Vai al contenuto 
SPF, DKIM, DMARC e BIMI sono strumenti essenziali per garantire l'autenticità e la sicurezza delle e-mail aziendali. Chi implementa SPF DKIM non solo riduce il rischio di spoofing e phishing, ma migliora anche la deliverability e la percezione delle proprie e-mail.
Punti centrali
- SPF definisce quali server sono autorizzati a inviare e-mail per conto di un dominio.
- DKIM protegge il testo del messaggio da manipolazioni e ne conferma l'autenticità.
- DMARC unisce SPF e DKIM a una linea guida per la segnalazione e l'applicazione.
- BIMI mostra il vostro logo nella casella di posta, solo se il sistema di protezione è configurato correttamente.
- Applicazione dei protocolli aumenta la fiducia, la visibilità e i tassi di consegna del traffico e-mail.
Cosa fa davvero l'SPF
SPF (Sender Policy Framework) è un meccanismo basato sul DNS per determinare quali server di posta sono autorizzati a inviare e-mail per conto di un dominio. Ciò significa che solo i server autorizzati sono presenti in questo elenco, mentre tutti gli altri sono considerati sospetti. Se un messaggio viene inviato tramite un server non presente nell'elenco, viene classificato come potenzialmente pericoloso o bloccato dal sistema ricevente.
La forza di questo protocollo risiede nella sua semplicità. Offre una protezione affidabile contro gli attacchi di spoofing, in cui gli indirizzi dei mittenti vengono falsificati per effettuare, ad esempio, il phishing. Per le aziende, in particolare, si tratta di un passo indispensabile verso una comunicazione sicura via e-mail.
Faccio particolare attenzione a non utilizzare caratteri jolly come "*" nell'SPF, in quanto si prestano ad abusi. Invece, nel record SPF del mio dominio possono comparire solo server di posta e indirizzi IP noti. Le modifiche importanti ai server di spedizione devono sempre essere aggiornate direttamente nelle impostazioni DNS.
È inoltre consigliabile pianificare con attenzione le varie voci possibili nell'SPF. A includere-Ad esempio, una voce relativa a un fornitore esterno di newsletter dovrebbe essere applicata solo al servizio effettivamente utilizzato. Anche l'ordine delle voci può essere rilevante: l'SPF viene annullato se ci sono troppe voci. lookup (default: massimo 10) è problematico. Per questo motivo, stabilisco in anticipo quali servizi di mittente sono davvero necessari. Per le aziende più grandi, vale anche la pena di suddividere in sottodomini se diversi team o reparti lavorano con server di posta diversi. In questo modo si aumenta la visione d'insieme e si evitano sovrapposizioni accidentali.
Le difficoltà sorgono spesso anche con l'inoltro, perché con un In avanti I server di posta elettronica riceventi possono perdere le informazioni sull'IP del mittente originale. Questo è il motivo per cui un controllo SPF a volte fallisce, anche se la posta è legittima. In questo caso il DMARC (insieme al DKIM) può aiutare a verificare comunque il mittente. Ciò consente di intercettare l'inoltro correttamente configurato senza spostare le e-mail autorizzate nella cartella dello spam.
Firme digitali con DKIM
DKIM (DomainKeys Identified Mail) non solo protegge le e-mail dalla falsificazione del mittente, ma anche dalla manipolazione del contenuto. Ogni messaggio inviato è dotato di una firma individuale sul lato server, derivata dal contenuto stesso. La chiave pubblica è disponibile nel DNS del dominio, in modo che ogni server ricevente possa verificarne l'autenticità.
Questa firma digitale rende impossibile modificare un messaggio durante il percorso senza che questo venga notato. Contenuti compromessi, link manipolati o allegati scambiati vengono smascherati in modo affidabile. Inoltre, un controllo DKIM riuscito dimostra al sistema ricevente che il mittente è affidabile, migliorando così il tasso di consegna.
Realizzazione praticaGenero la chiave pubblica e privata tramite il mio server di posta. Poi inserisco la chiave pubblica come record TXT nel DNS. Da quel momento in poi, il server di posta aggiunge automaticamente la firma a ogni messaggio in uscita - i destinatari ne verificano la validità con la chiave pubblicata.
