Nel mondo dell'autenticazione e-mail, ci si imbatte in termini fugaci come SPF e DKIM. Mentre sia SPF che DKIM sono protocolli di autenticazione e-mail, lavorano in modi diversi per proteggere le vostre e-mail dallo spam e dall'impersonificazione. Ma DKIM può funzionare senza SPF? La risposta è sì, può. Come protocolli indipendenti, non dipendono l'uno dall'altro per le loro funzionalità e possono essere implementati senza che l'altro sia impostato per gli stessi domini.

In questo articolo, analizzeremo in profondità come DKIM e SPF funzionano in modo da poter scegliere quale protocollo si adatta meglio a voi, e anche fornire le nostre raccomandazioni di esperti alla fine. Iniziamo!

Cos'è l'SPF e come protegge le tue e-mail?

SPF (Sender Policy Framework) ti permette di specificare quali server di posta sono autorizzati a inviare un'e-mail per conto del tuo dominio o sottodominio. Un record SPF è un tipo di record DNS utilizzato per convalidare il nome di dominio di un mittente di e-mail e per specificare quali host sono autorizzati a inviare e-mail per conto del dominio.

SPF è stato progettato per prevenire che utenti non autorizzati inviino posta in uscita da un dominio diverso dal proprio, spesso indicato come "spoofing". Inoltre, se un'organizzazione ha più server di posta che accettano posta per lo stesso dominio, un record SPF aiuta i sistemi di posta elettronica del destinatario a determinare da quale server ricevere la posta in arrivo. E' uno dei metodi di autenticazione della posta elettronica più utilizzati dai novizi e dagli aficionados.

Cos'è il DKIM e come protegge le tue email?

DomainKeys Identified Mail (DKIM) è un metodo di autenticazione delle email che prova che una email è stata autorizzata dal proprietario di quel dominio, usando un algoritmo crittografico e una chiave.

Utilizzando DKIM, il tuo server firmerà tutti i messaggi in uscita, comprese le campagne di email marketing. Questo permette ai destinatari delle tue email di verificare la tua identità in modo che possano fidarsi che i tuoi messaggi non siano stati alterati in alcun modo. Quando firmi un messaggio usando DKIM, alleghi la tua chiave privata al valore di una funzione hash dell'intestazione e del corpo completo dell'email. La chiave privata usata per la firma è accessibile solo ai mittenti autorizzati.

Ho bisogno sia di DKIM che di SPF per configurare DMARC per il mio dominio?

Beh, no. Puoi implementare DMARC anche se hai impostato SPF o DKIM per il tuo dominio. Questo perché affinché le vostre email passino l'allineamento DMARC, DKIM o SPF devono passare l'allineamento per loro e non entrambi. Quindi, la configurazione di uno dei due protocolli è sufficiente per iniziare il vostro sforzo di implementazione di DMARC.

Tuttavia, se la vostra domanda è se l'implementazione di DMARC è un passo necessario quando avete già impostato DKIM o SPF per i vostri domini, la risposta è sì. Con DMARC puoi controllare il modo in cui i tuoi destinatari rispondono alle email false che sembrano provenire dal tuo dominio, salvando così la reputazione e la credibilità della tua azienda e anche i tuoi clienti dal cadere preda di attacchi di phishing. Né DKIM né SPF da soli possono proteggere le organizzazioni da attacchi di ingegneria sociale come lo spoofing, è necessario DMARC per questo.

Genera il record DMARC ora gratuitamente per fermare lo spoofing!

Cosa raccomandano gli esperti: DKIM può funzionare senza SPF?

Per ottenere il 100% di conformità DMARCvi raccomandiamo di allineare le vostre email con entrambi i protocolli di autenticazione DKIM e SPF invece di uno solo. In alcuni casi eccezionali come le mailing list e le email inoltrate, a causa del coinvolgimento di server intermediari, SPF inevitabilmente fallisce per quelle email. Se il vostro sistema di mailing dipende solo da SPF per l'autenticazione, le email legittime possono perdersi nel transito e fallire la consegna nei casi di cui sopra. Quindi, avere entrambi i protocolli in atto è sempre un'opzione più sicura per assicurare una consegna più fluida e un ulteriore livello di sicurezza delle email.

Vuoi provare DMARC da solo? Ottieni un DMARC gratuito per i tuoi domini ora con una semplice iscrizione!

Mentre stai aggiungendo domini su Microsoft Exchange Online, potresti imbatterti nel seguente messaggio di errore: " Nessuna chiave DKIM salvata per questo dominio " mentre non trovi alcuna opzione per abilitare le chiavi DKIM per i domini.

