Skip to content

Frequently Asked Questions

Canonicalizzazione DKIM: simple o relaxed?

La canonicalizzazione è il processo attraverso il quale le intestazioni e il corpo di un’email vengono convertiti in una forma standard canonica prima della firma DKIM. Si può pensare a questo come alla conversione dei dati in una forma canonica standard.

Alcuni sistemi di posta modificano le email in transito (ad esempio, i forwarder), ciò può invalidare la firma DKIM applicata. Alcuni firmatari DKIM possono accettare modifiche minori alle mail, mentre altri possono essere più rigorosi e richiedere una canonizzazione più stretta.

Sono stati creati due algoritmi di canonizzazione per gestire una modifica lieve o quasi nulla al messaggio prima della firma. Questi due algoritmi sono denominati “relaxed” e “simple”.

Dal punto di vista DKIM, le intestazioni e il corpo di un’email sono separati e gli algoritmi di canonicalizzazione sono specificati per entrambi, uno per le intestazioni e uno per il corpo.

Vengono rappresentati nel formato “canonicalizzazione/canonicalizzazione” per intestazione e corpo rispettivamente. Se non viene specificata una canonizzazione, viene utilizzato ‘simple’ sia per le intestazioni che per il corpo, risultando in “simple/simple”.

La canonizzazione “simple/simple” è la più rigorosa delle due e non permette praticamente modifiche all’intestazione e al corpo del messaggio. Tuttavia, questo può influenzare la firma DKIM, rendendola invalida a causa di alcuni forwarder. Molti problemi con la firma DKIM invalidata durante l’inoltro possono essere risolti cambiando la canonizzazione in “relaxed/relaxed”, che permette modifiche lievi alle email.


Back to Index

Cos’è ARC, Authentication Received Chain

Se ti è mai capitato di ricevere email che sembrano provenire da mittenti legittimi, ma che in realtà sono truffe o spam, capirai l’importanza di garantire l’autenticità e l’integrità delle tue comunicazioni email. In questo contesto, entra in gioco ARC, un potente alleato nella lotta contro l’usurpazione e il phishing.

Cos’è ARC?

ARC, o Authentication Received Chain, è uno standard di autenticazione delle email progettato per migliorare la sicurezza e l’integrità delle email durante il loro inoltro attraverso server intermedi. Questa tecnologia consente di mantenere intatte le informazioni sull’autenticazione (come SPF, DKIM e DMARC) delle email quando passano attraverso server diversi. In breve, ARC aiuta a garantire che il mittente di un’email possa essere verificato e che il suo contenuto non sia stato alterato durante il transito.

I Vantaggi di ARC:

  1. Migliorata Autenticazione: ARC consente di verificare l’autenticità dell’email anche quando passa attraverso server intermedi. Questo riduce il rischio di email spoofing e phishing.
  2. Integrità dei Messaggi: Grazie ad ARC, le informazioni sul mittente e l’autenticazione vengono conservate e trasmesse in modo sicuro, garantendo che il contenuto dell’email non venga alterato durante l’inoltro.
  3. Aumento dell’affidabilità: ARC contribuisce a migliorare la reputazione dei mittenti legittimi, poiché le email provenienti da loro possono essere autenticate più facilmente.

Come Funziona ARC:

Immagina che tu stia inviando un’email da “alice@example.com” a “bob@destination.com“. Durante il transito, questa email passa attraverso diversi server intermediari. Ecco come ARC funziona:

  1. Email di Origine: Quando Alice invia l’email, il suo server (example.com) genera un header “ARC-Authentication-Results” che contiene le informazioni sull’autenticazione (ad esempio, SPF e DKIM) relative a example.com. Questo header è firmato digitalmente per garantirne l’integrità.
  2. Server di Inoltro Intermedio: L’email passa attraverso uno o più server intermediari, ognuno dei quali verifica l’header ARC generato dal server di origine. Questi server aggiungono le proprie informazioni sull’autenticazione, firmano l’header ARC e passano l’email al server successivo.
  3. Destinatario Finale: Quando l’email raggiunge il server di destinazione (destination.com), il server verifica tutti gli header ARC generati dai server intermediari. Se tutte le informazioni sull’autenticazione coincidono e sono autentiche, il messaggio viene accettato. In caso contrario, il server potrebbe rifiutare l’email o trattarla come sospetta.

In concreto:

Immagina che un mittente legittimo, ad esempio una banca, invii una notifica email a un cliente. Durante il transito attraverso server intermediari, ARC consente di verificare che l’email provenga effettivamente dalla banca e che il suo contenuto non sia stato alterato. Questo fornisce al destinatario la certezza che l’email sia autentica e sicura.