Quando si imposta il DKIM, si dovrebbe utilizzare anche il cosiddetto Selettore tenere d'occhio. In questo modo è possibile gestire diverse chiavi pubbliche in parallelo. Ad esempio, se ruoto una chiave, posso aggiungere un nuovo selettore ed eliminare quello vecchio dopo una fase di transizione. In questo modo si garantisce una firma continua e si evitano problemi quando si cambia chiave.
Un'altra raccomandazione è quella di sostituire (ruotare) regolarmente le chiavi. Io sostituisco le chiavi a intervalli di 6-12 mesi per ridurre al minimo i potenziali rischi per la sicurezza. Se una chiave privata viene compromessa, posso reagire rapidamente e continuare a proteggere le firme.
DMARC: linee guida, controllo e rapporti
DMARC combina SPF e DKIM in una decisione di controllo olistica e determina il modo in cui il server di posta ricevente gestisce i controlli falliti. Come proprietario del dominio, posso decidere cosa fare con i messaggi non autenticati: ignorarli, spostarli in quarantena o bloccarli.
I rapporti DMARC sono un componente importante: forniscono un feedback quotidiano sulle e-mail inviate sotto il mio dominio e se hanno superato i controlli. Questo rende trasparente l'abuso e mi permette di riconoscere tempestivamente i tentativi di attacco.
Per un funzionamento produttivo, consiglio chiaramente il criterio "rifiuta", ma solo dopo una fase di osservazione con "nessuno" e successivamente "quarantena". Analizzo regolarmente i miei rapporti e ottimizzo la protezione con uno strumento di monitoraggio, ad esempio Analizzare i rapporti DMARC in modo mirato.
Un aspetto che molte aziende inizialmente sottovalutano è la questione dei requisiti di allineamento nel DMARC. Affinché il DMARC classifichi un'e-mail come autenticata, il mittente e il DKIM/dominio devono corrispondere (il cosiddetto Allineamento). Questo può essere fatto in modo "rilassato" o "rigoroso". Rigoroso significa che il dominio nell'intestazione "From" deve corrispondere esattamente a quello della firma DKIM. Ciò impedisce a un utente malintenzionato di utilizzare un sottodominio che, ad esempio, è valido per SPF o DKIM, ma falsifica il dominio principale del mittente visibile.
A seconda dell'infrastruttura tecnica, un allineamento rigoroso può essere impegnativo. I sistemi CRM, le piattaforme di newsletter o i servizi esterni che inviano e-mail per conto del dominio principale devono essere impostati correttamente. Evito l'uso di sottodomini non necessari o li imposto deliberatamente in modo che ogni sottodominio abbia il proprio selettore DKIM e la propria voce SPF. Questo mi permette di mantenere una visione d'insieme coerente e di identificare più rapidamente eventuali problemi di autenticazione.
BIMI: rendere visibile la sicurezza
BIMI (Brand Indicators for Message Identification) evidenzia le e-mail visualizzando il logo ufficiale nella casella di posta. Tuttavia, questa funzione di visibilità funziona solo se i controlli SPF, DKIM e DMARC vengono superati correttamente e se DMARC è impostato su "quarantena" o "rifiuto".
Ho creato il mio logo in formato SVG con SVG Tiny P/S e ho acquistato un certificato VMC adatto. Ho poi impostato una linea DNS secondo le specifiche BIMI. Il risultato: il logo della mia azienda appare nella casella di posta dei servizi di posta elettronica compatibili, creando fiducia e rafforzando la fedeltà al marchio.
Passo dopo passo, vi mostro come BIMI con logo reso visibile nella casella di posta elettronica.
L'implementazione del BIMI richiede spesso un approccio coordinato all'interno dell'azienda. I responsabili del marketing vogliono posizionare il logo, i responsabili dell'IT devono assicurarsi che le voci DNS e i protocolli di sicurezza siano corretti e l'ufficio legale presta attenzione ai dati del certificato. È proprio in questa interazione tra i reparti che è essenziale un adeguato coordinamento. Io elaboro un piano di progetto chiaro, in modo che tutte le fasi non vengano dimenticate o eseguite più di una volta.