Questo è un ostacolo comune affrontato dagli utenti di Microsoft Exchange Online. Tuttavia, questo può essere facilmente risolto utilizzando Windows Powershell.

Cos'è DKIM?

DKIM è un DomainKeys Identified Mail, che è un metodo con cui un'organizzazione può affermare la responsabilità di un messaggio in un modo che può essere validato dal destinatario. La firma digitale funziona in modo simile al processo utilizzato per verificare le firme digitali nelle e-mail firmate o nei moduli web, con l'eccezione che la firma digitale viene aggiunta a ogni messaggio inviato dal sistema di posta abilitato DKIM, invece che a un solo messaggio.

Presenta diversi vantaggi, tra cui una riduzione dello spoofing dell'identità, ad esempio lo spam e il phishing. Questo permette al destinatario di essere in grado di confermare che il messaggio è autentico. Quando un messaggio inviato da, o per conto della vostra organizzazione è stato autenticato, quel messaggio fornisce al destinatario la garanzia che il contenuto non è stato alterato in transito.

Passaggi per abilitare DKIM usando Windows Powershell su Microsoft 356 Exchange Online

  • Nell'applicazione Windows Powershell, seleziona "Esegui come amministratore".

  • Nella finestra del prompt dei comandi di Windows Powershell, è necessario eseguire i seguenti quattro comandi:

1. $UserCredential = Get-Credential

Apparirà una finestra di dialogo che richiederà il tuo nome utente e la tua password. Assicuratevi di accedere a Powershell con le vostre credenziali di Office 365, come amministratore.

2. $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

3. Import-PSSession $Session -DisableNameChecking

4. New-DkimSigningConfig -DomainName "yourdomain.com" -Enabled $true

[Nota: ricordati di sostituire "yourdomain.com" con il tuo nome di dominio, poiché questo è solo un dominio di esempio per il bene di questo articolo].

Correzione dell'errore "Nessuna chiave DKIM salvata per questo dominio

  • Ora, se accedi di nuovo al tuo Exchange Online Admin Portal, dovresti essere in grado di visualizzare l'opzione per abilitare DKIM per il tuo dominio

5. Infine, dopo aver abilitato le chiavi DKIM, è necessario eseguire l'ultimo comando: Remove-PSSession $Session per terminare la vostra sessione Powershell

Perché dovete abilitare DKIM per i vostri domini Office 365?

DKIM usa la crittografia a chiave pubblica per legare un pezzo di testo a un mittente autorizzato, aggiungendo una firma alle intestazioni delle e-mail e ad altri componenti del messaggio. La firma è verificata utilizzando una chiave privata quando il messaggio viene ricevuto, e il mittente è quindi ritenuto responsabile per la sua identità e-mail pubblicata su Internet. È un protocollo essenziale per garantire la consegna sicura e inalterata dei tuoi messaggi. Microsoft raccomanda di abilitare DKIM per una maggiore sicurezza delle e-mail per i tuoi domini registrati sul loro portale.

Spero che questo articolo ti abbia aiutato a risolvere il messaggio "Nessuna chiave DKIM abilitata per questo dominio" su Microsoft 365 Exchange Online. Se vuoi saperne di più su come configurare DKIM su Office 365, puoi consultare il nostro ufficio 365 DKIM guida.

Per fermare gli attacchi di spoofing sul tuo dominio, ottieni rapporti quotidiani sui risultati dell'autenticazione DKIM di Office 365 configurando il nostro analizzatore di rapporti DMARC oggi stesso!

Gli attacchi di impersonificazione come il phishing e lo spoofing possono avere un impatto drammatico sulla salute del tuo dominio e portare a fallimenti di autenticazione, compromissione delle e-mail e molto altro ancora! Questo è il motivo per cui devi migliorare le tue difese contro di loro, a partire da oggi. Ci sono vari metodi che puoi implementare per garantire che le tue email siano adeguatamente protette contro gli attacchi di phishing e spoofing. Parliamo di cosa sono!

Protocolli di autenticazione e-mail per prevenire attacchi di impersonificazione

  1. Struttura dei criteri del mittente (SPF)
    Un buon modo per iniziare è implementare SPF. Sender Policy Framework, che si basa sul DNS del vostro nome di dominio, può certificare che l'IP utilizzato per l'invio di una e-mail ha il diritto di farlo. Previene l'uso fraudolento del vostro nome di dominio e impedisce a terzi di fingere di essere voi. Il protocollo SPF è particolarmente efficace contro gli attacchi di phishing e spoofing perché spesso approfittano di questi errori. Se un server di posta dichiara che è stato inviato da un server di posta il cui indirizzo IP può essere attribuito al tuo dominio, allora in generale i sistemi operativi controlleranno due volte prima di consegnare una mail. In questo modo i server di posta che non rispettano l'SPF vengono ignorati con successo. Per dirla semplicemente, il "Protocollo SPF" permette al proprietario di un dominio (per esempio [email protected]) di inviare un'autorizzazione alla sua autorità DNS.