In sintesi, ARC è uno strumento potente per migliorare la sicurezza delle email e proteggere le tue comunicazioni da frodi e manipolazioni. Implementare ARC correttamente contribuirà a garantire che le email ricevute siano affidabili e autentiche, migliorando l’esperienza di tutti gli utenti.


Back to Index

Come configurare DMARC per inviare i report rui e ruf ad un dominio diverso dal proprio

Se desideri inviare i tuoi rapporti DMARC a un dominio diverso da quello del record, allora il dominio di ricezione deve configurare un record DNS in modo che i provider di servizi email sappiano che il destinatario autorizza i rapporti.

Dalla RFC-7489
È possibile specificare destinazioni per i diversi rapporti che sono al di fuori dell’autorità del proprietario del dominio che fa la richiesta.
Ciò consente a domini che non gestiscono server di posta di richiedere rapporti e inviarli a un luogo in grado di riceverli ed elaborarli. Senza controlli, un attore malevolo potrebbe pubblicare un record di politica DMARC che richiede che i rapporti vengano inviati a un indirizzo di una vittima e quindi inviare un gran volume di email che non supereranno né i controlli DKIM né SPF a una vasta gamma di destinazioni; la vittima si ritroverebbe sommersa da rapporti indesiderati. Pertanto, è incluso un meccanismo di verifica.

Ad esempio: se il tuo dominio è bimilogo.it e desideri inviare i tuoi rapporti al dominio dmarc-report.com, allora il dominio di ricezione (in questo caso dmarc-report.com) deve avere un record DNS TXT bimilogo.it._report._dmarc.dmarc-report.com con il contenuto v=DMARC1. Nota: questo record deve essere configurato sul DNS del destinatario dei tuoi rapporti DMARC.

Nella maggior parte dei casi, il dominio di ricezione creerà un record wildcard, il che significa essenzialmente che il dominio è disposto a ricevere rapporti DMARC per QUALSIASI dominio. Un record wildcard avrebbe questo aspetto: *._report._dmarc.example.com con un valore di “v=DMARC1”.


Back to Index

A cosa si riferiscono le sigle RUA e RUF nel contesto di DMARC?

RUA (Aggregate Reporting): RUA sta per “Reporting URI for Aggregate” ed è l’indirizzo email o l’URL in cui vengono inviati i rapporti aggregati di DMARC. Questi rapporti contengono informazioni sulle statistiche aggregate delle email inviate dal dominio e sulle azioni prese dai destinatari in base alla politica DMARC.

RUF (Failure Reporting): RUF sta per “Reporting URI for Failure” ed è l’indirizzo email o l’URL in cui vengono inviati i rapporti di fallimento di DMARC. Questi rapporti contengono dettagli specifici sulle email che non hanno superato le verifiche DKIM (DomainKeys Identified Mail) o SPF (Sender Policy Framework) in base alla politica DMARC.

Quando si configura un record DMARC, è possibile specificare sia l’indirizzo RUA che quello RUF per ricevere i rapporti corrispondenti. Gli indirizzi specificati in RUA e RUF possono essere indirizzi email o URI (Uniform Resource Identifier) che puntano a un servizio di report dedicato.


Back to Index

Come ottenere la spunta blu su Gmail?

Google ha deciso di aggiungere la spunta blu alla propria posta Gmail. Sia quella free che per Google workspace.

Ecco la risposta per coloro che si chiedono come ottenere la spunta blu su Gmail:

è necessario implementare BIMI, autenticare il proprio logo tramite un certificato VMC legato al proprio dominio di posta.

Le aziende ne possono trarre un grande vantaggio, evitando frodi e proteggendosi dal phishing.


Back to Index

A cosa servono i report RUF nel DMARC?

I report RUF (Reporting URI for Forensic reports) nel DMARC (Domain-based Message Authentication, Reporting and Conformance) sono utilizzati per fornire informazioni dettagliate sulle email che non passano l’autenticazione SPF (Sender Policy Framework) o DKIM (DomainKeys Identified Mail). Questi report forniscono informazioni dettagliate sulle email che non passano l’autenticazione, incluse informazioni sui motivi per cui l’autenticazione è fallita e sui dettagli tecnici delle email stesse.

I report RUF sono importanti perché forniscono informazioni dettagliate che possono aiutare le aziende a identificare e prevenire la frode email. Ad esempio, i report RUF possono indicare se un mittente esterno ha inviato un’email fraudolenta a nome dell’azienda, o se un dipendente dell’azienda ha inviato un’email non autorizzata.

