In questo articolo, esploreremo come ottimizzare il record SPF facilmente per il vostro dominio. Per le imprese e le piccole imprese che sono in possesso di un dominio di posta elettronica per inviare e ricevere messaggi tra i loro clienti, partner e dipendenti, è molto probabile che esista un record SPF di default, che è stato impostato dal vostro fornitore di servizi di posta elettronica. Non importa se avete un record SPF preesistente o dovete crearne uno nuovo, è necessario ottimizzare correttamente il record SPF per il vostro dominio, al fine di garantire che non causi problemi di consegna delle e-mail.

Alcuni destinatari di e-mail richiedono rigorosamente SPF, il che indica che se non hai un record SPF pubblicato per il tuo dominio le tue e-mail possono essere contrassegnate come spam nella casella di posta del tuo destinatario. Inoltre, SPF aiuta a rilevare fonti non autorizzate che inviano e-mail per conto del tuo dominio.

Cerchiamo prima di tutto di capire cos'è l'SPF e perché ne avete bisogno?

Struttura dei criteri del mittente (SPF)

SPF è essenzialmente un protocollo standard di autenticazione e-mail che specifica gli indirizzi IP che sono autorizzati a inviare e-mail dal tuo dominio. Funziona confrontando gli indirizzi dei mittenti con l'elenco degli host e degli indirizzi IP autorizzati all'invio per un dominio specifico che è pubblicato nel DNS per quel dominio.

SPF, insieme a DMARC (Domain-based Message Authentication, Reporting and Conformance) è progettato per rilevare indirizzi mittenti falsificati durante la consegna delle e-mail e prevenire attacchi di spoofing, phishing e truffe via e-mail.

È importante sapere che anche se l'SPF predefinito integrato nel tuo dominio dal tuo provider di hosting assicura che le email inviate dal tuo dominio siano autenticate contro l'SPF, se hai più fornitori di terze parti per inviare email dal tuo dominio, questo record SPF preesistente deve essere adattato e modificato per soddisfare le tue esigenze. Come potete farlo? Esploriamo due dei modi più comuni:

  • Creare un nuovo record SPF
  • Ottimizzare un record SPF esistente

Istruzioni su come ottimizzare il record SPF

Creare un nuovo record SPF

Creare un record SPF significa semplicemente pubblicare un record TXT nel DNS del vostro dominio per configurare SPF per il vostro dominio. Questo è un passo obbligatorio che viene prima di iniziare su come ottimizzare il record SPF. Se hai appena iniziato con l'autenticazione e non sei sicuro della sintassi, puoi usare il nostro generatore di record SPF online gratuito per creare un record SPF per il tuo dominio.

Un record SPF con una sintassi corretta sarà simile a questo:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Specifica la versione di SPF in uso
ip4/ip6Questo meccanismo specifica gli indirizzi IP validi che sono autorizzati a inviare e-mail dal tuo dominio.
includereQuesto meccanismo dice ai server riceventi di includere i valori del record SPF del dominio specificato.
-tuttiQuesto meccanismo specifica che le email che non sono conformi a SPF saranno rifiutate. Questo è il tag raccomandato che puoi usare quando pubblichi il tuo record SPF. Tuttavia può essere sostituito con ~ per SPF Soft Fail (le email non conformi sarebbero marcate come soft fail ma sarebbero comunque accettate) o + che specifica che ogni server sarebbe autorizzato a inviare email per conto del tuo dominio, il che è fortemente sconsigliato.

Se hai già configurato SPF per il tuo dominio, puoi anche usare il nostro SPF record checker gratuito per cercare e validare il tuo record SPF e rilevare i problemi.

Sfide ed errori comuni durante la configurazione di SPF

1) Limite di 10 ricerche DNS 

La sfida più comune affrontata dai proprietari di domini durante la configurazione e l'adozione del protocollo di autenticazione SPF per il loro dominio, è che SPF viene fornito con un limite sul numero di lookup DNS, che non può superare 10. Per i domini che si affidano a più fornitori terzi, il limite di 10 lookup DNS si supera facilmente, il che a sua volta rompe SPF e restituisce un SPF PermError. Il server ricevente in questi casi invalida automaticamente il vostro record SPF e lo blocca.

Meccanismi che avviano le ricerche DNS: MX, A, INCLUDE, modificatore REDIRECT

2) Ricerca SPF Void 

Le ricerche nulle si riferiscono alle ricerche DNS che restituiscono una risposta NOERROR o una risposta NXDOMAIN (risposta nulla). Durante l'implementazione di SPF si raccomanda di assicurarsi che le ricerche DNS non restituiscano una risposta nulla in primo luogo.

3) Ciclo ricorsivo SPF

Questo errore indica che il record SPF per il dominio specificato contiene problemi ricorsivi con uno o più meccanismi INCLUDE. Questo avviene quando uno dei domini specificati nel tag INCLUDE contiene un dominio il cui record SPF contiene il tag INCLUDE del dominio originale. Questo porta ad un ciclo infinito che porta i server di posta elettronica ad eseguire continuamente ricerche DNS per i record SPF. Questo alla fine porta a superare il limite di 10 ricerche DNS, con conseguente fallimento dell'SPF nelle email.

4) Errori di sintassi 

Un record SPF può esistere nel DNS del vostro dominio, ma è inutile se contiene errori di sintassi. Se il vostro record SPF TXT contiene spazi bianchi non necessari mentre digitate il nome del dominio o il nome del meccanismo, la stringa che precede lo spazio extra verrebbe completamente ignorata dal server ricevente mentre esegue un lookup, invalidando così il record SPF.

5) Record SPF multipli per lo stesso dominio

Un singolo dominio può avere solo una voce SPF TXT nel DNS. Se il tuo dominio contiene più di un record SPF, il server ricevente li invalida tutti, facendo fallire l'SPF alle email.