  2. Posta identificata da DomainKeys (DKIM)
    DomainKeys Identified Mail, o DKIM, è un sistema di autenticazione e-mail che utilizza le firme digitali per verificare la fonte e il contenuto di un messaggio. È un insieme di tecniche crittografiche per verificare l'origine e il contenuto dei messaggi e-mail al fine di ridurre lo spam, il phishing e altre forme di e-mail dannose. In particolare, utilizza chiavi di crittografia private condivise per autenticare il mittente di un dato messaggio (l'aspetto chiave qui è che solo il destinatario previsto dovrebbe essere in possesso di questa chiave privata), assicurando che l'email non possa essere "spoofata", o falsamente rappresentata da impostori. Permette anche ad un destinatario autorizzato di rilevare eventuali modifiche apportate ad un messaggio dopo che è stato inviato; se l'organizzazione responsabile della convalida di queste firme rileva la corruzione dei dati in una e-mail, può semplicemente rifiutarla come falsa e notificare il suo mittente come tale.

  3. Autenticazione, segnalazione e conformità dei messaggi basati sul dominio (DMARC)
    DMARC esiste per diverse ragioni. Primo, DMARC vi fornisce un modo per dire ai server di posta quali messaggi sono legittimi e quali no. Secondo, DMARC vi fornisce rapporti su quanto il vostro dominio sia ben protetto dagli attacchi. In terzo luogo, DMARC aiuta a proteggere il vostro marchio dall'essere associato a messaggi che potrebbero danneggiare la vostra reputazione. DMARC fornisce una maggiore protezione contro il phishing e lo spoofing, verificando che un messaggio di posta elettronica provenga realmente dal dominio da cui sostiene di provenire. DMARC permette anche alla vostra organizzazione di richiedere rapporti sui messaggi ricevuti. Questi rapporti possono aiutarvi a indagare su possibili problemi di sicurezza e a identificare possibili minacce, come l'infezione di malware o attacchi di phishing rivolti alla vostra organizzazione.

Come può PowerDMARC aiutarvi a proteggere il vostro dominio dagli attacchi di phishing e spoofing?

La suite di autenticazione per la sicurezza della posta elettronica di PowerDMARC non solo vi aiuta con l'onboarding senza soluzione di continuità dei vostri protocolli SPF, DKIM e DMARC, ma fornisce molti altri vantaggi aggiuntivi tra cui:

  • Appiattimento SPF per assicurare che il vostro record SPF rimanga valido e sotto il limite rigido SPF di 10 ricerche
  • BIMI per l'identificazione visiva delle vostre email aziendali. BIMI assicura che le email che raggiungono i vostri clienti contengano il logo del vostro marchio che può essere individuato da loro anche prima che aprano il messaggio
  • MTA-STS per crittografare le vostre e-mail in transito

Per godere di DMARC gratuitoè sufficiente registrarsi e creare un account PowerDMARC senza costi aggiuntivi. Inizia il tuo viaggio di autenticazione e-mail con noi per un'esperienza e-mail più sicura!

Lo spoofing è uno dei tipi più universali di attacchi oggi. I truffatori amano impossessarsi dei nomi e degli indirizzi email di una rete di posta elettronica (per esempio, Hotmail, Gmail) per inviare migliaia di email false che sembrano essere state inviate da qualcuno che conosci - come il CEO o un dirigente di un'altra azienda del tuo settore.

Non lasciare che i ladri d'identità falsifichino il tuo indirizzo e-mail. Scopri come proteggerti dall'email spoofing e perché dovresti preoccuparti di questa seria minaccia alla sicurezza delle informazioni. Diamoci dentro!

E-mail di spoofing: Cosa sono?

Lo spoofing delle e-mail non è una cosa nuova, ma non sembra nemmeno che stia andando via presto. In alcuni casi, l'avanzamento della tecnologia aiuta effettivamente i truffatori a barare. Ci sono molte ragioni per cui un'email può essere considerata spoofed. Lo scenario più comune è quando un aggressore dirotta un server genuino e lo usa per inviare e-mail spoofed. Il metodo più comune per inviare e-mail è quello di sfruttare un server SMTP vulnerabile. Una volta che hanno compromesso il server SMTP possono inviare email spoofed a chiunque.

