SPF DKIM DMARC

SE NON RIUSCITE AD INVIARCI E-MAIL, LEGGETE ATTENTAMENTE.

Il protocollo SMTP – Simple Mail Transfert Protocol, che viene usato per trasferire i messaggi e-mail tra MTA – Mail Transfert Agent (i mailserver) e MUA – Mail User Agent (il client di posta elettronica degli utenti) nasce ad inizio degli anni ’80, quando i nodi Internet erano affidabili; si pensi che era possibile spedire una e-mail inviando tramite uno qualsiasi dei vari server SMTP, senza necessità di autenticazione.

Da tempo gli attori malevoli hanno cercato di sfruttare le vulnerabilità del protocollo SMTP per scopi illeciti, uno dei più rilevanti è certamente il phishing, ma anche per inviare e-mail che apparentemente risultassero provenire dallo stesso indirizzo e-mail (spoofing), facendo credere che essi avessero preso possesso della casella di posta elettronica o dell’intero mailserver.

Occorre inoltre ricordare che un account di posta elettronica compromesso può essere usato per inviare SPAM, e ricordiamo il recente caso STORM-1152 che ha coinvolto 750 milioni di account Outlook fraudolenti.

Da tempo – in ogni tavolo tecnico dedicato – evidenziamo come sia necessario un cambiamento radicale nella sicurezza del protocollo SMTP; sembrerebbe che tale momento sia giunto, e due colossi dei servizi e-mail mondiali, Google e Yahoo, hanno deciso di adottare misure restrittive, a far data dal 1° febbraio 2024.

La risposta alle esigenze di sicurezza del protocollo SMTP passa dalla adozione di strumenti di autenticazione delle e-mail, da tempo disponibili, chiamati SPF, DKIM, DMARC.

Insieme di questi tre strumenti impediscono ad entità non autorizzate di inviare e-mail fraudolente per conto del vostro dominio. In effetti non lo impediscono, ma offrono strumenti di verifica che il mailserver ricevente può adottare per validare l’autenticità di un messaggio che stà ricevendo.

Nello specifico, SPF e DKIM aiutano a dimostrare la legittimità del messaggio, mentre DMARC specifica al server di posta elettronica del destinatario cosa fare con le e-mail che non superano i controlli di autenticità.

Vediamo nel dettaglio cosa sono SPF, DKIM e DMARC.

SPF – Sender Policy Framework è uno strumento con il quale i proprietari dei domini indicano tutti i server da essi autorizzati a inviare e-mail per quello specifico dominio. Questo tramite la creazione di un record TXT SPF, pubblicato nel DNS autoritativo del dominio. Se un mailserver con indirizzo IP non presente nell’elenco tenta l’invio, l’autenticazione fallisce e l’e-mail viene contrassegnata come spam o rifiutata, in base alle policy del malserver ricevente.

DKIM – DomainKeys Identified Mail consente al mailserver del dominio di firmare automaticamente le e-mail inviate da quel dominio. Si tratta di una firma digitale – basata su protocolli crittografici a chiave pubblica – per convalidarne l’autenticità. Si memorizza una chiave pubblica in un record DKIM del server DNS autoritativo per il dominio. Il server di posta elettronica ricevente può verificare la chiave privata del mittente confrontandola con la chiave pubblica presente nel DNS.

DMARC – Domain-based Message Authentication, Reporting & Conformance indica al mailserver destinatario cosa fare qualora una e-mail non soddisfi i requisiti SPF, DKIM; questo avviene selezionando uno dei criteri possibili tra: none, quarantine e reject. Adottando la policy “none”, non viene intrapresa alcuna azione contro i messaggi che non superano i controlli di convalida. Il criterio “quarantine” determina che il messaggio non autenticato finisce nella cartella spam, mentre il criterio “reject” rifiuta la mail e quindi impedisce la consegna nella casella di posta destinataria. Anche le politiche DMARC sono impostate in un record DMARC che contiene anche le istruzioni per inviare agli amministratori di dominio i rapporti su tutte le e-mail che superano o meno i controlli di convalida. Questa funzionalità è essenziale per avere conto di cosa succede alle e-mail che il vostro mailserver invia, ed anche il tasso di rifiuto (eventualmente causato da altri soggetti che inviano e-mail al vostro posto).

Il nostro mailserver proprietario è da tempo configurato per usare le chiavi di autenticazione DNS SPF – DKIM – DMARC. Da febbraio 2024 – al pari di Yahoo e Gmail – anche noi abbiamo adottato politiche più stringenti per la ricezione delle e-mail da terzi.

Questo potrebbe determinare che messaggi provenienti da domini che non dispongono di chiavi SPF – DKIM – DMARC – correttamente configurate nel DNS – finiscano nello SPAM o siano rifiutati.

Qualora vi accorgiate che il vostro messaggio non ha avuto risposta, controllate se il vostro dominio è correttamente configurato.

Nel caso che le chiavi DNS SPF – DKIM – DMARC del vostro dominio non siano a posto, chiedeteci un indirizzo e-mail alternativo che abbiamo predisposto appositamente per non effettuare tali controlli.