6) Lunghezza del record SPF 

La lunghezza massima di un record SPF nel DNS è limitata a 255 caratteri. Tuttavia, questo limite può essere superato e un record TXT per SPF può contenere più stringhe concatenate insieme, ma non oltre un limite di 512 caratteri, per adattarsi alla risposta della query DNS (secondo RFC 4408). Anche se questo è stato successivamente rivisto, i destinatari che si affidano a vecchie versioni del DNS non sarebbero in grado di convalidare le e-mail inviate da domini contenenti un record SPF lungo.

Ottimizzare il tuo record SPF

Per modificare prontamente il vostro record SPF potete usare le seguenti best practices SPF:

  • Prova a scrivere le tue fonti di posta elettronica in ordine decrescente di importanza da sinistra a destra nel tuo record SPF
  • Rimuovere le fonti di posta elettronica obsolete dal tuo DNS
  • Utilizzare i meccanismi IP4/IP6 invece di A e MX
  • Mantenere il numero di meccanismi INCLUDE il più basso possibile ed evitare gli include annidati
  • Non pubblicare più di un record SPF per lo stesso dominio nel tuo DNS
  • Assicurati che il tuo record SPF non contenga spazi bianchi ridondanti o errori di sintassi

Nota: l'appiattimento SPF non è raccomandato in quanto non è un affare una tantum. Se il tuo fornitore di servizi e-mail cambia la sua infrastruttura, dovrai cambiare i tuoi record SPF di conseguenza, ogni volta.

Ottimizzare il tuo record SPF è diventato facile con PowerSPF

Puoi andare avanti e cercare di implementare tutte quelle modifiche sopra menzionate per ottimizzare il tuo record SPF manualmente, oppure puoi dimenticare il fastidio e affidarti al nostro dinamico PowerSPF per fare tutto questo automaticamente! PowerSPF ti aiuta a ottimizzare il tuo record SPF con un solo clic, in cui puoi:

  • Aggiungere o rimuovere fonti di invio con facilità
  • Aggiorna facilmente i record senza dover apportare manualmente modifiche al tuo DNS
  • Ottieni un record SPF automatico ottimizzato con un solo clic di un pulsante
  • Rimanere sempre sotto il limite di 10 ricerche DNS
  • Attenuare con successo PermError
  • Dimentica gli errori di sintassi dei record SPF e i problemi di configurazione
  • Ci togliamo l'onere di risolvere le limitazioni di SPF per vostro conto

Iscriviti oggi a PowerDMARC per dire addio per sempre alle limitazioni dell'SPF!  

Il tasso con cui le email arrivano alle caselle di posta dei destinatari è chiamato tasso di deliverability delle email. Questo tasso può essere rallentato o ritardato o addirittura portare al fallimento della consegna quando le email finiscono nella cartella spam o vengono bloccate dai server di ricezione. Si tratta essenzialmente di un parametro importante per misurare il successo delle vostre e-mail che raggiungono le caselle di posta dei destinatari desiderati senza essere contrassegnate come spam. L' autenticazione e-mail è sicuramente una delle opzioni di autenticazione a cui i novizi possono ricorrere, per vedere un miglioramento sostanziale nella consegna delle e-mail nel tempo.

In questo blog siamo qui per parlarvi di come potete migliorare il vostro tasso di deliverability delle email con facilità e anche discutere le migliori pratiche del settore per garantire un flusso regolare di messaggi attraverso tutti i vostri canali email!

Cos'è l'autenticazione e-mail?

L'autenticazione e-mail è la tecnica utilizzata per convalidare l'autenticità della tua e-mail contro tutte le fonti autorizzate che sono autorizzate a inviare e-mail dal tuo dominio. Aiuta inoltre a convalidare la proprietà del dominio di qualsiasi Mail Transfer Agent (MTA) coinvolto nel trasferimento o nella modifica di un'e-mail.

Perché hai bisogno dell'autenticazione e-mail?

Il Simple Mail Transfer Protocol (SMTP), che è lo standard internet per il trasferimento delle e-mail, non contiene alcuna funzione per autenticare le e-mail in entrata e in uscita, permettendo ai criminali informatici di sfruttare la mancanza di protocolli sicuri in SMTP. Questo può essere usato dagli attori delle minacce per perpetrare truffe di phishing via e-mail, BEC e attacchi di spoofing del dominio in cui possono impersonare il vostro marchio e danneggiare la sua reputazione e credibilità. L'autenticazione e-mail migliora la sicurezza del vostro dominio contro l'impersonificazione e la frode, indicando ai server riceventi che le vostre e-mail sono conformi a DMARC e provengono da fonti valide e autentiche. Serve anche come punto di controllo per gli indirizzi IP non autorizzati e malevoli che inviano e-mail dal tuo dominio.

Per proteggere l'immagine del tuo marchio, minimizzare le minacce informatiche, BEC e garantire un miglior tasso di deliverability, l'autenticazione delle email è un must!

Migliori pratiche di autenticazione e-mail

Struttura dei criteri del mittente (SPF)

SPF è presente nel tuo DNS come un record TXT, che mostra tutte le fonti valide che sono autorizzate a inviare e-mail dal tuo dominio. Ogni email che lascia il tuo dominio ha un indirizzo IP che identifica il tuo server e il provider di servizi di posta elettronica utilizzato dal tuo dominio che è elencato all'interno del tuo DNS come un record SPF. Il server di posta del destinatario convalida l'email contro il tuo record SPF per autenticarla e di conseguenza segna l'email come SPF pass o fail.

Notate che SPF ha un limite di 10 lookup DNS, il cui superamento può restituire un risultato PermError e portare al fallimento di SPF. Questo può essere mitigato utilizzando PowerSPF per rimanere sempre sotto il limite di lookup!

Posta identificata come dominio (DKIM)

DKIM è un protocollo standard di autenticazione e-mail che assegna una firma crittografica, creata utilizzando una chiave privata, per convalidare le e-mail nel server ricevente, dove il ricevitore può recuperare la chiave pubblica dal DNS del mittente per autenticare i messaggi. Molto simile a SPF, la chiave pubblica DKIM esiste anche come record TXT nel DNS del proprietario del dominio.

