SPF, DKIM e DMARC: i tre protocolli che verificano chi ti scrive davvero. Senza di loro, chiunque puo' fingersi il tuo capo, la tua banca o il tuo fornitore.
L'email authenticatione' un insieme di protocolli che rispondono a una domanda fondamentale: “Questa email arriva davvero da chi dice di essere il mittente?”. Senza autenticazione, il protocollo SMTP -- inventato negli anni '80 -- permette a chiunque di scrivere qualsiasi indirizzo nel campo “Da:”.
Pensala cosi': inviare un'email senza autenticazione e' come spedire una lettera cartacea con il nome di un altro sul retro della busta. Nessuno controlla. Nessuno verifica. Arriva e basta.
I tre protocolli di autenticazione -- SPF, DKIM e DMARC -- sono stati creati proprio per risolvere questo problema. Ognuno verifica un aspetto diverso, e insieme formano una catena di autenticazione che rende molto piu' difficile falsificare il mittente.
Perche' servono tutti e 3?
SPF da solo non basta: verifica il server, ma non il contenuto. DKIM da solo non basta: firma il messaggio, ma non dice cosa fare se la firma fallisce. DMARC da solo non funziona: ha bisogno di SPF e DKIM come fondamenta. Servono tutti e tre. Sempre.
Ogni protocollo ha un ruolo specifico. Ecco come funzionano e cosa verificano:
SPF e' come una lista di “postini autorizzati”. Il proprietario del dominio pubblica un record DNS che elenca tutti i server autorizzati a inviare email per conto suo. Quando il tuo server riceve un'email da @azienda.it, controlla: “Il server che me l'ha inviata e' nella lista?”. Se no, l'email e' sospetta.
Verifica:il server di invio e' autorizzato dal dominio mittente.
DKIM funziona come un sigillo di ceralacca digitale. Il server mittente firma l'email con una chiave crittografica privata. Il server destinatario verifica la firma usando la chiave pubblica pubblicata nel DNS del mittente. Se qualcuno ha modificato il messaggio durante il trasporto -- anche una sola virgola -- la firma non corrisponde piu'.
Verifica:il messaggio non e' stato alterato e proviene dal dominio che dichiara.
DMARC e' il “capo” che dice cosa fare quando SPF o DKIM falliscono. Senza DMARC, anche se SPF rileva un server non autorizzato, il server destinatario puo' decidere di consegnare l'email lo stesso. DMARC aggiunge due cose fondamentali: una policy (none, quarantine, reject) e il concetto di alignment -- cioe' che il dominio verificato da SPF/DKIM deve corrispondere al dominio nel campo “From:” visibile all'utente.
Verifica: policy di enforcement + allineamento tra dominio tecnico e dominio visibile.
Ecco cosa succede quando un'email arriva al tuo server, in ordine:
Il server ricevente controlla il record SPF del dominio mittente. Il server che ha inviato l'email e' nella lista autorizzata? Se no, primo campanello d'allarme.
Il server controlla la firma crittografica DKIM. La chiave pubblica nel DNS corrisponde? Il messaggio e' integro? Se la firma non torna, secondo campanello.
Il server controlla la policy DMARC del dominio mittente. Almeno uno tra SPF e DKIM deve passare E il dominio deve essere allineato con il "From:". Se no, DMARC decide: none (lascia passare e segnala), quarantine (metti in quarantena) o reject (rifiuta).
In base ai risultati, l'email viene consegnata normalmente, messa in quarantena per revisione, oppure rifiutata completamente. Tutto in pochi millisecondi, prima che tu veda il messaggio.
Senza SPF, DKIM e DMARC configurati correttamente, il tuo dominio e' un bersaglio facile. Ecco gli scenari reali:
Chiunque puo' inviare email fingendosi @tuodominio.it. I tuoi clienti ricevono fatture false, i tuoi dipendenti ricevono ordini falsi dal "CEO".
I criminali inviano campagne di phishing usando il tuo dominio. Le vittime associano il tuo brand alla truffa. La tua reputazione ne soffre.
Senza autenticazione, i grandi provider (Gmail, Outlook, Yahoo) sono piu' propensi a mettere le tue email legittime in spam. Meno deliverability, meno business.
Senza i report DMARC, non sai nemmeno se qualcuno sta abusando del tuo dominio. Potresti essere sotto attacco da mesi senza saperlo.
MailSniper non si limita a controllare se SPF, DKIM e DMARC esistono. Li verifica in profondita' su ogni singola email in entrata:
Vuoi verificare se il tuo dominio ha SPF, DKIM e DMARC configurati correttamente? Usa il nostro Verifica DNS gratuito. Risultato in pochi secondi.
Il protocollo che elenca i server autorizzati a inviare email per il tuo dominio.
La firma crittografica che garantisce l'integrita' del messaggio email.
La policy che dice cosa fare quando SPF o DKIM falliscono. Il pezzo che chiude il cerchio.
L'attacco che l'email authentication e' progettata per bloccare.
Controlla gratis se il tuo dominio ha SPF, DKIM e DMARC configurati.