L'autenticazione delle email è essenziale per mantenere un canale di comunicazione sicuro e affidabile. Il Sender Policy Framework (SPF) e il DomainKeys Identified Mail (DKIM) sono due protocolli che aiutano a verificare la legittimità delle email, a prevenire lo spoofing e ad aumentare la recapitabilità. Questa guida illustra tutto ciò che devi sapere sull'autenticazione dei domini con i protocolli SPF e DKIM utilizzando Mailjet.
Perché autenticare il proprio dominio?
L'autenticazione delle email ha due scopi fondamentali:
- Proteggere il marchio: verificando che le email provengono da server autorizzati, SPF e DKIM impediscono ai mittenti non autorizzati di spacciarsi per il tuo dominio. Ciò contribuisce a salvaguardare il tuo marchio dagli attacchi di phishing e dallo spoofing del dominio, rendendo più facile l'identificazione delle email illegittime.
- Migliorare la recapitabilità delle email: i fornitori di servizi Internet (ISP) utilizzano SPF e DKIM per verificare le email in arrivo. Se implementi questi protocolli, è più probabile che le tue email raggiungano la casella di posta del destinatario invece di essere contrassegnate come spam.
Che cos'è l'SPF?
SPF è un protocollo di autenticazione delle email che consente ai proprietari di domini di specificare quali server di posta sono autorizzati a inviare email per conto del loro dominio. Funziona pubblicando un record SPF, un tipo specifico di record DNS TXT, nelle impostazioni DNS del dominio.
Come funziona l'SPF
Quando viene inviata un'email, il server ricevente controlla il record SPF per assicurarsi che l'email sia stata inviata da un indirizzo IP o da un nome host autorizzato. Se il server di invio corrisponde a un indirizzo IP o a un nome host elencato nel record SPF, l'email è considerata legittima.
Configurazione dell'SPF con Mailjet
Per configurare l'SPF per il tuo dominio con Mailjet:
- Accedi alle impostazioni DNS del fornitore del dominio.
-
Aggiungi un nuovo record TXT con il seguente valore:
-
Nome/Host: usa
@
o lascia il campo vuoto per applicare il valore al dominio principale. -
Valore:
v=spf1 include:spf.mailjet.com ~all
-
Nome/Host: usa
L'istruzione include:spf.mailjet.com
indica ai server dei destinatari che i server di Mailjet sono autorizzati a inviare email per conto del tuo dominio. L'aggiunta di ~all
alla fine significa che qualsiasi server non elencato nel record SPF deve essere considerato sospetto.
Se sono necessari più record SPF per un dominio, è necessario raggrupparli in un unico record per garantire il corretto funzionamento. Ecco un esempio di come eseguire questa operazione:
Record SPF originali:
v=spf1 include:spf.example1.com ~all
v=spf1 include:spf.mailjet.com ~all
Occorre mantenere una sola voce TXT per questo dominio ed eliminare le altre. Il record TXT raggruppato deve avere questo aspetto:
Dopo l'unione:
v=spf1 include:spf.example1.com include:spf.mailjet.com ~all
Che cos'è il DKIM?
Il DKIM è una tecnica di autenticazione delle email che aggiunge una firma digitale ai messaggi di posta elettronica. Questa firma consente al server di posta elettronica ricevente di verificare che il contenuto dell'email non sia stato alterato e che l'email sia stata inviata da un dominio autorizzato.
Come funziona il DKIM
Il protocollo DKIM funziona utilizzando la crittografia a chiave pubblica e privata. Quando si invia un'email, Mailjet la firma con una chiave privata e il server del destinatario la verifica utilizzando la chiave pubblica corrispondente, pubblicata nei record DNS del dominio. Se le firme corrispondono, si conferma che l'email è legittima e non è stata manomessa durante il percorso.
Configurazione del DKIM con Mailjet
Per configurare il DKIM per il tuo dominio con Mailjet:
- Accedi alle impostazioni DNS del fornitore del dominio.
-
Aggiungi un nuovo record TXT con il seguente valore:
-
Nome/Host:
mailjet._domainkey.yourdomain.com.
