• Sicurezza nelle attività di acquisizione clienti: 5 modi per evitare che il tuo team di vendita venga scambiato per un gruppo di phisher

Sicurezza nelle attività di acquisizione clienti: 5 modi per evitare che il tuo team di vendita venga scambiato per un gruppo di phisher

Blog, Sicurezza delle e-mail

Il tuo team di vendita rischia di essere scambiato per un gruppo di phisher? Scopri 5 metodi collaudati per rendere sicure le e-mail di contatto commerciale e iniziare a farle arrivare nella casella di posta in arrivo.

di Milena Baghdasaryan

Ultimo aggiornamento:
6 Tempo di lettura: 6 min
Sicurezza nelle attività di acquisizione clienti: 5 modi per evitare che il tuo team di vendita venga scambiato per un gruppo di phisher
Indice dei contenuti-

Punti chiave:

  • SPF, DKIM e DMARC devono essere effettivamente applicati, non solo dichiarati: la sicurezza delle e-mail di promozione commerciale inizia con l'impostazione di DMARC su p=reject
  • L'invio di email di contatto a freddo dal proprio dominio principale comporta dei rischi: un sottodominio dedicato consente di limitare i problemi di sicurezza legati alle email di contatto
  • I rapporti DMARC RUA rivelano tutti gli strumenti che inviano messaggi a nome del tuo dominio, rendendoli fondamentali per individuare le lacune nella sicurezza delle e-mail di promozione commerciale
  • I filtri antispam non riescono a distinguere un’e-mail di phishing da un’e-mail commerciale scritta male: un tono urgente, thread falsi e un eccesso di link compromettono tutti la deliverability
  • BIMI mostra il tuo logo verificato prima ancora che l'e-mail venga aperta, rendendo immediatamente riconoscibili le e-mail commerciali sicure ai potenziali clienti non ancora acquisiti

Sarò sincero: la prima volta che un potenziale cliente ha risposto a una delle nostre e-mail di contatto spontaneo chiedendoci: «È un tentativo di phishing?», non sapevo se ridere o andare nel panico. Non avevamo fatto nulla di sbagliato. L’e-mail era autentica, l’offerta era reale e il nostro addetto alle vendite aveva dedicato del tempo a personalizzarla. Ma agli occhi di quel potenziale cliente? Rispondeva a tutti i criteri tipici del phishing.

Quel momento mi è rimasto impresso. Perché il problema non era l'e-mail in sé, ma tutto ciò che c'era dietro. Nessuna firma DKIM. Un record SPF impreciso. DMARC impostato su p=none a prendere polvere. Dal punto di vista del server di posta, eravamo praticamente anonimi.

E non si tratta solo di un problema di recapito. Il Rapporto sui crimini informatici dell’FBI segnala, anno dopo anno, la compromissione delle e-mail aziendali come una delle minacce informatiche più costose. I potenziali clienti lo sanno bene. Sono abituati a diffidare e le vostre e-mail di contatto, che vi piaccia o no, spesso presentano le stesse caratteristiche di un’e-mail di phishing.

Garantire l'affidabilità delle e-mail di contatto commerciale non è solo una questione tecnica, ma anche una questione di fatturato. Se le vostre e-mail sembrano un tentativo di phishing, non importa quanto sia efficace il testo. Ecco quindi cosa funziona davvero. Cinque azioni che il vostro team può intraprendere, alcune di natura tecnica, altre comportamentale, per garantire che le vostre e-mail vengano considerate come le comunicazioni legittime che sono.

1. Assicurarsi che SPF, DKIM e DMARC funzionino davvero, non solo che siano stati implementati

1.-Far-funzionare-davvero-SPF, DKIM e DMARC—non-solo-metterli-in-atto--

La maggior parte dei team con cui parlo ha "configurato" l'autenticazione. Di solito ciò significa che da qualche parte c'è un record SPF, che DKIM è abilitato sull'ESP principale e che DMARC è impostato su p=none. Quella non è autenticazione, è solo l'apparenza dell'autenticazione.

