SPF, DKIM e DMARC spiegati: come configurarli e combattere le email false

Pubblicato: 2021-11-13

Hai lavorato con attenzione alla tua strategia di email marketing ma devi ancora affrontare il problema delle tue email che rimbalzano o finiscono nella cartella spam tutto il tempo?

Questo è qualcosa che nessun rappresentante di vendita o marketer vuole affrontare. Dopotutto, i rimbalzi e un alto tasso di reclami di spam possono essere dannosi per la reputazione del mittente, la consegna delle e-mail e possono persino portare il mittente a essere bloccato dagli ISP.

Ma non preoccuparti. Ci sono stato, risolto.

Uno dei motivi per cui le tue e-mail possono essere contrassegnate come spam è la configurazione errata dei record DMARC, DKIM e SPF.

Per risolvere il problema, è necessario conoscere alcuni dettagli tecnici. Ed è per questo che siamo qui!

Contorno:

  • Cosa significano SPF, DKIM e DMARC?
  • Come puoi verificare se la tua configurazione tecnica è a posto?
  • Come configurare SPF, DKIM e DMARC?

Cosa significano SPF, DKIM e DMARC?

Cominciamo col chiarire alcuni termini.

Quando leggi le definizioni SPF, DKIM e DMARC, noterai che il DNS viene menzionato molto. DNS (Domain Name System) è un repository di nomi di dominio (example.com) e dei relativi indirizzi IP (111.222.333.444) . Ogni dominio può avere più di un indirizzo IP, ad esempio, un sottodominio o un server di posta di dominio avrà IP diversi.

Per configurare SPF, DKIM e DMARC, devi accedere a DNS. Di solito, gli amministratori di sistema della tua azienda o, in alcuni casi, gli sviluppatori possono aiutarti.

SPF aiuta a prevenire lo spoofing verificando l'indirizzo IP del mittente

SPF (Sender Policy Framework) è un record DNS contenente informazioni sui server autorizzati a inviare e-mail da un dominio specifico (ad esempio, snov.io ).

Con esso puoi verificare che i messaggi provenienti dal tuo dominio vengano inviati da server di posta e indirizzi IP da te autorizzati. Questi potrebbero essere i tuoi server di posta elettronica o i server di un'altra azienda che utilizzi per l'invio di e-mail.

Se SPF non è impostato, i truffatori possono trarne vantaggio e inviare messaggi falsi che sembrano provenire da te.

È importante ricordare che può esistere un solo record SPF per un dominio . All'interno di un record SPF, tuttavia, possono essere menzionati diversi server e indirizzi IP (ad esempio, se le e-mail vengono inviate da diverse piattaforme di posta).

DKIM mostra che l'e-mail appartiene a un'organizzazione specifica

DKIM (DomainKeys Identified Mail) è un altro standard tecnico che aiuta a identificare indirizzi e-mail falsi, combattere lo spam e prevenire lo spoofing e il furto di identità.

DKIM aggiunge una firma digitale all'intestazione del messaggio di posta elettronica, che i server di posta controllano quindi per assicurarsi che il contenuto dell'email non sia cambiato. Come SPF, nel DNS esiste un record DKIM.

DMARC allinea i meccanismi SPF e DKIM

Processo di autenticazione e-mail DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) definisce come il server di posta del destinatario deve elaborare le e-mail in arrivo se non superano il controllo di autenticazione (SPF, DKIM o entrambi).

Fondamentalmente, se è presente una firma DKIM e il server di invio si trova nei record SPF, l'e-mail viene inviata alla casella di posta del destinatario.

Se il messaggio fallisce l'autenticazione, viene elaborato in base al criterio DMARC selezionato: nessuno, rifiuta o mette in quarantena.

  • Con il criterio "nessuno" , il server ricevente non intraprende alcuna azione se le tue e-mail falliscono l'autenticazione. Non influisce sulla tua deliverability. Ma non ti protegge nemmeno dai truffatori, quindi non ti consigliamo di impostarlo. Solo introducendo politiche più rigorose puoi bloccarle fin dall'inizio e far sapere al mondo che tieni ai tuoi clienti e al tuo marchio.
  • Qui, i messaggi che provengono dal tuo dominio ma non superano il controllo DMARC vanno in "quarantena". In tal caso, si consiglia al provider di inviare la propria e-mail alla cartella spam.
  • In base alla politica di "rifiuto" , il server ricevente rifiuta tutti i messaggi che non superano l'autenticazione della posta elettronica. Ciò significa che tali e-mail non raggiungeranno un destinatario e comporteranno un rimbalzo.