(sostituisciyourdomain.com
con il nome del tuo dominio). -
Valore/Target:
k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNAD....
(Inserisci la chiave DKIM fornita da Mailjet. La chiave si trova nell'account Mailjet nella sezione Autenticazione SPF/DKIM).
-
Nome/Host:
Questa configurazione assicura che tutte le email in uscita siano firmate con la chiave DKIM di Mailjet, fornendo ai server di destinazione una maggiore garanzia sulla legittimità delle email.
Tieni presente che alcuni fornitori di domini potrebbero richiedere che l'intero valore TXT sia racchiuso tra virgolette doppie. In caso di dubbi, è consigliabile consultare il team di assistenza del fornitore per richiedere chiarimenti.
Inoltre, alcuni fornitori potrebbero aggiungere automaticamente il nome di dominio alla fine del valore TXT nel campo Host. Assicurati di ricontrollare il testo nel campo Host dopo aver salvato il record.
Considerazioni sulla velocità in bit di una chiave DKIM
La velocità in bit di una chiave DKIM si riferisce al livello di crittografia utilizzato per l'autenticazione delle email. In genere, le chiavi DKIM sono generate con diverse velocità in bit, ad esempio:
- 1024 bit: è la velocità in bit più comune per le chiavi DKIM ed è considerata sicura per la maggior parte degli scopi. Offre un buon equilibrio tra sicurezza e prestazioni ed è ampiamente accettata dai fornitori di posta elettronica.
- 2048 bit: questa velocità in bit offre una crittografia più forte e una maggiore sicurezza rispetto alle chiavi a 1024 bit. Molte organizzazioni utilizzano chiavi a 2048 bit per proteggere le proprie email da potenziali progressi in termini di crittografia.
- 4096 bit: si tratta di una velocità in bit ancora più elevata, ma è meno comune a causa del suo potenziale impatto sulle prestazioni e dei limiti di dimensione del DNS. La maggior parte dei fornitori di domini è in grado di gestire chiavi DKIM a 1024 e 2048 bit, ma una velocità di 4096 bit richiede considerazioni particolari e potrebbe essere fin troppo alta per la maggior parte dei casi d'uso.
Raccomandazione: in genere si consiglia di utilizzare una chiave DKIM a 2048 bit per una maggiore sicurezza, soprattutto in considerazione della crescente sofisticazione delle minacce informatiche. Assicurati che il tuo fornitore di dominio supporti le chiavi a 2048 bit e aggiorna periodicamente la chiave DKIM per mantenere la sicurezza.
I domini autenticati esistenti, tuttavia, non verranno modificati in modo automatico. Gli utenti che intendono passare a chiavi da 2048/4096 bit devono rigenerare i record DKIM e aggiornare di conseguenza le impostazioni DNS dei propri domini. Ciò garantisce di mantenere un traffico email affidabile per i fornitori e i client di posta elettronica.
Aggiornamento della velocità in bit di una chiave DKIM
- Seleziona Account > Domini e indirizzi mittente > Autenticazione SPF/DKIM > Configura l'autenticazione SPF/DKIM.
- Clicca su Rigenera chiave nella sezione DKIM e scegli la dimensione della chiave desiderata.
- Conferma la modifica e clicca di nuovo su Rigenera chiave per procedere.
Verifica dei record SPF e DKIM
Dopo aver aggiunto i record SPF e DKIM, è importante verificare che siano configurati correttamente. È possibile farlo dal proprio account Mailjet:
- Accedi a Mailjet e seleziona Impostazioni account > Domini e DNS.
- Seleziona il tuo dominio e verifica se i record SPF e DKIM sono configurati correttamente.
Se il dominio è autenticato correttamente, vedrai un segno di spunta verde accanto a SPF e DKIM.
Autenticazione SPF e DKIM tra diversi fornitori
Gandi
Passaggio 1: Accedere a Gandi.net
- Apri una nuova scheda nel browser web e accedi all'account Gandi.
- Nel pannello di sinistra, seleziona Domains (Domini).
- Seleziona il dominio che vuoi autenticare per l'invio con Mailjet.
- Vai alla scheda DNS Records (Record DNS).
