Capire SPF, DKIM e DMARC: una guida completa

Blog

Proteggete le vostre comunicazioni e-mail con SPF, DKIM e DMARC. Proteggetevi dallo spoofing delle e-mail e garantite interazioni sicure e affidabili. Iniziate oggi stesso!

di Ahona Rudra

Tempo di lettura: 9 min
Capire SPF, DKIM e DMARC: una guida completa
Indice dei contenuti-

Cosa sono SPF, DKIM e DMARC?

SPF, DKIM e DMARC sono i tre principali protocolli di autenticazione delle e-mail. Insieme, SPF, DMARC e DKIM impediscono alle fonti non autorizzate di utilizzare il vostro dominio per inviare e-mail fraudolente a potenziali clienti, dipendenti, fornitori terzi, stakeholder, ecc. SPF e DKIM aiutano a dimostrare la legittimità dell'e-mail, mentre DMARC istruisce il server e-mail del destinatario su come comportarsi con le e-mail che non superano i controlli di autenticazione.

  • Sender Policy Framework (SPF): Verifica l'indirizzo IP del mittente per garantire che sia autorizzato a inviare e-mail per conto del vostro dominio.
  • DomainKeys Identified Mail (DKIM): Aggiunge una firma digitale alle e-mail, verificando l'identità del mittente e impedendo la manomissione dei messaggi.
  • Domain-based Message Authentication, Reporting, and Conformance (DMARC): Fornisce un quadro di riferimento per l'applicazione dei controlli SPF e DKIM e la generazione di rapporti sui risultati dell'autenticazione delle e-mail.

I punti chiave da prendere in considerazione

  1. SPF, DKIM e DMARC sono protocolli essenziali che lavorano insieme per migliorare la sicurezza delle e-mail e prevenire l'uso non autorizzato del vostro dominio.
  2. L'autenticazione delle e-mail è fondamentale per proteggere dal phishing e dallo spoofing, che rappresentano una percentuale significativa dei cyberattacchi.
  3. L'implementazione di questi protocolli può portare a una netta diminuzione dei tentativi di spoofing, migliorando la sicurezza complessiva del vostro dominio.
  4. Il mantenimento e l'aggiornamento regolare delle impostazioni SPF, DKIM e DMARC garantiscono l'efficacia della protezione delle comunicazioni e-mail.
  5. Tecniche avanzate come MTA-STS e BIMI possono rafforzare ulteriormente la vostra strategia di autenticazione delle e-mail, migliorando la sicurezza e la visibilità del marchio.


Capire l'autenticazione delle e-mail

Autenticazione delle e-mail è il processo di verifica della legittimità delle fonti di posta elettronica. Si tratta di una misura di sicurezza essenziale adottata dalle organizzazioni per garantire che solo i mittenti legittimi possano inviare e-mail a nome del loro dominio. SPF, DKIM e DMARC costituiscono i pilastri dell'autenticazione delle e-mail, verificando le fonti di invio e il contenuto delle e-mail e definendo le modalità di risposta ai messaggi che non superano l'autenticazione.

Il rapporto DBIR di Verizon indica che il 94% di tutti i cyberattacchi inizia con un'e-mail! Ciò evidenzia ulteriormente la crescente minaccia dello spoofing e la sua natura prolifica. 

Perché l'autenticazione delle e-mail è importante

L'autenticazione delle e-mail è la prima linea di difesa contro lo spoofing delle e-mail. Lo spoofing delle e-mail è il processo di contraffazione di nomi di dominio e indirizzi e-mail con intento malevolo. Le email spoofate vengono inviate da aggressori che si spacciano per aziende legittime per frodare vittime ignare. Verificando la legittimità delle fonti di invio, l'autenticazione impedisce la consegna delle e-mail contraffatte. I clienti hanno registrato una diminuzione di oltre il 90% dei tentativi di spoofing dal proprio dominio dopo l'implementazione dei protocolli di autenticazione delle e-mail. 

Il ruolo di SPF, DKIM e DMARC

L'autenticazione delle e-mail è importante per proteggere il vostro marchio da attacchi informatici basati sulle e-mail e tentati con tecniche di phishing e impersonificazione. L'autenticazione delle e-mail si basa principalmente sui protocolli SPF, DKIM e DMARC, oltre a protocolli aggiuntivi come MTA-STS, BIMI e ARC che possono migliorare ulteriormente la vostra sicurezza! Ecco perché è necessario implementarli:

  • Assicurano che il vostro nome di dominio non possa essere contraffatto e utilizzato in modo improprio.
  • Vi aiutano a prevenire attacchi di phishing, spamming, ransomware, ecc. pianificati e tentati a nome della vostra azienda.
  • Migliorano il tasso di recapito delle e-mail del vostro dominio. Un basso tasso di recapitabilità delle e-mail influisce sulla comunicazione interna, sul marketing e sulle campagne di PR, il tasso di fidelizzazione dei clientiecc.

