Posta: nel frattempo nel mondo reale SPF, DKIM e DMARC

Mentre ci deliziamo a discutere, da opposte condizioni, le deliziose notizie generate dal garante sui metadati il mondo va avanti anche senza di noi e le nostre velleità.

Mi ero ripromesso di scrivere delle nuove richieste di Yahoo e Google inerenti i protocolli di autenticazione della posta dopo avervi tenuto piu di un webinar. Purtroppo sono stato distratto da varie ed eventuali e i miei ultimi post sono stati “leggermente” polemici su cose del mondo italico.

Visto che non ho fatto in tempo a scrivere, il mondo non ha avuto la decenza di aspettarmi e le cose si sono messe in moto anche senza che io aveessi modo di delirarci sopra.

Di che si parla?

Si parla di SPF, DKIM e DMARC se non sapete cosa siano male, moolto male, anzi malillimo.

Si parla della richiesta di impementarli correttamente altrimenti google e yahoo non accettano più le vostre preziose email.

Non è roba nuova ma si sa da noi ad un avvertimentno si reagisce in maniera per lo più scomposta e sconclusionata, mai affrontando la radice del problema.

Ah, il mondo delle email è diventato un po’ più “piccante” nel 2024, quando Google e Yahoo, i guardiani della nostra tranquillità digitale, hanno deciso di dare una bella stretta alle regole dell’autenticazione email. Preparati a un viaggio nel bizzarro mondo dell’autenticazione, dove DMARC non è il nome di un DJ svedese e SPF non si riferisce alla tua crema solare!

Google e Yahoo Diventano i Bouncer dell’Email Club

Immagina Google e Yahoo come due buttafuori all’ingresso di un esclusivo club di email. Dal 2024, se non sei sulla lista (leggi: se le tue email non sono autenticate secondo le loro nuove regole super sofisticate), non entrerai. E non importa quanto tu sia convincente, non c’è modo di corromperli con una mancia.

I Codici di Errore: “Non Sei sulla Lista, Amico”

Se le tue email provano a intrufolarsi senza l’autenticazione adeguata, Google e Yahoo risponderanno con dei codici di errore equivalenti a un “Mi dispiace, amico, non puoi entrare”. Questi codici di errore saranno il tuo biglietto d’addio, un gentile promemoria che è ora di aggiornare le tue pratiche di autenticazione.

Apple Si Unisce alla Festa

E per non essere da meno, anche Apple ha deciso di unirsi alla festa, imponendo regole simili. Ora, immagina Apple come quel VIP che arriva alla festa e alza ulteriormente il livello. Se pensavi che aggirare Google e Yahoo fosse difficile, aspetta solo di vedere cosa ha in serbo Apple.

Altri Provider seguiranno l’Esempio

Come se non bastasse, altri provider di posta come Outlook, Hotmail, e magari anche Zoho, decidono che vogliono essere parte di questo esclusivo club dell’autenticazione. Ognuno con le proprie regole, perché, sai, più regole, più divertimento!

Cosa Fare per Non Restare Fuori dalla Festa

SPF¹: Anche qui, non stiamo parlando di protezione solare, ma di un record che dice a tutti che sei chi dici di essere.
DKIM²: Un altro pass VIP per mostrare che le tue email non sono travestite.
DMARC³: Non è un nuovo tipo di drink, ma dovrai assicurarti di averlo per passare i controlli all’ingresso.

Ora italicamente la reazione è: ma si tanto poi cambieranno idea, figurati se lo fanno adesso, ma cosa vogliono questi e via dicendo.

Nuntio vobis magno cum gaudio

La cosa è iniziata:

chi manda la posta inizia a vedere

🔎 errori𝐒𝐌𝐓𝐏

E si su un piccolo numero ancora, ma google ha iniziato a fare throottling e rigettare le email non alliineate alle loro indiczioni (che cattivoni), ma la cosa è destinata a crecere che vi piaccia o meno.

Le date iniziali sono state rilassate, ma il D day (DMARC Day) si avvicina.

👉 Se vedi repliche SMTP che iniziano con un 4, si tratta di un errore temporaneo e significa che il sistema può inviare nuovamente il messaggio per la consegna; ma se inizia con 5, è un fallimento permanente, e significa che viene rifiutato e non verrà mai consegnato.