Passaggio 2: Convalidare il dominio in Mailjet
- Nell'account Mailjet, vai alla pagina Domini e mittenti sotto Impostazioni account.
- Sotto Domini e indirizzi mittente viene visualizzato un elenco di tutti i domini di invio con il relativo stato. Ogni volta che aggiungi un nuovo indirizzo email o dominio mittente, questo sarà visualizzato automaticamente nella pagina Invio dell'autenticazione del dominio.
- Per convalidare un dominio specifico, è sufficiente fare clic sulla ruota dentata accanto al dominio e scegliere "Convalida".
- Tieni aperta la finestra perché dovrai copiare queste informazioni nei tuoi record DNS.
- Torna all'account Gandi e seleziona Add Record (Aggiungi record).
- Dal menu a tendina Type (Tipo), scegli TXT.
- In Mailjet, copia il valore (nell'esempio utilizzeremo la seconda opzione) dal campo Host e incollalo nel campo Name (Nome) di Gandi.
- Copia il valore dal campo Valore di Mailjet e incolla nel campo Text Value (Valore testuale) di Gandi.
- Clicca su Create (Crea) per aggiungere il record.
- Torna a Mailjet e clicca su Convalida il mio dominio.
Passaggio 3: Autentica il dominio con i record SPF e DKIM
È necessario aggiungere entrambi i record SPF e DKIM per autenticare il dominio:
Creare un record SPF
- In Gandi, clicca su Add Record (Aggiungi record) e seleziona TXT come tipo di record.
- Nel campo Name (Nome), inserisci @ (o il nome del sottodominio, se vuoi autenticare un sottodominio).
- Copia il valore SPF da Mailjet e incollalo nel campo Value (Valore) del record TXT.
- Clicca su Create (Crea) per aggiungere il record SPF.
Creare un record DKIM
- In Gandi, clicca su Add Record (Aggiungi record) e seleziona TXT come tipo di record.
- Copia il valore del campo Nome da Mailjet e incollalo nel campo Name (Nome) di Gandi.
- Copia il campo Valore da Mailjet e incollalo nel campo Text Value (Valore testuale) di Gandi.
- Clicca su Create (Crea) per aggiungere il record DKIM.
Passaggio 4: Aggiorna e verifica i record DNS
Dopo aver aggiunto entrambi i record, aggiorna le impostazioni DNS per convalidare il dominio:
Quando entrambi i record sono configurati correttamente, vedrai le notifiche di stato verdi per ciascun record. Quando i banner sono verdi, il dominio è pronto per inviare email.
Migliori pratiche per SPF e DKIM
-
Utilizza un meccanismo softfail (
~all
), hardfail (-all
) o neutral (?all
):~all
indica che i server non autorizzati sono contrassegnati come sospetti ma comunque accettati, mentre-all
rifiuta completamente le email non autorizzate. Il meccanismo?all
specifica che i server non elencati devono essere trattati in modo neutrale, ovvero non viene applicato alcun pregiudizio positivo o negativo. Scegli un meccanismo in base alla tolleranza al rischio e al livello di rigidità che vuoi applicare. -
Combina il protocollo con DMARC: l'aggiunta di un record Domain-based Message Authentication, Reporting & Conformance (DMARC) insieme ai protocolli SPF e DKIM aumenta il livello di protezione del dominio contro spoofing e phishing. Il record DMARC aiuta a definire le politiche di gestione delle email che non superano i controlli SPF o DKIM, fornendo un ulteriore livello di protezione.
Scopri di più su DMARC consultando la nostra guida dettagliata: Informazioni sull'autenticazione DMARC.
- Monitora regolarmente i rapporti: usa i rapporti DMARC per ottenere informazioni su eventuali controlli SPF o DKIM non riusciti e per notare eventuali usi non autorizzati del dominio. L'analisi di questi rapporti permette di identificare potenziali abusi e prendere le misure del caso.
- Verifica la coerenza dei record DNS: assicurati che tutti i domini utilizzati per l'invio di email abbiano record SPF, DKIM e DMARC coerenti. Registrazioni incoerenti possono abbassare la recapitabilità e persino far sì che le email vengano segnalate come spam.
