Domain spoofing, phishing e spear phishing sono ormai all’ordine del giorno e obbligano sempre più aziende a dotarsi di sistemi di autenticazione email per assicurarsi i migliori tassi di recapito, mantenendo alta la reputazione e riuscendo a superare i filtri anti spam. 

Nel recente passato abbiamo avuto occasione di raccontare come, accanto agli storici metodi SPF e DKIM, negli ultimi anni si sia affermato con forza anche l’utilizzo di DMARC.

DMARC si basa proprio su SPF e DKIM e aiuta chi spedisce – il sender e spesso il brand, e chi riceve – il receiver o mailbox provider, a determinare se un messaggio sia stato inviato legittimamente.

Per questo motivo le funzionalità di Send sono state da tempo potenziate in modo da fornire gli strumenti per ottenere la piena aderenza ai requisiti che il protocollo DMARC impone e consentire di trarre tutto il vantaggio dai benefici offerti dalla sua adozione.

In questo articolo vedremo insieme come le modalità di selezione della DKIM con cui firmare le email su Send garantiscano un DMARC alignment sempre più efficace.

DKIM, DMARC e DMARC alignment

Cosa è il protocollo DKIM

DomainKeys Identified Mail è uno standard di autenticazione email che ti permette di firmare digitalmente i messaggi e offrire a chi li riceve, la possibilità di verificarne:

• L’autenticità e quindi che tu sia realmente autorizzato a spedirli.
• L’integrità ovvero che il contenuto non sia stato manomesso durante la trasmissione.

In che modo? Al momento della ricezione dell’email e prima di recapitare il messaggio, il server del destinatario verifica, tramite autenticazione crittografata, che la chiave nell’header sia quella associata al dominio mittente. In caso affermativo, l’email finisce nell’inbox.

La multi-DKIM

📣 In particolare Send ti permette di gestire su un unico account, DKIM personalizzate su base dominio, garantendone l’allineamento con i tuoi domini mittenti, nei termini riassunti qui sotto, parlando di DMARC.

Puoi così utilizzare domini diversi per newsletter differenti come ad esempio mailing di prodotto o comunicazioni commerciali, ed essere sempre conforme a DMARC e assicurarti la massima deliverability.

Inoltre, su Send è offerta la possibilità di impostare chiavi a 2048 bit per il tuo account, confermando Contactlab tra i primi ESP a proporre servizi di sicurezza così elevati e senza costi aggiuntivi.

Come funziona DMARC

DMARC è un sistema di notifica grazie al quale, in qualità di mittente, puoi acquisire visibilità sul traffico del tuo dominio. Oltre a segnalare il risultato del consueto check su SPF e DKIM, l’implementazione di questo metodo crea un collegamento tra il dominio visibile al lettore (header FROM – RFC 5322) e i domini tecnici (Envelope From domain RFC 5321 e DKIM domain).

Se il dominio visibile from è uguale al dominio SPF o DKIM, allora si verifica il DMARC alignment ossia la condizione di allineamento che permette alla email di essere recapitata correttamente.

Nel caso invece che DMARC rilevi un disallineamento tra i domini, sei tu mittente a indicare al mailbox provider receiver – Gmail, Microsoft, Yahoo! – come gestire la email non allineata. E lo puoi fare utilizzando una logica di severity progressiva in cui richiedi al mailbox provider di:

• non applicare policy e quindi non intraprendere azioni specifiche sulle email in errore: p=none
• mettere la email non allineata in spam: p=quarantine
• rifiutare la email: p=reject

Appare immediato come al diffondersi di DMARC, si renda sempre più necessaria la personalizzazione del dominio della DKIM e il suo allineamento con il tuo dominio mittente.

Nuove modalità di selezione della DKIM su Send

Semplificando quindi, il DMARC alignment si verifica quando dominio del from e dominio DKIM sono identici.

Nella realtà però, la regola potrebbe richiedere una maggiore articolazione. Due domini portano al DMARC alignment quando i loro domini organizzativi coincidono e in questo caso si parla di relaxed alignment. Il dominio organizzativo è la parte principale di un dominio.

Prendendo come esempio mail.domain.com, il dominio organizzativo è domain.com. Si usa infatti dire che il dominio organizzativo è di norma il corporate domain, o brand domain.

Se consideriamo quindi questa versione più allargata della regola, è possibile avere DMARC alignment, sicuramente nei casi di perfetta coincidenza tra domini, ma anche in ulteriori situazioni.

Esempio 1
From: mybrand.com
DKIM: news.mybrand.com
DKIM: bulk.mybrand.com

Esempio 2
From: info.mybrand.com
DKIM: news.mybrand.com
DKIM: bulk.mybrand.com
DKIM: subs.mybrand.com

Ti si apre quindi la possibilità di impostare di volta in volta, nelle spedizioni email un From il cui dominio non sia necessariamente coincidente con uno dei domini DKIM firmati, ma che comunque ne condivida il dominio organizzativo.

Le recenti novità introdotte in Send hanno recepito le potenzialità derivanti dall’adottare il relaxed alignment nella scelta della DKIM con cui firmare le email, in modo da venire incontro alle tue esigenze reali, prima fra tutte, la volontà di impostare nel From il corporate domain, senza dover necessariamente definire su di esso una firma DKIM, con eventuale necessità di delega a Contactlab del dominio di primo livello.

Concludendo

DMARC si sta affermando sempre più perché garantisce la reputazione e una buona visibilità anche grazie al supporto di BIMI e perchè previene il domain spoofing. Per beneficiarne però al massimo, occorre sempre garantire l’allineamento dei domini mittente e firmato, nella scelta della DKIM.

Grazie alla rivisitazione dei criteri di scelta della DKIM su Send puoi garantire appieno il rispetto di questo requisito, beneficiando di:

• Maggiore flessibilità nell’utilizzo di domini diversi per newsletter differenti.
• Nessuna delega a Contactlab di domini di primo livello.
• Piena conformità a DMARC e miglioramento del servizio offerto da SPF e DKIM.
• Massimi livelli di deliverability e salvaguardia della reputazione.
• Protezione del tuo business.
• Conformità al GDPR.
• Apertura alle possibili evoluzioni in tema di sicurezza.