I report RUF possono aiutare le aziende a migliorare le proprie politiche di autenticazione email e a identificare eventuali problemi tecnici che possono impedire l’autenticazione delle email.

Tuttavia, è importante notare che i report RUF possono contenere informazioni sensibili, come ad esempio gli indirizzi IP dei mittenti delle email non autenticate. Per questo motivo, gli indirizzi email specificati nel tag RUF devono essere protetti e gestiti con attenzione.


Back to Index

Cos’è un record DMARC?

Un record DMARC (Domain-based Message Authentication, Reporting and Conformance) è un tipo di record DNS che viene utilizzato per specificare le politiche di autenticazione email di un dominio e per ricevere report dettagliati sulle email che non passano l’autenticazione.

Il record DMARC fornisce un meccanismo per controllare come i provider di posta elettronica devono gestire le email che non passano l’autenticazione SPF (Sender Policy Framework) o DKIM (DomainKeys Identified Mail). Il record DMARC specifica se l’email deve essere rifiutata, accettata con precauzione o segnalata come non autenticata.

Il record DMARC è costituito da una serie di tag che specificano le politiche di autenticazione email dell’azienda. Alcuni dei tag più comuni includono:

  • “v”: specifica la versione del record DMARC (attualmente “v=DMARC1”).
  • “p”: specifica la politica di autenticazione email dell’azienda (ad esempio, “p=reject” per rifiutare le email non autenticate).
  • “rua”: specifica l’indirizzo email a cui inviare i report di autenticazione email.
  • “ruf”: specifica l’indirizzo email a cui inviare i report di fallimento dell’autenticazione email.

Il record DMARC viene aggiunto al DNS del dominio dell’azienda come un record TXT. Quando un provider di posta elettronica riceve un’email dal dominio dell’azienda, cerca il record DMARC per verificare le politiche di autenticazione email dell’azienda. Se l’email non passa l’autenticazione, il provider di posta elettronica segue le politiche specificate nel record DMARC.

Un record DMARC è un tipo di record DNS utilizzato per specificare le politiche di autenticazione email di un dominio e per ricevere report dettagliati sulle email che non passano l’autenticazione. Il record DMARC viene aggiunto al DNS del dominio dell’azienda come un record TXT e fornisce un meccanismo per controllare come i provider di posta elettronica devono gestire le email non autenticate.


Back to Index

Che cosa è DMARC esattamente?

DMARC (Domain-based Message Authentication, Reporting and Conformance) è una tecnologia di autenticazione email che permette alle aziende di proteggere la propria reputazione online e di prevenire la frode email. DMARC funziona in modo simile ad altre tecnologie di autenticazione email come SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), ma aggiunge un livello di controllo e di reporting più avanzato.

DMARC permette alle aziende di specificare le politiche di autenticazione email per il proprio dominio e di ricevere report dettagliati sulle email che non passano l’autenticazione. In questo modo, le aziende possono identificare le email fraudolente e prevenirle, migliorando la reputazione online e la sicurezza delle proprie email.

DMARC utilizza una combinazione di SPF e DKIM per autenticare le email e verifica che il mittente sia autorizzato a inviare email a nome del dominio specificato. Se l’autenticazione fallisce, DMARC specifica come gestire l’email (ad esempio, rifiutare, segnalare o accettare con precauzione) e invia un report dettagliato all’azienda sulle email che non passano l’autenticazione.

DMARC è stato sviluppato come standard aperto e viene supportato da molti provider di posta elettronica, compresi Gmail, Yahoo, AOL e Microsoft. DMARC è anche raccomandato dallo standard Email Authentication Policy and Deployment (DMARC) del National Institute of Standards and Technology (NIST) degli Stati Uniti.

DMARC è una tecnologia di autenticazione email avanzata che permette alle aziende di proteggere la propria reputazione online e di prevenire la frode email. DMARC utilizza una combinazione di SPF e DKIM per autenticare le email e fornisce un meccanismo per specificare le politiche di autenticazione email dell’azienda e per ricevere report dettagliati sulle email che non passano l’autenticazione.


Back to Index

Che relazione c’è tra DMARC e BIMI?

BIMI (Brand Indicators for Message Identification) e DMARC (Domain-based Message Authentication, Reporting and Conformance) sono due tecnologie di autenticazione email correlate. In particolare, DMARC è una tecnologia di autenticazione email che fornisce un meccanismo per specificare le politiche di autenticazione email dell’azienda e per ricevere report dettagliati sulle email che non passano l’autenticazione.

BIMI, d’altra parte, è una tecnologia che consente alle aziende di autenticare le proprie email e di mostrare il proprio logo accanto al mittente dell’email. BIMI utilizza le informazioni fornite da DMARC per verificare l’autenticità delle email inviate dall’azienda e per mostrare il logo dell’azienda accanto al mittente dell’email.

