extra_toc

Nell'era dello spam, l'autenticazione delle email dovrebbe essere tra le principali preoccupazioni non solo per i professionisti del marketing, ma per chiunque mandi email da un dominio proprio. Oggi vediamo di cosa si tratta, e come mettere a punto l’autenticazione per i tuoi indirizzi.

Che cos'è esattamente l'autenticazione email?

L'autenticazione della posta elettronica è un processo di verifica del mittente dell'e-mail, che fornisce la garanzia che non sia stato manomesso. L’autenticazione protegge sia l'identità del mittente, che il destinatario dalla ricezione di e-mail dannose.

Ad oggi sono molto frequenti i casi in cui uno spammer utilizza l'indirizzo e-mail di qualcun altro per inviare messaggi di spam o phishing. Fingendo di inviare e-mail dal tuo dominio - una pratica nota come spoofing - gli spammer possono indurre con l'inganno i tuoi clienti a fornire le loro password, informazioni sull'account e altre informazioni di identificazione personale per il proprio tornaconto.

Oltre alla brutta esperienza per i tuoi contatti, a volte anche disastrosa, avvenimenti del genere possono erodere la fiducia complessiva nel tuo marchio e nelle tue comunicazioni.

Per la stragrande maggioranza dei destinatari può essere difficile riuscire a comprendere la differenza tra un mittente legittimo e uno che si finge qualcun altro. È qui che entra in gioco l'autenticazione della posta elettronica, che consente al destinatario di sapere quando il mittente di una mail è genuino.

Quali sono i vantaggi dell'autenticazione email?

Come abbiamo appena detto, l’autenticazione della posta elettronica aiuta a mitigare gli attacchi di phishing fornendo garanzie sul mittente. Pertanto, aumenta la fiducia nelle tue email e nel tuo brand.

Come potrai immaginare, inoltre, l’autenticazione email è un parametro di fondamentale importanza per quanto riguarda l’email deliverability. La verifica del mittente è tra i primi valori calcolati da meccanismi di lotta allo spam come SpamAssassin, che vedremo nel dettaglio in un prossimo contenuto, e di conseguenza, se hai impostato un qualunque genere di email marketing, farai bene ad assicurarti quanto prima di avere una corretta autenticazione delle tue email.

Come verificare se ho l'autenticazione email?

Il modo più rapido per verificare che sia tutto ok sono probabilmente gli strumenti messi a disposizione da MxToolbox. Accedendo al sito basta andare al Supertool, che è lo strumento che raccoglie tutti i test sulla salute di server email e dominio, e andare a fare i seguenti test:

  • SPF Record Lookup
  • DKIM Lookup
  • DMARC Lookup

Lo strumento ci restituirà la situazione dei record che ci interessano per l’autenticazione, e in caso di problemi, alcuni consigli per risolverli.

Come autenticare le tue email

Non stiamo parlando della più semplice delle operazioni, l’autenticazione delle email è una materia piuttosto complessa, e sarebbe meglio farla affrontare a chi ha una certa dimestichezza con l’argomento. Se sei tu quella figura, o ti senti comunque di voler affrontare questo argomento con le tue forze, ora andiamo al sodo. Ti invito però a prestare la massima attenzione: un errore di autenticazione può peggiorare la situazione, o addirittura compromettere la capacità di invio della posta elettronica.

I record DNS: cosa sono e perché ci interessano

Prima di parlare di Autenticazione dobbiamo parlare di Record DNS, poiché saranno lo strumento attraverso cui andremo ad autenticare il nostro dominio e le nostre email.

Un record DNS è sostanzialmente una voce di database che collega un URL al suo indirizzo IP. DNS è un acronimo che sta per Domain Name System.

Per fare un esempio pratico, immagina il sistema dei DNS come il sistema di indirizzi fisici che usiamo per trovare gli edifici: tu sai che se devi raggiungere il Colosseo dovrai andare in Piazza del Colosseo 1 a Roma, perché qualcuno ha mappato per te il territorio con degli indirizzi facilmente riconoscibili il sistema di coordinate, che altrimenti ti costringerebbe a ricordare che l’Anfiteatro Flavio si trova alle coordinate latitudine 43.6625241,longitudine 10.4825567.

Il funzionamento dei DNS è esattamente lo stesso. Il sistema dei DNS ci permette di scrivere https://google.com invece di 216.239.38.10. Comodo, no?

Ma dove possiamo verificare e modificare i nostri Record DNS?

Se il tuo hosting è dotato di CPanel, troverai il tasto DNS Zone Editor nella sezione Domini.

DNS Zone Editor in CPanel

Entrando, ti troverai davanti l’intera lista dei record DNS configurati per il tuo dominio.

1. Autenticazione dell’indirizzo IP con SPF

Il primo meccanismo di autenticazione che analizzeremo è SPF: Sender Policy Framework, il cui scopo è proteggere il tuo dominio dallo spoofing, definendo i server di posta che possono inviare email utilizzando quel determinato dominio.

