SPF, DKIM e DMARC spiegati semplice
SPF, DKIM e DMARC spiegati semplice: cosa sono i tre protocolli che autenticano le email, come funzionano insieme, perché evitano lo spam e lo spoofing del tuo dominio.
SPF, DKIM e DMARC sono tre sigle che ogni proprietario di un dominio dovrebbe conoscere: sono i protocolli che autenticano le tue email, evitano che finiscano in spam e impediscono ai truffatori di spacciarsi per te. Sembrano complicati, ma il concetto è comprensibile. In questo articolo te li spiego in modo semplice.
Il problema che risolvono
Per come è nata, la posta elettronica non verifica chi invia un'email: chiunque può scrivere come mittente l'indirizzo che vuole. È il motivo per cui esiste lo spoofing e per cui i truffatori possono inviare email che sembrano venire dalla tua banca o dalla tua azienda.
SPF, DKIM e DMARC sono nati per risolvere questo: autenticare le email, dimostrando che provengono davvero da chi dichiarano. Il risultato è doppio: le tue email legittime arrivano (non finiscono in spam) e nessuno può facilmente spacciarsi per te.
SPF: chi può inviare per il tuo dominio
L'SPF (Sender Policy Framework) è un record che specifica quali server sono autorizzati a inviare email per il tuo dominio. In pratica, è una lista: "le email da questo dominio possono partire solo da questi server".
Quando un server riceve una tua email, controlla l'SPF: se l'email arriva da un server autorizzato, bene; se no, è sospetta. È la prima linea di difesa contro chi falsifica il tuo mittente.
DKIM: la firma digitale delle email
Il DKIM (DomainKeys Identified Mail) aggiunge una firma digitale crittografica a ogni email, che ne garantisce l'autenticità e che non sia stata alterata in transito.
Funziona come un sigillo: il server che invia firma l'email con una chiave privata, e il server che riceve verifica la firma con la chiave pubblica (pubblicata nel DNS). Se la firma è valida, l'email è autentica e integra. Si basa sulla crittografia.
DMARC: la regola che lega tutto
Il DMARC (Domain-based Message Authentication, Reporting and Conformance) è la politica che dice ai server riceventi cosa fare con le email che non superano i controlli SPF e DKIM, e fornisce report su chi invia a nome tuo.
In pratica, il DMARC dice: "se un'email che dice di venire dal mio dominio non passa SPF e DKIM, allora rifiutala (o mettila in spam)". È il direttore d'orchestra: usa i risultati di SPF e DKIM per decidere il destino delle email sospette, e ti manda report utili.
Come funzionano insieme
I tre protocolli lavorano in squadra:
| Protocollo | Ruolo |
|---|---|
| SPF | Dice quali server possono inviare per te |
| DKIM | Firma le email per garantirne autenticità e integrità |
| DMARC | Decide cosa fare con le email che falliscono i controlli e invia report |
Insieme, formano una difesa solida: SPF e DKIM verificano, DMARC applica la regola. Per una protezione efficace, servono tutti e tre, configurati correttamente.
Perché ti servono
I benefici di configurarli bene:
- Le tue email arrivano: meno probabilità di finire in spam.
- Protezione del brand: nessuno può facilmente spacciarsi per te via email.
- Difesa dei tuoi clienti da truffe che usano il tuo nome.
- Reputazione del dominio: migliora la fiducia dei provider nelle tue email.
La configurazione richiede attenzione
Questi protocolli si configurano tramite record DNS, e una configurazione sbagliata può paradossalmente bloccare le tue email legittime. Il DMARC, in particolare, va introdotto con gradualità per non causare problemi. È un lavoro tecnico delicato, ma fondamentale per chi usa l'email professionalmente: è uno degli aspetti che curo nei miei servizi di setup tecnico.
In sintesi
SPF, DKIM e DMARC sono tre protocolli che autenticano le email del tuo dominio, evitando che finiscano in spam e impedendo lo spoofing. SPF specifica quali server possono inviare per te, DKIM firma le email garantendone autenticità e integrità, DMARC decide cosa fare con quelle che falliscono i controlli e fornisce report. Insieme proteggono la consegna delle tue email e il tuo brand. La configurazione, tramite record DNS, è delicata e va fatta con attenzione.
Per il contesto, vedi cos'è lo spoofing e perché le email finiscono in spam. Per configurarli correttamente, vedi i miei servizi.