Queste sono alcune delle risposte SMTP di Google che possiamo vedere ora:

🔵 421-4.7.26 𝘛𝘩𝘪𝘴 𝘮𝘢𝘪𝘭 𝘩𝘢𝘴 𝘣𝘦𝘦𝘯 𝘳𝘢𝘵𝘦 𝘭𝘪𝘮𝘪𝘵𝘦𝘥 𝘣𝘦𝘤𝘢𝘶𝘴𝘦 𝘪𝘵 𝘪𝘴 𝘶𝘯𝘢𝘶𝘵𝘩𝘦𝘯𝘵𝘪𝘤𝘢𝘵𝘦𝘥. 𝘎𝘮𝘢𝘪𝘭 𝘳𝘦𝘲𝘶𝘪𝘳𝘦𝘴 𝘢𝘭𝘭 𝘴𝘦𝘯𝘥𝘦𝘳𝘴 𝘵𝘰 𝘢𝘶𝘵𝘩𝘦𝘯𝘵𝘪𝘤𝘢𝘵𝘦 𝘸𝘪𝘵𝘩 𝘦𝘪𝘵𝘩𝘦𝘳 𝘚𝘗𝘍 𝘰𝘳 𝘋𝘒𝘐𝘔

🔵 421 4.7.30 𝘛𝘩𝘪𝘴 𝘮𝘢𝘪𝘭 𝘩𝘢𝘴 𝘣𝘦𝘦𝘯 𝘳𝘢𝘵𝘦 𝘭𝘪𝘮𝘪𝘵𝘦𝘥 𝘣𝘦𝘤𝘢𝘶𝘴𝘦 𝘋𝘒𝘐𝘔 𝘥𝘰𝘦𝘴 𝘯𝘰𝘵 𝘱𝘢𝘴𝘴. 𝘎𝘮𝘢𝘪𝘭 𝘳𝘦𝘲𝘶𝘪𝘳𝘦𝘴 𝘢𝘭𝘭 𝘭𝘢𝘳𝘨𝘦 𝘴𝘦𝘯𝘥𝘦𝘳𝘴 𝘵𝘰 𝘢𝘶𝘵𝘩𝘦𝘯𝘵𝘪𝘤𝘢𝘵𝘦 𝘸𝘪𝘵𝘩 𝘋𝘒𝘐𝘔. 𝘈𝘶𝘵𝘩𝘦𝘯𝘵𝘪𝘤𝘢𝘵𝘪𝘰𝘯 𝘳𝘦𝘴𝘶𝘭𝘵𝘴: 𝘋𝘒𝘐𝘔 = 𝘥𝘪𝘥 𝘯𝘰𝘵 𝘱𝘢𝘴𝘴

🔵 421 4.7.32 𝘛𝘩𝘪𝘴 𝘮𝘢𝘪𝘭 𝘩𝘢𝘴 𝘣𝘦𝘦𝘯 𝘳𝘢𝘵𝘦-𝘭𝘪𝘮𝘪𝘵𝘦𝘥 𝘣𝘦𝘤𝘢𝘶𝘴𝘦 𝘵𝘩𝘦𝘳𝘦 𝘪𝘴 𝘯𝘰 𝘋𝘔𝘈𝘙𝘊 𝘢𝘭𝘪𝘨𝘯𝘮𝘦𝘯𝘵

o la ben più temuta:

