Autenticazione del mittente: DKIM e SPF

Sep

30

Submitted in ,
, , ,

Sigillo pergamenaDKIM, acronimo di DomainKeys Identified Mail, identifica un meccanismo di autenticazione della posta. Al contrario di SPF (Sender Policy Framework), che si preoccupa di "certificare" se il postino (mail server mittente) di una determinata email è autorizzato a consegnare quella determinata email, DKIM si concentra sulla "certificazione" del contenuto. DKIM permette infatti di stabilire che i gestori di un determinato dominio "firmatario" (parametro d= nell'header DKIM) hanno applicato una firma certificando il contenuto e le intestazioni del messaggio. Se la firma risulta valida si può quindi stabilire che la mail ricevuta sia "certificata" dal dominio che ha messo la firma.

Da notare che, al contrario di quello che alcuni pensano, la specifica DKIM non impone alcuna relazione tra il dominio del firmatario e il dominio mittente e che il fatto che una mail sia firmata non significa che non sia spam.

Applicando la propria firma DKIM, un dominio firmatario (SDID = Signing Domain Identifier), in qualche modo "garantisce" per quella mail. I riceventi decidono a loro discrezione cosa farne di questa garanzia. Alcuni possono decidere di considerarla valida solo se il dominio del firmatario e quello del mittente corrispondono, altri no. Alcuni possono decidere di calcolare statistiche in funzione dei firmatari e di costruire una reputazione dei firmatari allo stesso modo in cui ora viene costruita una reputazione di IP.

DKIM e SPF non sono due tecniche alternative ma piuttosto sono due tecniche complementari.

SPF lavora a livello di protocollo SMTP e non riguarda minimamente i contenuti del messaggio: paragonandolo alla posta tradizionale SPF quindi, può essere visto come un meccanismo per verificare che un pacco sia stato inviato da una città dalla quale ci si aspetta che quel mittente spedisca pacchi. Il tutto avviene senza aprire il pacco.

DKIM, al contrario, lavora esclusivamente sul messaggio, che per una transazione SMTP è il "contenuto": paragonandolo alla posta tradizionale è come se l'ufficio postale del mittente sigillasse il contenuto e applicasse una firma per poi inscatolare. Se il corriere o chiunque altro decide di modificare il contenuto del pacco rovinerà il sigillo/firma e sapremo che è successo. Per verificare l'autenticità dobbiamo aprire il pacco e controllare il contenuto.

Dal punto di vista del server ricevente implementare DKIM o SPF è un processo similare: in entrambi i casi deve apporre un "posto di blocco" in cui DKIM e SPF effettuano i loro controlli e stabiliscono se il messaggio è autenticato o meno. Dal punto di vista del mittente, invece, l'uso dei due sistemi è piuttosto differente:

SPF prevede che venga inserita nel DNS un particolare "record" che specifica un meccanismo per stabilire se un particolare server di posta mittente sia autorizzato a spedire email per quel dominio. Basta questo e non si deve fare altro nel processo di invio.

DKIM, invece, prevede sia modifiche del DNS per pubblicare un "record" che contenga la chiave pubblica del firmatario, sia modificare ogni email che parte/transita dai propri sistemi firmandola.

Per questo motivo le diffusioni della verifica SPF e DKIM per i riceventi è più o meno equivalente mentre quella dell'adozione di SPF e DKIM da parte dei mittenti è molto a favore di SPF. Secondo un survey effettuato da Sendmail sulle Fortune 1000, il 90% pubblica record SPF mentre meno del 10% pubblica record DKIM (aggiungiamo che la sola pubblicazione per SPF è sufficiente mentre per DKIM è necessaria ma non sufficiente, visto che poi è necessario anche firmare). Limitandosi al settore bancario statunitense, invece, le cifre passano a 99% per l'SPF e 20% per il DKIM.

Una grossa "spinta" all'adozione di DKIM l'ha data Yahoo quando ha deciso di mettere la firma DKIM/DomainKey come requisito per poter accedere al proprio Feedback Loop: molti ESP si sono visti costretti ad implementare questa tecnologia o a rinunciare ai report di uno dei più importanti provider di caselle free.

Per completezza aggiungo che esistono altre tecnologie similari o aggiuntive:

  • SenderID: si tratta di un "fratellastro" di SPF. Microsoft sta percorrendo la propria strada in maniera autonoma. SenderID nei principi di funzionamento è molto simile a SPF e sotto alcuni aspetti compatibile con esso.
  • DomainKeys: si tratta della specifica pubblicata originariamente da Yahoo e che, con la collaborazione con Cisco e la pubblicazione tramite l'ietf ha dato vita a DKIM. Difatto DKIM è una evoluzione di DomainKeys e sfruta gli stessi meccanismi. Oggi possiamo dire che la maggior parte dei riceventi che sono in grado di gestire DomainKeys gestiscono anche DKIM (dando a questo una preferenza) mentre per quanto riguarda i firmatari la maggior parte firma le email con entrambi i sistemi e sono pochissimi ormai quelli che firmano solo DomainKeys.
  • ADSP: Esiste una estensione di DKIM, chiamata Author Domain Signing Policy (evoluzione di SSP), che permette , prevalentemente, al gestore di un dominio di specificare che le email che non contengono una firma sono da considerarsi invalide. Questo perchè altrimenti non si potrebbe fare alcuna assunzione su qualunque email non firmata.
DKIM: troppo complicato adottarlo?
from Email Marketing Blog on 1 Ottobre 2009 - 14:31
Scrivevo ieri di come l'adozione di DKIM sia molto meno diffusa rispetto al "cugino" SPF, complice, probabilmente, il maggiore impatto tecnico che ha la sua implementazione da parte dei mittenti. Oltre a questo vorrei aggiungere alcune anomalie nelle qua

Inserisci un commento

Informazioni sull'autore della segnalazione

Feeds RSS

Condividi contenuti Risposte
Condividi contenuti Blog

Lo sponsor

VOXmail

Questo blog è supportato da VOXmail, servizio di email marketing low cost

Unpromoted

Tiscali Social Mail: l'email sociale secondo Tiscali

26/10/2009 11:20

Tiscali ha presentato una nuova funzionalità della sua webmail: la Social Mail.

Con "Social Mail" Tiscali mette a disposizione un servizio per condividere il contenuto di un messaggio di posta elettronica (o parte di esso) in maniera semplice ed immediata:

La funzione di condivisione supporta numerosi siti di condivisione di informazioni, link e notizie:

(continua ...)

DKIM: troppo complicato adottarlo?

01/10/2009 14:02

Scrivevo ieri di come l'adozione di DKIM sia molto meno diffusa rispetto al "cugino" SPF, complice, probabilmente, il maggiore impatto tecnico che ha la sua implementazione da parte dei mittenti.

Oltre a questo vorrei aggiungere alcune anomalie nelle quali mi sono imbattuto: (continua ...)

webmail@myspace.com, forse ci siamo...

23/07/2009 17:54

MySpace.comDopo le indiscrezioni di gennaio non si era saputo più niente, ma ieri a sorpresa sul blog di PaidContent è comparso un articolo secondo cui fonti vicine al progetto avrebbero annunciato che da oggi comincerà il rilascio della webmail ai primi utenti. Entro fine anno tutti gli utenti MySpace dovrebbero poter utilizzare la webmail.

Sono molto curioso di vedere se sarà la solita webmail o meno, quale sarà il supporto degli standard (CSS/HTML) e quanti utenti decideranno di usare la casella myspace al posto della loro attuale casella.

leggi tutto

Login utente