Autenticazione, segnalazione e conformità dei messaggi basati sul dominio (DMARC)

La semplice implementazione di SPF e DKIM non è sufficiente, poiché non c'è modo per i proprietari dei domini di controllare come i server di ricezione rispondono alle e-mail che falliscono i controlli di autenticazione.

DMARC è lo standard di autenticazione e-mail più utilizzato al momento, che è stato progettato per dare ai proprietari di domini la possibilità di specificare ai server riceventi come devono gestire i messaggi che falliscono SPF o DKIM o entrambi. Questo a sua volta aiuta a proteggere il loro dominio da accessi non autorizzati e attacchi di spoofing delle e-mail.

Come può DMARC migliorare la consegnabilità delle e-mail?

  • Quando si pubblica un record DMARC nel DNS del proprio dominio, il proprietario del dominio richiede ai server di ricezione che supportano DMARC, di inviare un feedback sulle e-mail che ricevono per quel dominio, indicando automaticamente ai server di ricezione che il vostro dominio estende il supporto verso protocolli sicuri e standard di autenticazione per le e-mail, come DMARC, SPF e DKIM.
  • I rapporti aggregati DMARC vi aiutano a ottenere una maggiore visibilità nel vostro ecosistema di e-mail, consentendovi di visualizzare i risultati dell'autenticazione delle e-mail, rilevare i fallimenti dell'autenticazione e mitigare i problemi di consegna.
  • Applicando la vostra politica DMARC potete bloccare le email maligne che impersonano il vostro marchio dall'arrivare nelle caselle di posta dei vostri destinatari.

Ulteriori suggerimenti per migliorare la consegnabilità delle e-mail:

  • Abilita l'identificazione visiva del tuo marchio nelle caselle di posta dei tuoi destinatari con BIMI
  • Garantire la crittografia TLS delle e-mail in transito con MTA-STS
  • Rilevare e rispondere ai problemi di consegna delle e-mail abilitando un ampio meccanismo di segnalazione con TLS-RPT

PowerDMARC è un'unica piattaforma SaaS di autenticazione e-mail che combina tutte le best practice di autenticazione e-mail come DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT, sotto lo stesso tetto. Iscriviti oggi stesso a PowerDMARC e assisti a un notevole miglioramento nella consegna delle email con la nostra suite di sicurezza e autenticazione email avanzata.

Business Email Compromise o BEC è una forma di violazione della sicurezza della posta elettronica o un attacco di impersonificazione che colpisce organizzazioni commerciali, governative, non-profit, piccole imprese e startup, così come le multinazionali e le imprese per estrarre dati riservati che possono influenzare negativamente il marchio o l'organizzazione. Gli attacchi di Spear phishing, le truffe delle fatture e gli attacchi di spoofing sono tutti esempi di BEC.

I criminali informatici sono esperti intrallazzatori che intenzionalmente prendono di mira persone specifiche all'interno di un'organizzazione, specialmente quelle in posizioni autoritarie come il CEO o qualcuno simile, o anche un cliente di fiducia. L'impatto finanziario mondiale dovuto alle BEC è enorme, specialmente negli Stati Uniti, che sono emersi come l'hub principale. Leggi di più sul volume globale delle truffe BEC. La soluzione? Passare a DMARC!

Cos'è DMARC?

Domain-based Message Authentication, Reporting and Conformance (DMARC) è uno standard industriale per l'autenticazione delle e-mail. Questo meccanismo di autenticazione specifica ai server riceventi come rispondere alle email che non superano i controlli di autenticazione SPF e DKIM. DMARC può ridurre le possibilità che il vostro marchio cada in preda ad attacchi BEC di una percentuale sostanziale, e aiutare a proteggere la reputazione del vostro marchio, le informazioni riservate e le risorse finanziarie.

Nota che prima di pubblicare un record DMARC, devi implementare SPF e DKIM per il tuo dominio poiché l'autenticazione DMARC fa uso di questi due protocolli di autenticazione standard per convalidare i messaggi inviati a nome del tuo dominio.

Puoi usare il nostro generatore di record SPF e DKIM gratuito per generare i record da pubblicare nel DNS del tuo dominio.

Come ottimizzare il tuo record DMARC per proteggerti da BEC?

Al fine di proteggere il tuo dominio contro il Business Email Compromise, così come di abilitare un ampio meccanismo di reporting per monitorare i risultati di autenticazione e ottenere una visibilità completa nel tuo ecosistema di posta elettronica, ti consigliamo di pubblicare la seguente sintassi del record DMARC nel DNS del tuo dominio:

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Comprendere i tag utilizzati durante la generazione di un record DMARC:

v (obbligatorio)Questo meccanismo specifica la versione del protocollo.
p (obbligatorio)Questo meccanismo specifica la politica DMARC in uso. È possibile impostare la politica DMARC su:

p=none (DMARC al solo monitoraggio, dove le email che falliscono i controlli di autenticazione arriveranno comunque nelle caselle di posta dei destinatari). p=quarantine (DMARC all'applicazione, dove le email che falliscono i controlli di autenticazione saranno messe in quarantena o messe nella cartella dello spam).

p=reject (DMARC alla massima applicazione, in cui le email che falliscono i controlli di autenticazione saranno scartate o non consegnate affatto).

Per i novizi dell'autenticazione, si raccomanda di iniziare con la vostra politica di solo monitoraggio (p=none) e poi lentamente passare all'applicazione. Tuttavia, per lo scopo di questo blog, se volete salvaguardare il vostro dominio contro BEC, p=reject è la politica raccomandata per voi per assicurare la massima protezione.

sp (opzionale)Questo tag specifica la politica dei sottodomini che può essere impostata a sp=none/quarantine/reject richiedendo una politica per tutti i sottodomini in cui le email stanno fallendo l'autenticazione DMARC.

