L’email è ancora oggi uno dei mezzi di comunicazione più utilizzati, sia in ambito personale che professionale. Come per qualsiasi altro canale digitale, è fondamentale proteggere il traffico email in modo adeguato. Senza le giuste misure di sicurezza, soggetti malintenzionati possono nascondere la propria identità usando impropriamente il tuo indirizzo email o il tuo dominio. Questa pratica si chiama spoofing e può ingannare e danneggiare chi riceve messaggi apparentemente inviati da te, oltre che causare dei seri danni alla tua reputazione.
Per prevenire questo tipo di abuso sono stati messi a punto diversi protocolli di sicurezza per la posta elettronica, tra cui l’SPF, il DKIM e il DMARC. Questi protocolli lavorano insieme per verificare se un’email proviene davvero dal tuo dominio e se il messaggio è stato modificato durante il trasferimento. Se li configuri correttamente, limiti l’eventualità che le tue email vengano contrassegnate come spam e, di conseguenza, aumenti la probabilità che i tuoi messaggi vadano davvero a destinazione. Allo stesso tempo, riduci il rischio che qualcuno utilizzi il tuo dominio o indirizzo email per inviare email false e dannose.
In questo articolo ti spieghiamo cosa sono SPF, DKIM e DMARC, come collaborano per proteggere il traffico email e perché è importante configurarli correttamente.
Spoofing
Nello spoofing della posta elettronica, un utente malintenzionato utilizza un’intestazione email per mascherare la sua identità e impersonare un mittente legittimo. Può sembrare che il messaggio inviato provenga da una fonte affidabile, ad esempio dall’indirizzo info@cloud86.io, ma invece non è così.
Ti starai chiedendo quale sia lo scopo di questi messaggi non autentici. Vengono usati spesso per finalità di phishing, per truffe o per diffondere malware. Lo spoofing non è pericoloso solo per chi riceve il messaggio, ma può anche danneggiare seriamente la tua reputazione come mittente.
Per prevenire questi problemi, sono stati messi a punto 3 protocolli di sicurezza che, lavorando insieme, garantiscono garantiscono che le comunicazioni email siano affidabili e sicure: l’SPF, il DKIM e il DMARC.
Il SPF stabilisce chi è autorizzato a inviare email per conto del tuo dominio
L’acronimo SPF sta per Sender Policy Framework ed è un protocollo che ti permette di indicare, tramite un record DNS, quali server sono autorizzati a inviare email per conto del tuo nome di dominio. Puoi immaginarlo come una sorta di lista di mittenti autorizzati.
Quando il server di posta del destinatario riceve un’email, controlla se il server che l’ha inviata è presente nel record SPF del tuo dominio. Se non lo è, il messaggio viene contrassegnato come sospetto o addirittura rifiutato immediatamente. In questo modo si evita che altri possano usare impropriamente il tuo dominio e aumenta la probabilità che le email legittime arrivino correttamente a destinazione.
Su Cloud86, un record SPF corretto viene configurato automaticamente quando acquisti un pacchetto di web hosting o crei una nuova zona DNS tramite la nostra piattaforma.
Esempio di record SPF
| Nome | Tipo | TTL | RDATA |
|---|---|---|---|
| @ | TXT | 14400 | "v=spf1 +a +mx +ip4:45.82.188.XX -all" |
Record DNS:
- @: indica che il record SPF si applica al dominio principale, ad esempio cloud86example.com.
- TXT: i record SPF vengono salvati come record TXT nel DNS in modo che i mail server possano leggerne il contenuto.
- TTL (Time To Live): è il tempo, espresso in secondi, durante il quale il record rimane in cache. 14400 secondi = 4 ore: ecco perché le modifiche DNS possono impiegare fino a 4 ore prima di essere visibili.
- RDATA: è il contenuto vero e proprio del record SPF che definisce quali server sono autorizzati a inviare email.
Valore SPF:
- v=spf1: indica che si tratta di un record SPF versione 1.
- +a: consente l’invio di email dall’indirizzo IP associato al record A del dominio (ovvero il server su cui è ospitato il sito web).
- +mx: autorizza l’invio di email dai mail server definiti nei record MX del dominio (i server su cui gira la posta).
- +ip4:45.82.188.XX: autorizza in modo esplicito l’indirizzo IP 45.82.188.XX a inviare email per conto del dominio. Si tratta di un IP specifico del server il cui valore esatto può essere trovato in Plesk, come spiegato nell’articolo Plesk: dove trovo l’indicazione del mio server e del mio indirizzo IP?).
- -all: tutti gli altri server vengono esplicitamente negati (hard fail).
In sintesi, questo record SPF indica che solo il server definito nel record A, i server definiti nei record MX e l’indirizzo IP 45.82.188.14 sono autorizzati a inviare email per conto di questo dominio. Tutti gli altri tentativi di invio vengono rifiutati.
Il DKIM verifica dell’autenticità e del contenuto
L’acronimo DKIM sta per DomainKeys Identified Mail ed è un protocollo che garantisce che le email inviate per conto del tuo dominio siano dotate di una firma digitale. Tale firma viene aggiunta automaticamente dal server che invia il messaggio ed è collegata a un record DNS configurato sul tuo dominio.