🔴 550 5.7.26 𝘛𝘩𝘪𝘴 𝘮𝘦𝘴𝘴𝘢𝘨𝘦 𝘥𝘰𝘦𝘴 𝘯𝘰𝘵 𝘩𝘢𝘷𝘦 𝘢𝘶𝘵𝘩𝘦𝘯𝘵𝘪𝘤𝘢𝘵𝘪𝘰𝘯 𝘪𝘯𝘧𝘰𝘳𝘮𝘢𝘵𝘪𝘰𝘯 𝘰𝘳 𝘧𝘢𝘪𝘭𝘴 𝘵𝘰 𝘱𝘢𝘴𝘴 𝘢𝘶𝘵𝘩𝘦𝘯𝘵𝘪𝘤𝘢𝘵𝘪𝘰𝘯 𝘤𝘩𝘦𝘤𝘬𝘴 (𝘚𝘗𝘍 𝘰𝘳 𝘋𝘒𝘐𝘔). 𝘛𝘰 𝘣𝘦𝘴𝘵 𝘱𝘳𝘰𝘵𝘦𝘤𝘵 𝘰𝘶𝘳 𝘶𝘴𝘦𝘳𝘴 𝘧𝘳𝘰𝘮 𝘴𝘱𝘢𝘮, 𝘵𝘩𝘦 𝘮𝘦𝘴𝘴𝘢𝘨𝘦 𝘩𝘢𝘴 𝘣𝘦𝘦𝘯 𝘣𝘭𝘰𝘤𝘬𝘦𝘥. 𝘗𝘭𝘦𝘢𝘴𝘦 𝘷𝘪𝘴𝘪𝘵 𝘗𝘳𝘦𝘷𝘦𝘯𝘵 𝘮𝘢𝘪𝘭 𝘵𝘰 𝘎𝘮𝘢𝘪𝘭 𝘶𝘴𝘦𝘳𝘴 𝘧𝘳𝘰𝘮 𝘣𝘦𝘪𝘯𝘨 𝘣𝘭𝘰𝘤𝘬𝘦𝘥 𝘰𝘳 𝘴𝘦𝘯𝘵 𝘵𝘰 𝘴𝘱𝘢𝘮 𝘧𝘰𝘳 𝘮𝘰𝘳𝘦 𝘪𝘯𝘧𝘰𝘳𝘮𝘢𝘵𝘪𝘰𝘯.

Cosa sono le “Nuove” Richieste di Google e Yahoo?

I nuovi requisiti di Google e Yahoo mirano a garantire che le email inviate siano autentiche e desiderate dai destinatari. Ecco un riassunto delle principali novità e dei requisiti previsti:

Google

Autenticazione delle Email: A partire da febbraio 2024, Google richiederà che i mittenti di email massive autentichino le loro comunicazioni seguendo le best practice stabilite.
Facilità di Disiscrizione: I mittenti dovranno fornire un meccanismo semplice, tipicamente un clic, per consentire ai destinatari di disiscriversi dalle comunicazioni email.
Controllo del Tasso di Spam: I mittenti dovranno mantenere il tasso di segnalazioni spam al di sotto di una determinata soglia (.3%) per evitare che le loro email vengano marcate come indesiderate.

Yahoo

Yahoo, insieme a Google, ha sottolineato l’importanza di queste nuove misure per migliorare l’affidabilità e la sicurezza delle comunicazioni email, enfatizzando l’esigenza di un impegno collettivo per proteggere gli utenti da spam e frodi email.

Motivazioni dietro le Nuove Richieste

Le motivazioni dietro queste nuove richieste includono la necessità di combattere lo spam e migliorare la sicurezza delle comunicazioni email. Google ha segnalato che le sue difese basate sull’intelligenza artificiale bloccano quotidianamente più del 99,9% di spam, phishing e malware, ma nonostante questo, le minacce sono diventate più complesse e pressanti. Queste nuove misure sono volte a colmare le lacune che permettono agli attaccanti di nascondersi tra i mittenti legittimi, migliorando l’autenticazione delle email e rendendo più semplice per gli utenti gestire le iscrizioni.

Requisiti Tecnici e RFC Richiamate

RFC Richiamate

Le richieste di Google e Yahoo si basano su standard definiti nelle seguenti RFC (Request for Comments):

Autenticazione Email: Le pratiche di autenticazione si basano su standard come SPF (RFC 7208), DKIM (RFC 6376) e DMARC (RFC 7489).
Link di Disiscrizione: L’implementazione di un meccanismo di disiscrizione semplice e diretto può riferirsi agli standard definiti in RFC 8058, che descrive il metodo “One-Click” per la disiscrizione dalle email commerciali.

Queste RFC forniscono le linee guida tecniche su come implementare correttamente l’autenticazione delle email e i meccanismi di disiscrizione, assicurando che i mittenti aderiscano ai livelli richiesti di sicurezza e affidabilità nelle loro comunicazioni email.