Questo tag è utile solo se desideri impostare una politica diversa per il tuo dominio principale e i sottodomini. Se non è specificato, la stessa politica sarà applicata di default a tutti i tuoi sottodomini.

adkim (opzionale)Questo meccanismo specifica il modo di allineamento dell'identificatore DKIM che può essere impostato su s (strict) o r (relaxed).

L'allineamento rigoroso specifica che il campo d= nella firma DKIM dell'intestazione dell'email deve allinearsi e corrispondere esattamente al dominio trovato nell'intestazione from.

Tuttavia, per l'allineamento rilassato i due domini devono condividere solo lo stesso dominio organizzativo.

aspf (opzionale) Questo meccanismo specifica il modo di allineamento dell'identificatore SPF che può essere impostato a s (rigoroso) o r (rilassato).

L'allineamento rigoroso specifica che il dominio nell'intestazione "Return-path" deve allinearsi e corrispondere esattamente al dominio trovato nell'intestazione from.

Tuttavia, per l'allineamento rilassato i due domini devono condividere solo lo stesso dominio organizzativo.

rua (opzionale ma raccomandato)Questo tag specifica i rapporti aggregati DMARC che vengono inviati all'indirizzo specificato dopo il campo mailto:, fornendo informazioni sulle e-mail che passano e non passano DMARC.
ruf (opzionale ma raccomandato)Questo tag specifica i rapporti forensi DMARC che devono essere inviati all'indirizzo specificato dopo il campo mailto:. I rapporti forensi sono rapporti a livello di messaggio che forniscono informazioni più dettagliate sui fallimenti dell'autenticazione. Dal momento che questi rapporti possono contenere contenuti di e-mail, cifrarli è la pratica migliore.
pct (opzionale)Questo tag specifica la percentuale di email a cui la politica DMARC è applicabile. Il valore predefinito è impostato a 100.
fo (opzionale ma raccomandato)Le opzioni forensi per il tuo record DMARC possono essere impostate su:

->DKIM e SPF non passano o si allineano (0)

->DKIM o SPF non passano o si allineano (1)

->DKIM non passa o si allinea (d)

->SPF non passa o si allinea (s)

La modalità raccomandata è fo=1 che specifica che i rapporti forensi devono essere generati e inviati al tuo dominio ogni volta che le email falliscono i controlli di autenticazione DKIM o SPF.

Puoi generare il tuo record DMARC con il generatore gratuito di record DMARC di PowerDMARC, dove puoi selezionare i campi in base al livello di applicazione che desideri.

Notate che solo una politica di rifiuto può minimizzare il BEC e proteggere il vostro dominio da attacchi di spoofing e phishing.

Mentre DMARC può essere uno standard efficace per proteggere il vostro business contro le BEC, implementare DMARC correttamente richiede sforzi e risorse. Che tu sia un novizio dell'autenticazione o un aficionado dell'autenticazione, come pionieri dell'autenticazione e-mail, PowerDMARC è un'unica piattaforma SaaS di autenticazione e-mail che combina tutte le best practice di autenticazione e-mail come DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT, sotto lo stesso tetto per te. Noi vi aiutiamo:

  • Passare dal monitoraggio all'applicazione in poco tempo per tenere a bada la BEC
  • I nostri rapporti aggregati sono generati sotto forma di grafici e tabelle semplificate per aiutarvi a capirli facilmente senza dover leggere complessi file XML
  • Cifriamo i vostri rapporti forensi per salvaguardare la privacy delle vostre informazioni
  • Visualizza i tuoi risultati di autenticazione in 7 formati diversi (per risultato, per fonte di invio, per organizzazione, per host, statistiche dettagliate, rapporti di geolocalizzazione, per paese) sulla nostra dashboard user-friendly per una user-experience ottimale
  • Ottenere il 100% di conformità DMARC allineando le vostre e-mail sia con SPF che con DKIM in modo che le e-mail che falliscono uno dei punti di controllo dell'autenticazione non arrivino alle caselle di posta dei vostri destinatari

Come fa DMARC a proteggere da BEC?

Non appena impostate la vostra politica DMARC sulla massima applicazione (p=reject), DMARC protegge il vostro marchio dalle frodi via e-mail riducendo la possibilità di attacchi di impersonificazione e di abuso del dominio. Tutti i messaggi in entrata sono convalidati dai controlli di autenticazione SPF e DKIM per garantire che provengano da fonti valide.

SPF è presente nel tuo DNS come un record TXT, che mostra tutte le fonti valide che sono autorizzate a inviare e-mail dal tuo dominio. Il server di posta del destinatario convalida l'email contro il tuo record SPF per autenticarla. DKIM assegna una firma crittografica, creata usando una chiave privata, per convalidare le email nel server ricevente, dove il ricevitore può recuperare la chiave pubblica dal DNS del mittente per autenticare i messaggi.

Con la vostra politica di rifiuto, le email non vengono affatto consegnate alla casella di posta del vostro destinatario quando i controlli di autenticazione falliscono, indicando che il vostro marchio viene impersonato. Questo, in definitiva, tiene a bada gli attacchi BEC come lo spoofing e il phishing.

Il piano di base di PowerDMARC per le piccole imprese

Il nostro piano di base parte da soli 8 USD al mese, quindi le piccole imprese e le startup che cercano di adottare protocolli sicuri come DMARC possono facilmente usufruirne. I vantaggi che avrete a disposizione con questo piano sono i seguenti:

  • Risparmia il 20% sul tuo piano annuale
  • Fino a 2.000.000 di email conformi a DMARC
  • Fino a 5 domini
  • 1 anno di storia dei dati
  • 2 Utenti della piattaforma
  • BIMI ospitato
  • MTA-STS ospitato
  • TLS-RPT

Iscriviti oggi stessoa PowerDMARC e proteggi il dominio del tuo marchio minimizzando le possibilità di Business Email Compromise e le frodi via e-mail!