L'opzione "rifiuta" è la più efficace, ma è meglio sceglierla solo se sei sicuro che tutto sia configurato correttamente.

Invio non riuscito

Ora che abbiamo chiarito tutti i termini, vediamo come puoi verificare se hai un record SPF, un record DKIM e un criterio DMARC esistenti.

Come puoi verificare se la tua configurazione tecnica è a posto?

Ecco alcuni semplici modi per controllare la tua configurazione tecnica per vedere se tutto funziona correttamente da solo.

Controllo DKIM, SPF e DMARC tramite Gmail

opzione 1

Invia un'email di prova al tuo indirizzo e quindi apri il messaggio. Fai clic su "Mostra dettagli". Se vedi un'intestazione "mailed-by" con il nome del dominio e un'intestazione "signed-by" con il dominio mittente, il tuo DKIM e SPF vanno bene.

Controllo DKIM, SPF e DMARC tramite Gmail

opzione 2

Se vai su "Mostra originale" , puoi vedere maggiori informazioni su SPF, DKIM e DMARC.

Controllo DKIM, SPF e DMARC tramite Gmail

Fatto!

Controllo DKIM, SPF e DMARC tramite Gmail

Controllo DKIM, SPF e DMARC tramite riga di comando

Ora diamo un'occhiata a come puoi controllare i record SPF, DKIM e DMARC in Windows tramite la riga di comando. Per gli utenti Mac, il processo è leggermente diverso; la verifica viene eseguita tramite il Terminale di Mac OS. Puoi leggere i dettagli qui .

Controllo record SPF

Puoi controllare il tuo record SPF utilizzando nslookup , uno strumento di query predefinito che fornisce all'utente un'interfaccia a riga di comando per accedere al DNS.

  1. Apri la riga di comando (Start > Esegui > cmd).
  2. Immettere "nslookup -type=txt" seguito da uno spazio e un dominio o nome host, ad esempio "nslookup -type=txt google.com".
  3. Se esiste un record SPF, il risultato sarà qualcosa del genere: "v=spf1 include:_spf.google.com ~all" .
  4. Se non ci sono risultati o non c'è "v=spf1", allora c'è un problema nell'ottenere il record per il dominio, oppure non esiste.

Controllo record SPF

Come leggere correttamente SPF

  • La parte “v=spf1” mostra che il record è di tipo SPF (versione 1).
  • La parte "include" elenca i server autorizzati a inviare e-mail per il dominio.
  • La parte "~all" indica che se una qualsiasi parte del messaggio inviato non corrisponde al record, il server destinatario probabilmente lo rifiuterà.

Controllo della registrazione DKIM

Per controllare DKIM con l'aiuto di nslookup , segui questi passaggi:

  1. Apri la riga di comando (Start > Esegui > cmd).
  2. Nella finestra di comando, digita "nslookup" > Invio.
  3. Digita "set q=txt" > Invio.
  4. Digita "selector._domainkey.domain.com" > Invio. Sostituisci le parole selettore e dominio con il selettore DKIM e il dominio che vuoi cercare.

Controllo della registrazione DKIM

Il selettore DKIM si trova nell'intestazione dell'e-mail DKIM-Signature se vai a qualsiasi e-mail che hai inviato, fai clic su "Mostra originale" (come abbiamo fatto qui) e scorri verso il basso. È specificato come tag "s=" .

Controllo della registrazione DKIM

Controllo dei criteri DMARC

Puoi anche cercare i criteri DMARC dalla riga di comando:

  1. Apri la riga di comando (Start > Esegui > cmd).
  2. Digita "nslookup -type=txt _dmarc.domain.com" , ad esempio "nslookup -type=txt _dmarc.google.com", > Invio.

Controllo dei criteri DMARC

Controllo DKIM, SPF e DMARC con l'aiuto di MxToolbox

Questa è, forse, l'opzione più semplice. Tutto quello che devi fare è andare sul sito Web MxToolbox ed eseguire tre controlli.

Tieni presente che per la ricerca dei record DKIM avrai bisogno di un selettore, proprio come nel caso della riga di comando che abbiamo descritto in precedenza.

Controllo DKIM, SPF e DMARC con l'aiuto di MxToolbox

Come configurare SPF, DKIM e DMARC?

Durante la configurazione dei record SPF, DKIM e DMARC, devi seguire l'ordine corretto, che puoi trovare nella Guida dell'amministratore di Google Workspace .

