L'autenticazione delle e-mail è il processo di verifica dell'identità di un mittente di e-mail e di garanzia che l'e-mail non sia stata manomessa durante la trasmissione. Come sviluppatore, è essenziale comprendere i diversi metodi di autenticazione delle e-mail e implementarli correttamente per prevenire le frodi via e-mail e aumentare la deliverability delle e-mail. In questo blog esploreremo i diversi metodi di autenticazione delle e-mail e come implementarli come sviluppatore.
Perché l'autenticazione delle e-mail è importante?
L'autenticazione delle e-mail per gli sviluppatori è un processo che garantisce la legittimità delle e-mail inviate dal vostro dominio. Vediamo le 5 ragioni principali per investire in questi protocolli.
1. Riduzione della frequenza di rimbalzo
L'autenticazione delle e-mail aiuta a migliorare il tasso di recapito delle e-mail controllando gli indirizzi e-mail nel database ed eseguendo test in tempo reale per sapere se gli account sono attivi o inattivi. In questo modo si riduce la probabilità che le e-mail arrivino nella casella di posta dei destinatari desiderati.
2. Approfondimenti accurati
Man mano che la vostra mailing list viene autorizzata a utilizzare gli strumenti, otterrete un'analisi affidabile e perseguibile delle vostre campagne di marketing.
3. Risparmio di denaro
È necessario spendere soldi per archiviare le e-mail e gestire un database per inviare i messaggi. Man mano che gli sviluppatori implementano i protocolli nelle loro applicazioni, l'elenco delle e-mail viene ripulito e le dimensioni del database diminuiscono, con un conseguente risparmio di denaro.
4.Alto ROI
Una comprensione dettagliata dell'autenticazione delle e-mail per gli sviluppatori aiuta a ridurre il tasso di bounce-back e, di conseguenza, a ottenere un migliore ROI. I rimbalzi delle e-mail significano uno spreco delle somme investite nel marketing via e-mail.
5. Riduzione dei reclami per spam da parte di clienti e potenziali clienti
Nel 2022, ben 49% delle e-mail è stato contrassegnato come spam a livello globale. Idealmente, i reclami per spam devono essere meno di cinque ogni 5000 messaggi e-mail inviati da un account. Il processo di verifica delle e-mail segnala i messaggi di spam e ne dà notifica all'utente, in modo che possa intervenire tempestivamente per controllare il fenomeno.
Cos'è l'SPF?
L'autenticazione delle e-mail per gli sviluppatori inizia con la comprensione e l'implementazione di SPF o Sender Policy Framework. Questo protocollo funziona chiedendo all'utente di creare e aggiornare un elenco di server autorizzati a inviare e-mail utilizzando il proprio nome di dominio. L'elenco viene aggiunto al server DNS da dove i server dei destinatari verificano se il server del mittente fa parte dell'elenco o meno. Tutte le e-mail inviate da indirizzi IP non compresi nell'elenco non superano l'autenticazione SPF. I migliori sviluppatori C# comprendono l'importanza dell'autenticazione SPF e possono facilmente implementarla per garantire una comunicazione sicura e affidabile.
Tutto questo richiede un record SPF, che è un record TXT che consente agli amministratori di inserire testi arbitrari nel DNS.
Cosa sono i tag dei record SPF?