Confronto tecnico dei protocolli
In questa tabella, confronto i quattro protocolli per illustrare chiaramente le loro funzioni:
| Protocollo | Scopo primario | È necessario inserire il DNS | Previene lo spoofing? | Altri vantaggi |
|---|---|---|---|---|
| SPF | Indirizzi IP mittente fissi | Sì (TXT) | Sì (solo con controllo del passaporto) | Migliorare il tasso di consegna |
| DKIM | Contenuto firmato sicuro | Sì (TXT con chiave pubblica) | Sì | Integrità del messaggio |
| DMARC | Applicazione + segnalazione | Sì (TXT) | Sì | Controllo dei protocolli a livello centrale |
| BIMI | Visibilità del marchio | Sì (TXT + VMC opzionale) | Solo in combinazione con DMARC | Mittenti affidabili |
SPF svolge un ruolo fondamentale all'interno di questi protocolli, in quanto chiude fin dall'inizio i gateway per i mittenti contraffatti. DKIM garantisce inoltre che il contenuto del messaggio rimanga invariato. DMARC combina entrambe le cose con chiare regole di applicazione e preziosi report. Infine, BIMI migliora il tutto dal punto di vista visivo, rendendo il mittente riconoscibile per il destinatario. La combinazione di questi protocolli va quindi ben oltre una pura soluzione anti-spam: migliora l'immagine complessiva del marchio e rafforza la fiducia nella comunicazione digitale a lungo termine.
Realizzazione in pratica
Il mio consiglio: implementare prima SPF e verificare se i server di posta legittimi sono elencati correttamente. Segue DKIM insieme alla chiave di firma. DMARC viene per ultimo come istanza di controllo. Non appena tutti i controlli sono privi di errori e gli abusi sono esclusi, passo a "rifiutare" e quindi attivo completamente BIMI.
Se volete approfondire le impostazioni tecniche, troverete una panoramica in questo articolo. Guida tecnica compatta all'autenticazione delle e-mail.
Per esperienza pratica, posso anche dire che una fase di test approfondita è fondamentale. Durante questo periodo, invio regolarmente tutte le e-mail, monitoro i rapporti DMARC e mi assicuro che tutti i servizi utilizzati siano inseriti correttamente. Spesso si dimenticano le newsletter esterne, il CRM o gli strumenti di supporto. Ogni singola fonte che rivendica i diritti di mittente sotto il mio dominio deve essere annotata nell'SPF e, se possibile, inclusa nel DKIM. Se le e-mail vengono respinte da qualche parte, possono essere incluse nei rapporti DMARC, il che è estremamente utile per il debug e la messa a punto finale.
Non appena tutto funziona senza problemi, posso passare tranquillamente il mio dominio a "quarantena" o "rifiuto". Il vantaggio: le e-mail non autenticate correttamente vengono eliminate immediatamente, rendendo molto più difficili gli attacchi di phishing. A livello interno, organizzo anche corsi di formazione per garantire che gli altri reparti non utilizzino spontaneamente nuovi strumenti o server di posta senza aver prima adeguato le voci DNS.
Confronto tra i provider di hosting
Molti provider di hosting supportano SPF, DKIM e DMARC direttamente nel pannello del cliente. Tuttavia, alcuni offrono di più, come riepiloghi automatici dei rapporti o semplici integrazioni BIMI. La seguente panoramica mostra i servizi consigliati:
| Luogo | Provider di hosting | Supporto per la sicurezza delle e-mail | Caratteristiche speciali |
|---|---|---|---|
| 1 | webhoster.de | Sì | Arredamento confortevole, miglior rapporto qualità-prezzo |
| 2 | Fornitore B | Sì | – |
| 3 | Fornitore C | Sì | – |
Secondo la mia esperienza, un buon provider di hosting offre oggi più di un semplice pulsante "on/off" per SPF e DKIM. Ad esempio, i pannelli moderni suggeriscono correzioni se il record SPF è troppo lungo o se vengono utilizzati più di dieci record DNS.lookup sono richiesti. Alcuni provider forniscono anche panoramiche grafiche dei log DMARC passati, che semplificano la rapida interpretazione. In questi pannelli, integro idealmente le informazioni necessarie per attivare BIMI e caricare il certificato VMC.