DMARC fornisce l’autenticazione email necessaria per implementare BIMI e per garantire la sicurezza e l’autenticità delle email inviate dall’azienda. Senza DMARC, BIMI non può funzionare correttamente.

BIMI e DMARC sono due tecnologie di autenticazione email correlate e complementari. DMARC fornisce l’autenticazione email necessaria per implementare BIMI e garantire la sicurezza e l’autenticità delle email inviate dall’azienda, mentre BIMI utilizza queste informazioni per mostrare il logo dell’azienda accanto al mittente dell’email e aumentare la fiducia dei clienti e degli utenti finali.


Back to Index

Perché è bene effettuare la rotazione delle chiavi DKIM?

Se il tuo messaggio aziendale viene filtrato in spam o bloccato dall’ISP, potresti avere problemi a raggiungere la tua audience e potenzialmente perdere clienti. Questo è il motivo per cui DKIM (DomainKeys Identified Mail) è uno dei vari protocolli di autenticazione delle email che può aumentare la consegna delle email e migliorare l’efficacia delle tue campagne di marketing via email.

DKIM funziona attraverso una coppia di chiavi pubbliche e private che verificano la firma digitale del messaggio e la sua autenticità. Quando un ISP riceve una mail firmata con le chiavi DKIM, viene effettuata una verifica per garantirne l’autenticità e origine.

Tuttavia, è bene ruotare le chiavi DKIM ogni 12 mesi, possono diventare obsolete o meno affidabili. Per questo motivo, è importante eseguire regolarmente la rotazione delle chiavi DKIM. Ciò significa che a intervalli regolari, si devono creare nuove chiavi DKIM e revocare quelle vecchie per garantire che la tua email venga considerata autentica e originale. Questo processo migliora anche la sicurezza delle email e riduce la possibilità di frodi da parte di terze parti.

Ecco alcuni motivi per cui è bene effettuare regolarmente una rotazione delle chiavi DKIM:

La rotazione regolare delle chiavi DKIM è un passo importante per garantire l’autenticità e l’affidabilità delle tue email e migliorare la loro consegna complessiva. Se non ricordi l’ultima volta in cui hai eseguito la rotazione delle chiavi DKIM, potrebbe essere opportuno farlo il prima possibile per mantenere la sicurezza e la consegna delle tue email.


Back to Index

Che nesso c’è tra BIMI e la cybersecurity?

BIMI, che sta per Brand Indicators for Message Identification, è un protocollo che consente ai mittenti di posta elettronica di autenticare il proprio dominio e di associare un logo della marca al proprio messaggio email. Ciò aiuta a garantire che le email vengano recapitate e che il mittente sia autenticato. BIMI ha quindi una stretta relazione con la cybersecurity in quanto aiuta a ridurre il rischio di phishing e di altri attacchi di spoofing delle email.

I certificati VMC (Valued-Added Certificate) utilizzati in BIMI aggiungono un ulteriore livello di sicurezza. Quando un mittente di posta elettronica ha un certificato VMC associato al proprio dominio, le email inviate con quel dominio sono firmate digitalmente e possono essere verificate da provider di posta elettronica o client di posta elettronica per autenticare l’identità del mittente.

Ciò significa che gli utenti finali possono essere sicuri che l’email proviene dalla società o dall’entità che possiede il certificato VMC, e non da un impostore che cerca di phishing. Inoltre, i provider di posta elettronica possono utilizzare il certificato VMC per verificare l’identità del mittente e mostrare agli utenti il logo registrato della società o dell’entità che ha il certificato, fornendo ulteriore trasparenza e sicurezza.

In generale, quindi, BIMI e i certificati VMC possono contribuire a migliorare la cybersecurity delle email, aumentando la fiducia degli utenti nell’autenticità delle email che ricevono e riducendo il rischio di cadere in trappole di phishing o altri attacchi di spoofing delle email.


Back to Index

Quali protezioni posso usare contro il phishing?

Un certificato di posta elettronica, come il certificato VMC utilizzato in BIMI, fornisce un livello di protezione contro il phishing. Quando un mittente di posta elettronica ha un certificato VMC associato al proprio dominio, le email inviate con quel dominio sono firmate digitalmente e possono essere verificate da provider di posta elettronica o client di posta elettronica per autenticare l’identità del mittente.

Ciò significa che gli utenti finali possono essere sicuri che l’email proviene dalla società o dall’entità che possiede il certificato VMC, e non da un impostore che cerca di phishing. Inoltre, i provider di posta elettronica possono utilizzare il certificato VMC per verificare l’identità del mittente e mostrare agli utenti il logo registrato della società o dell’entità che ha il certificato, fornendo ulteriore trasparenza e sicurezza.