Queste sono le istruzioni che puoi seguire:

  1. Imposta SPF per il dominio.
  2. Configura DKIM per il dominio.
  3. Configura una casella di posta per i rapporti.
  4. Ottieni le informazioni di accesso dell'host di dominio.
  5. Verifica la presenza di un record DMARC esistente (puoi utilizzare MxToolbox qui).
  6. Modifica criterio DMARC.

Ricorda che sia l'impostazione iniziale di DKIM, SPF, MX, DMARC che le modifiche successive devono essere nell'ordine corretto.

Di seguito puoi trovare le impostazioni generali per tutti i provider di domini (usando Google come esempio). Ma ricorda, poiché hai i tuoi domini, possono essere tutti configurati in modo diverso.

Configurazione generale dell'SPF

1. Devi andare alle tue impostazioni DNS (es. Namecheap, Cloudflare, Bluehost, ecc.) e creare un nuovo record.

Configurazione DKIM generale

2. Seleziona il record TXT e inserisci "@" in "Nome".

3. Incolla “v=spf1 include: _spf.google.com ~all” in “Value” e poi salva.

Configurazione generale dell'SPF

Configurazione DKIM generale

Questi passaggi sono per gli amministratori che gestiscono gli account Google per la tua azienda:

1. Accedi alla tua Console di amministrazione Google .

2. Fai clic sul menu in alto a sinistra e vai su App > G Suite > Impostazioni per Gmail > Autentica email .

3. Scegli il tuo dominio dall'elenco a discesa, fai clic su "Genera nuovo record", quindi copia il nome host e il valore del record TXT.

Configurazione DKIM generale

4. Accedi al tuo DNS (es. Namecheap, Cloudflare, Bluehost, ecc.), vai all'elenco dei domini, scegli il tuo dominio e seleziona "Aggiungi nuovo record" nelle impostazioni avanzate.

Configurazione DKIM generale

5. Seleziona il record TXT e inserisci il nome host che hai appena copiato da Google in "Nome" e il valore del record TXT in "Valore".

Configurazione DKIM generale 6. Salva le modifiche.

7. Torna su Google e fai semplicemente clic su "Avvia autenticazione".

Configurazione DKIM generale

8. Attendi l'aggiornamento del DNS

Ecco un'istruzione video se vuoi una spiegazione più dettagliata:

Impostazioni generali DMARC

Proprio come SPF e DKIM, DMARC è una semplice voce di una riga nei tuoi record DNS (ad es. Namecheap, Cloudflare, Bluehost, ecc.).

Prima di impostarlo, assicurati di aver configurato i record SPF e DKIM per il dominio richiesto.

Quindi segui questi passaggi:

1. Vai alle tue impostazioni DNS e crea un nuovo record.

Configurazione DKIM generale

2. Scegli un record 'TXT'.

3. Aggiungere il nome host (ad esempio, _dmarc).

4. Aggiungere il valore. Di seguito puoi trovare una voce DMARC di esempio che puoi utilizzare per crearne una tua:

v=DMARC1; p=quarantena; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=s

In cui si:

  • v — Un tag-value obbligatorio (non cambiarlo!).
  • p — Politica di elaborazione della posta. Viene specificata una delle opzioni possibili: nessuno, quarantena o rifiuto .
  • rua – Indirizzo e-mail per la ricezione di report statistici. L'indirizzo deve appartenere allo stesso dominio per il quale è configurato il record DMARC.
  • ruf — Indirizzo e-mail per la ricezione di rapporti sui controlli di autenticazione falliti. Poiché ogni errore durante la verifica dell'indirizzo del mittente genera un rapporto separato, è meglio avere una casella di posta separata per questo.
  • fo — Determina in quali casi i rapporti verranno inviati al proprietario del dominio. I valori possibili includono:
    • 0: viene inviato un report se i controlli SPF e DKIM falliscono. Impostato per impostazione predefinita.
    • 1 — viene inviato un rapporto se uno dei controlli fallisce, SPF o DKIM.
    • d — viene inviato un report per ogni verifica DKIM eseguita.
    • s — viene inviato un report per ogni controllo SPF eseguito.

Avvolgendo

Ora che il tuo record SPF, il record DKIM e il criterio DMARC sono impostati correttamente, tutto ciò che resta da fare è iniziare a inviare le tue email fredde !

E ricorda, lo strumento Snov.io Email Drip Campaigns è sempre pronto ad aiutarti con la tua email.

Buon invio!