<5000

Richieste

Protocolli di autenticazione

implementare

SPF

DKIM

Spam rate <.3%

>5000

Richieste

Protocolli di autenticazione + unsubscribe link

Implementare SPF

DKIM

DMARC (anche in p=none)

allineati⁴

+ Unsubscribe Link

Spam rate <.3%

Quando

Timeline

Febbraio

Implementare i rotocolli di autenticzione, primi enforcement con throttling

Aprile

Enforcement nuove regole per tutti

Giugno

Termine per i mass sender per unsubscribe link

In breve, il 2024 sarà l’anno in cui l’email si metterà in tiro per entrare nel club più esclusivo del mondo digitale. Google, Yahoo, e ora anche Apple, hanno alzato il livello, e se non vuoi restare fuori a guardare, è ora di iniziare a prendere sul serio questi protocolli di autenticazione. Mettiti in coda, mostra i tuoi ID digitali e preparati a ballare al ritmo dell’autenticazione email!

Ricorda, in questo mondo digitale in evoluzione, avere le giuste credenziali è come avere il biglietto d’oro per il club più esclusivo. Non essere quel tipo alla porta che non riesce a entrare perché indossa le scarpe sbagliate!

buon divertimento 🙂

NOTE a margine, se non lo sai sallo!

Il Sender Policy Framework (SPF) è un protocollo di autenticazione email progettato per prevenire lo spoofing degli indirizzi email, una pratica comune tra gli spammer e i phisher che cercano di mascherare la loro identità facendo sembrare che i loro messaggi provengano da indirizzi legittimi. Implementato attraverso una specifica configurazione del Domain Name System (DNS), SPF consente ai proprietari dei domini di definire quali server di posta sono autorizzati a inviare email per conto del loro dominio.
Come Funziona SPF
Pubblicazione del Record SPF: Il proprietario del dominio pubblica un record SPF nel DNS del dominio. Questo record elenca gli indirizzi IP dei server che sono autorizzati a inviare email per conto del dominio. Il record è scritto in un formato standard che può essere interpretato dai server di posta che ricevono email.
Verifica delle Email in Arrivo: Quando un server di posta riceve un’email, controlla l’indirizzo IP del server mittente contro il record SPF pubblicato nel DNS del dominio presente nell’indirizzo “FROM” dell’email. Questo processo di verifica è fatto automaticamente durante il tentativo di consegna dell’email.
Valutazione del Risultato: In base al confronto tra l’IP del mittente e il record SPF, il messaggio può essere classificato in diverse categorie:
Pass: L’IP del mittente è presente nel record SPF, indicando che il messaggio è stato inviato da un server autorizzato.
Fail: L’IP del mittente non è presente nel record SPF, suggerendo che il messaggio potrebbe essere stato inviato da un server non autorizzato.
Softfail: Simile a “Fail”, ma indica una mancanza di conformità meno severa, spesso usata per la transizione verso una politica SPF più rigorosa.
Neutral: Il record SPF non esprime una preferenza chiara sull’IP del mittente.
Altri risultati includono PermError (errore permanente nel record SPF) e TempError (errore temporaneo durante il controllo SPF).
Vantaggi di SPF
Riduzione dello Spam e del Phishing: Autenticando i server che possono inviare email per conto di un dominio, SPF aiuta a ridurre la quantità di email di phishing e spam che raggiungono gli utenti finali.
Miglioramento della Deliverability: Gli email server che rispettano SPF sono meno propensi a rifiutare o marcare come spam le email provenienti da domini con un record SPF correttamente configurato.
Protezione della Reputazione del Dominio: Impedendo l’uso non autorizzato di un dominio per l’invio di email, SPF contribuisce a proteggere la reputazione del dominio nei confronti dei server di posta e degli utenti finali.
Limitazioni di SPF
Non Copre il “From” Header: SPF verifica solo l’indirizzo IP del server mittente, non l’indirizzo email visibile nel campo “Da” (From) dell’email, il che può lasciare aperta la porta a certe forme di spoofing.
Problemi con l’Inoltro di Email: Le email inoltrate possono fallire i controlli SPF perché l’indirizzo IP del server di inoltro potrebbe non essere elencato nel record SPF del dominio mittente originale.
Nonostante queste limitazioni, SPF rimane uno strumento fondamentale nell’arsenale di autenticazione email, spesso utilizzato in combinazione con altri protocolli come DKIM e DMARC per una protezione complessiva più robusta. ↩︎