Nel 1982, quando SMTP fu specificato per la prima volta, non conteneva alcun meccanismo per fornire sicurezza a livello di trasporto per proteggere le comunicazioni tra gli agenti di trasferimento della posta. Tuttavia, nel 1999, il comando STARTTLS è stato aggiunto a SMTP che a sua volta supportava la crittografia delle e-mail tra i server, fornendo la possibilità di convertire una connessione non sicura in una sicura che è criptata utilizzando il protocollo TLS.

Tuttavia, la crittografia è opzionale in SMTP, il che implica che le e-mail possono essere inviate anche in chiaro. Mail Transfer Agent-Strict Transport Security (MTA-STS) è uno standard relativamente nuovo che permette ai fornitori di servizi di posta la possibilità di applicare il Transport Layer Security (TLS) per proteggere le connessioni SMTP, e di specificare se i server SMTP di invio devono rifiutarsi di consegnare le email agli host MX che non offrono TLS con un certificato server affidabile. È stato dimostrato che mitiga con successo gli attacchi TLS downgrade e gli attacchi Man-In-The-Middle (MITM). Segnalazione SMTP TLS (TLS-RPT) è uno standard che permette la segnalazione di problemi di connettività TLS sperimentati dalle applicazioni che inviano e-mail e rileva le configurazioni errate. Consente la segnalazione di problemi di consegna delle e-mail che si verificano quando un'e-mail non è crittografata con TLS. Nel settembre 2018 lo standard è stato documentato per la prima volta in RFC 8460.

Perché le tue e-mail richiedono la crittografia in transito?

L'obiettivo principale è quello di migliorare la sicurezza a livello di trasporto durante la comunicazione SMTP e garantire la privacy del traffico e-mail. Inoltre, la crittografia dei messaggi in entrata e in uscita migliora la sicurezza delle informazioni, utilizzando la crittografia per salvaguardare le informazioni elettroniche. Inoltre, gli attacchi crittografici come Man-In-The-Middle (MITM) e TLS Downgrade hanno guadagnato popolarità negli ultimi tempi e sono diventati una pratica comune tra i criminali informatici, che possono essere elusi applicando la crittografia TLS ed estendendo il supporto ai protocolli sicuri.

Come viene lanciato un attacco MITM?

Dal momento che la crittografia ha dovuto essere inserita nel protocollo SMTP, l'aggiornamento per la consegna crittografata deve basarsi su un comando STARTTLS che viene inviato in chiaro. Un attaccante MITM può facilmente sfruttare questa caratteristica eseguendo un attacco di downgrade sulla connessione SMTP manomettendo il comando di aggiornamento, costringendo il client a ricadere nell'invio dell'email in chiaro.

Dopo aver intercettato la comunicazione, un attaccante MITM può facilmente rubare le informazioni decriptate e accedere al contenuto dell'e-mail. Questo perché SMTP, essendo lo standard industriale per il trasferimento della posta, utilizza la crittografia opportunistica, che implica che la crittografia è opzionale e le e-mail possono ancora essere consegnate in chiaro.

Come viene lanciato un attacco TLS Downgrade?

Poiché la crittografia ha dovuto essere inserita nel protocollo SMTP, l'aggiornamento per la consegna crittografata deve basarsi su un comando STARTTLS che viene inviato in chiaro. Un attaccante MITM può sfruttare questa caratteristica eseguendo un attacco di downgrade sulla connessione SMTP manomettendo il comando di aggiornamento. L'attaccante può semplicemente sostituire lo STARTTLS con una stringa che il client non riesce a identificare. Pertanto, il client ricade prontamente nell'invio dell'e-mail in chiaro.

In breve, un attacco di downgrade è spesso lanciato come parte di un attacco MITM, in modo da creare un percorso per abilitare un attacco che non sarebbe possibile nel caso di una connessione criptata sull'ultima versione del protocollo TLS, sostituendo o eliminando il comando STARTTLS e facendo tornare la comunicazione in chiaro.

Oltre a migliorare la sicurezza delle informazioni e mitigare gli attacchi di monitoraggio pervasivi, la crittografia dei messaggi in transito risolve anche molteplici problemi di sicurezza SMTP.

Ottenere la crittografia TLS forzata delle e-mail con MTA-STS

Se non riuscite a trasportare le vostre e-mail su una connessione sicura, i vostri dati potrebbero essere compromessi o addirittura modificati e manomessi da un cyber attaccante. Qui è dove MTA-STS interviene e risolve questo problema, consentendo un transito sicuro per le vostre e-mail e mitigando con successo gli attacchi crittografici e migliorando la sicurezza delle informazioni applicando la crittografia TLS. In poche parole, MTA-STS fa in modo che le e-mail siano trasferite su un percorso crittografato TLS, e nel caso in cui una connessione crittografata non possa essere stabilita, l'e-mail non viene consegnata affatto, invece di essere consegnata in chiaro. Inoltre, gli MTA memorizzano i file di policy MTA-STS, rendendo più difficile per gli attaccanti lanciare un attacco di spoofing DNS.

 

MTA-STS offre una protezione contro :

  • Attacchi al ribasso
  • Attacchi Man-In-The-Middle (MITM)
  • Risolve diversi problemi di sicurezza SMTP, compresi i certificati TLS scaduti e la mancanza di supporto per i protocolli sicuri.

I principali fornitori di servizi di posta come Microsoft, Oath e Google supportano MTA-STS. Google, essendo il più grande giocatore del settore, raggiunge il centro della scena quando adotta qualsiasi protocollo, e l'adozione di MTA-STS da parte di Google indica l'estensione del supporto verso protocolli sicuri e sottolinea l'importanza della crittografia delle e-mail in transito.