Lo spoofing è un problema serio e sta solo peggiorando. Le implicazioni dello spoofing possono essere di vasta portata e dannose per i grandi marchi, ma la recente ondata di phishing aveva già causato il panico tra gli utenti. Fornendo una guida su come evitare lo spoofing delle email, state aiutando i vostri utenti (e voi stessi) a sbarazzarsi di questa minaccia, e impostando le migliori pratiche per quelli nella vostra lista di supporto tecnico.

Come possono danneggiarti le email spoofate?

Ti ricordi l'ultima volta che hai cliccato un link in un'e-mail che diceva di provenire da un'azienda di cui ti fidavi? Probabilmente ti sei ritrovato su un sito che non avevi mai visitato prima perché il mittente ti ha chiesto di cliccare su un link. Come facevi a sapere che questo nuovo indirizzo non era un tentativo nefasto di spiare i tuoi dati personali? La risposta è semplice: Le aziende legittime non chiederanno mai informazioni private come nomi utente, password e numeri di carte di credito via e-mail.

Tuttavia, se una fonte fraudolenta falsifica il vostro indirizzo per inviare tali messaggi malevoli ai vostri clienti, state certi che questo danneggerà il vostro business. La credibilità e la reputazione che avete lavorato così duramente per costruire subiranno i colpi di tali attacchi, e i vostri clienti esiteranno prima di aprire le vostre legittime e-mail di marketing.

Come impedire che vengano inviate continue email di spoofing dal mio indirizzo email?

Rendete i protocolli di autenticazione delle e-mail una parte della vostra suite di e-mail!

  1. SPF: Una delle basi dell'autenticazione e-mail che vi aiuterà ad evitare lo spoofing delle e-mail è SPF. Mentre configurarlo è facile, mantenerlo è una sfida. C'è spesso il rischio di superare il limite di 10 DNS lookup, che si traduce in email che falliscono l'autenticazione nonostante la provata autenticità. Vi offriamo una soluzione rapida per aggirare questo problema con il nostro strumento di appiattimento SPF dinamico.Crea un record SPF oggi stesso gratuitamente, con il nostro Generatore di record SPF.
  2. DKIM: DKIM è un metodo per firmare tutti i messaggi in uscita per aiutare a prevenire lo spoofing delle email. Lo spoofing è un uso comune non autorizzato della posta elettronica, quindi alcuni server di posta richiedono DKIM per prevenire lo spoofing della posta elettronica. Con il suo utilizzo, tutta la tua posta in uscita sarà autenticata con una firma digitale che permette ai server di posta di sapere che proviene effettivamente da te.
  3. DMARC: DMARC è uno standard di autenticazione e-mail per le organizzazioni per proteggerle da attacchi di spoofing e phishing che usano le e-mail per ingannare il destinatario a compiere qualche azione. DMARC funziona come un livello sopra SPF e DKIM per aiutare i ricevitori di email a riconoscere quando un'email non proviene dai domini approvati da un'azienda, e fornire istruzioni su come smaltire in sicurezza le email non autorizzate.

Se vuoi iniziare a costruire le tue difese contro lo spoofing, ti consigliamo di fare una prova per il nostro analizzatore di rapporti DMARC. Ti aiuterà a integrare i protocolli alla massima velocità del mercato, a stare al passo con gli errori e a monitorare facilmente i tuoi domini su una dashboard DMARC multiuso.

Il limite di SPF void lookup come specificato da RFC è attualmente 2. Potete trovare questa specifica sotto RFC 7208 (sezione 11.1) che pone un limite al numero di SPF void lookup permessi per ogni controllo SPF. Se siete qui a leggere questo articolo, è probabile che vi siate imbattuti nel seguente messaggio di errore durante la gestione del protocollo o la revisione dei dati del rapporto DMARC per le vostre e-mail:

PermError Errore permanente SPF: Limite di ricerca del vuoto di 2 superato

Per capirlo meglio, parliamo di cosa sono le ricerche dei vuoti SPF:

Cos'è un SPF Void Lookup?

Quando una ricerca DNS restituisce una risposta nulla o null durante l'esecuzione di un controllo di autenticazione SPF, si parla di una ricerca nulla SPF. Da non confondere con il limite di 10 lookup DNS, i lookup nulli SPF sono una categoria separata di risposta di errore che si può incontrare durante la gestione di SPF.

Perché questo accade, vi chiederete? Se il vostro record SPF contiene un meccanismo di inclusione che si riferisce a un dominio o a un indirizzo IP errato o malevolo, che quando viene cercato può restituire una risposta vuota o nulla (NOERROR con nessuna risposta, o NXDOMAIN). RFC raccomanda la limitazione dei lookup vuoti SPF come questi a un massimo di 2 per evitare che i record SPF errati diventino fattori che contribuiscono all'avvio di attacchi Denial-of-Service.