Back to Index

Che cosa è un VMC

Il VMC è un tipo di certificato digitale utilizzato per autenticare l’identità del mittente di un messaggio di posta elettronica. Si tratta di un certificato che associa un dominio specifico a una società o a un’entità che lo possiede.

Per ottenere un certificato VMC, un’entità deve dimostrare di essere il legittimo proprietario del dominio per il quale richiede il certificato. Ciò può essere fatto attraverso un processo di verifica dell’identità, che può includere la presentazione di documenti di proprietà del dominio o la conferma dell’identità attraverso un metodo di verifica a due fattori.

Una volta ottenuto un certificato VMC, l’entità può utilizzarlo per firmare digitalmente i propri messaggi di posta elettronica. Questo fornisce un modo per gli utenti finali e i provider di posta elettronica di verificare che un messaggio proviene dalla società o dall’entità che possiede il certificato.


Back to Index

BIMI in parole semplici

BIMI (Brand Indicators for Message Identification) è un protocollo di autenticazione che consente di associare un’immagine di un’azienda con un messaggio di posta elettronica. Il BIMI utilizza le informazioni del certificato di sicurezza VMC di un dominio per associare un’immagine del marchio ai messaggi inviati da quel dominio.

Gli utenti finali vedranno l’immagine del marchio accanto al messaggio nella loro casella di posta elettronica, fornendo un’esperienza utente più sicura e riconoscibile. Ciò significa che se un’azienda ha un certificato VMC e un’immagine BIMI valida, può vedere il proprio logo accanto alle email inviate dal proprio dominio, in modo che gli utenti possano riconoscere immediatamente l’azienda.

BIMI (Brand Indicators for Message Identification) è un’estensione di DMARC (Domain-based Message Authentication, Reporting & Conformance) che consente di associare un logo aziendale a un’email inviata da un dominio verificato.

BIMI è stato lanciato nel 2020 e nel corso del tempo sono stati fatti degli aggiornamenti e delle modifiche per migliorare la sua funzionalità. A gennaio 2021, Google ha annunciato di aver iniziato a supportare BIMI per i messaggi in entrata su Gmail. Inoltre, BIMI è stato integrato in alcune email clients come Yahoo! Mail, AOL Mail, Outlook.com e FastMail, per consentire agli utenti di visualizzare il logo aziendale accanto all’email.


Back to Index

Errori SPF, quali sono?

È essenziale comprendere quali sono i diversi tipi di messaggi di errore restituiti dai server di posta.
Nel caso del’SPF, eccoli elencati:

None: significa che non esiste alcun record SPF nel dominio.
Neutral: i messaggi SPF neutri vengono inviati quando il proprietario del dominio non vuole affermare che gli indirizzi IP di invio sono autorizzati. Il punto è evidente dal fatto che il record SPF utilizza un tag di chiusura “?all”. È quasi simile a una situazione in cui non esiste un record SPF.
Pass: l’indirizzo IP di invio è autorizzato a inviare e-mail dal dominio.
Fail: i messaggi di errore SPF vengono inviati quando l’indirizzo IP di invio NON è autorizzato a inviare dal dominio.
Softfail: il mittente è autorizzato o non autorizzato a inviare e-mail dal dominio.
Temperror: questo potrebbe essere un errore che potrebbe essersi verificato a causa di alcuni problemi temporanei come il timeout DNS o altri problemi simili durante il processo di convalida SPF. Ciò non significa che il record SPF non sia valido, non trovato o che non abbia superato il processo di controllo del record SPF. Non c’è motivo di preoccuparsi se si riceve il carattere SPF da un solo server di posta. Ma se inizi a ricevere tali messaggi in modo coerente, devi ricontrollare il tuo record SPF.
Permerror: i server di posta inviano questi messaggi SPF permerror quando non sono stati in grado di verificare correttamente i record SPF. Di solito, questi errori sono causati da errori di battitura o errori di sintassi.


Back to Index

Come impostare DMARC per BIMI a livello di sottodominio

Se vogliamo abilitare BIMI con relativo marchio esclusivamente per un sottodominio, è comunque necessario avere una politica DMARC corretta anche a per il dominio principale.
BIMI richiede che il dominio di primo livello registrato sia coperto, come il sottodominio da una politica di reject DMARC o di quarantine al 100%.

