lemlist and its partners use cookies (or similar technology) to measure and analyse how our platform is used and to show ads based on your interests. By clicking "Accept", you agree to the above. You can change your preferences at any time in the Cookie Settings from the footer. For more info, check our Cookies Policy and Privacy Policy.
Deny
Manage
Accept
Manage cookies
Analytics
We need to measure events on this website. Why? Kinda like counting calories to have a good line.
Advertisement
No boring ads chasing you all over the internet. Interesting and relevant stuff, we promise.
Social
If you’re interested in the content of this website, we would love to stay connected on your social networks.
Done
Deliverability
Cos'è DMARC e come può aiutarti?
lemlist team
April 7, 2024
|
7 min. read
lemlist team
LAST UPDATED
June 20, 2024
READING TIME
7 min.
La configurazione tecnica è un passaggio cruciale ma un po' confuso quando si configura il dominio perfetto.
Vedremo cos'è DMARC, come configurarlo e perché è così importante.
Che cos'è DMARC
DMARC è l'acronimo di «Domain-based Message Authentication, Reporting and Conformance».
È un protocollo di autenticazione e sicurezza e-mail progettato per aiutare le organizzazioni a proteggere i propri domini di posta elettronica da spoofing, phishing e altri attacchi basati sulla posta elettronica.
DMARC si basa su altri due protocolli di autenticazione e-mail, SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), per fornire un approccio completo all'autenticazione e alla convalida delle e-mail.
DMARC è una specifica tecnica utilizzata nell'autenticazione delle e-mail.
Non tutti utilizziamo la posta elettronica per gli stessi scopi.
Abbiamo raggruppato gli utenti di posta elettronica in tre diverse categorie in modo da poter capire come DMARC apparirà utile indipendentemente dal tuo lavoro principale.
Fornitori di cassette postali
A volte i messaggi non superano il processo di autenticazione.
La politica DMARC offre tutte le informazioni necessarie su come filtrare questi messaggi.
In caso di dubbio, i provider di caselle di posta inviano in genere un messaggio non autenticato, poiché è più probabile che un cliente preferisca eliminare lo spam piuttosto che perdere un'e-mail effettiva che avrebbe potuto essere utile e significativa.
Ecco perché a volte lo spam penetra nella tua casella di posta.
Tutti i principali provider di caselle di posta supportano DMARC. In effetti, l'implementazione di DMARC è un segnale per questi fornitori che sei un mittente responsabile e affidabile di cui possono fidarsi.
Tutti i principali provider di caselle di posta supportano DMARC. Ad esempio:
→ Gmail: Per configurare correttamente DMARC, DKIM e SPF devono avere messaggi autenticati per almeno 48 ore.
→ Yahoo: secondo la politica DMARC di Yahoo, tutte le email inviate da un account @yahoo .com verranno rifiutate se non inviate direttamente da un server Yahoo.
ATTENZIONE: a partire dal 1° febbraio 2024, ci saranno alcune modifiche che potrebbero influire sull'invio di email dai server Gmail, Yahoo e AOL. Quindi non dimenticate di controllali.
→ Microsoft Outlook: Avrai bisogno di un centro di amministrazione di Microsoft 365 e dell'accesso al tuo provider DNS per configurarlo.
→ AOL: ha un tag p=reject, quindi funziona proprio come Yahoo. Tieni presente questo aspetto se stai utilizzando un servizio di invio di email a freddo o in blocco.
Alcuni altri server non convalidano i record DMARC, come...
→ Mailchimp: tuttavia, puoi aggiungerlo in aggiunta a SPF o DKIM.
Destinatari e-mail
Questo gruppo probabilmente beneficia maggiormente di una buona politica DMARC, in quanto assicurerà che nessuna email dannosa o spam arrivi nella tua casella di posta. Vi proteggerà anche dall'impersonificazione nel campo «da», che in genere può portare a frodi.
Mittenti di posta elettronica
Il miglior vantaggio che i mittenti ricevono da DMARC è un dominio di posta elettronica sicuro e protetto. Garantire un'elevata recapitabilità delle email garantirà la reputazione del tuo dominio.
Inoltre, riceverai report sugli indirizzi IP che inviano posta per conto del tuo dominio. Ciò consente di tenere d'occhio lo spoofing delle e-mail e scoprire se le e-mail legittime presentano problemi di autenticazione che influiscono sulla recapitabilità.
Come funziona DMARC?
DMARC entra in azione per ultimo in un processo di autenticazione in tre fasi.
Prima di tutto, devi configurare SPF e DKIM.