Quando il destinatario riceve l’email, il suo server di posta può verificare:
- se l’email proviene realmente dal tuo dominio
- se il contenuto del messaggio è stato modificato durante il percorso
Questo controllo aggiuntivo aumenta l’affidabilità delle tue email e riduce le probabilità che finiscano nella cartella spam. Su Cloud86, il DKIM non è attivo di default, ma puoi abilitarlo facilmente seguendo la nostra guida:
Se hai scelto di usufruire del nostro servizio di migrazione gratuito, ci assicuriamo che le impostazioni DKIM esistenti vengano trasferite o aggiornate correttamente. In questo modo, soprattutto se non hai competenze tecniche specifiche, non dovrai preoccuparti di impostare alcunché per far sì che le email inviate dal tuo dominio siano affidabili e sicure.
Il DMARC definisce la policy email e il controllo della sicurezza
L’acronimo DMARC sta per Domain-based Message Authentication, Reporting & Conformance ed è un ulteriore livello di sicurezza che si basa sui risultati dei protocolli SPF e DKIM. Tramite un record DMARC puoi definire cosa deve succedere se e quando un’email, inviata per conto del tuo dominio, non supera queste verifiche.
Ad esempio, puoi decidere che:
- l’email venga rifiutata (reject)
- l’email venga inserita nella cartella spam (quarantine)
- l’email venga accettata comunque, ad esempio solo a scopo di monitoraggio (none)
DMARC ti aiuta ad aumentare l’affidabilità del traffico email e a limitare il rischio di abuso del tuo dominio. Vuoi sapere se il tuo dominio ha già un record DMARC o verificarne il contenuto? Puoi controllarlo facilmente su mxtoolbox.com, nella sezione DMARC.
Esempio di record DMARC
| Nome | Tipo | TTL | RDATA |
| _dmarc | TXT | 14400 | "v=DMARC1; p=quarantine; rua=mailto:dmarc@cloud86example.com" |
Valore DMARC:
- v=DMARC1: indica che si tratta di un record DMARC versione 1.
- p=quarantine: le email che non superano i controlli DMARC vengono inserite nella cartella spam.
- rua=mailto:...: invia un report aggregato dei messaggi che non superano i controlli a un indirizzo email specificato dopo mailto. Consigliamo di utilizzare un indirizzo email dedicato per questi report. Oltre a rua, esiste anche ruf che invia un report per ogni singolo messaggio, invece di un riepilogo aggregato.
Esempio di rifiuto di un’email
Quando il server di posta del destinatario rifiuta un’email perché non supera il controllo DMARC (e la policy è impostata su reject), il mittente potrebbe ricevere un messaggio simile al seguente:
EN
Il tuo messaggio non è stato recapitato perché il provider email del destinatario lo ha rifiutato.
Informazioni diagnostiche per gli amministratori:
Server generatore: [nome server] [indirizzo destinatario]
Il server remoto ha restituito 550 5.7.509 Access denied, sending domain [dominio mittente] does not pass DMARC verification and has a DMARC policy of reject.'
Un messaggio di questo tipo comunica che il dominio del mittente non ha superato la verifica DMARC e che, in base alla policy configurata, l’email è stata rifiutata.
Posta elettronica sicura e affidabile con Cloud86
Per garantire che il tuo traffico email su Cloud86 sia affidabile, sicuro e funzioni correttamente, è importante che i record DNS siano configurati nel modo giusto. La tabella qui sotto contiene tutte le impostazioni essenziali necessarie per:
- la corretta consegna delle email (record A e MX)
- la protezione da spam e spoofing (record SPF, DKIM e DMARC)
Configurando questi record, oppure lasciando che il supporto di Cloud86 li configuri per te se scegli di far migrare il tuo indirizzo email, ti assicuri che le tue email siano sicure e ricevute senza problemi dal destinatario/dalla destinataria.
| Nome | Tipo | TTL | RDATA |
| @ | A | 14400 | <ip server> |
| webmail | A | 14400 | <ip server> |
| @ | MX | 14400 | 10 <dominio> |
| _dmarc | TXT | 14400 | "v=DMARC1; p=quarantine; sp=quarantine;" |
| _domainkey | TXT | 14400 | "o=-" |
| cloud86._domainkey | TXT | 14400 | <record dkim (Configurare il DKIM)> |
| @ | TXT | 14400 | "v=spf1 +a +mx +ip4:<ip server> -all" |
Come si evince dalla tabella, il tuo IP server <ip server> dovrà comparire nei record A e nel record TXT con SPF1. Per sapere come reperire questa informazione, ti suggeriamo la lettura del nostro articolo Plesk: dove trovo l’indicazione del mio server e del mio indirizzo IP?. Inoltre, nell’MX record, dovrai inserire il nome del tuo dominio <domain>.
Nota: stai usufruendo del nostro servizio di migrazione o stai trasferendo il tuo dominio su Cloud86? In questo caso ci occuperemo noi di creare o trasferire automaticamente le impostazioni, di cui parliamo in questo articolo, in modo corretto e completo.
Se hai bisogno di aiuto, puoi sempre contattare il nostro supporto via email all’indirizzo support@cloud86.io. Nei giorni feriali, dalle 9:00 alle 16:00 (CET), siamo disponibili anche telefonicamente e tramite la chat localizzata nella dashboard Il mio Cloud86.