Il protocollo DKIM (DomainKeys Identified Mail) è una tecnologia di autenticazione email che consente a un’organizzazione di assumersi la responsabilità per un messaggio che è in transito. DKIM fornisce un metodo per validare un dominio di origine di un messaggio attraverso la crittografia e la firma digitale. Questo processo aiuta a prevenire l’abuso di email, come lo spoofing e il phishing, garantendo che i messaggi siano effettivamente inviati dal dominio che affermano di rappresentare.
Come Funziona DKIM
Firma del Messaggio: Quando un messaggio di posta elettronica viene inviato, il server di invio (che deve essere configurato per utilizzare DKIM) aggiunge una firma digitale all’intestazione del messaggio. Questa firma è generata utilizzando una chiave privata che è unica per il dominio del mittente. La firma copre parti del messaggio, inclusi gli header e, opzionalmente, il corpo del messaggio.
Pubblicazione della Chiave Pubblica: La chiave pubblica corrispondente alla chiave privata utilizzata per firmare il messaggio viene pubblicata nel DNS (Domain Name System) del dominio del mittente. Questo permette ai riceventi di recuperare la chiave pubblica per verificare la firma del messaggio.
Verifica del Messaggio: Quando un messaggio arriva, il server di posta del destinatario cerca l’intestazione DKIM e utilizza la chiave pubblica recuperata dal DNS del dominio del mittente per verificare la firma. Se la firma è valida e corrisponde al contenuto del messaggio, ciò conferma che il messaggio non è stato alterato durante il trasporto e che proviene effettivamente dal dominio indicato.
Obiettivi di DKIM
Autenticazione del Mittente: DKIM consente ai destinatari di verificare che il messaggio sia stato effettivamente inviato dal dominio indicato nell’intestazione, contribuendo a prevenire lo spoofing.
Integrità del Messaggio: Verificando che la firma digitale corrisponda al contenuto del messaggio, DKIM assicura che il messaggio non sia stato modificato dal momento della firma.
Reputazione e Conformità: L’utilizzo di DKIM può migliorare la reputazione di un dominio come mittente affidabile e aiutare i messaggi a superare i filtri anti-spam, aumentando le probabilità che vengano consegnati alla casella di posta del destinatario.
Limitazioni di DKIM
Sebbene DKIM fornisca un solido meccanismo di autenticazione e integrità per i messaggi di posta elettronica, non è in grado di garantire l’identità del mittente reale o di prevenire tutti i tipi di attacchi di phishing, specialmente quelli che non cercano di alterare il dominio del mittente. Per questo motivo, DKIM è spesso utilizzato insieme ad altri protocolli di sicurezza, come SPF (Sender Policy Framework) e DMARC (Domain-based Message Authentication, Reporting and Conformance), per fornire una protezione completa. ↩︎
Il protocollo DMARC (Domain-based Message Authentication, Reporting, and Conformance) è uno standard di sicurezza per la posta elettronica che aiuta a proteggere le organizzazioni dallo spoofing dei loro domini email. È stato progettato per fornire agli operatori dei domini la capacità di proteggere il loro dominio da abusi, come attacchi di phishing e altre forme di email fraudolente. DMARC si basa su due altri protocolli di autenticazione email, SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), e aggiunge un ulteriore livello di verifica che assicura l’autenticità del mittente di un messaggio email.
Funzionamento di DMARC
DMARC funziona definendo una politica che specifica come un ricevente dovrebbe trattare le email che non superano i controlli di autenticazione SPF e/o DKIM. Questa politica viene pubblicata nel DNS (Domain Name System) del dominio del mittente sotto forma di un record TXT. Quando un server riceve un’email, esegue i controlli SPF e DKIM come al solito, e poi verifica la presenza di una politica DMARC per il dominio del mittente. Se presente, il server applica le istruzioni specificate nella politica DMARC.
Componenti Chiave di DMARC
Verifica dell’Autenticità: DMARC richiede che un messaggio passi sia la verifica SPF che quella DKIM. Inoltre, uno di questi sistemi di autenticazione deve essere “allineato”, il che significa che il dominio verificato deve corrispondere al dominio nell’indirizzo email del mittente (FROM).
Politiche: I proprietari dei domini possono specificare una delle tre politiche DMARC per il trattamento delle email che falliscono i controlli di autenticazione:
Nessuna azione (none): Il destinatario prende nota del fallimento ma non intraprende azioni punitive contro il messaggio.
Quarantena: I messaggi che non superano i controlli vengono spostati nella cartella spam o in quarantena.
Rifiuto (reject): I messaggi che falliscono vengono rifiutati e non vengono consegnati al destinatario.
Rapporti: DMARC fornisce anche un meccanismo per i riceventi di inviare rapporti ai proprietari dei domini, fornendo dettagli su quali messaggi sono stati accettati, rifiutati o messi in quarantena in base alla politica DMARC. Questo permette ai proprietari dei domini di identificare problemi nelle loro configurazioni di autenticazione e di monitorare tentativi di abuso del loro dominio.
Benefici di DMARC
Riduzione del Phishing e dello Spoofing: DMARC aiuta a prevenire attacchi di phishing e spoofing impedendo ai malintenzionati di usare domini falsificati nelle email.
Miglioramento della Deliverability: Le email inviate da domini con una politica DMARC correttamente configurata hanno maggiori probabilità di essere consegnate correttamente, poiché i provider di servizi email possono fidarsi dell’autenticità del mittente.
Visibilità e Controllo: I rapporti generati da DMARC forniscono ai proprietari dei domini informazioni preziose su come le loro email vengono gestite dai vari provider di servizi email, consentendo loro di identificare e risolvere i problemi di autenticazione.
In sintesi, DMARC rappresenta uno strumento potente per migliorare la sicurezza della posta elettronica, riducendo il rischio di abusi del dominio email e aumentando la fiducia nell’ecosistema dell’email. ↩︎
Quando si parla di DMARC (Domain-based Message Authentication, Reporting, and Conformance) che richiede l’allineamento di DKIM (DomainKeys Identified Mail) e SPF (Sender Policy Framework), si fa riferimento a un meccanismo di sicurezza email progettato per prevenire lo spoofing dell’indirizzo email e migliorare la gestione della posta indesiderata. L’allineamento di DKIM e SPF sotto DMARC è un aspetto cruciale per assicurare che i messaggi di posta elettronica siano autenticati correttamente e provengano realmente dal dominio che affermano di rappresentare.
Allineamento di DKIM
DKIM consente al mittente di un messaggio di associare un dominio al messaggio stesso tramite una firma digitale inserita nell’intestazione dell’email. Quando un messaggio viene ricevuto, il destinatario (o più specificamente, il server di posta del destinatario) può verificare questa firma utilizzando una chiave pubblica pubblicata nel DNS del dominio del mittente.
Affinché DKIM sia “allineato” secondo DMARC, il dominio che ha firmato il messaggio (riportato nell’intestazione DKIM) deve corrispondere al dominio del mittente (FROM) del messaggio, o almeno condividere la stessa Organizational Domain, a seconda della politica di allineamento DMARC applicata (rilassata o rigorosa).
Allineamento di SPF
SPF permette al proprietario di un dominio di specificare quali server di posta sono autorizzati a inviare email per conto di quel dominio. Quando un’email viene ricevuta, il server di posta del destinatario controlla il record SPF nel DNS del dominio del mittente per verificare che l’IP del server che ha inviato l’email sia elencato come autorizzato.
Per un “allineamento” SPF sotto DMARC, il dominio utilizzato nella verifica SPF (tipicamente il dominio presente nell’indirizzo di ritorno del percorso, ovvero l’intestazione Return-Path) deve corrispondere al dominio del mittente (FROM) dell’email, o essere sotto la stessa Organizational Domain, a seconda della politica di allineamento DMARC.
Importanza dell’Allineamento
L’allineamento di DKIM e SPF è fondamentale per DMARC perché conferma che l’email non solo passa le verifiche di autenticazione individuali (DKIM e SPF) ma che queste verifiche sono coerenti con il dominio che l’utente vede nel campo “Da” dell’email. Questo aiuta a prevenire tentativi di phishing e spoofing in cui un malintenzionato potrebbe cercare di impersonare un dominio affidabile senza avere l’autorizzazione per farlo. DMARC utilizza questi controlli allineati per decidere se accettare, rifiutare o altrimenti gestire le email che non superano l’autenticazione, migliorando significativamente la sicurezza della posta elettronica. ↩︎