SPF (Sender Policy Framework)
SPF consente al proprietario di un dominio di specificare quali server di posta sono autorizzati a inviare e-mail per conto di quel dominio. I destinatari delle e-mail possono quindi controllare i record SPF delle e-mail in arrivo per verificarne l'autenticità.
La configurazione dell'SPF è un passaggio fondamentale per prevenire lo spoofing delle e-mail e gli attacchi di phishing.
Ecco i passaggi per configurare l'SPF:
Comprendi la sintassi SPF: i record SPF vengono pubblicati come record TXT DNS (Domain Name System) per il tuo dominio. Dovrai specificare quali indirizzi IP o server di posta sono autorizzati a inviare email per conto del tuo dominio utilizzando la sintassi SPF. I record SPF sono definiti in un record TXT nelle impostazioni DNS.
Determina i tuoi server di posta autorizzati: prima di creare un record SPF, devi identificare i server di posta autorizzati a inviare e-mail per conto del tuo dominio. Ciò potrebbe includere i tuoi server di posta, i servizi di email marketing e qualsiasi altra fonte legittima.
Crea il tuo record SPF: Una volta identificati i server di posta autorizzati, puoi crea il tuo record SPFI record.SPF vengono in genere aggiunti ai record DNS del dominio come record TXT. La sintassi SPF consente di specificare quali server sono autorizzati a inviare posta dal dominio.
Ecco un esempio di record SPF:
v=spf1 indica che si tratta di un record SPF.
includi: _spf.google.com consente qualsiasi server di posta elencato nella _spf.example.com Record SPF per inviare email per conto del tuo dominio.
~ tutti è un meccanismo soft fail che indica ai server di posta riceventi di contrassegnare le e-mail provenienti da fonti non autorizzate come «controlli SPF falliti» ma non necessariamente di rifiutarle.
Puoi personalizzare il tuo record SPF in base alle tue esigenze specifiche.
4. Aggiungi il record SPF al DNS: accedi all'interfaccia di gestione DNS del tuo dominio, spesso fornita dal registrar di domini o dal provider di hosting. Crea un nuovo record TXT con il nome del tuo dominio (ad es. esempio.com) e incolla il tuo record SPF come valore del record. Salva le modifiche.
5. Metti alla prova il tuo record SPF: dopo aver aggiunto il record SPF, è essenziale testarlo per assicurarsi che sia configurato correttamente. Esistono strumenti di test dei record SPF online come «SPF Record Testing Tools» di dmarcian, che possono aiutarti a verificare se il tuo record SPF è impostato correttamente.
6. Monitora le modifiche ai record SPF: tieni d'occhio il tuo record SPF, soprattutto quando apporti modifiche alla tua infrastruttura di posta. Configurazioni SPF errate possono far sì che le email legittime vengano contrassegnate come spam o rifiutate.
DKIM (DomainKeys Identified Mail)
DKIM aggiunge una firma digitale alle e-mail in uscita, che può essere verificata dai destinatari di e-mail utilizzando la chiave pubblica pubblicata nei record DNS del dominio.
Questo aiuta a garantire che il contenuto dell'email non sia stato manomesso durante il transito.
Ecco come configurare DKIM:
1. Genera una coppia di chiavi DKIM:
a. Accedi al pannello di controllo o all'interfaccia del tuo server di posta elettronica o del tuo provider di hosting. Molti provider di hosting offrono la possibilità di generare coppie di chiavi DKIM direttamente dal loro pannello di controllo.
b. Se il tuo servizio di posta elettronica non fornisce questa funzionalità, puoi utilizzare uno strumento di generazione di chiavi DKIM o un generatore online per creare una coppia di chiavi DKIM. Uno strumento popolare è OpenSSL:
Questi comandi genereranno una chiave privata (private.pem) e una chiave pubblica corrispondente (public.pem).
2. Configura il tuo server di posta elettronica:
a. Accedi alla configurazione del tuo server di posta elettronica o al pannello di controllo e individua la sezione per le impostazioni DKIM.
b. Carica o copia la chiave privata (private.pem) nella configurazione DKIM del tuo server di posta elettronica. Il modo per eseguire questa operazione può variare a seconda del software del server di posta elettronica.
c. Assicurarsi che la chiave privata sia protetta e non sia esposta a persone non autorizzate.