Risoluzione dei problemi nella consegna delle e-mail con TLS-RPT

SMTP TLS Reporting fornisce ai proprietari di domini rapporti diagnostici (in formato file JSON) con dettagli elaborati sulle e-mail che sono state inviate al tuo dominio e che stanno affrontando problemi di consegna, o che non possono essere consegnate a causa di un attacco di downgrade o altri problemi, in modo che tu possa risolvere il problema in modo proattivo. Non appena si abilita TLS-RPT, i Mail Transfer Agent acquiescenti inizieranno a inviare rapporti diagnostici riguardanti i problemi di consegna delle e-mail tra i server comunicanti al dominio e-mail designato. I rapporti vengono generalmente inviati una volta al giorno, coprendo e trasmettendo le politiche MTA-STS osservate dai mittenti, le statistiche sul traffico e le informazioni sui fallimenti o i problemi nella consegna delle e-mail.

La necessità di distribuire TLS-RPT :

  • Nel caso in cui un'email non riesca ad essere inviata al tuo destinatario a causa di qualche problema di consegna, riceverai una notifica.
  • TLS-RPT fornisce una maggiore visibilità su tutti i vostri canali e-mail in modo da ottenere una migliore comprensione di tutto ciò che sta accadendo nel vostro dominio, compresi i messaggi che non vengono consegnati.
  • TLS-RPT fornisce rapporti diagnostici approfonditi che consentono di identificare e arrivare alla radice del problema di consegna delle e-mail e risolverlo senza alcun ritardo.

L'adozione di MTA-STS e TLS-RPT resa facile e veloce da PowerDMARC

MTA-STS richiede un server web abilitato HTTPS con un certificato valido, record DNS e manutenzione costante. PowerDMARC rende la vostra vita molto più facile gestendo tutto questo per voi, completamente in background: dalla generazione dei certificati e del file di policy MTA-STS all'applicazione delle policy, vi aiutiamo ad eludere le enormi complessità che comporta l'adozione del protocollo. Una volta che vi aiutiamo a impostarlo con pochi clic, non dovrete mai più pensarci.

Con l'aiuto dei servizi di autenticazione e-mail di PowerDMARC, potete implementare Hosted MTA-STS nella vostra organizzazione senza problemi e ad un ritmo molto veloce, con l'aiuto del quale potete imporre l'invio di e-mail al vostro dominio su una connessione criptata TLS, rendendo così la vostra connessione sicura e tenendo a bada gli attacchi MITM.

PowerDMARC vi semplifica la vita rendendo il processo di implementazione del Reporting SMTP TLS (TLS-RPT) facile e veloce, a portata di mano! Non appena ti iscrivi a PowerDMARC e abiliti il Reporting SMTP TLS per il tuo dominio, ci prendiamo la briga di convertire i complicati file JSON contenenti i tuoi rapporti sui problemi di consegna delle e-mail, in documenti semplici e leggibili (per risultato e per fonte di invio), che puoi esaminare e comprendere con facilità! La piattaforma di PowerDMARC rileva automaticamente e successivamente trasmette i problemi che state affrontando nella consegna delle e-mail, in modo che possiate affrontarli e risolverli prontamente in pochissimo tempo!

Iscriviti per avere il tuo DMARC gratuito oggi stesso!

Se siete qui a leggere questo blog, è probabile che vi siate imbattuti in una delle tre richieste comuni:

  • Nessun record DMARC 
  • Nessun record DMARC trovato 
  • Manca il record DMARC
  • Record DMARC non trovato 
  • Nessun record DMARC pubblicato 
  • Politica DMARC non abilitata
  • Impossibile trovare il record DMARC

In entrambi i casi, questo implica solo che il vostro dominio non è configurato con il più acclamato e popolare standard di autenticazione e-mail - Domain-based Message Authentication, Reporting, and Conformance o DMARC. Diamo un'occhiata a ciò che è:

Cos'è DMARC e perché hai bisogno dell'autenticazione delle email per il tuo dominio?

Per sapere come risolvere il problema "Nessun record DMARC trovato", impariamo cos'è DMARC. DMARC è lo standard di autenticazione e-mail più utilizzato al momento, che è stato progettato per dare ai proprietari di domini la possibilità di specificare ai server riceventi come devono gestire i messaggi che falliscono i controlli di autenticazione. Questo a sua volta aiuta a proteggere il loro dominio da accessi non autorizzati e attacchi di spoofing delle e-mail. DMARC utilizza protocolli di autenticazione standard popolari per convalidare i messaggi in entrata e in uscita dal tuo dominio.

Proteggi il tuo business dagli attacchi di impersonificazione e dallo spoofing con DMARC

Sapevi che l'email è il modo più semplice con cui i criminali informatici possono abusare del tuo marchio?

Usando il tuo dominio e impersonando il tuo marchio, gli hacker possono inviare email di phishing dannose ai tuoi dipendenti e clienti. Poiché SMTP non è dotato di protocolli sicuri contro i falsi campi "Da", un attaccante può falsificare le intestazioni delle email per inviare email fraudolente dal tuo dominio. Non solo questo comprometterà la sicurezza della tua organizzazione, ma danneggerà seriamente la reputazione del tuo marchio.

Lo spoofing delle e-mail può portare a BEC (Business Email Compromise), alla perdita di preziose informazioni aziendali, all'accesso non autorizzato a dati riservati, a perdite finanziarie e a un cattivo riflesso sull'immagine del vostro marchio. Anche dopo aver implementato SPF e DKIM per il tuo dominio, non puoi impedire ai criminali informatici di impersonare il tuo dominio. Questo è il motivo per cui hai bisogno di un protocollo di autenticazione e-mail come DMARC, che autentica le e-mail utilizzando entrambi i protocolli menzionati e specifica ai server di ricezione dei tuoi clienti, dipendenti e partner come rispondere se una e-mail proviene da una fonte non autorizzata e fallisce i controlli di autenticazione. Questo vi dà la massima protezione contro gli attacchi di dominio esatto e vi aiuta ad avere il controllo completo del dominio della vostra azienda.