È necessario prestare attenzione a quale provider è responsabile della gestione dei DNS. Se questa è gestita da un'altra parte rispetto all'hosting web, spesso devo sincronizzare le impostazioni manualmente. Questo non è un problema, ma richiede disciplina per garantire che il provider di hosting non sovrascriva un'impostazione SPF automatica o viceversa. Un controllo regolare delle voci DNS può evitare inutili interruzioni del traffico di posta.
Suggerimenti per problemi e risoluzione di problemi
A volte, nonostante le dovute attenzioni, qualcosa va storto: le e-mail vengono rifiutate o finiscono nelle cartelle di spam. In questi casi, adotto un approccio strutturato:
- Testate l'SPF individualmente: Posso utilizzare strumenti online o la riga di comando (ad esempio, utilizzando "dig") per interrogare il record SPF e verificare se tutti gli IP o i servizi sono inclusi.
- Controllare la firma DKIM: Spesso è utile uno strumento di test esterno che legge l'intestazione dell'e-mail e mostra se la firma è valida. Verifico anche il Selettore-entrate nel DNS.
- Analizzare attivamente i rapporti DMARC: Il sito Rapporti aggregati mi mostra quante e-mail sono state messe in quarantena o rifiutate. Questo mi permette di riconoscere rapidamente gli schemi per individuare i server non autenticati.
- Visualizzare i log del server di posta: Qui posso vedere se un timeout DNS, indirizzi IP errati o intestazioni di posta diverse stanno causando problemi.
- Tenere conto dei reindirizzamenti: Le e-mail provengono davvero dalla fonte originariamente autorizzata? In caso di inoltro complesso, il DKIM dovrebbe rimanere intatto.
Grazie a queste fasi di ricerca, di solito trovo la causa abbastanza rapidamente. È importante procedere in modo sistematico e non cambiare tutto in una volta in modo scoordinato. Molti piccoli passi parziali funzionano in modo più affidabile rispetto a un cambiamento completo e radicale, in cui si perde la visione d'insieme.
Miglioramento della comunicazione con i clienti e della gestione del marchio
SPF, DKIM e DMARC non solo garantiscono una maggiore sicurezza, ma aumentano anche la reputazione del mio dominio. Molti provider di posta elettronica si fidano maggiormente delle e-mail regolarmente in arrivo e correttamente autenticate, il che si riflette in tassi di consegna più elevati. Le newsletter e le campagne di marketing, in particolare, beneficiano del fatto che non vengono inavvertitamente contrassegnate come spam. I clienti possono quindi essere certi di ricevere sempre messaggi originali, senza malware nascosti o truffe di phishing.
Il BIMI rafforza ancora di più questo effetto. Le e-mail con un logo riconoscibile suggeriscono immediatamente professionalità. La presenza visiva nella casella di posta significa: mi assicuro che il mio marchio venga ricordato - un vantaggio che va ben oltre il semplice effetto sicurezza.
Anche per l'assistenza clienti fa la differenza se il cliente riceve un'e-mail con un'etichetta ufficiale. Sono lieto di indicare nelle mie firme o sul mio sito web che aderisco a questi standard per evitare richieste di informazioni e prevenire possibili tentativi di frode. In questo modo si promuove la consapevolezza di una comunicazione sicura da entrambe le parti.
La mia conclusione
SPF, DKIM, DMARC & BIMI lavorano insieme come una porta digitale con un campanello, una videosorveglianza e un'insegna. Questi standard non solo hanno ridotto drasticamente il numero di tentativi di spam, ma hanno anche rafforzato la fiducia dei miei clienti a lungo termine. Il mio logo nella casella di posta segnala: Questo messaggio proviene davvero da me - immutato e verificato.
Raccomando a tutte le aziende: Non sperimentate e seguite il percorso di attivazione collaudato. Implementate passo dopo passo, queste misure di protezione rafforzeranno la vostra comunicazione, il vostro marchio e la vostra sicurezza informatica a lungo termine.
