SPF, DKIM e DMARC sono protocolli essenziali di autenticazione delle e-mail progettati per proteggere il vostro dominio e migliorare la deliverability delle e-mail. Questi protocolli lavorano insieme per verificare l'identità del mittente e prevenire lo spoofing delle e-mail, un crimine informatico comune in cui attori malintenzionati impersonano mittenti legittimi per indurre i destinatari a cliccare su link dannosi o ad aprire allegati.
- Sender Policy Framework (SPF): Verifica l'indirizzo IP del mittente per garantire che sia autorizzato a inviare e-mail per conto del vostro dominio.
- DomainKeys Identified Mail (DKIM): Aggiunge una firma digitale alle e-mail, verificando l'identità del mittente e impedendo la manomissione dei messaggi.
- Domain-based Message Authentication, Reporting, and Conformance (DMARC): Fornisce un quadro di riferimento per l'applicazione dei controlli SPF e DKIM e la generazione di rapporti sui risultati dell'autenticazione delle e-mail.
Approfondiamo la conoscenza di SPF, DKIM e DMARC, gli elementi fondamentali dell'autenticazione delle e-mail.
Capire l'autenticazione delle e-mail
Autenticazione delle e-mail è il processo di verifica della legittimità delle fonti di posta elettronica. Si tratta di una misura di sicurezza essenziale adottata dalle organizzazioni per garantire che solo i mittenti legittimi possano inviare e-mail a nome del loro dominio. SPF, DKIM e DMARC costituiscono i pilastri dell'autenticazione delle e-mail, verificando le fonti di invio e il contenuto delle e-mail e definendo le modalità di risposta ai messaggi che non superano l'autenticazione.
La crescente minaccia dello spoofing delle e-mail
Lo spoofing delle e-mail è il processo di contraffazione di nomi di dominio e indirizzi e-mail con intento malevolo. Le e-mail spoofate vengono inviate da aggressori che si spacciano per aziende legittime per frodare vittime ignare. Il rapporto DBIR di Verizon indica che il 94% di tutti i cyberattacchi inizia con un'e-mail! Ciò evidenzia ulteriormente la crescente minaccia dello spoofing e la sua natura prolifica.
Perché l'autenticazione delle e-mail è importante
L'autenticazione delle e-mail è la prima linea di difesa contro lo spoofing delle e-mail. Verificando la legittimità delle fonti di invio, l'autenticazione impedisce la consegna di e-mail contraffatte. I clienti hanno registrato una diminuzione di oltre il 90% dei tentativi di spoofing dal proprio dominio dopo l'implementazione dei protocolli di autenticazione delle e-mail.
Cosa sono SPF, DKIM e DMARC?
SPF, DKIM e DMARC sono protocolli di autenticazione delle e-mail. Insieme SPF, DMARC e DKIM impediscono a fonti non autorizzate di utilizzare il vostro dominio per inviare e-mail fraudolente a potenziali clienti, dipendenti, fornitori terzi, stakeholder, ecc. SPF e DKIM aiutano a dimostrare la legittimità dell'e-mail, mentre DMARC indica al server e-mail del destinatario come comportarsi con le e-mail che non superano l'autenticazione. autenticazione controlli.
Il ruolo di SPF, DKIM e DMARC
L'autenticazione delle e-mail è importante per proteggere il vostro marchio da attacchi informatici basati sulle e-mail e tentati con tecniche di phishing e impersonificazione. L'autenticazione delle e-mail si basa principalmente sui protocolli SPF, DKIM e DMARC, oltre a protocolli aggiuntivi come MTA-STS, BIMI e ARC che possono migliorare ulteriormente la vostra sicurezza! Ecco perché è necessario implementarli:
- Assicurano che il vostro nome di dominio non possa essere contraffatto e utilizzato in modo improprio.
- Vi aiutano a prevenire attacchi di phishing, spamming, ransomware, ecc. pianificati e tentati a nome della vostra azienda.
- Migliorano il tasso di recapito delle e-mail del vostro dominio. Un basso tasso di recapitabilità delle e-mail influisce sulla comunicazione interna, sul marketing e sulle campagne di PR, il tasso di fidelizzazione dei clientiecc.
Dove si trovano i record SPF, DKIM e DMARC?
I record SPF, DKIM e DMARC sono memorizzati nel sistema dei nomi di dominio o DNS. Il DNS è comunemente definito come la rubrica telefonica di Internet che converte i nomi di dominio nei corrispondenti indirizzi IP. Il DNS è utilizzato come database per memorizzare le informazioni del dominio sotto forma di record DNS.