Risoluzione dei problemi comuni
- Tempo di propagazione: la propagazione delle modifiche al DNS può richiedere da pochi minuti a 48 ore. Verifica la configurazione di SPF e DKIM dopo che è trascorso un tempo sufficiente.
-
Risoluzione dei problemi relativi all'SPF: l'identificazione e la correzione di configurazioni errate o di errori nei record SPF è fondamentale per prevenire i problemi di consegna. Questa guida ti aiuterà a risolvere i problemi comuni relativi alla configurazione dell'SPF.
- Il record SPF è un record TXT: non confonderlo con il tipo SPF. È possibile usare il tipo SPF, non è raccomandato nel settore.
-
Record SPF multipli: è possibile avere un solo record SPF per un dominio. Se il tuo dominio ha già un record SPF, modificalo in modo che includa Mailjet
(include:spf.mailjet.com
) invece di aggiungere un record separato. -
Record SPF troppo lungo (limite massimo di 10 voci SPF): a volte i record SPF possono diventare troppo lunghi se si dispone di molti servizi di posta elettronica. Per risolvere il problema, potrebbe essere necessario raggruppare i record o utilizzare sottodomini per servizi diversi.
Il limite di 10 ricerche SPF rappresenta una problema quando le query DNS raggiungono questa soglia, con conseguenti errori permanenti SPF come unnumero eccessivo di ricerche DNS
o unpermerror
. È importante sapere che la query DNS per il record di politica SPF non contribuisce a questo limite. I validatori del destinatario valutano in sequenza la politica SPF e il processo di valutazione si interrompe quando scopre una corrispondenza con l'indirizzo IP del mittente. A seconda del mittente, un validatore potrebbe non raggiungere il limite di 10 ricerche SPF, anche se la politica richiede più di 10 ricerche SPF per una valutazione approfondita. Questa complessità si aggiunge alla difficoltà di identificare i problemi di recapitabilità delle email associati ai limiti dei record SPF.
- DKIM non autenticato: assicurati che il record TXT sia configurato esattamente come indicato da Mailjet, senza spazi aggiuntivi o errori.
- Il record DKIM è un record TXT: viene pubblicato nel DNS come record TXT e contiene la chiave pubblica utilizzata per verificare che un messaggio email sia stato effettivamente autorizzato dal proprietario del dominio.
- Email rifiutata nonostante l'impostazione corretta: alcuni server di ricezione utilizzano controlli di autenticazione aggiuntivi. Considera la possibilità di combinare SPF, DKIM e DMARC per un approccio di autenticazione più completo.
Misure di sicurezza aggiuntive
Oltre a SPF e DKIM, è opportuno considerare l'implementazione delle seguenti misure di sicurezza:
- DMARC: l'aggiunta di un record DMARC consente di impostare le politiche di gestione delle email che non superano i controlli SPF o DKIM. Il record DMARC fornisce rapporti con dati preziosi, che possono aiutare a monitorare l'attività delle email e a identificare potenziali problemi di spoofing del dominio. I protocolli SPF e DKIM sono importanti per identificare se un'email proviene veramente da una fonte affidabile, ma solo il DMARC può imporre azioni che impediscono l'invio di email di spoofing. Per proteggere completamente il dominio e i destinatari dallo spoofing, è necessario implementare tutti e tre i protocolli, con il DMARC che funge da meccanismo di controllo per l'applicazione delle politiche di sicurezza.
Conclusioni
La configurazione dell'autenticazione SPF e DKIM è fondamentale per proteggere il dominio e migliorare la recapitabilità delle email. Seguendo i passaggi descritti in questo articolo, puoi inviare con fiducia le email tramite Mailjet, sapendo che hanno meno probabilità di essere segnalate come spam e più probabilità di essere considerate affidabili dai destinatari.
Per migliorare ulteriormente la sicurezza delle email del tuo dominio, prendi in considerazione l'implementazione del DMARC. Questo protocollo lavora in tandem con i protocolli SPF e DKIM per fornire un quadro completo di autenticazione e sicurezza delle email.
Per ulteriori indicazioni, leggi la documentazione dettagliata di Mailjet o contatta il nostro team di supporto per ricevere assistenza.