Se infatti utilizzaimo il tool https://bimigroup.org/bimi-generator/ e interroghiamo ad esempio il sottodominio noreply.amazon.com, vedremo restituita in automatico l’analisi DMARC anche in relazione al dominio prioncipale:

DomainStatus
noreply.amazon.com Passed
amazon.com Passed

Back to Index

Cos’è un VMC?

I certificati digitali vengono usati oramai da anni per identificare persone, dispositivi, organizzazioni e altre entità nel mondo digitale.
I VMC sono certificati digitali emessi da una CA responsabile dell’esecuzione di uno standard di di verifica sull’organizzazione e sul soggetto richiedente il certificato a nome dell’organizzazione.


È possibile sfruttare i Verified Mark Certificate (VMC) per essere riconosciuti dall’ecosistema digitale per garantire la propria identità aziendale durante l’invio di e-mail ai propri clienti, partner e utenti.


I VMC includono i marchi registrati che vengono visualizzati nelle e-mail e unitamente allo standard DMARC aiutano a garantire gli utenti finali in merito all’origine e alla validità dell’e-mail come parte del nuovo standard BIMI.


Back to Index

Differenza tra spoofing, phishing e whaling

Il termine spoof in quanto sostantivo è assimile alla beffa, invece come aggettivo o verbo, falso o falsificare.
Lo spoofing dell’e-mail si verifica quando il mittente falsifica il proprio indirizzo, impersonando quindi l’dentità di un altro indirizzo per sembrare legittimo.
Gli attacchi di spoofing e-mail di solito mirano a rubare le tue informazioni, infettare il tuo dispositivo con malware o richiedere denaro.

Il phishing si serve dello spoofing per inviare email sofisticate e studiate affinchè sembri proprio provengano da una fonte legittima, macon lo scopo di fare rivelare al destinatario informazioni personali e riservate. Come ad esempio numeri di carte di credito o credenziali di accesso.

Il caso del whaling è ancora più subdolo, la caccia alle balene è un tipo email fraudolenta di phishing in cui vengono presi di mira e impersonati utenti finali di alto livello, come dirigenti di aziende, politici e celebrità.
Uno dei casi più comuni, è ad esempio una email fraudolenta inviata a nome del CFO, con istruzioni precise per effettuare un bonifico.
Spesso va a buon fine e causa notevoli danni.


Back to Index

Perché BIMI è importante?

Innanzitutto, BIMI è il futuro della sicurezza della posta elettronica in quanto rafforza l’ecosistema della posta elettronica nel suo insieme. Per qualificarsi per BIMI, i domini di invio di un’organizzazione devono essere conformi allo standard DMARC ed ottenere un VMC (Verified Mark Certificate) da un’autorità di certificazione (CA) approvata come Entrust.
Oltre alla sicurezza, la visualizzazione del logo nei client di posta elettronica aumenta considerevolmente la fiducia visiva dei consumatori nelle e-mail.

Grazie ai requisiti di protezione della posta elettronica di DMARC e l’adozione di BIMI aiutano a migliorare lo stato di salute dell’intero ecosistema della posta elettronica.
Se infatti più organizzazioni adottano BIMI, significa che più organizzazioni all’interno dell’ecosistema diventano protette da DMARC e risulta quindi più difficile per i criminali informatici riuscire a rubare ed impersonare l’identità di un dominio.

Oltre alla sua importanza per la sicurezza dell’e-mail, BIMI offre una serie di altri vantaggi per le aziende, tra cui una migliore visibilità del marchio, una maggiore fiducia nella legittimità dell’e-mail e un migliore ricordo del marchio.
È stato anche dimostrato che ha un impatto positivo sul comportamento di acquisto dei consumatori.


Back to Index

Cosa significa BIMI

BIMI sta per Brand Indicators for Message Identification.

Questo nuovo standard consente alle aziende di fare visualizzare il logo del proprio marchio registrtato sulle e-mail autenticate DMARC.

Grazie all’utilizzo di un Certificato VMC (Verified Mark Certificates). BIMI con VMC aiuta a distinguere la vostra comunicazione nella posta in arrivo e ha dimostrato di essere in grado di migliorare l’interazione dei consumatori e la fiducia nelle e-mail.


Back to Index

Come creare un record SPF più lungo di 255 caratteri per BIMI

Inanzitutto, secondo RFC 7208 Sezione 3.3, un singolo record SPF può superare i 255 caratteri, ma una singola stringa non può.
Detto questo, può capitare di avere dei record txt, nel nostro caso record SPF, che necessitano di una lunghezza maggiore di 255 caratteri.
In questo caso la soluzione più robusta, che permette di ottenere risposte corrette alle interrogazioni DNS, come ad esempio utilizzando dig, è di usare la direttiva include.
Altre soluzioni, come quella che permettono di utilizzare alcuni provider DNS, e cioè di creare più stringhe, o stringhe auto gestite che vanno oltre i 255 caratteri, possono come detto ritornare errori nel caso di interrogazioni.

