Messaggi

L'e-mail è uno strumento essenziale per le aziende e la maggior parte di noi vi fa affidamento quotidianamente per comunicare. Tuttavia, con l'aumento del numero di utenti di e-mail, è cresciuto anche il problema dello spam, del phishing e delle frodi via e-mail. Questi tipi di attacchi possono causare danni significativi, tra cui perdita di reputazione, perdite finanziarie e violazione dei dati. Per prevenire questi attacchi, le aziende devono adottare misure proattive per proteggere il proprio sistema di posta elettronica e uno dei modi per farlo è impostare un record SPF.

Cos'è l'SPF?

SPF è l'acronimo di Sender Policy Framework. È un protocollo di autenticazione delle e-mail che consente di specificare quali server sono autorizzati a inviare e-mail per conto del vostro dominio. SPF funziona aggiungendo un record DNS alla configurazione DNS del vostro dominio, che elenca gli indirizzi IP dei vostri server e-mail. Questo record indica agli altri server di posta elettronica che qualsiasi e-mail inviata dal vostro dominio che non provenga da indirizzi IP autorizzati deve essere rifiutata.

L'impostazione di un record SPF è un passo essenziale per impedire agli utenti non autorizzati di inviare e-mail utilizzando il vostro nome di dominio. Ad esempio, gli spammer o gli aggressori possono utilizzare il vostro nome di dominio per inviare e-mail di spam o di phishing, che possono danneggiare la vostra reputazione, portare all'inserimento nella blacklist e compromettere la sicurezza dei vostri clienti e dipendenti.

Come impostare un record SPF?

L'impostazione di un record SPF è un processo semplice che prevede i seguenti passaggi:

Passo 1: Determinare i server di posta elettronica

Il primo passo consiste nel determinare quali server sono autorizzati a inviare e-mail per conto del vostro dominio. Questi server possono includere il vostro server di posta, qualsiasi provider di servizi di posta elettronica di terze parti che utilizzate o qualsiasi altro server che invia e-mail utilizzando il vostro nome di dominio.

Passo 2: Creare un record SPF

Una volta identificati i server e-mail autorizzati, è possibile creare un record SPF. Un record SPF è un record TXT nella configurazione DNS del vostro dominio. Per creare il record SPF si può utilizzare una semplice sintassi, come ad esempio:

v=spf1 ip4:<IP address> -all

In this example, the “v=spf1” indicates that this is an SPF record, and “ip4:<IP address>” indicates the IP address of the authorized email server. The “-all” at the end indicates that any emails that do not come from authorized IP addresses should be rejected.

Passo 3: Pubblicare il record SPF

Dopo aver creato il record SPF, è necessario pubblicarlo nella configurazione DNS del dominio. È possibile farlo accedendo al sito web del proprio provider DNS e aggiungendo un nuovo record TXT con il record SPF. In alternativa, potete chiedere al vostro team IT o al provider di hosting di farlo per voi.

Passo 4: Testare il record SPF

Una volta pubblicato il record SPF, è essenziale testarlo per assicurarsi che funzioni correttamente. È possibile utilizzare i controllori di record SPFcome quello fornito da MXToolbox, per verificare il record SPF. Questi strumenti vi diranno se il vostro record SPF è valido e se è configurato correttamente.

Suggerimenti per la creazione di un record SPF accurato

Ecco alcuni suggerimenti per creare un record SPF solido:

  • Includere tutti i server e-mail autorizzati: Assicuratevi di includere nel vostro record SPF tutti i server e-mail autorizzati a inviare e-mail per conto del vostro dominio. Questo può includere il vostro server di posta, i fornitori di servizi e-mail di terze parti o qualsiasi altro server che invia e-mail utilizzando il vostro nome di dominio.
  • Utilizzate il meccanismo "-all": Il meccanismo "-all" alla fine del record SPF indica agli altri server di posta elettronica di rifiutare qualsiasi e-mail che non provenga da indirizzi IP autorizzati. Questo è un passo fondamentale per evitare che utenti non autorizzati inviino e-mail utilizzando il vostro nome di dominio.
  • Utilizzare il meccanismo "include": Il meccanismo "include" consente di includere i record SPF di altri domini. Questo può essere utile se si utilizza un provider di servizi di posta elettronica di terze parti per inviare e-mail a nome del proprio dominio. È possibile includere il loro record SPF nel proprio record SPF per garantire che anche le e-mail inviate dai loro server siano autenticate.
  • Utilizzare il meccanismo "~all" per i test: Il meccanismo "~all" indica agli altri server di posta elettronica di contrassegnare come "soft fail" le e-mail che non provengono dagli indirizzi IP autorizzati. Ciò significa che queste e-mail verranno comunque consegnate, ma saranno contrassegnate come potenzialmente sospette. È possibile utilizzare questo meccanismo durante i test per assicurarsi che il record SPF funzioni correttamente senza rifiutare immediatamente le e-mail.
  • Mantenere il record SPF aggiornato: quando la vostra infrastruttura e-mail cambia, assicuratevi di aggiornare il record SPF per riflettere tali cambiamenti. Questo può includere l'aggiunta di nuovi server e-mail o la rimozione di quelli vecchi.