Semplificate l'autenticazione delle e-mail con PowerDMARC!

Prova di 15 giorniPrenota una demo

Dove è possibile eseguire un controllo SPF, DKIM e DMARC?

I controlli SPF, DKIM e DMARC possono essere effettuati verificando che i record siano memorizzati nel Domain Name System o DNS. Il DNS è comunemente definito come la rubrica telefonica di Internet che converte i nomi di dominio nei corrispondenti indirizzi IP. Il DNS è utilizzato come database per memorizzare le informazioni del dominio sotto forma di record DNS. 

Un controllo SPF, DKIM e DMARC viene utilizzato per esaminare i record DNS esistenti che è possibile pubblicare e memorizzare nel proprio DNS. Durante i controlli di autenticazione delle e-mail, gli MTA riceventi interrogano il vostro DNS per cercare questi record e agire in base alle istruzioni o alle informazioni in essi definite. Potete utilizzare il checker gratuito dei record SPF, DKIM e DMARC di PowerDMARC per verificare immediatamente se il vostro DNS contiene questi record!

Come impostare SPF, DKIM e DMARC?

Seguite queste istruzioni per impostare SPF, DKIM e DMARC per proteggere il vostro dominio e le vostre e-mail.

  1. Creare un record DNS SPF.
  2. Creare la chiave pubblica DKIM.
  3. Creare il proprio criterio DMARC registrare e abilitare la reportistica DMARC
  4. Impostare una casella di posta elettronica dedicata per ricevere i rapporti DMARC o utilizzare una piattaforma di analisi dei rapporti DMARC.
  5. Pubblicare i record SPF, DKIM e DMARC nel DNS.

SPF: verifica dei mittenti delle e-mail

Il Sender Policy Framework o SPF è un protocollo di autenticazione delle e-mail in cui i proprietari dei domini elencano tutti i server autorizzati a inviare e-mail utilizzando il loro dominio. Ciò avviene tramite la creazione di un record TXT SPF che viene pubblicato sul DNS. Se un IP di invio non è presente nell'elenco, l'autenticazione fallisce e l'e-mail può essere contrassegnata come spam o sospetta. Tuttavia, SPF ha alcune limitazioni: si interrompe quando un messaggio viene inoltrato o viene superato il limite di 10 ricerche DNS.

Se si dispone già di un record SPF, è possibile utilizzare il nostro Controllo del record SPF per assicurarsi che sia privo di errori.

Impostazione dell'SPF 

  1. Identificare tutte le fonti di invio delle e-mail (compresi i fornitori di terze parti).
  2. Creare un record SPF utilizzando un generatore SPF gratuito. Il record deve autorizzare tutte le fonti di invio.
  3. Copiare la sintassi del record.
  4. Accedere alla console di gestione DNS.
  5. .incollare il record nella sezione dei record DNS sotto il tipo di risorsa "TXT".

Attendere qualche ora per l'implementazione delle modifiche. Una volta fatto, è possibile utilizzare il nostro ricerca del record SPF strumento per garantire un record privo di errori.

Sfide comuni con la SPF

Quando si apprendono le sfide di SPF, DKIM e DMARC, vale la pena di notare che ci sono alcune sfide comuni che i proprietari di domini devono affrontare in particolare con l'implementazione di SPF. Esse sono le seguenti: 

  • Il superamento del limite di ricerca DNS di 10 interruzioni di SPF
  • Il superamento del limite di 2 ricerche nulle può interrompere l'SPF.
  • I record SPF hanno un limite di lunghezza di 255 caratteri 
  • SPF non riesce a inoltrare i messaggi 

Per risolvere questi errori, i record SPF devono essere ottimizzati con Macro per rimanere al di sotto dei limiti definiti. La combinazione di SPF con DKIM e DMARC garantisce inoltre un'autenticazione e una deliverability più fluide.

DKIM: proteggere il contenuto delle e-mail

La posta identificata con i dati di dominio (DomainKeys Identified Mail) o DKIM consente ai proprietari di domini di firmare automaticamente le e-mail inviate dal proprio dominio. Il DKIM funziona in modo simile a come si firmano gli assegni bancari per convalidarne l'autenticità. Le firme DKIM garantiscono che il contenuto delle e-mail rimanga sicuro e inalterato durante il processo di consegna.

Si procede memorizzando una chiave pubblica in un record DNS DKIM. Il server di posta elettronica ricevente può accedere a questo record per ottenere la chiave pubblica. D'altra parte, esiste una chiave privata conservata segretamente dal mittente, che firma con essa l'intestazione dell'e-mail. I server di posta elettronica riceventi verificano la chiave privata del mittente confrontandola con la chiave pubblica facilmente accessibile.