Inoltre, con l'aiuto di uno standard di autenticazione e-mail efficace come DMARC, è possibile migliorare il tasso di consegna delle e-mail, la portata e la fiducia.

 


Aggiungere il record DMARC mancante per il tuo dominio

Può essere fastidioso e confuso imbattersi in messaggi che dicono "Hostname returned a missing or invalid DMARC record" quando si controlla il record DMARC di un dominio mentre si usano strumenti online.

Per risolvere il problema "Nessun record DMARC trovato" per il tuo dominio tutto quello che devi fare è aggiungere un record DMARC per il tuo dominio. Aggiungere un record DMARC è essenzialmente la pubblicazione di un record di testo (TXT) nel DNS del vostro dominio, nel _dmarc.example.com in conformità con le specifiche DMARC. Un record DMARC TXT nel vostro DNS può assomigliare a questo:

v=DMARC1; p=nessuno; rua=mailto:[email protected]

E voilà! Hai risolto con successo la richiesta di "Nessun record DMARC trovato" perché il tuo dominio è ora configurato con l'autenticazione DMARC e contiene un record DMARC.

Ma questo è sufficiente? La risposta è no. La semplice aggiunta di un record DMARC TXT al vostro DNS può risolvere il prompt DMARC mancante, ma semplicemente non è sufficiente per mitigare gli attacchi di impersonificazione e lo spoofing.

Implementare DMARC nel modo giusto con PowerDMARC

PowerDMARC aiuta la vostra organizzazione a raggiungere il 100% di conformità DMARC allineando gli standard di autenticazione e aiutandovi a passare dal monitoraggio all'applicazione in pochissimo tempo, risolvendo la richiesta di "nessun record DMARC trovato" in pochissimo tempo! Inoltre, il nostro dashboard interattivo e facile da usare genera automaticamente:

  • Rapporti aggregati (RUA) per tutti i tuoi domini registrati, che sono semplificati e convertiti in tabelle e grafici leggibili dal complesso formato di file XML per la tua comprensione.
  • Rapporti forensi (RUF) con crittografia

Per mitigare "nessun record DMARC trovato", tutto quello che dovete fare è:

  • Genera il tuo record DMARC gratuito con PowerDMARC e seleziona la tua politica DMARC desiderata con facilità.

La politica DMARC può essere impostata su :

  • p=none (DMARC è impostato solo sul monitoraggio, dove le email che falliscono l'autenticazione saranno ancora consegnate alle caselle di posta dei tuoi destinatari, tuttavia, riceverai rapporti aggregati che ti informano sui risultati dell'autenticazione)
  • p=quarantena (DMARC è impostato a livello di applicazione, per cui le email che falliscono l'autenticazione saranno consegnate alla casella di spam invece che alla casella di posta del tuo destinatario)
  • p=reject (DMARC è impostato al livello massimo di applicazione, per cui le email che falliscono l'autenticazione verrebbero cancellate o non consegnate affatto)

Perché PowerDMARC?

PowerDMARC è un'unica piattaforma SaaS di autenticazione email che combina tutte le best practice di autenticazione email come DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT, sotto lo stesso tetto. Forniamo una visibilità ottimale sul vostro ecosistema e-mail con l'aiuto dei nostri rapporti aggregati dettagliati e vi aiutiamo ad aggiornare automaticamente le modifiche alla vostra dashboard senza che dobbiate aggiornare manualmente i vostri DNS.

Adattiamo le soluzioni al vostro dominio e gestiamo tutto per voi completamente in background, dalla configurazione all'installazione e al monitoraggio. Vi aiutiamo a implementare correttamente DMARC per tenere a bada gli attacchi di impersonificazione!

Quindi iscriviti a PowerDMARC per configurare correttamente DMARC per il tuo dominio oggi stesso!

Domain-based Message Authentication, Reporting and Conformance è il protocollo di autenticazione e-mail più acclamato negli ultimi tempi, che può aiutare le piccole imprese, così come le imprese multinazionali, a mitigare gli attacchi di impersonificazione, spoofing e-mail e BEC. DMARC fa uso di due dei protocolli standard esistenti nell'arena dell'autenticazione e-mail, cioè SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Le soluzioni DMARC possono aiutare a convalidare ogni e-mail in entrata e in uscita per l'autenticità e mitigare gli attacchi basati sulle e-mail e le violazioni della sicurezza.

Quando si seleziona la migliore soluzione software DMARC per il vostro business, è necessario cercare alcune caratteristiche di base che la soluzione deve includere! Discutiamo quali sono:

Un cruscotto facile da usare

Una dashboard facile da usare che vi offra una visibilità completa del vostro ecosistema e-mail e che mostri efficacemente i rapporti sulle e-mail che passano e non passano l'autenticazione DMARC dal vostro dominio in un formato leggibile e comprensibile è imperativo. Questo è uno dei punti chiave a cui dovete prestare attenzione quando scegliete la migliore soluzione software DMARC per la vostra azienda.

Rapporti dettagliati aggregati e forensi

È indispensabile che la vostra soluzione DMARC abbia un ampio meccanismo di reporting. I rapporti aggregati e forensi sono entrambi imperativi per monitorare le minacce e configurare i protocolli di autenticazione.

I rapporti aggregati DMARC dettagliati sono generati in un formato di file XML. Per una persona non tecnica, questi record possono apparire indecifrabili. La migliore soluzione software DMARC per la vostra organizzazione convertirà questi incomprensibili rapporti aggregati da complessi file XML in informazioni facilmente comprensibili che vi permetteranno di analizzare i vostri risultati e fare i cambiamenti necessari

Per le PMI come per le multinazionali, i rapporti Forensic forniscono una visione preziosa del vostro ecosistema e-mail, che vengono generati ogni volta che un'e-mail inviata dal vostro dominio non supera il DMARC. Essi dispensano informazioni dettagliate sulle singole e-mail che non hanno superato l'autenticazione per rilevare i tentativi di spoofing e risolvere i problemi di consegna delle e-mail a un ritmo rapido.