3. Aggiungi un record DNS DKIM:
a. Dopo aver configurato il server di posta elettronica con la chiave privata, è necessario creare un record DNS DKIM. Questo record DNS consentirà ai server di posta elettronica riceventi di verificare l'autenticità delle tue e-mail.
b. Nell'interfaccia di gestione DNS (fornita dal registrar di domini o dal provider di hosting), crea un record TXT con un nome che segua il formato del selettore DKIM. Il selettore DKIM è un nome univoco che scegli, utilizzato nella firma DKIM. In genere è un nome breve e descrittivo come «2024" o «predefinito».
Ad esempio, se il tuo dominio è example.com e hai scelto «predefinito» come selettore DKIM, il nome del tuo record DNS potrebbe essere simile a:
default._domainkey.example.com
c. Il valore di questo record TXT deve essere la tua chiave pubblica (public.pem) racchiusa tra virgolette. Dovrebbe assomigliare a questo:
Assicurati di sostituire l'esempio precedente con la tua chiave pubblica DKIM effettiva.
4. Pubblica il record DKIM:
Dopo aver creato il record DNS DKIM, salva le modifiche. La propagazione dei record DNS su Internet può richiedere del tempo, quindi sii paziente. Puoi utilizzare i correttori DKIM online per verificare che il tuo record DKIM sia pubblicato correttamente.
5. Verifica l'autenticazione DKIM:
Per assicurarti che DKIM funzioni correttamente, invia un'email dal tuo dominio e controlla le intestazioni delle email. Dovresti vedere un'intestazione con firma DKIM che indica che l'autenticazione DKIM è attiva.
6. Monitora e mantieni:
Monitora regolarmente la tua configurazione DKIM per assicurarti che continui a funzionare correttamente. Se apporti modifiche alla tua infrastruttura e-mail o ruoti le chiavi DKIM, aggiorna i record DNS di conseguenza.
L'implementazione di DKIM migliora la sicurezza delle e-mail e aiuta a stabilire la fiducia dei destinatari delle e-mail prevenendo lo spoofing delle e-mail e garantendo l'integrità dei messaggi in uscita.
Ultime, ma non meno importanti... politiche DMARC
DMARC aiuta le organizzazioni a combattere lo spoofing delle email e gli attacchi di phishing fornendo un modo per applicare le politiche di autenticazione per i loro domini. Consente inoltre ai proprietari di domini di ottenere informazioni sulla consegna delle e-mail e identificare potenziali minacce alla sicurezza attraverso la segnalazione e il monitoraggio.
DMARC consente al proprietario amministrativo di un dominio di pubblicare una politica nei propri record DNS per specificare quale meccanismo (DKIM, SPF o entrambi) viene utilizzato per l'invio di e-mail da quel dominio; come controllare il campo «Da:» presentato agli utenti finali; come il destinatario deve gestire i guasti e un meccanismo di segnalazione per le azioni eseguite nell'ambito di tali politiche.
In base ai risultati ricevuti da SPF e DKIM, ci sono tre possibili esiti per il DMARC:
1. Politica di «quarantena»:
L'email verrà recapitata ma sarà contrassegnata come spam o inviata direttamente nella cartella spam.
Comportamento: Quando si specifica una politica DMARC di «quarantena», le e-mail che non superano l'autenticazione DMARC vengono in genere recapitate nella cartella spam o quarantena del destinatario. Il comportamento esatto può variare a seconda del provider di servizi di posta elettronica del destinatario.
Queste e-mail sono bloccate, quindi non possono raggiungere i destinatari, né possono farlo altre e-mail inviate dallo stesso mittente.
Comportamento: In base a una politica DMARC di «rifiuto», le e-mail che non superano l'autenticazione DMARC vengono respinte definitivamente dal server di posta elettronica ricevente. Queste e-mail non vengono recapitate nella casella di posta, nella cartella spam o nella cartella di quarantena del destinatario. Vengono invece rifiutate e possono generare un messaggio di rimbalzo al mittente.
Le e-mail arrivano nella casella di posta del destinatario e sono pronte per essere aperte e lette.
Comportamento: Una politica DMARC «nessuna» è essenzialmente una politica di monitoraggio. Indica ai server di posta elettronica riceventi di non intraprendere alcuna azione specifica in base ai risultati DMARC. Invece, consente di raccogliere report DMARC per l'analisi senza influire sulla consegna delle e-mail.
In base a ciascuna di queste politiche, DMARC fornisce anche meccanismi per specificare quali azioni intraprendere quando le email superano l'autenticazione DMARC. L'obiettivo principale di queste politiche è come gestire le email che non superano i controlli DMARC.
È importante notare che l'esatto comportamento dei server di posta elettronica può variare e non tutti i provider di servizi di posta elettronica applicano completamente le politiche DMARC.