Impostazione di DKIM 

  1. È possibile impostare facilmente il DKIM generando un record DKIM utilizzando il generatore gratuito di record DKIM di PowerDMARC. generatore di record DKIM.
  2. Inserite il vostro nome di dominio nella casella degli strumenti e fate clic sul pulsante Genera record DKIM e fare clic sul pulsante Genera record DKIM.
  3. Si otterrà una coppia di chiavi DKIM private e pubbliche. 
  4. Pubblicate la chiave pubblica sul DNS del vostro dominio.
  5. Configurate il vostro server di posta per utilizzare la chiave privata DKIM per firmare le intestazioni di tutte le e-mail in uscita. Questo processo di firma aggiunge una firma DKIM a ogni e-mail, che i server di posta dei destinatari verificheranno utilizzando la corrispondente chiave pubblica DKIM pubblicata nel vostro DNS. Assicuratevi di tenere al sicuro la vostra chiave privata e di non pubblicarla pubblicamente o divulgarla. 

Infine, verificare la propria chiave pubblica DKIM utilizzando una strumento di ricerca DKIM per assicurarsi che sia corretta.

Vantaggi del DKIM

Se si considera l'aggiunta dell'autenticazione SPF, DKIM e DMARC, DKIM ha diversi vantaggi nell'autenticazione delle e-mail, tra cui:

  • DKIM autentica correttamente i messaggi inoltrati nella maggior parte dei casi. 
  • DKIM impedisce ai cyber-attaccanti di alterare il contenuto delle e-mail.
  • DKIM consente a ciascun dominio di gestire le proprie coppie di chiavi pubblico-privato in modo indipendente, offrendo alle organizzazioni un controllo più granulare sulla sicurezza delle e-mail.

DMARC: prevenzione del phishing e dello spoofing via e-mail

Autenticazione, segnalazione e conformità dei messaggi basata sul dominio o DMARC istruisce il server del destinatario su cosa fare con le e-mail che non soddisfano i requisiti SPF, DKIM o entrambi. L'azione intrapresa dal destinatario dipende dalla politica DMARC configurata dal mittente: nessuna, quarantena o rifiuto.

I criteri DMARC sono impostati in un record DMARC che contiene anche le istruzioni per l'invio di rapporti agli amministratori del dominio su tutte le e-mail che superano o meno i controlli di convalida. Se avete già implementato un criterio criteri DMARCutilizzate il nostro strumento gratuito di strumento di ricerca del record DMARC per verificare se è corretto.

Impostazione di DMARC

  1. È possibile creare il proprio record DMARC utilizzando un generatore gratuito di generatore DMARC.
  2. Scegliere la politica DMARC (ad esempio p=quarantena) e abilitare la segnalazione DMARC definendo un indirizzo e-mail nel tag "rua" (ad esempio rua=mailto:[email protected]).
  3. Cliccare su Generare.
  4. Copiare il record TXT negli appunti e incollarlo sul DNS per attivare il protocollo.

Verificate la vostra implementazione DMARC utilizzando un DMARC checker per convalidare le configurazioni.

Generatore di record DMARC

Politiche e azioni di applicazione del DMARC

Esistono 3 tipi di criteri DMARC che i proprietari dei domini possono configurare per intervenire contro le e-mail non autenticate. Essi sono i seguenti: 

  1. Nessuno: Indicato con p=none, il criterio none è un criterio di non azione che distribuisce messaggi non autenticati senza intraprendere alcuna azione contro di essi. È la soluzione migliore per i principianti.
  2. Quarantena: Indicato con p=quarantena, il criterio di quarantena è un criterio DMARC applicato che mette in quarantena le e-mail non autenticate.
  3. Rifiuto: Indicato con p=reject, il criterio reject è un criterio di applicazione massima del DMARC che rifiuta i messaggi non autenticati.

Il vostro criteri DMARC svolgono un ruolo importante nella prevenzione delle minacce basate sulle e-mail. Con l'applicazione delle policy, i proprietari dei domini sono più protetti dagli attacchi di spoofing e phishing.

Tecniche avanzate di autenticazione e-mail

L'autenticazione delle e-mail non si esaurisce con SPF, DKIM e DMARC. Per migliorare ulteriormente la sicurezza del dominio e delle e-mail, è possibile implementare tecniche di autenticazione avanzate. Vediamo alcune di esse: 

MTA-STS, BIMI e ARC

Il protocollo MTA-STS per l'autenticazione garantisce la consegna criptata TLS dei messaggi e-mail alla casella di posta. Previene gli attacchi man-the-middle e di spoofing DNS, negoziando una connessione SMTP crittografata tra i server e-mail comunicanti. 