Rapporti forensi DMARC Crittografia

I rapporti DMARC Forensic contengono dati su ogni singola email che ha fallito DMARC. Questo implica che potrebbero potenzialmente includere informazioni riservate che erano presenti in quelle e-mail. Questo è il motivo per cui quando si seleziona la migliore soluzione software DMARC per la vostra azienda, si dovrebbe scegliere un fornitore di servizi che valorizza la vostra privacy, e vi permette di crittografare i rapporti forensi in modo che solo gli utenti autorizzati abbiano accesso ad essi.

Allineamento SPF e DKIM

Anche se la conformità DMARC può essere raggiunta con l'allineamento SPF o DKIM, è preferibile allineare le vostre email contro entrambi gli standard di autenticazione. A meno che le vostre email siano allineate e autenticate contro entrambi i protocolli di autenticazione SPF e DKIM e si affidino solo a SPF per la convalida, c'è una possibilità che email legittime possano ancora fallire l'autenticazione DMARC (come nel caso di messaggi inoltrati). Questo perché l'indirizzo IP del server intermediario potrebbe non essere incluso nel record SPF del vostro dominio, fallendo così SPF.

Tuttavia, a meno che il corpo della posta non venga alterato durante l'inoltro, la firma DKIM viene mantenuta dall'email, che può essere utilizzata per convalidare la sua autenticità. La migliore soluzione software DMARC per la tua azienda farà in modo che tutti i tuoi messaggi in entrata e in uscita siano allineati sia con SPF che DKIM.

Stare sotto il limite dei 10 DNS Lookup

I record SPF hanno un limite di 10 ricerche DNS. Se la vostra organizzazione ha una vasta base di operazioni o vi affidate a fornitori terzi per inviare e-mail per vostro conto, il vostro record SPF potrebbe facilmente superare il limite e colpire il permerrore. Questo invalida la vostra implementazione SPF, e fa sì che le vostre email falliscano inevitabilmente l'SPF. Questo è il motivo per cui dovreste cercare una soluzione che vi aiuti a ottimizzare istantaneamente il vostro record SPF per rimanere sempre sotto il limite di 10 lookup DNS per mitigare il permerrore SPF!

Una procedura guidata di installazione interattiva ed efficiente

quando si sceglie la migliore soluzione software DMARC per la propria organizzazione, non bisogna dimenticare il processo di configurazione. Un wizard di configurazione interattivo ed efficiente che sia progettato con semplicità e facilità d'uso in mente, che vi porti attraverso il processo di inserimento del vostro nome di dominio all'impostazione della vostra politica DMARC alla generazione del vostro record DMARC in modo sincronizzato e metodico, è la necessità del momento! Vi aiuterà a sistemarvi senza problemi e a capire tutte le impostazioni e le funzionalità del vostro dashboard nel minor tempo possibile.

Programmazione di rapporti PDF esecutivi

Con una soluzione DMARC efficace per la vostra organizzazione, potete convertire i vostri rapporti DMARC in comodi documenti PDF facilmente leggibili che possono essere condivisi con tutto il vostro team. A seconda delle vostre esigenze, potete farli programmare per essere inviati alla vostra email regolarmente o semplicemente generarli su richiesta.

 

Record BIMI ospitato

I Brand Indicators for Message Identification o BIMI, permettono ai destinatari delle vostre email di identificare visivamente il logo unico del vostro marchio nelle loro caselle di posta, e di essere sicuri che l'email proviene da una fonte autentica. Un fornitore di servizi efficiente può collegarvi all'implementazione di BIMI insieme ai protocolli di autenticazione standard come DMARC, SPF e DKIM, migliorando così il richiamo del vostro marchio e sostenendo la reputazione e l'integrità del vostro marchio.

Sicurezza e configurazione della piattaforma

Una soluzione DMARC efficace renderà il vostro lavoro facile rilevando tutti i vostri sottodomini automaticamente, oltre a fornire l'autenticazione a due fattori per consentire la sicurezza assoluta della vostra piattaforma di autenticazione.

Informazioni sulle minacce

Per una maggiore visibilità e comprensione, ciò di cui avete bisogno è un motore di Threat Intelligence (TI) guidato dall'intelligenza artificiale che sradica attivamente gli indirizzi IP sospetti, controllandoli con una lista nera aggiornata e in tempo reale degli abusi noti in modo da poterli eliminare. Questo vi corazzerà contro le attività dannose e le ripetute occorrenze di abusi di dominio in futuro.

Un team di supporto proattivo

Quando si implementa DMARC nella vostra organizzazione e si generano rapporti aggregati, ciò di cui avete bisogno è un team di supporto proattivo, disponibile 24 ore su 24 per aiutarvi a mitigare i problemi di configurazione anche dopo l'onboarding, per tutto il tempo in cui vi avvalete dei loro servizi.

Strumento di analisi PowerDMARC

Il nostro DMARC Analyzer Tool è abbastanza efficace da accompagnarvi attraverso l'intero processo di implementazione e aiutarvi a passare dal monitoraggio all'applicazione DMARC e al 100% di conformità DMARC nel minor tempo possibile. La nostra soluzione software DMARC avanzata vi aiuterà a configurare il vostro dominio, la politica DMARC e i rapporti aggregati e vi aiuterà a ottenere una visibilità completa del vostro ecosistema di posta elettronica al più presto. Dalla generazione di record BIMI in hosting al reporting forense con crittografia, PowerDMARC è la vostra destinazione unica per l'ultima suite di sicurezza e-mail.

Quando si sceglie una soluzione DMARC per la propria organizzazione, è importante affidarsi a un fornitore di servizi che offre una tecnologia di prima qualità a prezzi ragionevoli. Iscriviti per avere la tua prova gratuita di DMARC oggi stesso con PowerDMARC!