Ecco cosa fanno effettivamente questi tre elementi quando funzionano correttamente:

  • SPF indica ai server di posta in arrivo quali indirizzi IP sono autorizzati a inviare messaggi a nome del tuo dominio. Se il tuo strumento di vendita non è presente in quell'elenco, le sue e-mail ti vengono inviate senza autorizzazione, anche se sei stato tu stesso a configurarlo.
  • Il DKIM appone una firma crittografica alle tue e-mail. Ciò dimostra che il messaggio non è stato alterato durante il trasferimento e che proviene effettivamente dalla tua infrastruttura.
  • DMARC è il livello di applicazione. Stabilisce che, se SPF o DKIM falliscono, occorre procedere come segue: monitorare, mettere in quarantena o respingere. Inoltre, invia dei rapporti che indicano esattamente quali messaggi vengono accettati e quali no.

Il passaggio che molti tendono a tralasciare è quello di andare oltre l'impostazione p=none in DMARC. Certo, è da lì che bisogna partire: prima di applicare le regole è necessario avere una visione chiara della situazione. Ma se si rimane per sempre su p=none, in pratica si sta dicendo: «So che si verificano casi di spoofing, e mi sta bene così». Impegnatevi per passare a p=reject. La vostra deliverability ve ne sarà grata.

2. Utilizza un sottodominio per le campagne di email a freddo

Per alcune aziende può essere difficile da accettare, ma una volta che hai visto come una campagna di outreach a freddo possa mandare in rovina la reputazione del mittente di un dominio, non tornerai mai più ai vecchi metodi.

Il tuo dominio principale, quello da cui vengono inviate le tue e-mail transazionali, le comunicazioni ai clienti e le newsletter, è troppo prezioso per rischiare di utilizzarlo nella ricerca di nuovi clienti a freddo. Basta una sequenza mal mirata, una lista acquistata, una campagna mal riuscita e ti ritroverai a dover gestire un picco di segnalazioni di spam che non si limiterà alla sola attività di outreach, ma si ripercuoterà su ogni aspetto della tua attività.

Crea invece un sottodominio dedicato, ad esempio mail.tuaazienda.com o outreach.tuaazienda.com. Autenticalo separatamente con i propri record SPF, DKIM e DMARC. In questo modo, le tue attività di outreach a freddo opereranno in un ambito autonomo e, se qualcosa dovesse andare storto, il danno sarà circoscritto.

La maggior parte degli strumenti di sales engagement consente di configurare questa funzione senza particolari difficoltà. La vera sfida, di solito, è convincere il team che vale la pena dedicarci del tempo. E ne vale davvero la pena.

3. Verifica tutti gli strumenti che inviano e-mail dal tuo dominio

Ecco una domanda: riesci a elencare tutti gli strumenti che utilizzi e che inviano e-mail utilizzando il tuo dominio? Non solo il tuo provider di servizi di posta elettronica (ESP) principale, ma proprio tutti gli strumenti. Le sequenze di follow-up del tuo CRM. Le e-mail di conferma del tuo calendario. Il tuo strumento di warm-up. Quell’integrazione che qualcuno ha configurato otto mesi fa e di cui nessuno si ricorda più.

La maggior parte dei team non è in grado di rispondere con certezza a questa domanda. E questo è un problema, perché ciascuno di questi strumenti è correttamente autenticato oppure no. Se non lo è, quelle e-mail non superano i controlli SPF o DKIM, il che significa che al server ricevente risultano contraffatte, indipendentemente dal contenuto effettivo del messaggio.

I rapporti aggregati DMARC (rapporti RUA) sono lo strumento che ti permette di scoprirlo. Ti mostrano tutte le fonti che inviano messaggi a nome del tuo dominio, suddivise in base alle percentuali di superamento e fallimento. Spesso è sorprendente: scoprirai strumenti di cui avevi dimenticato l'esistenza, vecchie integrazioni ancora attive e servizi di terze parti che non sono mai stati aggiunti al tuo record SPF.

  • Estrai i rapporti DMARC RUA ed elenca tutte le fonti di invio
  • Per ciascuno di essi: è presente nel tuo record SPF? È firmato con DKIM?
  • Per qualsiasi cosa che non funzioni: correggi il dato o elimina la fonte

4. I tuoi rappresentanti stanno inviando e-mail di phishing senza rendersene conto

Non lo intendo in senso letterale, ma dal punto di vista di un filtro antispam, alcuni messaggi di promozione sono indistinguibili da quelli autentici. I filtri antispam non interpretano le intenzioni, ma riconoscono gli schemi. E molti schemi tipici delle e-mail commerciali sono gli stessi utilizzati dai phisher.

