Sottosezioni di autenticazione nozioni di base

<spf> dichiara i server smtp

spf logo

spf spiegazione

SPF è l’abbreviazione di Sender Policy Framework, uno standard di autenticazione della posta elettronica,
che consente di dichiarare quali sono i server smtp autorizzati ad inviare email per il vostro dominio.

Permette di convalidare l’indirizzo del mittente e la sua relazione con il server che ha inviato il messaggio.
Per le email inviate con il vostro dominio nel mittente, il destinatario può identificare se sono state inviate da un server smtp da voi riconosciuto.

Si consiglia di configurarlo, perché alcuni destinatari potrebbero rifiutare i messaggi se l’spf non è stato impostato del tutto.


come funziona spf

Ci sono due diversi approcci:

  • uno “soft” (tag ~all), che genera un errore “softfail” se il messaggio è stato inviato da un server non dichiarato
  • uno “hard” (tag -all), che genera un errore “fail” se il messaggio è stato inviato da un server non dichiarato

La configurazione “soft” produrrà meno/nessun rifiuto da parte dei destinatari.
Quella “hard” causerà il rifiuto di alcuni messaggi se il server non è stato dichiarato oppure in alcuni casi quando l’email è stata reindirizzata o inviata attraverso una mailing list.

L’impostazione “hard” è quella che fornisce al server di posta di destinazione più facoltà di decidere se accettare o meno il messaggio, questo è l’approccio che suggeriamo.


come si configura spf

L’impostazione dell’spf richiede di conoscere esattamente quali server vengono utilizzati per l’invio dei messaggi di posta elettronica.

Con RealSender, il record TXT del vostro dominio (example.com) dovrebbe contenere la stringa
a:example.realsender.com        ed assomigliare a questo:

example.com   TXT   "v=spf1 a:example.realsender.com ~all"

Con HighSender, il record TXT del vostro dominio (example.com) dovrebbe contenere la stringa
include:spf.realsender.com        ed assomigliare a questo:

example.com   TXT   "v=spf1 include:spf.realsender.com ~all"

Questi strumenti vi aiuteranno a convalidare la configurazione:
www.kitterman.com/spf/validate.html *
   recupera il record SPF per il nome di dominio specificato e determina se è valido
spf tester online
   controllo delle impostazioni SPF inviando un messaggio email

* = link ad un sito web esterno, si aprirà in una nuova pagina


spf aspetti negativi ed inconvenienti

Anche se tutto è impostato correttamente, la verifica del messaggio potrebbe non risultare corretta
se l’email è stata reindirizzata (inoltrata) o inviata tramite una mailing list.

In questi casi, per mantenere consistente l’autenticazione delle email,
configurare il dominio della firma dkim in modo che sia allineato con l’indirizzo From del mittente.
Vedi: autenticazione e-mail avanzata » <dkim> allineamento per dmarc.


aggiornato il 3 settembre 2020


<spf> tester online

<spf> tester online

spf logo

  1. invia un messaggio email a:
spf@tester.realsender.com
  1. controlla online il risultato della validazione SPF:
    (occorre circa un minuto perché venga visualizzato)
https://tester.realsender.com/spf

RealSender SPF tester online aggiungerà un prefisso all’oggetto, se il messaggio non è stato autenticato correttamente:

!! spf-fail !!       il server smtp non è elencato tra quelli autorizzati 
                      e la mail deve essere rifiutata o scartata  
!! spf-softfail !!   il server smtp non è elencato tra quelli autorizzati 
                      ma ciò va considerato come un "softfail"  
!! spf-neutral !!    il record SPF indica esplicitamente che nulla può essere detto sulla validità  
!! spf-none !!       il dominio del mittente non contiene informazioni per autenticare la mail

A volte le informazioni registrate a livello di dominio non risultano corrette/comprensibili.

!! spf-permerror !!  si è verificato un errore permanente (ad esempio record SPF formattato in modo errato)
!! spf-temperror !!  si è verificato un errore temporaneo

Il controllo SPF viene effettuato sull’indirizzo “Mail-From”, che è nascosto nelle intestazioni dell’email.
È visibile solo l’indirizzo “From” del mittente. Se i loro domini di base sono diversi, viene visualizzato questo avviso:

!! spf-diff !!       i domini di base negli indirizzi "Mail-From" e "From" sono diversi

Se il messaggio supera sia il controllo SPF ED il controllo dell’allineamento SPF per DMARC (allineamento “relaxed”), risulterà:

|OK| spf-pass        l'email passa il controllo SPF + il controllo dell'allineamento SPF

Se solo uno, SPF OPPURE DKIM, supera il controllo di allineamento per DMARC (allineamento “relaxed”),
il messaggio è ancora considerato “OK” (attendibile) ed il simbolo ~ (tilde) viene aggiunto all’inizio:

|~OK| spf-pass       l'email passa il controllo SPF (non l'allineamento) 
                      + il controllo dell'allineamento DKIM

Prova gratuita di RealSender

<dkim> sigilla il contenuto

dkim logo

dkim spiegazione

DKIM è l’acronimo di DomainKeys Identified Mail, uno standard per l’autenticazione delle email,
progettato per garantire che i messaggi email (compresi gli allegati) non vengano modificati dopo che sono stati “firmati”.