| Tag | Scopo |
| Versione (v) | Rappresenta le versioni SPF e dovrebbe essere il primo tag di un record SPF. |
| mx | Il record mx specifica quale server è responsabile dell'accettazione delle e-mail per conto del dominio. Ha un indirizzo IP e un valore di priorità per ciascun server per l'accettazione dei messaggi. |
| a | Si usa quando si cerca un record A o AAAA in un dominio che ha l'indirizzo IP del mittente. |
| ptr | Il tag Ptr utilizza il nome host inverso o il sottodominio dell'indirizzo IP di invio per specificare il nome di dominio di destinazione. Viene usato solo se esiste un record MX. Questo tag NON è raccomandato per essere usato secondo RFC 7208. |
| ip4 | Indica un indirizzo IPv4 o un intervallo IP CIDR a cui è consentito inviare posta dal proprio dominio. |
| ip6 | Indica un indirizzo IPv6 o un intervallo IP CIDR consentito per l'invio di e-mail dal vostro dominio. |
| includere | Utilizzando questo tag, gli sviluppatori di app possono includere l'intero record SPF di un altro dominio o sottodominio. È necessario utilizzarlo quando un servizio di terze parti invia e-mail per conto dell'utente. |
| esiste | Questo tag esegue una ricerca del record A per verificare se esiste. Vengono visualizzati i risultati "pass" se è presente. |
| tutti | Questo tag viene aggiunto alla fine di un record TXT SPF. Specifica le istruzioni su come devono essere trattate le e-mail se non c'è corrispondenza con il record SPF. Esistono tre opzioni comuni che consentono al mittente di indicare all'utente di rifiutare la posta che corrisponde al record (-all), di trattare la posta come sospetta (~all) e di formulare una raccomandazione neutrale (?all) che lascia la scelta al destinatario. |
Limiti e sfide della SPF
L'SPF non è sufficiente per combattere tutti i tipi di phishing e spamming attacchi di phishing e spamming a nome della vostra azienda. Per questo motivo, durante l'apprendimento dell'autenticazione delle e-mail per gli sviluppatori, è necessario concentrarsi sulla comprensione dei limiti di Limiti dell'SPF.
Esiste un limite di 10 lookup, implementato per evitare di sovraccaricare le risorse del validatore del server DNS, come la larghezza di banda e la CPU. Una volta raggiunto il limite, il vostro server di posta non eseguirà ulteriori elaborazioni e vi troverete di fronte a un Permerrore SPF. Il superamento di questo limite causa problemi di deliverability delle e-mail, diminuendo la probabilità che le e-mail arrivino nella casella di posta dei destinatari desiderati. È possibile rispettare il limite
- Rimozione dei servizi inutilizzati
- Rimozione dei valori SPF predefiniti
- Evitare l'uso del meccanismo ptr
- Evitare l'uso del meccanismo mx
- Utilizzo di IPv6 o IPv4
- Non appiattire il record SPF
Un'altra limitazione è che i record SPF vengono applicati a specifici domini Return-Path e non all'indirizzo From. Gli attori delle minacce sfruttano questa vulnerabilità di cybersicurezza per eseguire attacchi di phishing falsificando l'indirizzo From.
Cos'è DKIM?
DKIM è l'acronimo di DomainKeys Identified Mail, un protocollo che autentica le e-mail utilizzando il metodo di crittografia. L'amministratore di un dominio aggiunge un record DKIM al DNS e riceve una coppia di chiavi pubbliche e private. Il server di posta elettronica di origine dispone di chiavi DKIM private segrete, che vengono verificate dal server di posta elettronica ricevente con l'altra metà della coppia di chiavi, detta chiave DKIM pubblica. Queste firme DKIM si spostano con le e-mail e funzionano anche sulle catene di posta inoltrate.
Quando l'allineamento DKIM fallisce, il tasso di recapitabilità delle e-mail del vostro dominio ne risente negativamente, facendo finire le e-mail nella cartella spam o rifiutandole dalla casella di posta elettronica del destinatario.
Cosa sono i tag DKIM?
Ci sono molti elementi informali che fanno parte del gruppo di tag DKIM. Questi sono classificati come tag obbligatori e tag opzionali. Qui si discute l'uso dei tag obbligatori; fare clic su qui per conoscere in dettaglio gli altri tag.
Tag richiesti
Questi tag sono necessari per la verifica, poiché le caselle di posta elettronica dei destinatari rifiutano le e-mail che ne sono prive.
- v= Il tag della versione che rappresenta lo standard DKIM utilizzato. Il suo valore è sempre impostato su 1.