Ecco alcune cose che ho visto fare dai rappresentanti e che compromettono seriamente la capacità di consegna:

  • Il trucco del thread falso — Oggetti come «Re: la nostra chat» o «A seguito della nostra telefonata» quando in realtà non c'è stata alcuna conversazione precedente. I potenziali clienti lo detestano, i filtri antispam lo segnalano e questo mina rapidamente la fiducia.
  • Creazione di un senso di urgenza — «Offerta limitata», «Agisci subito», «Non perdere questa occasione»: tutte frasi inserite in un’e-mail non richiesta inviata da qualcuno di cui il destinatario non ha mai sentito parlare. Il classico linguaggio del phishing.
  • Eccesso di link — Tre link tracciabili, un calendario incorporato e un allegato PDF in un'e-mail di primo contatto a freddo. Questo non è outreach, è un vero e proprio campanello d'allarme.
  • Liste di indirizzi di scarsa qualità — L'invio di messaggi a contatti non verificati o acquistati fa aumentare il tasso di messaggi respinti e il numero di reclami. Entrambi questi fattori compromettono gravemente la reputazione del mittente.

Una sessione di 30 minuti con il tuo team di vendita dedicata a questi modelli si traduce immediatamente in un miglioramento dei tassi di apertura e della deliverability. Spiega chiaramente che questo aspetto influisce direttamente sul fatto che le loro e-mail arrivino nella posta in arrivo o finiscano nel nulla.

5. Usa BIMI per far sì che le tue e-mail rispecchino la tua identità ancora prima di essere aperte

5. Usa BIMI per far sì che le tue e-mail abbiano il tuo aspetto prima ancora di essere aperte

Finora ci siamo concentrati sul non dare adito a sospetti. Il BIMI, invece, mira a trasmettere attivamente un'immagine di affidabilità, e c'è una differenza.

BIMI (Brand Indicators for Message Identification) inserisce il logo verificato del tuo marchio accanto al nome del mittente nella posta in arrivo. Prima ancora che il potenziale cliente legga una sola parola, vede il tuo logo. Quel riconoscimento visivo in una frazione di secondo è estremamente importante nel cold outreach, dove il destinatario non ha alcun rapporto pregresso con te e sta valutando in un attimo se vale la pena dedicare del tempo a questa email.

Vale anche la pena sottolineare quali sono i requisiti necessari affinché BIMI funzioni: la politica DMARC deve essere impostata su p=quarantine o p=reject. Pertanto, l'implementazione di BIMI ti obbliga naturalmente a portare a termine ciò che hai iniziato con l'autenticazione: è un ottimo incentivo integrato.

La configurazione prevede la pubblicazione di un record DNS BIMI che rimandi a una versione SVG del tuo logo e l'ottenimento di un certificato Verified Mark (VMC) se desideri che il logo venga visualizzato in Gmail e in altri principali client di posta elettronica. Non si tratta di un'operazione immediata, ma il segnale di affidabilità che genera è autentico e si rafforza nel tempo, man mano che il tuo marchio diventa riconoscibile nelle caselle di posta dei destinatari.

Conclusione: il problema non sono i tuoi rappresentanti, ma la tua infrastruttura

Quando quel potenziale cliente ha chiesto se la nostra e-mail fosse un tentativo di phishing, il nostro rappresentante si è sentito in colpa. Ma non era colpa sua. L'e-mail era a posto. Il problema risiedeva in tutto ciò che non si vedeva: il livello di autenticazione, la configurazione del dominio, le procedure di invio che facevano sembrare un'e-mail legittima una minaccia.

Metti a posto l'infrastruttura e il problema si risolverà in gran parte da solo. Assicurati che SPF, DKIM e DMARC siano configurati a livello di applicazione. Indirizza le attività di outreach a freddo attraverso un sottodominio dedicato. Verifica ogni strumento che interagisce con il tuo dominio. Forma i tuoi rappresentanti sui modelli che compromettono la deliverability. E, quando sei pronto, aggiungi BIMI.

Non è certo un lavoro affascinante. Ma è proprio questo che distingue un team di vendita che riesce a farsi notare nelle caselle di posta da uno che si chiede perché non riceve alcuna risposta.

Ultimi messaggi di Milena Baghdasaryan (vedi tutti)
Ultimo aggiornamento:
Il formato del numero di serie SOA non è valido: cause e soluzioniIl formato del numero di serie SOA non è valido: cause e soluzioniRecensione di MXtoolbox: caratteristiche, esperienze degli utenti, pro e contro (2026)Recensione di MXtoolbox: caratteristiche, esperienze degli utenti, pro e contro (2026)