Per cui, se dobbiamo inserire un record che va oltre i 255 caratteri possiamo fare come segue, utilizzando la direttiva include e creando un record txt aggiuntivo per ciascun include:
Una volta creato il primo record per la zona @, aggiungeremo gli altri, rimanendo nei limiti:

@ “v=spf1 include:amazonses.com include:spf.protection.outlook.com include:spf1.bimilogo.it include:spf2.bimilogo.it.com -all”
spf1.bimilogo.it “v=spf1 ip4:8.8.8.8 ip4:1.1.1.1 -all”
spf2.bimilogo.it “v=spf1 ip4:1.2.3.4 ip4:4.4.4.4 ip4:4.3.2.1 -all”


Back to Index

Quali sono le linee guida ufficiali per implementare BIMI?

Il documento contenente le direttive per l’implementazione di BIMI (Brand Indicators for Message Identification) e l’ottenimento di certificati VMC, è stato pubblicato dallo IETF, l’Internet Engineering Task Force, che è l’organismo che definisce i protocolli Internet operativi standard come TCP/IP.
Questo il link: https://datatracker.ietf.org/doc/html/draft-brotman-ietf-bimi-guidance


Back to Index

Come funziona DKIM per i sottodomini

Per abilitare DKIM per un sottodominio, analogamente a quanto accade per i domini principali, è necessario creare una coppia di chiavi privata/pubblica per DKIM, salvare la chiave privata sul server di invio e pubblicare la chiave pubblica sul sottodominio nel DNS in modo che diventi accessibile al server ricevente.

Prima che un messaggio di posta elettronica lasci il server di invio, il server utilizza la chiave privata per generare una firma e inserirla nel messaggio insieme al selettore DKIM utilizzato per la firma.

Dopo che il server ricevente ha ricevuto il messaggio, estrae il sottodominio e il selettore DKIM dal messaggio, li utilizza per recuperare la chiave pubblica dal DNS, quindi esegue la verifica DKIM come nello scenario del dominio.


Back to Index

Che cosa è il Whaling

Facciamo subito un esempio pratico e significativo.

L’ufficio acquisti riceve una email dal proprio CFO, che fornisce istruzioni per pagare urgentemente, tanto per cambiare, il fornitore indicato, per una somma di 250.000€. All’interno dell’email è presente anche l’IBAN su cui effettuare il versamento. Il pagamento viene effettuato come da indicazioni. Qualche tempo dopo la brutta sorpresa, l’email era fraudolenta, non inviata dal CFO. Ma il pagamento è stato purtroppo reale.

Questo è il whaling, o whale phishing, cioè una tecnica di cyber attacco che si serve delle email dei dirigenti e vertici aziendali, come ad esempio il CEO, CFO, CIO o qualunque profio abbia poteri decisionali o che siano in possesso di informazioni riservate.

Il fine del whaling è di indurre il destinatario a credere di essere stato davvero contattato da una figura importante dell’azienda, e di fargli compiere azioni a vantaggio di chi commette il crimine informatico. Come nell’esempio iniziale.

Il servizio BIMI Logo, da uno strumento importante, tramite l’implementazione di BIMI, utile a proteggersi da attacchi di questo tipo.


Back to Index

A cosa serve BIMI?

L’autenticazione delle email svolge un compito essenziale nella deliverability perchè rassicura gli ISP (Internet Service Provider) su chi è il mittente di un email. Potendo dimostrare la propria legittimità come sender di un messaggio, un’azienda non deve temere i filtri antispam dei providers. Così i messaggi inviati giungono a destinazione e anche gli utenti stessi sono più tutelati, al sicuro da truffe e raggiri online veicolati via email (per esempio il phishing), che per ingannare gli utenti falsificano il mittente.

BIMI funziona insieme a SPF, DMARC e DKIM per dimostrare ai client di posta elettronica che tu… sei davvero tu e non un ignoto truffatore.


Back to Index

Requisiti per l’utilizzo di BIMI e le nuove RFC

In attesa che sia ultimato il progetto pilota di Gmail per supportare BIMI, con cui permetterà alle organizzazioni che verificano le loro email con DMARC di confermare la proprietà dei loro loghi aziendali e di trasmetterli in modo sicuro a Google, ci sono nuovi documenti ufficiali postati dal BIMI Working Group che dovresti conoscere se desideri utilizzare BIMI per le tue email. Nella bozza IETF (ultimo aggiornamento: 31 luglio 2020) vengono mostrati i requisiti necessari ai mittenti che vogliono sfruttare BIMI:

1) Ogni email deve essere autenticata con SPF e DKIM.