Ciò si ottiene apponendo una firma digitale, collegata ad un nome di dominio, a ciascun messaggio email in uscita.

Vengono utilizzate due chiavi: una “pubblica” ed una “privata”:

  1. la chiave “pubblica”, si trova nel record TXT del dominio che firma
  2. la chiave “privata”, è conservata nel server smtp ed utilizzata per “firmare” i messaggi di posta elettronica

Durante l’invio di un messaggio, il server smtp genera una “firma in codice”, basata sul contenuto del messaggio email e sulla chiave privata.

Il sistema destinatario può verificare la firma presente nell’intestazione, confrontandola con il contenuto della mail e con la chiave “pubblica” del mittente.


come funziona dkim

Le firme DKIM non sono immediatamente visibili agli utenti finali, vengono aggiunte e verificate dall’infrastruttura di posta elettronica.

I server smtp di RealSender firmano tutti i messaggi email in uscita con la firma dkim.


come si configura dkim

RealSender da subito firma tutti i messaggi in uscita con il proprio dominio collegato al server smtp,
non è necessaria alcuna configurazione lato utente/amministratore.

Per ottenere “l’allineamento del dominio dkim per dmarc”,
il messaggio deve essere firmato con lo stesso dominio del mittente.

Con RealSender, dovreste aggiungere due record CNAME
nelle impostazioni dns del vostro dominio (example.com), come questi:

key1._domainkey.example.com   CNAME   key1._domainkey.nomeazienda.realsender.com
key2._domainkey.example.com   CNAME   key2._domainkey.nomeazienda.realsender.com

Questo strumento vi aiuterà a convalidare la configurazione:
toolbox.googleapps.com *

* = link ad un sito web esterno, si aprirà in una nuova pagina


dkim aspetti negativi

Un messaggio sigillato con dkim non può essere modificato, ma può essere sempre letto da chiunque.

Un messaggio firmato che non supera la verifica, di solito viene respinto.
Se non sono state apportate modifiche lungo il percorso dal mittente al destinatario, ciò non dovrebbe accadere.

Abbiamo riscontrato rari casi, tutti correlati alla lunghezza delle linee (deve essere massimo 990 caratteri).
Alcune applicazioni inviano il contenuto tutto in una riga o trasmettono una riga molto lunga all’interno dell’html.
In queste occasioni la firma dkim risulta corrotta, causando l’esito della verifica “dkim = fail”.


aggiornato il 25 agosto 2020


<dkim> tester online

<dkim> tester online

dkim logo

  1. invia un messaggio email a:
dkim@tester.realsender.com
  1. controlla online il risultato della validazione DKIM:
    (occorre circa un minuto perché venga visualizzato)
https://tester.realsender.com/dkim

RealSender DKIM tester online aggiungerà un prefisso all’oggetto, se il messaggio non è stato firmato correttamente:

!! dkim-none !!      non sono state trovate intestazioni DKIM-Signature (valide o non valide)
!! dkim-fail !!      è stata trovata un'intestazione DKIM-Signature valida, ma la firma 
                      non contiene un valore corretto per il messaggio

A volte non è possibile eseguire il controllo:

!! dkim-invalid !!   c'è un problema nella firma stessa o nel record della chiave pubblica. 
                       La firma non può essere verificata
!! dkim-temperror !! è stato rilevato un errore che è probabilmente di natura transitoria, 
                      come l'incapacità temporanea di recuperare la chiave pubblica

Quando il messaggio è stato firmato utilizzando un dominio diverso, verrà aggiunto un avviso “diff” all’oggetto.
Questo avviso NON verrà visualizzato se il mittente supera il controllo SPF e l’allineamento SPF per dmarc:

!! dkim-diff !!      il messaggio NON è stato firmato dal dominio del mittente

Se il messaggio supera sia il controllo DKIM ED il controllo dell’allineamento DKIM per DMARC (allineamento “relaxed”), risulterà:

|OK| dkim-pass        l'email passa il controllo DKIM + il controllo dell'allineamento DKIM

Se solo uno, DKIM OPPURE SPF, supera il controllo di allineamento per DMARC (allineamento “relaxed”),
il messaggio è ancora considerato “OK” (attendibile) ed il simbolo ~ (tilde) viene aggiunto all’inizio:

|~OK| dkim-pass       l'email passa il controllo DKIM (non l'allineamento) 
                       + il controllo dell'allineamento SPF

Prova gratuita di RealSender