SPF, DKIM e DMARC esistono come record DNS che potete pubblicare e memorizzare nel vostro DNS. Durante i controlli di autenticazione delle e-mail, gli MTA riceventi interrogano il vostro DNS per cercare questi record e agire in base alle istruzioni o alle informazioni in essi definite.
Come impostare SPF, DKIM e DMARC?
Seguite queste istruzioni per impostare SPF, DKIM e DMARC per proteggere il vostro dominio e le vostre e-mail.
- Creare un record DNS SPF.
- Creare la chiave pubblica DKIM.
- Creare il proprio criterio DMARC registrare e abilitare la reportistica DMARC
- Impostare una casella di posta elettronica dedicata per ricevere i rapporti DMARC o utilizzare una piattaforma di analisi dei rapporti DMARC.
- Pubblicare i record SPF, DKIM e DMARC nel DNS.
SPF: verifica dei mittenti delle e-mail
Il Sender Policy Framework o SPF è un protocollo di autenticazione delle e-mail in cui i proprietari dei domini elencano tutti i server autorizzati a inviare e-mail utilizzando il loro dominio. Ciò avviene tramite la creazione di un record TXT SPF che viene pubblicato sul DNS. Se un IP di invio non è presente nell'elenco, l'autenticazione fallisce e l'e-mail può essere contrassegnata come spam o sospetta. Tuttavia, SPF ha alcune limitazioni: si interrompe quando un messaggio viene inoltrato o viene superato il limite di 10 ricerche DNS.
Se si dispone già di un record SPF, è possibile utilizzare il nostro Controllo del record SPF per assicurarsi che sia privo di errori.
Impostazione dell'SPF
- Identificare tutte le fonti di invio delle e-mail (compresi i fornitori di terze parti).
- Creare un record SPF utilizzando un generatore SPF gratuito. Il record deve autorizzare tutte le fonti di invio.
- Copiare la sintassi del record.
- Accedere alla console di gestione DNS.
- .incollare il record nella sezione dei record DNS sotto il tipo di risorsa "TXT".
Attendere qualche ora per l'implementazione delle modifiche. Una volta fatto, è possibile utilizzare il nostro ricerca del record SPF strumento per garantire un record privo di errori.
Sfide comuni con la SPF
Ci sono alcune sfide comuni che i proprietari di domini devono affrontare con l'implementazione dell'SPF. Esse sono le seguenti:
- Il superamento del limite di ricerca DNS di 10 interruzioni di SPF
- Il superamento del limite di 2 ricerche nulle può interrompere l'SPF.
- I record SPF hanno un limite di lunghezza di 255 caratteri
- SPF non riesce a inoltrare i messaggi
Per risolvere questi errori, i record SPF devono essere ottimizzati con Macro per rimanere al di sotto dei limiti definiti. La combinazione di SPF con DKIM e DMARC garantisce inoltre un'autenticazione e una deliverability più fluide.
DKIM: proteggere il contenuto delle e-mail
La posta identificata con i dati di dominio (DomainKeys Identified Mail) o DKIM consente ai proprietari di domini di firmare automaticamente le e-mail inviate dal proprio dominio. Il DKIM funziona in modo simile a come si firmano gli assegni bancari per convalidarne l'autenticità. Le firme DKIM garantiscono che il contenuto delle e-mail rimanga sicuro e inalterato durante il processo di consegna.
Si procede memorizzando una chiave pubblica in un record DNS DKIM. Il server di posta elettronica ricevente può accedere a questo record per ottenere la chiave pubblica. D'altra parte, esiste una chiave privata conservata segretamente dal mittente, che firma con essa l'intestazione dell'e-mail. I server di posta elettronica riceventi verificano la chiave privata del mittente confrontandola con la chiave pubblica facilmente accessibile.
Impostazione di DKIM
- È possibile impostare facilmente il DKIM generando un record DKIM utilizzando il generatore gratuito di record DKIM di PowerDMARC. generatore di record DKIM.
- Inserite il vostro nome di dominio nella casella degli strumenti e fate clic sul pulsante Genera record DKIM e fare clic sul pulsante Genera record DKIM.
- Si otterrà una coppia di chiavi DKIM private e pubbliche.
- Pubblicate la chiave pubblica sul DNS del vostro dominio.