2) Ai mittenti è richiesta una policy DMARC robusta. Robusta sta per “p=reject” o “p=quarantine”, quindi da evitare “p = none” o “pct<100”.

Da notare che il requisito è sul dominio dell’organizzazione, non sui sottodomini, ossia: se utilizzo un sottodominio come indirizzo del mittente (per esempio: bimilogo@news.bimilogo.it), l’applicazione dovrebbe essere su bimilogo.it e non solo su quel particolare sottodominio. Perciò creare la policy solo sul sottodominio non basta per far visualizzare il tuo logo.

3) Le immagini compatibili con BIMI richiedono una forma quadrata, con un colore per lo sfondo a tinta unita, salvate nel formato SVG (Scaled Vector Graphic) e sono soggette alle limitazioni definite nel SVG Tiny Portable/Secure profile. Su Valimail è disponibile un breve tutorial su come creare loghi compatibili con BIMI mediante l’utilizzo di immagini SVG.

4) Ai brand verrà richiesto di ottenere una certificazione digitale che dimostri l’autenticità/proprietà del brand (VMC–Verified Mark Certificate) per visualizzare un logo BIMI. Per fare ciò occorre:

a) registrare il logo presso l’ufficio marchi nazionale (trademark office)

b) contattare una delle autorità di certificazione qualificate BIMI. 

5) I record BIMI vanno pubblicati correttamente nel DNS


Back to Index

Cos’è BIMI?

BIMI è un acronimo per Brand Indicators for Message Identification. È un modello emergente nell’universo della posta elettronica che fornisce ad aziende e brand un elemento in più per rafforzare e accreditare la propria reputazione come mittente: il logo

Come altri metodi di autenticazione e verifica (SPF, DMARC e DKIM) BIMI è un record di testo che risiede sui tuoi server. Fa leva sulle policy DMARC in uso e su altri metodi di autenticazione di supporto come DKIM e SPF. Ma BIMI è differente perché ti permette di far visualizzare il logo della tua azienda nelle caselle di posta supportate, mettendo il tuo marchio in primo piano.


Back to Index

Cos’è DMARC

DMARC ( Domain-based Message Authentication, Reporting and Conformance ) è un protocollo di autenticazione e-mail . Serve per proteggere i domini e-mail da un uso non autorizzato, come accade nel caso dello spoofing e-mail . Grazie all’implementazione di DMARC è possibile proteggere un dominio dall’utilizzo in attacchi di compromissione delle e-mail aziendali , e-mail di phishing , whaling e altre attività di minacce informatiche .


Back to Index

Perché usare proprio BIMI?

Se stai già utilizzando SPF, DKIM e DMARC nel tuo programma di posta elettronica, perché dovresti aver bisogno di BIMI?

 BIMI aggiunge un ulteriore strumento all’autenticazione del mittente e perciò può aiutarti a migliorare la deliverability dei tuoi invii. Avendo a disposizione un’autenticazione più forte, gli utenti e i sistemi di security dei provider hanno maggiore fiducia nella fonte delle email.

D’altra parte, le aziende e i brand che usano BIMI proteggono la propria reputazione, prevenendo un utilizzo fraudolento dei loro IP. 

La più rivoluzionaria innovazione di BIMI è che garantisce un impatto visivo subito nella inbox: gli utenti che ricevono le tue email verificate vedono subito a fianco del al tuo nome mittente il tuo logo, così possono velocemente riconoscere i tuoi messaggi ed avere la certezza che provengono da te. Ciò garantisce una migliore esperienza del cliente, un elemento fondamentale per fortificare la relazione brand-cliente.


Back to Index

Come funziona BIMI?

BIMI permette ai possessori di dominio una coordinazione con i provider delle caselle di posta (MBP), i client di posta elettronica (MUA) e il programma che riceve le email del client (MTA) nella visualizzazione di indicatori specifici del brand accanto ai messaggi correttamente autenticati.

Quando viene consegnato un messaggio, il servizio email del destinatario ricerca il file di testo BIMI per verificare l’autenticità de mittente del messaggio. Questo record contiene un URL che indirizza a un logo, di cui a breve mostreremo quali sono i requisiti richiesti. Un provider di posta controllerà la policy DMARC del dominio di invio e si accerterà che sia inclusa nella convalida BIMI. Se entrambi i check risultano positivi, il servizio di posta elettronica sarà abilitato all’inserimento di quel logo a fianco del messaggio nella posta in arrivo del destinatario.


Back to Index