Mail SPF DKIM DMARC
Per garantire integrità e affidabilità delle email si utilizzano principalmente tre meccanismi: SPF, DKIM e DMARC.
SPF (Sender Policy Framework)
SPF consente ai proprietari di un dominio di specificare quali server di posta sono autorizzati a inviare email per conto del dominio. La configurazione avviene tramite un record DNS che elenca gli indirizzi IP autorizzati.
Cosa viene verificato con SPF?
Il sistema ricevente verifica se l’indirizzo IP del sistema mittente è autorizzato dal dominio dichiarato.
Cosa NON viene verificato con SPF?
SPF non verifica l’identità dell’utente, ma solo quella del dominio. Non garantisce l’integrità del contenuto del messaggio né rileva l’eventuale compromissione di un account.
Come funziona SPF
Configurare un record SPF
Come configurare un record SPF
DKIM (DomainKeys Identified Mail)
DKIM inserisce una firma crittografica negli header delle email, generata tramite la chiave privata del dominio mittente.
Il destinatario recupera la chiave pubblica dal DNS e verifica la firma, garantendo l’integrità del messaggio e di parte degli header.
Cosa viene verificato con DKIM?
Viene verificata la firma crittografica di parte del corpo del messaggio e di alcuni header. La scelta degli header da firmare è definita dal mittente; il campo From: è obbligatoriamente incluso nel calcolo della firma.
Cosa NON viene verificato con DKIM?
DKIM non verifica l’identità del mittente o del destinatario. Non cifra il messaggio, che continua a transitare in chiaro se non protetto da TLS.
Come funziona DKIM
Configurare un record DKIM
Come configurare un record DKIM
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
DMARC fornisce istruzioni ai server riceventi su come trattare i messaggi che non superano le verifiche SPF o DKIM e introduce meccanismi di reporting.
Cosa viene verificato con DMARC?
DMARC verifica che il dominio nel campo From: sia allineato con quello utilizzato nelle verifiche SPF e/o DKIM.
Cosa NON viene verificato con DMARC?
DMARC protegge il campo From: ma non controlla altri header potenzialmente abusabili (es. Reply-To:) né l’indirizzo visualizzato in client non conformi.
Come funziona DMARC
Configurare un record DMARC
Come configurare un record DMARC Evoluzione delle specifiche (DMARCbis)
Esempio di report RUA
MTA-STS (Mail Transfer Agent Strict Transport Security)
TLS-RPT (Transport Layer Security Reporting)
BIMI (Brand Indicators for Message Identification)
Domini difensivi
I domini difensivi sono domini registrati per prevenire abusi (spoofing, phishing).
Non devono inviare email; tramite una policy DMARC (es. p=reject o p=quarantine) ogni messaggio proveniente da tali domini viene rifiutato o posto in quarantena.
Configurare i domini difensivi
In sintesi
SPF
- Verifica il sistema mittente (IP autorizzati dal dominio)
- Non garantisce integrità del contenuto
DKIM
- Firma crittograficamente parte del messaggio
- Garantisce integrità, non cifratura
DMARC
- Definisce la politica di gestione in caso di fallimento SPF/DKIM
- Introduce reporting
MTA-STS
- Impone l’uso di TLS nella trasmissione SMTP
TLS-RPT
- Permette l’invio di report sui problemi TLS
BIMI
- Associa un logo verificato al dominio, visibile se SPF, DKIM e DMARC risultano validi
Riferimenti esterni
Documentazione
- Mailhardener Knowledge Base – https://www.mailhardener.com/kb/
- SMTP.com Knowledge Base – https://kb.smtp.com/article/1039-email-authentication-spf-dkim-dmarc
- Demystifying DMARC (Sean Whalen) – https://seanthegeek.net/459/demystifying-dmarc/
Strumenti
- Mailhardener Email Tools – https://www.mailhardener.com/tools/
- PowerDMARC Toolbox – https://powerdmarc.com/power-dmarc-toolbox/
- MXToolbox Deliverability – https://mxtoolbox.com/deliverability/
- Mail Tester – https://mail-tester.com/
- DMARCwise – https://dmarcwise.io/
Formazione
- Learn DMARC – https://learndmarc.com/
- DMARC Academy (dmarcian) – https://dmarc-academy.com/