- Configurate il vostro server di posta per utilizzare la chiave privata DKIM per firmare le intestazioni di tutte le e-mail in uscita. Questo processo di firma aggiunge una firma DKIM a ogni e-mail, che i server di posta dei destinatari verificheranno utilizzando la corrispondente chiave pubblica DKIM pubblicata nel vostro DNS. Assicuratevi di tenere al sicuro la vostra chiave privata e di non pubblicarla pubblicamente o divulgarla.
Infine, verificare la propria chiave pubblica DKIM utilizzando una strumento di ricerca DKIM per assicurarsi che sia corretta.
Vantaggi del DKIM
DKIM presenta diversi vantaggi nell'autenticazione delle e-mail. Di seguito ne riportiamo alcuni:
- DKIM autentica correttamente i messaggi inoltrati nella maggior parte dei casi.
- DKIM impedisce ai cyber-attaccanti di alterare il contenuto delle e-mail.
- DKIM consente a ciascun dominio di gestire le proprie coppie di chiavi pubblico-privato in modo indipendente, offrendo alle organizzazioni un controllo più granulare sulla sicurezza delle e-mail.
DMARC: prevenzione del phishing e dello spoofing via e-mail
Autenticazione, segnalazione e conformità dei messaggi basata sul dominio o DMARC istruisce il server del destinatario su cosa fare con le e-mail che non soddisfano i requisiti SPF, DKIM o entrambi. L'azione intrapresa dal destinatario dipende dalla politica DMARC configurata dal mittente: nessuna, quarantena o rifiuto.
I criteri DMARC sono impostati in un record DMARC che contiene anche le istruzioni per l'invio di rapporti agli amministratori del dominio su tutte le e-mail che superano o meno i controlli di convalida. Se avete già implementato un criterio criteri DMARCutilizzate il nostro strumento gratuito di strumento di ricerca del record DMARC per verificare se è corretto.
Impostazione di DMARC
- È possibile creare il proprio record DMARC utilizzando un generatore gratuito di generatore DMARC.
- Scegliere la politica DMARC (ad esempio p=quarantena) e abilitare la segnalazione DMARC definendo un indirizzo e-mail nel tag "rua" (ad esempio rua=mailto:[email protected]).
- Cliccare su Generare.
- Copiare il record TXT negli appunti e incollarlo sul DNS per attivare il protocollo.
Verificate la vostra implementazione DMARC utilizzando un DMARC checker per convalidare le configurazioni.
Politiche e azioni di applicazione del DMARC
Esistono 3 tipi di criteri DMARC che i proprietari dei domini possono configurare per intervenire contro le e-mail non autenticate. Essi sono i seguenti:
- Nessuno: Indicato con p=none, il criterio none è un criterio di non azione che distribuisce messaggi non autenticati senza intraprendere alcuna azione contro di essi. È la soluzione migliore per i principianti.
- Quarantena: Indicato con p=quarantena, il criterio di quarantena è un criterio DMARC applicato che mette in quarantena le e-mail non autenticate.
- Rifiuto: Indicato con p=reject, il criterio reject è un criterio di applicazione massima del DMARC che rifiuta i messaggi non autenticati.
Il vostro criteri DMARC svolgono un ruolo importante nella prevenzione delle minacce basate sulle e-mail. Con l'applicazione delle policy, i proprietari dei domini sono più protetti dagli attacchi di spoofing e phishing.
Tecniche avanzate di autenticazione e-mail
L'autenticazione delle e-mail non si esaurisce con SPF, DKIM e DMARC. Per migliorare ulteriormente la sicurezza del dominio e delle e-mail, è possibile implementare tecniche di autenticazione avanzate. Vediamo alcune di esse:
MTA-STS, BIMI e ARC
Il protocollo MTA-STS per l'autenticazione garantisce la consegna criptata TLS dei messaggi e-mail alla casella di posta. Previene gli attacchi man-the-middle e di spoofing DNS, negoziando una connessione SMTP crittografata tra i server e-mail comunicanti.
BIMI, o Brand Indicators for Message Identification, aiuta le aziende ad applicare il logo del proprio marchio alle e-mail. Agisce come verifica e autenticazione visiva, migliorando il ricordo e la credibilità del marchio.
ARC (Authenticated Received Chain) crea un meccanismo di ripiego durante l'inoltro delle e-mail, aiutando a preservare le intestazioni di autenticazione SPF e DKIM originali. In questo modo si evitano inutili errori di autenticazione per i messaggi inoltrati.
