiuta"
    Indica che le email devono essere rimbalzate (non consegnate al destinatario) se il controllo DMARC non riesce.

L'utilizzo di un criterio DMARC di "Quarantena" o "Rifiuta" richiederà una corretta configurazione del record DKIM per il dominio di invio, altrimenti tutta la posta da ActiveCampaign non supererà il test DMARC. Questo lo filtrerà nella cartella spam ("Quarantena") o lo bloccherà completamente ("Rifiuta"). Assicurati di aver configurato DKIM per tutti i tuoi domini di invio prima di impostare un record DMARC rigoroso.

DMARC non è uno strumento per migliorare la deliverability e non è necessario configurare DMARC per inviare email da ActiveCampaign. Tuttavia, è necessario utilizzare DMARC se:

  • Qualcuno sta attivamente falsificando il tuo dominio, inviando posta fraudolenta e offuscando la tua reputazione. DMARC ti consente di identificare questa attività dannosa e di arrestarla
  • L'organizzazione dispone di un criterio di sicurezza della posta elettronica che richiede l'autenticazione DMARC, ad esempio un'entità governativa o un'organizzazione finanziaria
  • Vuoi mostrare un logo BIMI nelle tue email

Per muovere i primi passi con DMARC, ti consigliamo di iniziare con un criterio "Nessuno" in modo da non influire sulla deliverability in caso di configurazione errata. È quindi possibile monitorare i report DMARC per vedere quale sarebbe l'impatto se si utilizzasse una politica più rigorosa.

Di seguito è riportata una politica DMARC iniziale consigliata. Puoi configurarlo creando un record TXT con un host o un nome di _dmarc presso il provider DNS e immettendo il valore seguente per il valore o il record.  Assicurati di sostituire l'indirizzo email qui sotto con il tuo indirizzo email:

v=DMARC1; p=nessuno; pct=100; rua=mailto:youremail@example.com

Se non sostituisci l'indirizzo email nell'esempio precedente con il tuo indirizzo email, non riceverai i rapporti DMARC.

Se desideri implementare una maggiore sicurezza sul dominio, puoi impostare un record DMARC più rigoroso utilizzando un criterio di "Quarantena" o "Rifiuto". Per impostare un record DMARC rigoroso, ti consigliamo di visitare dmarc.org per consigli su come configurare correttamente il record.

Metodi di autenticazione aggiuntivi

BIMI

BIMI (Brand Indicators for Message Identification) è un nuovo standard sperimentale che si basa sul DMARC. Consente ai proprietari di domini che hanno implementato DMARC di acquistare un certificato di marchio verificato (VMC) per mostrare un logo BIMI per il proprio marchio nei messaggi di posta elettronica. Ciò offre ai destinatari un modo semplice per identificare visivamente i messaggi attendibili.

Poiché BIMI è uno standard così nuovo, non ha ancora un'adozione diffusa da parte dei proprietari di domini o dei provider di cassette postali e non è necessario configurare BIMI. Tuttavia, se sei interessato a saperne di più, puoi consultare i seguenti siti:

SenderID

SenderID è uno standard di autenticazione creato da Microsoft e inteso come sostituto di SPF. Tuttavia, l'ID mittente è stato deprecato e non viene più utilizzato dalla stragrande maggioranza dei servizi di posta elettronica e non è necessario configurarlo.

Se invii a sistemi di posta elettronica legacy che si basano sull'ID mittente, ti consigliamo di configurare un ID mittente vuoto per evitare potenziali conflitti con SPF:

spf2.0/pra

Letture aggiuntive

In questo articolo, non abbiamo tentato di spiegare il processo tecnico di come funzionano SPF, DKIM e DMARC. Ognuno di questi protocolli di autenticazione ha un sito Web pubblico in cui le specifiche tecniche sono spiegate in modo approfondito:

Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 45 su 53

Have more questions? Submit a request

Start free trial