L'appiattimento SPF e i suoi vantaggi 

Il limite di ricerca DNS è una restrizione imposta dai server di posta elettronica che limita il numero di ricerche DNS che possono essere eseguite durante la verifica del record SPF di un'e-mail. Questo limite è generalmente fissato a 10 ricerche DNS e, se il server di posta elettronica supera questo limite, può rifiutare l'e-mail come potenzialmente fraudolenta.

Appiattimento SPF è una tecnica utilizzata per ridurre il numero di ricerche DNS necessarie per verificare il record SPF di un'e-mail. Funziona combinando più record SPF in un unico record, che può ridurre il numero di ricerche DNS necessarie per autenticare un'e-mail.

Ecco un esempio di come l'appiattimento dell'SPF può essere utile:

Supponiamo che la vostra azienda utilizzi diversi servizi di terze parti per l'invio di e-mail, come un software di automazione del marketing, un sistema di helpdesk e uno strumento CRM. Ognuno di questi servizi si aggiungerà all'elenco degli indirizzi IP nel vostro record SPF del DNS o ai singoli record SPF per ognuno di questi servizi, e se doveste includerli tutti nel record SPF del vostro dominio, superereste il limite di 10 ricerche DNS.

Utilizzando l'appiattimento SPF, è possibile combinare tutti questi IP ridondanti in un unico include. Ciò significa che quando un server di posta elettronica esegue una ricerca DNS per verificare il vostro record SPF, deve eseguire solo una singola ricerca o poche ricerche, anziché più ricerche per ciascuno dei singoli record SPF e indirizzi IP.

Conclusione

L'impostazione di un record SPF è un passo fondamentale per proteggere il vostro sistema di posta elettronica e prevenire le frodi via e-mail. Creando un record SPF e pubblicandolo nella configurazione DNS del vostro dominio, potete garantire che le e-mail inviate dal vostro dominio siano autenticate e impedire agli utenti non autorizzati di inviare e-mail utilizzando il vostro nome di dominio. Seguendo i suggerimenti sopra descritti, è possibile creare un record SPF forte e mantenere sicuro il sistema di posta elettronica.

Gli hacker hanno adottato metodi sofisticati per creare spoofing delle e-mail e tentare di compiere crimini informatici utilizzando i nomi delle vostre aziende. SPF DKIM DMARC aiuta a evitare che i loro sforzi vadano a buon fine, valutando l'autenticità dei mittenti delle e-mail. I settori finanziario, SaaS ed e-commerce sono tra i primi 3 settori presi di mira dai phisher con percentuali di compromissione pari al 23,6%, 20,5% e 14,6% rispettivamente del 23,6%, 20,5% e 14,6%.

Qui ci concentriamo sulla spiegazione di SPF DKIM DMARC, gli elementi fondamentali dell'autenticazione delle e-mail.

Cosa sono SPF, DKIM e DMARC?

Insieme SPF DMARC DKIM impediscono a entità non autorizzate di utilizzare il vostro dominio per inviare e-mail fraudolente a potenziali clienti, dipendenti, fornitori terzi, stakeholder, ecc. SPF e DKIM aiutano a dimostrare la legittimità, mentre DMARC istruisce il server di posta elettronica del destinatario su cosa fare con le e-mail che non superano i controlli di autenticità. Vediamo nel dettaglio cosa sono SPF DKIM e DMARC.

SPF

Struttura della politica del mittente o SPF è un modo in cui i proprietari dei domini elencano tutti i server autorizzati a inviare e-mail utilizzando il loro dominio. Ciò avviene tramite la creazione di un record TXT SPF che viene pubblicato nel DNS. Se un IP di invio non è presente nell'elenco, l'autenticazione fallisce e l'e-mail viene completamente rifiutata dalla casella di posta del destinatario o contrassegnata come spam. Se si dispone già di un record SPF, utilizzare il nostro controllo del record SPF per verificare che sia privo di errori.

Tuttavia, l'SPF ha alcune limitazioni: si interrompe quando un messaggio viene inoltrato, il che significa che gli attori delle minacce possono falsificare il nome visualizzato o l'indirizzo Da. 

DKIM

La posta identificata con i dati di dominio (DomainKeys Identified Mail) o DKIM consente ai proprietari di domini di firmare automaticamente le e-mail inviate dal proprio dominio. Funziona come firmare gli assegni bancari per convalidarne l'autenticità. La firma DKIM è una firma digitale basata sul modello della crittografia.

Si procede memorizzando una chiave pubblica in un record DKIM. Il server di posta elettronica ricevente può accedere a questo record per ottenere la chiave pubblica. D'altra parte, esiste una chiave privata conservata segretamente dal mittente, che firma con essa l'intestazione dell'e-mail. I server di posta elettronica riceventi verificano la chiave privata del mittente confrontandola con la chiave pubblica facilmente accessibile.