Per garantire una corretta implementazione di DMARC e monitorarne l'impatto, è essenziale rivedere regolarmente i report DMARC e modificare le impostazioni delle politiche secondo necessità.
Inoltre, le organizzazioni possono iniziare con una politica «nessuna» o «quarantena» e passare gradualmente a una politica di «rifiuto» man mano che acquisiscono fiducia nelle proprie pratiche di autenticazione delle e-mail.
Ci sono tag DMARC aggiuntivi come:
v=
Version of DMARC used (DMARC1)
p=
DMARC enforcement policy: none, quarantine, or reject
rua=
List of email addresses where DMARC aggregate reports are sent
pct=
Percentage of messages that are subject to the enforcement policy. Default is pct=100
aspf=
Defines the alignment mode for SPF, which could be strict or relaxed with pass/fail scenarios
adkim=
Defines the alignment mode for DKIM, which could be strict or relaxed with pass/fail scenarios
sp=
Represents different enforcement policies for subdomains
ruf=
Lists email addresses for sending DMARC failure/forensic reports.
fo=
Indicated the options for creating a DMARC failure/forensic report
rf=
Declares the forensic reporting format for message-specific failure reports
ri=
Sets the interval for sending DMARC reports, which is defined in second but is usually 24 hours or more
Come pubblicare un record DMARC
Per pubblicare un record DMARC, segui questi passaggi:
Assicurati di aver precedentemente impostato SPF e DKIM e che siano attivi da almeno 48 ore.
Aggiungete il vostro record DMARC al vostro DNS creando un nuovo record.
Usa il tipo di record TXT
Inserisci _dmarc nel campo Nome o Host.
Determina la politica DMARC che vuoi implementare e quanto rigida vuoi che sia la tua politica.
nessunaModalità solo monitoraggio. Raccogli report DMARC senza influire sulla consegna delle email.
quarantenaLe email non riuscite vengono recapitate nella cartella spam o in quarantena del destinatario.
rifiutareLe email non riuscite vengono rifiutate e non vengono recapitate nella casella di posta del destinatario.
Crea un record DMARC
Per creare un record DMARC, è necessario specificare la versione DMARC, la politica e altri tag opzionali.
Puoi includere tag aggiuntivi se necessario per personalizzare la tua politica DMARC.
Accedi al sito web del tuo provider di hosting DNS o accedi al pannello di controllo del tuo registrar di domini dove gestisci i record DNS per il tuo dominio.
Individua l'opzione per aggiungere o modificare un record DNS DMARC e creare un nuovo record TXT con il seguente formato:
Nome del record: _dmarc.tuodominio.com (sostituisci yourdomain.com con il tuo dominio effettivo)
Tipo di registrazione: TXT
Valore: incolla il record DMARC che hai creato in precedenza.
Ad esempio, se il tuo dominio è example.com, il nome del tuo record DNS DMARC sarà _dmarc.example.com
Salva o crea il record DMARC. Il record DNS DMARC richiede in genere entro poche ore o fino a 48 ore.
Testa il tuo record DMARC per assicurarti che il tuo record DMARC sia pubblicato correttamente e funzioni come previsto, puoi utilizzare strumenti di test dei record DMARC online o ricevere e analizzare i report DMARC.
Monitora i report DMARC inviati all'indirizzo email specificato nel rua tag Questi report forniscono informazioni sullo stato di autenticazione delle e-mail per il tuo dominio e ti aiutano a perfezionare la tua politica DMARC.
Modifica gradualmente la tua politica. Puoi iniziare con una politica meno rigida (ad es. p=nessuno) e aumentare gradualmente il rigore della politica (ad es. p=quarantena o p=rifiuto) man mano che acquisisci sicurezza nelle tue pratiche di autenticazione delle email.
La pubblicazione di un record DMARC (Domain-based Message Authentication, Reporting and Conformance) comporta l'aggiunta di un record DNS TXT alle impostazioni DNS del dominio.
Questo record DMARC definisce la politica DMARC del tuo dominio e specifica dove devono essere inviati i report DMARC. Ecco una guida dettagliata su come pubblicare un record DMARC:
Rapporto DMARC
Essenzialmente, come con tutti gli altri report, un report DMARC consente di valutare la deliverability di un particolare dominio.
Riceverai informazioni complete su come e dove arrivano le tue email e sulla loro autenticità. Sarai anche in grado di individuare le email che si presume vengano inviate dal tuo dominio.
Con queste informazioni, vedrai chiaramente i problemi che devi risolvere (e anche cosa stai facendo bene).