Il record SPF è un record di tipo TXT. Quindi la prima cosa da fare è assicurarci che non esista già, cercando tra i record TXT che non ce ne sia uno che inizi con v=spf1.

Per creare o modificare il nostro record SPF dovremo creare un record TXT che abbia come nome il nostro nome dominio es nomesito.ext e un valore composto come segue. Quella che vediamo per lo scopo di questo articolo è la configurazione più semplice possibile, vi rimando alla guida Google nel link alla fine del paragrafo per configurazioni più complesse.

v=spf1 include:servermail.ext ~all

Il primo valore v=spf1 dichiara che quello è un record SPF, il secondo valore, include:servermail.ext comunica un servermail che può mandare email con quel nome dominio. Nello stesso record possiamo avere diversi include, ad esempio un record scritto così:

v=spf1 include:ilmioserver.ext include:amazonses.com ~all

ci permette di inviare email sia dal server mail ilmioserver.ext, sia con il servizio mail di Amazon Ses. Sarà il provider di servizi a cui ti rivolgi a fornirti l’indirizzo del server mail da aggiungere al tuo record.

Infine troviamo il valore _all _che può essere preceduto da un trattino “-” o da una tilde “~”.

Nel caso del trattino, stiamo comunicando ai server riceventi di bloccare tutte le mail in arrivo dal nostro dominio e non provenienti da uno dei server autorizzati. Nel caso della tilde invece, le mail non saranno bloccate ma etichettate come sospette. Per evitare problemi si tende ad usare ~all per i domini da cui inviamo mail.

Possiamo avere un solo spf per ogni dominio, ma quando parliamo di dominio parliamo sia di secondo che di terzo livello.

Ad esempio possiamo avere un record SPF per nomesito.ext, uno per blog.nomesito.ext, uno per mail.nomesito.ext e così via.

La prassi migliore è quella di creare un SPF per ogni dominio, facendo attenzione a tutti gli include da aggiungere ai domini che utilizziamo effettivamente per inviare email, e utilizzando invece un record per il blocco totale delle mail per tutti i domini da cui siamo sicuri di non voler inviare alcuna email. Ad esempio, il dominio di terzo livello blog.nomesito.ext sicuramente avrà un record come questo:

v=spf1 -all

Per approfondire: Definisci il tuo record SPF - Setup Avanzato [Google]

2. Autenticazione delle email con DKIM

DKIM sta per DomainKeys Identified Mai e anche in questo caso si tratta di un record TXT.

Un record DKIM aggiunge una chiave crittografica per l’identificazione del mittente a tutte le email che inviamo. Il server del destinatario la confronterà con una firma pubblica pubblicata nel record DNS del mittente, per decodificare la firma e verificarne l’autenticità.

Per poter utilizzare una firma DKIM dovremo innanzitutto generarla. Molti email provider, come Amazon SES, permettono la generazione di chiave pubblica e privata attraverso un tool interno. In caso contrario possiamo usufruire di un servizio online come lo strumento dedicato di SparkPost.

Oltre a generare la coppia di chiavi, lo strumento genererà direttamente il record DNS che potremo aggiungere come nuovo record TXT.

In alternativa, chi usa CPanel, può recarsi nella sezione Email Deliverability e utilizzare la chiavi DKIM consigliate.

3. Autenticazione delle email con DMARC

Il terzo sistema di autenticazione che guarderemo è DMARC [Domain-based Message Authentication, Reporting and Conformance] e si basa sui precedenti due. Quando un messaggio non supera uno dei controlli SPF o DKIM, il record DMARC indica al server del destinatario cosa fare con quella mail.

Nel caso di DMARC, il nome del record, sempre TXT, dovrà essere _dmarc, mentre il valore andrà costruito in questo modo:

  • il primo tag sarà sempre v=DMARC1
  • il secondo tag sarà p= seguito dal comportamento da adottare, scegliendo tra none, quarantine, e reject, che rispettivamente significano non fare niente, metti in quarantena, e rifiuta, che non fa proprio arrivare la comunicazione alla casella del destinatario.

Dopodiché ci saranno le opzioni di autenticazione. Data la complessità dell’argomento e il numero di opzioni possibili, ti rimando alla guida google sull’argomento: Definire il record DMARC

E con questo abbiamo concluso, spero di essere riuscito a restituirti una panoramica quanto più semplice possibile su un argomento complesso come l’autenticazione email. Alla prossima!

Alessandro De Cenzo
Author: Alessandro De Cenzo
Apre il suo primo sito a 12 anni. Da allora non ha mai smesso di interessarsi al digitale. Multipotenziale e geek convinto, ha trovato nel Growth Hacking la valvola di sfogo della sua incapacità di scegliere un ambito in cui specializzarsi. Cofounder di _blank.
Altri articoli dello stesso autore

Aggiungi commento