DMARC

Segnalazione e conformità dell'autenticazione dei messaggi di dominio istruire il server del destinatario su cosa fare con le e-mail che non soddisfano i requisiti SPF, DKIM o entrambi. Ciò avviene selezionando uno dei criteri: nessuno, quarantena e rifiuto. Con la politica "nessuno", non viene intrapresa alcuna azione contro i messaggi che non superano i controlli di convalida. Il criterio "quarantena" significa che i messaggi non autentici finiranno nella cartella dello spam, mentre il criterio "rifiuto" impedisce completamente l'inserimento di tali messaggi nella casella di posta del destinatario.

Le politiche DMARC sono impostate in un record DMARC che contiene anche le istruzioni per inviare agli amministratori di dominio i rapporti su tutte le e-mail che superano o meno i controlli di convalida. Se avete già implementato una politica DMARC, utilizzate il nostro strumento gratuito di ricerca dei record DMARC. strumento di ricerca dei record DMARC per verificare la presenza di eventuali errori.

Dove sono archiviati i record SPF, DKIM e DMARC?

I record SPF DKIM DMARC sono archiviati in un sistema di nomi di dominio (DNS) pubblicamente disponibile e accessibile. È come una rubrica telefonica che elenca gli indirizzi IP e i nomi di dominio corrispondenti. Quindi, ogni volta che si inserisce un nome di dominio nella casella di ricerca del browser, il DNS porta all'indirizzo IP corrispondente. Non è praticamente possibile per l'uomo memorizzare gli indirizzi IP alfanumerici di tutti i siti web, ed è qui che il DNS si rivela utile.

I controlli SPF DKIM DMARC dipendono da questo concetto, poiché i loro record sono memorizzati come record DNS TXT. Questo record è accessibile per vari motivi, in quanto può contenere qualsiasi testo arbitrario.

L'importanza di SPF, DKIM e DMARC

L'autenticazione delle e-mail è importante per proteggere il vostro marchio dai tentativi di cyberattacco con tecniche di phishing e impersonificazione. L'autenticazione delle e-mail si basa sugli standard SPF DKIM DMARC. Ecco perché è necessario implementarli:

  • Assicurano che il vostro nome di dominio non possa essere contraffatto e utilizzato in modo improprio.
  • Vi aiutano a prevenire attacchi di phishing, spamming, ransomware, ecc. pianificati e tentati a nome della vostra azienda.
  • Migliorano il tasso di recapito delle e-mail del vostro dominio. Un basso tasso di recapitabilità delle e-mail influisce sulla comunicazione interna, sulle campagne di marketing e PR, sul tasso di fidelizzazione dei clienti, ecc.

Come impostare SPF, DKIM e DMARC?

Seguite queste istruzioni per impostare SPF DKIM DMARC per proteggere il vostro dominio e le conversazioni via e-mail.

  1. Impostare l'SPF per il proprio dominio.
  2. Impostare il DKIM per il proprio dominio.
  3. Creare una casella di posta elettronica per ricevere i rapporti per il monitoraggio e la valutazione.
  4. Utilizzate i dati di accesso dell'hosting principale e verificate se esiste un record DMARC.
  5. Ripristino Politica DMARC.

Impostazione generale dell'SPF

  1. Accedere alla console del mittente.
  2. Selezionare Impostazioni.
  3. Selezionare Domini.
  4. Viene visualizzata la seguente schermata.
    Impostazione generale dell'SPF
  5. Fare clic su Controlla record SPF/DKIM.

Attendete 72 ore e le impostazioni modificate verranno applicate. Una volta fatto, è possibile utilizzare il nostro strumento di ricerca del record SPF per garantire un record privo di errori.

Impostazione generale di DKIM

È possibile impostare facilmente il DKIM generando un record DKIM utilizzando il generatore gratuito di record DKIM di PowerDMARC. generatore di record DKIM. È sufficiente inserire il proprio nome di dominio nella casella e fare clic sul pulsante Genera record DKIM e cliccare sul pulsante Genera record DKIM. Si otterrà una coppia di chiavi DKIM pubbliche e private. Pubblicate la chiave pubblica sul DNS del vostro dominio e il gioco è fatto.

Impostazione generale del DMARC

Utilizzate il nostro generatore DMARC e create un nuovo record DMARC.

  1. Scegliete il vostro criterio DMARC.
  2. Fare clic su Generare
  3. Copia il record TXT negli appunti e incollalo sul tuo DNS per attivare il protocollo

Generatore di record DMARC

Avvicinarsi alla fine

Una volta impostato DKIM SPF DMARC, iniziate a monitorare le segnalazioni per notare attività sospette. Ricordate che l'insieme di questi protocolli di autenticazione riduce il rischio di spamming e phishing, ma non protegge da tutti i crimini informatici basati sulle e-mail. Pertanto, è importante investire anche nella formazione e nella consapevolezza dei dipendenti.