- a= Questo tag DKIM rappresenta l'algoritmo crittografico utilizzato per la creazione della firma. In genere, il suo valore è rsa-sha256. Se il computer ha capacità di CPU ridotte, è possibile utilizzare rsa-sha1. Gli esperti non ne incoraggiano l'uso a causa delle vulnerabilità della sicurezza.
- s= Questo tag specifica il nome del record del selettore utilizzato per trovare la chiave pubblica nel DNS di un dominio. Gli amministratori del dominio o gli sviluppatori di applicazioni devono inserire un nome o un numero in questo campo.
- d= È possibile vedere il dominio utilizzato con il record del selettore per individuare le chiavi pubbliche. Utilizza lo stesso valore del nome di dominio utilizzato dal mittente.
- b= Questo tag DKIM è utilizzato per i dati hash dell'intestazione. Di solito è abbinato al tag h= per redigere la firma DKIM. È sempre codificato in Base64.
- bh= Questo tag DKIM obbligatorio contiene l'hash calcolato delle e-mail il cui valore è una stringa di caratteri che indica un hash determinato da un algoritmo.
- h= Questo tag elenca le intestazioni viste nell'algoritmo di firma per generare l'hash nel tag b=. Il suo valore non può essere né rimosso né modificato.
Limiti e sfide del DKIM
Le e-mail legittime inviate dal vostro dominio possono occasionalmente essere rifiutate dai dispositivi mobili se il messaggio viene inoltrato. Il server del destinatario li identifica come messaggi contraffatti quando legge le istruzioni di autenticazione.
Cos'è DMARC?
L'ultima tappa della comprensione dell'autenticazione delle e-mail per gli sviluppatori è l'apprendimento di DMARC o Domain-based Message Authentication, Reporting, and Conformance. Funziona in allineamento con i risultati SPF e/o DKIM per decidere come gestire le e-mail che non superano i controlli di autenticazione delle e-mail. È possibile scegliere di impostare la propria DMARC su p=none (non viene intrapresa alcuna azione contro le e-mail non riuscite), p=quarantena (le e-mail non riuscite vengono contrassegnate come spam) o p=rifiuto (l'inserimento delle e-mail non riuscite viene rifiutato).
Si può iniziare impostando il criterio su "nessuno" per monitorare se tutte le e-mail legittime superano i controlli di verifica. In seguito, è possibile reimpostare il criterio su "quarantena" o "rifiuto".
Cosa sono i tag DMARC?
In qualità di proprietario del dominio, è possibile specificare i seguenti elementi tag DMARC nella vostra registrazione DMARC.
- v: Indica la versione del protocollo DMARC e ha sempre il valore v=DMARC1.
- pct: Questo tag specifica la percentuale di e-mail conformi alla modalità del criterio.
- p: Il tag p indica la modalità del criterio DMARC. È possibile scegliere tra rifiutare, mettere in quarantena e nessuno.
- rua: Questo tag opzionale indica l'indirizzo e-mail o il server web a cui le organizzazioni segnalanti possono inviare i dati rua aggregati DMARC.
- ruf: Indica l'indirizzo a cui inviare il rapporto DMARC forense ruf.
- fo: è un tag opzionale che si rivolge alle opzioni di segnalazione dei guasti/forensi che i proprietari dei domini possono scegliere.
- aspf: Consente di impostare la modalità di allineamento SPF. Il valore può essere rigoroso (s) o rilassato (r).
- adkim: Permette di impostare la modalità di allineamento DKIM, il cui valore può essere rigoroso (s) o rilassato (r).
- rf: Questo tag specifica i vari formati per i rapporti forensi.
- ri: Questo tag DMARC opzionale ha un valore predefinito di 86400 e indica l'intervallo di tempo in secondi tra due rapporti aggregati consecutivi inviati dall'organizzazione segnalante al proprietario del dominio.
Parole finali
L'autenticazione delle e-mail per gli sviluppatori è fondamentale per rimanere al passo con gli attacchi di phishing e spamming tentati a vostro nome. Iniziate generando i record SPF, DKIM e DMARC per il vostro dominio ufficiale di invio e-mail utilizzando il nostro PowerToolbox.