Tuttavia, il superamento del limite di ricerca SPF void porterà a SPF PermError, con conseguente fallimento di SPF e quindi la possibilità che le vostre email non vengano consegnate.

Come si può aggirare il limite delle ricerche nulle di SPF?

Ci sono vari metodi e pratiche infallibili che potete implementare per assicurarvi di non superare il limite di 2 di SPF void lookup.

  1. Rimanete aggiornati sugli indirizzi IP delle vostre fonti di invio e-mail e dei venditori terzi e sui meccanismi per assicurarvi di non avere inclusioni ridondanti o errate nel vostro record per loro.
  2. Passare a appiattimento SPF con PowerSPF per mantenere il tuo record ottimizzato e aggiornato con un solo clic, senza bisogno di monitoraggio costante o aggiornamenti manuali.

Spero che questo articolo ti abbia aiutato a capire meglio il limite di ricerca dei vuoti SPF e come influisce sul tuo flusso di email e sui risultati di autenticazione. Per ottenere una protezione avanzata contro lo spoofing, considerate l'implementazione di DMARC per i tuoi domini gratuitamente!

La lunghezza del tuo record SPF ha un limite? Per farla breve, sì. Il limite del vostro record SPF è un limite di 255 caratteri, il cui superamento può rompere l'SPF e portare al fallimento dell'autenticazione. Se vi siete imbattuti nel messaggio "SPF exceeds maximum character limit", ciò implica semplicemente che il record SPF nel vostro DNS è più lungo del limite di caratteri della stringa specificato da RFC(RFC 7208). Questo può essere un problema soprattutto se la consegna delle vostre email dipende fortemente dall'allineamento SPF.

Hai già un record SPF? Controlla la sua validità con il nostro SPF checker.

Ottimizzare l'SPF per rimanere sotto il limite di lunghezza dell'SPF

  1. Evitate di usare il meccanismo ptr nel vostro record. Questo perché non è attualmente supportato secondo le linee guida RFC per SPF e aumenta ulteriormente il numero di caratteri nella vostra stringa SPF
  2. Se volete bypassare il limite di 255 caratteri per SPF per aggirare il messaggio di errore senza fallire SPF, RFC permette l'uso di più stringhe per un singolo record DNS SPF. Tuttavia, queste stringhe dovrebbero essere tutte collegate tra loro senza alcuno spazio in mezzo perché il vostro record sia valido. Assicuratevi che sia una linea continua e non spezzata in linee multiple, poiché ogni linea è trattata come un record separato. Record multipli per un singolo dominio romperanno l'SPF.
  3. Assicuratevi di rimuovere i meccanismi ridondanti, ripetuti e NULL all'interno del vostro record SPF, che si aggiunge anche al limite di caratteri. Questo assicura che il vostro record sia breve, nitido e valido.
  4. Puoi usare il nostro appiattimento SPF per ottimizzare automaticamente il tuo record che non supera mai il limite di lunghezza del record SPF di 255 caratteri

Cosa succede quando si supera il limite di caratteri della stringa SPF?

Se superate il limite di 255 caratteri per SPF, le vostre email falliranno l'autenticazione dal lato del destinatario poiché il record nel vostro DNS sarà considerato non valido. A seconda della vostra politica e della modalità di allineamento, le vostre email potrebbero perdersi in transito e non essere mai consegnate ai vostri destinatari. Si raccomanda di configurare un analizzatore di rapporti DMARC per il vostro dominio per ottenere rapporti sull'autenticazione SPF fallita. Con la segnalazione abilitata in questi scenari riceverete un messaggio di errore del tipo "SPF supera il limite massimo di caratteri" o il vostro DNS comunicherà con BIND per visualizzare il messaggio: "formato rdata non valido: esaurito lo spazio". Ognuno di questi messaggi implica semplicemente che avete superato il limite dei record SPF. 

Limitare il limite dei record SPF con PowerSPF

 

PowerSPF è la vostra soluzione unica per tutti i problemi legati all'SPF. Che si tratti di rimanere sotto il limite di ricerca di 10, o di limitare la lunghezza dei vostri record al limite specificato, PowerSPF fa tutto istantaneamente e facilmente!

Ottimizzare i vostri record DNS per godere di un'implementazione senza errori è una possibilità con la suite di sicurezza e-mail di PowerDMARC. Iscriviti a una prova DMARC per godere di un SPF ottimizzato con un solo clic che non supera mai il limite di 255 caratteri SPF