L’autenticazione email tramite l’SPF, DKIM e DMARC

Anche se quello che sto per dire mi farà sentire un po’ vecchio (e forse anche te), non posso non notare che sono ormai lontani i tempi in cui si poteva inviare un’email a una mailing list tramite il magico pulsante “invia” e dare per scontato che il tuo messaggio si materializzasse istantaneamente nella posta in arrivo di tutti i destinatari.

Nel corso degli anni ci si è resi conto del fatto che l’email è uno strumento di comunicazione potente che, se usato nel modo corretto, può aiutare o addirittura diventare il principale strumento di guadagno per un’azienda. Quello dell’email marketing è quindi un piatto dove molti vogliono mangiare. In effetti c’è posto per tutti, anche per i malintenzionati…

Fatto sta, che l’aumento costante del traffico email mondiale, la globalizzazione, la crescente criminalità informatica e chissà, anche il riscaldamento globale (sembra essere la colpa di tutto), hanno reso necessaria l’introduzione di una sorta di regolamentazione (alcuni consigli pratici) e di alcuni strumenti per elevare il livello di sicurezza informatica.

Il mondo è pericoloso là fuori e la tua comunicazione ha bisogno di essere protetta.

SPF, DKIM e DMARC sono tre strani acronimi con cui dovremo sempre di più prendere confidenza, perché sono il passaporto che ci permette di tutelare la nostra azienda evitando che pirati informatici usino il tuo brand per fare spam, di essere informati quindi su eventuali tentativi di phishing e di fare bella figura in pausa pranzo coi colleghi.

Come funzionano veramente? (attenzione, spoiler!)

Senza scendere troppo in discorsi da nerd (cosa che farò comunque, negli ultimi paragrafi) possiamo dire che il record SPF è un “documento” che contiene il nome dell’unico “postino virtuale” (chiamiamolo Mario) autorizzato che consegnerà la tua email al destinatario. In questo modo, quest’ultimo la accetterà senza batter ciglio.

Può succedere, a volte, che Mario sia a casa malato. Quindi costretto a delegare la consegna dei messaggi al collega Gianni. E’ chiaro che a questo punto, i destinatari più sospettosi, vedendo arrivare un postino sconosciuto, non si fideranno e non accetteranno il messaggio.

In questo caso, ad esempio, un’email inoltrata perde le proprietà SPF. Fortunatamente, però, il DKIM consentirà a Gianni di consegnare comunque il messaggio perché questo conterrà la firma originale del mittente.

Grazie al suo super olfatto, il cane DMARC sa se il postino e il messaggio sono sospetti e quando succede, inizia ad abbaiare per avvisare il padrone dell’imminente pericolo.
L’astuto cane può essere anche addestrato a lasciare che il postino consegni comunque il messaggio o, al contrario, impedirgli di compiere qualsiasi azione, mangiandogli direttamente la posta.

Tutto questo si traduce nel corretto recapito del tuo messaggio nella tanto ambita inbox, dato che il trio SPF, DKIM e DMARC è ormai uno standard a livello globale! Infatti, tutti i maggiori provider accolgono con piacere queste misure di sicurezza.

Se la storia di Mario e Gianni ti ha annoiato, quello che segue sarà ancora peggio! Ti spiegherò infatti, in “tecnichese”, l’utilità, l’applicazione e il funzionamento di questi indispensabili strumenti di autenticazione.

1. SPF (Sender Policy Framework)

Si tratta di un protocollo che permette di autorizzare all’invio un indirizzo IP o un dominio. Queste informazioni vanno semplicemente aggiunte nell’area DNS del pannello di controllo del tuo dominio mittente.

Nel momento in cui il server del destinatario riceve l’email, confronta l’IP del mittente e quello nel DNS e, se questi sono uguali, accetta il messaggio e lo consegna nell’inbox. Altrimenti, restituisce un messaggio del genere: “Error 550 – Message rejected because SPF check failed“. Oppure il server può comunque accettarlo ma poi lo recapita il nella posta indesiderata. In alcuni casi viene anche eliminato definitivamente.

La finalità è comunque quella di evitare il phishing. Ovvero che qualcuno finga di essere te e invii quindi, email per tuo conto.

Dato che il record SPF è pubblico, è possibile in qualsiasi momento verificarne la corretta propagazione tramite una richiesta DNS online o tramite tools disponibili online, come questo: http://www.kitterman.com/spf/validate.html

2. DKIM (DomainKeys Identified Mail)

Di solito è una chiave crittografata a 1024 o 2048 bit che va associata al dominio che si usa come mittente.

Al momento della ricezione dell’email da parte del server del destinatario, questo verifica se la chiave, pubblicata nell’header del messaggio, è associata a quella del dominio mittente. In caso contrario, significa che l’email è stata intercettata da terzi e modificata. La finalità è proprio questa: evitare l’email spoofing.

Come l’SPF, la sua implementazione richiede la pubblicazione nell’area DNS. Quindi la chiave ela firma sono visibili nell’header del messaggio. I possibili status del record sono:

• Pass: la chiave ricevuta è uguale a quella di partenza
• Fail: la chiave ricevuta è diversa da quella associata al dominio mittente. Ciò significa che il messaggio è stato in qualche modo modificato.

Gli altri errori possibili sono Softfail, Neutral, None, Permerror, Temperror. Ovviamente, solo lo status Pass è da prendere in considerazione come record correttamente inserito.

Per verificare il corretto inserimento e la propagazione del record DKIM, puoi usare questo tool: dkimcore.org/tools/keycheck.html

Nonostante i sopra citati record siano stati concepiti per aumentare il livello di sicurezza degli invii, gli abusi continuano comunque a manifestarsi. La soluzione sembra essere però stata trovata, grazie all’integrazione del DMARC.

3. DMARC (Domain-Based Message Authentication, Reporting & Conformance)

Con la semplice pubblicazione di un record DNS, è possibile ricevere una notifica ogni volta che viene utilizzato un non propriamente configurato (che non ha passato con successo la verifica SPF e DKIM)) dominio, come mittente. In questo modo sappiamo quando, chi e in che modo viene usata sul web la nostra identità (es.: @ilnostrodominio.com). Possiamo ovviamente intuire che non venga usato per scopi nobili…

Il record pubblicato sul tuo dominio avrà una sintassi simile a questa:

v=DMARC1; p=none; rua=mailto:alias@mydomain.com; ruf=mailto:dk@bounce.apple.com,mailto: alias@mydomain.com
Per verificare se il record DMARC è stato correttamente applicato al tuo dominio, puoi usare il tool disponibile a questo link: https://dmarcian.com/dmarc-inspector/
Al momento, il DMARC è la soluzione più efficace pe combattere lo spoofing, anche se la guerra per tenere definitivamente alla larga malintenzionati dalle nostre email, non è ancora del tutto vinta. Specialmente la questione aperta è che non si può essere certi che un dominio con una firma DMARC valida stia effettivamente fingendo di essere un altro brand. Questo aspetto potrebbe essere risolto dal BIMI (“Brand indicator for message identification”) di cui parleremo a breve in uno dei prossimi post.

In termini di sicurezza informatica, l’utilizzo dell’SPF, DKIM e DMARC sono la risposta migliore allo spoofing. Mapp usa SPF e DKIM di default. Se vuoi usufruire anche dello strumento DMARC non dovrai fare altro che contattarci e saremo felici di aiutarti!

P.s.: Nessun postino è stato maltrattato durante la produzione di questo post.