Sfortunatamente, i report vengono inviati in un formato XML che può essere piuttosto difficile da analizzare, quindi uno strumento che renderà tali report più leggibili, come Analizzatore di report DMARC di easyDMARC può essere molto utile.
Ma quali informazioni visualizzerai esattamente nel tuo rapporto?
Tutti i domini che inviano email utilizzando il tuo dominio nel campo «Da»
Indirizzi IP dei domini che utilizzano il tuo dominio
Il numero di email giornaliere
Risultati dell'autenticazione SPF e DKIM
Risultati DMARC
E-mail che sono state messe in quarantena
Email che sono state rifiutate
Segnalazioni forensiche/di guasto
Come abilitare i report DMARC
Crea un record DMARC.
Inserisci l'indirizzo email a cui desideri ricevere i report aggregati nel campo «Email di segnalazione». Ti consigliamo di non utilizzare il tuo indirizzo email principale, in modo da non ingombrare la tua casella di posta con report giornalieri.
Inserisci il tuo indirizzo email nel campo «Failure Reporting» per ricevere rapporti forensi DMARC.
Dopo aver inserito il resto delle tue informazioni, fai clic su «genera»
Pubblica il tuo record nel tuo DNS quando è pronto.
Ora che abbiamo discusso l'uso e il processo dei report DMARC, analizziamo i due tipi di report:
Rapporti aggregati (rua)
I report con un tag rua sono essenzialmente report descrittivi generici.
Questi report vengono inviati in formato XML e possono apparire come tali:
Quali sono le informazioni chiave incluse in un rapporto DMARC aggregato?
Reporting Period
Timeframe the Report Covers
Sender IP Addresses
IP addresses that sent emails on behalf of your domain
SPF Results
Including nº of messages that passed SPF, nº of messages that failed SPF, and domains involved in SPF authentication
DKIM Results
Including nº of messages that passed DKIM, nº of messages that failed DKIM, and DKIM signatures used
DMARC Results
Including nº of messages that aligned with your DMARC policy, nº of messages that did not align and the disposition applied
Authentication Results
Summary of authentication methods used
Message Count
Total number of messages received from each source
Failure Details
Information on failed authentication methods
Message Headers
Headers of failed authentication messages
Aggregate Statistics
Summary statistics including percentage of authenticated and failed messages, among other metrics
Reporting Identifier
An identifier to match reports to specific DMARC configurations
Segnalazioni di guasto (ruf)
Questi report vengono inviati in tempo reale e riguardano messaggi specifici, in genere in testo semplice.
Message Headers
Full header of the failed email
Message Body
Content of failed email
Authentication Results
Authentication check details and why they failed
Envelope Sender
Email address used as the return path for the failed message
DKIM Signature Information
In case of DKIM authentication failure, report includes details of the DKIM signature used, such as selector and domain
SPF Information
In case of SPF authentication failure, the report includes information about the SPF record for the sending domain and the IP address that sent the message
Autenthication-Results Header
Summary of authentication results, including failure checks and why they failed
DMARC Policy
Policy type (quarantine or reject)
Timestamps
When the message was received and when the failure report was generated
Message Size
Size of the failed message
Reporting Source
Information about the source that generated and sent the DMARC failure report
Additional Metadata
Additional information that can be helpful in the failure analysis and authentication failure
Conclusioni chiave
La configurazione tecnica del tuo dominio è fondamentale se desideri proteggere la recapitabilità delle tue email e assicurarti che arrivino dove desideri.
Se hai appena iniziato, assicurati di mantenere leggera la tua politica DMARC e di controllare regolarmente i tuoi rapporti aggregati e forensi per comprendere meglio cosa devi correggere e modificare. Man mano che andrete avanti sarete in grado di stabilire una politica più rigida.
Ora che stai facendo tutto il possibile per proteggere la recapitabilità delle tue email, lascia che anche noi ti aiutiamo.
Con scaldare puoi scaldare il tuo account email in modo da non essere contrassegnato come spam all'avvio delle tue campagne! 😉
lemlist team
Your source of actionable outreach tips and strategies that will help you get replies and grow your business.
Thanks! You've successfully subscribed to lemlist newsletter
Oops! Something went wrong while submitting the form.
Learn the key differences between the email authentication protocols SPF and DKIM. Understand how these essential DNS operate and how they can boost your open rates.
Improve your email open rates and deliverability with free email deliverability tests that can help your emails reach the inbox and maintain a strong sender reputation.
Learn about the different types of bounces, why they're bad for your sender reputation, and 3 steps to reduce them and maximize your email outreach ROI.
.avif)
.avif)
.avif)