Quando applicare queste tecniche?
È possibile implementare queste tecniche nella fase 2 del percorso di autenticazione delle e-mail, una volta che si è sicuri della configurazione di SPF, DKIM e DMARC.
Queste configurazioni avanzate sono ideali per tutte le organizzazioni che desiderano stabilire la credibilità del proprio marchio e migliorare ulteriormente la propria reputazione e-mail. Contribuiscono a fornire una sicurezza aggiuntiva rispetto a una configurazione di autenticazione di base, che vi consente di essere meglio equipaggiati per combattere gli attacchi informatici più sofisticati.
Implementazione e manutenzione dell'impostazione dell'autenticazione e-mail
Una volta implementati i protocolli SPF, DKIM e DMARC, è ora il momento di monitorarli e mantenerli per garantire che tutto funzioni correttamente. Ecco alcuni modi per mantenere la vostra configurazione di autenticazione:
Utilizzo degli strumenti di monitoraggio
Monitoraggio DMARC sono piattaforme basate sull'intelligenza artificiale e basate sul cloud che consentono un monitoraggio semplice e immediato delle implementazioni di autenticazione delle e-mail da un'unica interfaccia.
Analisi dei rapporti DMARC
L'analisi dei rapporti DMARC può fornire numerose informazioni sui risultati dell'autenticazione SPF, DKIM e DMARC e sulle fonti di invio del vostro dominio. Questo può aiutare a rilevare le incongruenze e a prevenire i tentativi di spoofing.
Aggiornamenti e manutenzione regolari
È importante controllare regolarmente le tecniche SPF, DKIM, DMARC e di autenticazione avanzata per assicurarsi che funzionino correttamente. L'SPF può richiedere aggiornamenti periodici per includere nuove fonti di invio, le chiavi DKIM devono essere ruotate frequentemente per migliorare la sicurezza e le politiche DMARC devono essere applicate per prevenire gli attacchi informatici. In assenza di aggiornamenti o di un'adeguata manutenzione, le vostre implementazioni potrebbero essere rese inefficaci.
Avvicinarsi alla fine
Una volta impostati DKIM, SPF e DMARC per il vostro dominio, dovete iniziare a monitorare i rapporti per notare attività sospette. Configurando e gestendo correttamente questi protocolli, è possibile migliorare significativamente la sicurezza e la deliverability del proprio dominio.
Ricordate che l'insieme di questi protocolli di autenticazione può ridurre il rischio di phishing, ma non protegge da tutti i crimini informatici basati sulle e-mail. Per questo motivo, è importante che siano seguiti da un'opera di educazione e sensibilizzazione dei dipendenti.
Domande comuni su SPF, DKIM e DMARC
Posso creare DMARC se SPF e DKIM non sono aggiunti?
La risposta è no. Per impostare il DMARC, è necessario implementare prima SPF o DKIM. Senza SPF o DKIM, la configurazione DMARC non funziona.
Il DMARC richiede sia SPF che DKIM?
Il DMARC non richiede sia SPF che DKIM. È possibile impostare uno dei due protocolli prima di impostare DMARC. Tuttavia, si consiglia di implementarli entrambi per una maggiore sicurezza.
Gmail utilizza SPF o DKIM?
Sì. Le linee guida aggiornate per i mittenti di Gmail richiedono che tutti i mittenti implementino SPF o DKIM per inviare correttamente le e-mail alle caselle di posta Gmail.
Un dominio può avere 2 record DKIM?
Un dominio può avere 2 o più record DKIM con selettori diversi, in modo che i server riceventi possano individuare facilmente il record DKIM giusto durante l'autenticazione.
Come faccio a sapere che DMARC, DKIM e SPF sono abilitati?
Per sapere se DMARC, DKIM e SPF sono abilitati per il vostro dominio, potete utilizzare i nostri strumenti di controllo dei record DNS in Powertoolbox, oppure analizzare le intestazioni delle vostre e-mail.
- Modifiche al controllo della posta dell'NCSC e loro impatto sulla sicurezza delle e-mail del settore pubblico del Regno Unito - 13 dicembre 2024
- PowerDMARC nominato leader G2 nel software DMARC per la quarta volta nel 2024 - 6 dicembre 2024
- Violazione dei dati e phishing via e-mail nell'istruzione superiore - 29 novembre 2024