Mail SPF DKIM DMARC

Sicurezza e autenticazione

Per garantire l'integrità e l'affidabilità delle email, si utilizzano principalmente tre strumenti: SPF, DKIM e DMARC.

SPF (Sender Policy Framework)

Lo SPF permette ai proprietari di un dominio di specificare quali server di posta sono autorizzati a inviare email a nome loro dominio. Ciò avviene tramite un record DNS che elenca gli indirizzi IP autorizzati.

Cosa viene verificato con SPF?

Il sistema ricevente verifica se l'indirizzo IP del sistema mittente è autorizzato dal dominio del mittente.

Cosa NON viene verificato con SPF?

SPF NON verifica l'identità dell'utente, ma solo quella del dominio. Inoltre, NON serve per verificare l'integrità del contenuto dell'email o se l'account email è stato compromesso.

Come funziona SPF

Come funziona SPF

Configurare un record SPF

Come configurare un record SPF

DKIM (DomainKeys Identified Mail)

DomainKeys Identified Mail (DKIM) è un metodo per inserire una firma crittografica negli header delle mail inviate utilizzando la chiave privata del mittente.

Il destinatario ricerca la chiave pubblica sul DNS e verifica la validità di mittente e mail proteggendo così anche il contenuto dell'email da manipolazioni.

Cosa viene verificato con DKIM?

Viene verificata la firma crittografica (di una parte) del corpo del messaggio e di alcuni header. La scelta degli header da firmare é lasciata al mittente. Il From: viene obbligatoriamente incluso nel calcolo del digest

Cosa NON viene verificato con DKIM?

DKIM NON verifica l'identità del mittente, né quella del destinatario. Inoltre non crittografa la mail che continua a transitare in chiaro sulla rete.

Come funziona DKIM

Come funziona DKIM

Configurare un record DKIM

Come configurare un record DKIM

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

Il DMARC fornisce istruzioni aggiuntive ai server di ricezione su come gestire i messaggi che non superano le verifiche SPF o DKIM. Include anche funzionalità di reporting per informare i proprietari dei domini su come i loro domini vengono utilizzati.

Cosa viene verificato con DMARC?

DMARC opera verificando che il dominio nel campo From: del messaggio sia "allineato" con il dominio specificato nei record SPF e DKIM.

Cosa NON viene verificato con DMARC?

DMARC protegge l'abuso del campo "From" nelle email, ma non interviene su altri campi che possono essere sfruttati per truffe, come "Reply-To" o l'indirizzo visualizzato del mittente in client di posta che non fanno un controllo approfondito.

Come funziona DMARC

Come funziona DMARC

Configurare un record DMARC

Come configurare un record DMARC

Esempio di report RUA

Esempio di report RUA

MTA-STS (Mail Transfer Agent Strict Transport Security)

TLS-RPT (Transport Layer Security Reporting)

BIMI (Brand Indicators for Message Identification)

In sintesi

SPF serve a verificare il sistema mittente della mail

• Chi invia dichiara da quali IP partono le sue mail
• Chi riceve può usare questa informazione per valutare l'affidabilità del mittente.

DKIM serve a verificare crittograficamente il contenuto di alcuni header e di una parte del corpo delle mail.

• Chi invia mette a disposizione la parte pubblica di una chiave RSA, l'elenco dei contenuti che viene firmato e la firma.
• Chi riceve può verificare la validità della firma e valutare l'affidabilità del messaggio.

DMARC Consente di definire la politica da applicare alla ricezione di un messaggio.

• Chi invia pubblica le modalità con cui un ricevente dovrebbe trattare un messaggio che non supera gli le verifiche SPF e DKIM
• Chi riceve può usare questa informazione per gestire i messaggi in arrivo e inviare un rapporto al mittente o a una terza parte

MTA-STS garantisce che le email siano trasmesse su connessioni crittografate.

• Chi invia indica che le comunicazioni con il proprio dominio devono utilizzare TLS (Transport Layer Security).
• Chi riceve può verificare la presenza di una policy MTA-STS per stabilire se la trasmissione della mail deve avvenire tramite TLS.

TLS-RPT consente di inviare report sui problemi riscontrati nella crittografia delle email.

• Chi invia pubblica un indirizzo email a cui i destinatari possono inviare report sui fallimenti di TLS.
• Chi riceve può utilizzare queste informazioni per identificare problemi di sicurezza nelle comunicazioni email.

BIMI permette di associare un logo del brand alle email verificate.

• Chi invia utilizza un record DNS per associare un logo certificato al proprio dominio.
• Chi riceve, se il messaggio supera le verifiche SPF, DKIM e DMARC, può visualizzare il logo del brand, migliorando la fiducia nel mittente.

Riferimenti esterni

Documentazione

• Mailhardener Knowledge Base https://www.mailhardener.com/kb/
• SMTP.com Knowledge Base https://kb.smtp.com/article/1039-email-authentication-spf-dkim-dmarc
• Sean Whalen's Demystifying DMARC https://seanthegeek.net/459/demystifying-dmarc/

Link utili

• Mailhardener Email Tools https://www.mailhardener.com/tools/
• PowerDMARC Toolbox https://powerdmarc.com/power-dmarc-toolbox/
• Email Deliverability Tool https://mxtoolbox.com/deliverability/
• Mail Tester https://mail-tester.com/ https://dmarcwise.io/

Learning

• Learn DMARC https://learndmarc.com/
• DMARC Academy by dmarcian https://dmarc-academy.com/