BIMI, o Brand Indicators for Message Identification, aiuta le aziende ad applicare il logo del proprio marchio alle e-mail. Agisce come verifica e autenticazione visiva, migliorando il ricordo e la credibilità del marchio. 

ARC(Authenticated Received Chain) crea un meccanismo di ripiego durante l'inoltro delle e-mail, aiutando a preservare le intestazioni di autenticazione SPF e DKIM originali. In questo modo si evitano inutili errori di autenticazione per i messaggi inoltrati. 

Quando applicare queste tecniche?

Una volta che si è sicuri della propria impostazione del DMARCè possibile implementare queste tecniche nella fase 2 del percorso di autenticazione delle e-mail.

Queste configurazioni avanzate sono ideali per tutte le organizzazioni che desiderano stabilire la credibilità del proprio marchio e migliorare ulteriormente la propria reputazione e-mail. Contribuiscono a fornire una sicurezza aggiuntiva rispetto a una configurazione di autenticazione di base, che vi consente di essere meglio equipaggiati per combattere gli attacchi informatici più sofisticati. 

Implementazione e manutenzione dell'impostazione dell'autenticazione e-mail

Una volta implementati i protocolli SPF, DKIM e DMARC, è ora il momento di monitorarli e mantenerli per garantire che tutto funzioni correttamente. Ecco alcuni modi per mantenere la vostra configurazione di autenticazione: 

Utilizzo degli strumenti di monitoraggio

Monitoraggio DMARC sono piattaforme basate sull'intelligenza artificiale e basate sul cloud che consentono un monitoraggio semplice e immediato delle implementazioni di autenticazione delle e-mail da un'unica interfaccia.

Analisi dei rapporti DMARC

L'analisi dei rapporti DMARC può fornire numerose informazioni sui risultati dell'autenticazione delle e-mail e sulle fonti di invio del vostro dominio. Questo può aiutare a rilevare le incongruenze e a prevenire i tentativi di spoofing. 

Aggiornamenti e manutenzione regolari

È importante controllare regolarmente le tecniche SPF, DKIM, DMARC e di autenticazione avanzata per assicurarsi che funzionino correttamente. L'SPF può richiedere aggiornamenti periodici per includere nuove fonti di invio, le chiavi DKIM devono essere ruotate frequentemente per migliorare la sicurezza e le politiche DMARC devono essere applicate per prevenire gli attacchi informatici. In assenza di aggiornamenti o di un'adeguata manutenzione, le vostre implementazioni potrebbero essere rese inefficaci. 

Avvicinarsi alla fine

Una volta impostati questi protocolli di sicurezza per il vostro dominio, dovete iniziare a monitorare i rapporti per notare attività sospette. Configurando e gestendo correttamente questi protocolli, è possibile migliorare significativamente la sicurezza e la deliverability del dominio. 

Ricordate che l'insieme di questi protocolli di autenticazione può ridurre il rischio di phishing, ma non protegge da tutti i crimini informatici basati sulle e-mail. Per questo motivo, è importante che siano seguiti da un'opera di educazione e sensibilizzazione dei dipendenti.

Domande comuni su SPF, DKIM e DMARC

Posso creare DMARC senza SPF e DKIM?

La risposta è no. Per impostare il DMARC, è necessario implementare prima SPF o DKIM. Senza SPF o DKIM, la configurazione DMARC non funziona.

Il DMARC richiede sia SPF che DKIM? 

Il DMARC non richiede sia SPF che DKIM. È possibile impostare uno dei due protocolli prima di impostare DMARC. Tuttavia, si consiglia di implementarli entrambi per una maggiore sicurezza.

Gmail utilizza SPF o DKIM?

Sì. Le linee guida aggiornate per i mittenti di Gmail richiedono che tutti i mittenti implementino SPF o DKIM per inviare correttamente le e-mail alle caselle di posta Gmail.

Un dominio può avere 2 record DKIM?

Un dominio può avere 2 o più record DKIM con selettori diversi, in modo che i server riceventi possano individuare facilmente il record DKIM giusto durante l'autenticazione.

Come faccio a sapere se i protocolli sono abilitati?

Per sapere se i protocolli di autenticazione sono abilitati per il vostro dominio, potete utilizzare i nostri strumenti di controllo dei record DNS in Powertoolbox, oppure analizzare le intestazioni delle vostre e-mail.

Ultimi messaggi di Ahona Rudra (vedi tutti)
I principali rischi per la sicurezza del computer e come rimanere al sicurorischi per la sicurezza informaticaChe cos'è la sicurezza della difesa in profondità?Che cos'è la sicurezza "Defense in Depth"?