L'email è da tempo uno strumento essenziale nella comunicazione quotidiana. Sia che si tratti di inviare una candidatura lavorativa che di rimanere in contatto con i propri cari, è fondamentale che le email siano sicure e protette.

Recentemente, Google e Yahoo, tra i principali fornitori di servizi email, hanno annunciato l'introduzione di nuove politiche per migliorare la sicurezza delle caselle di posta e ridurre lo spam, garantendo agli utenti un'esperienza email più sicura e priva di messaggi indesiderati.

Determinare l'identità di chi ci ha scritto una email non è sempre semplice: data la natura del protocollo SMTP, chiunque potrebbe spedire una email, facendo finta di essere qualcun altro.

È notizia di questi giorni che il gruppo di lavoro Authindicators (capitanato dagli esperti di cyber sicurezza Agari e che include rappresentanti di Comcast, Valimail, Google, Microsoft e Oath) ha annunciato il piano di beta riservata di BIMI (Brand Indicators for Message Identification, ovvero Indicatori del Marchio per l'Identificazione del Messaggio).

BIMI, in parole molto semplici, è uno standard aperto che consentirà, ai sender con domini autenticati secondo le procedure DMARC, di presentare il proprio logo grafico a webmail e programmi di posta, che potranno mostrarlo agli utenti, rendendo dunque i brand autenticati visibili e riconoscibili da subito.

Capita a tutti, ogni volta, prima di programmare in maniera definitiva l'invio della propria newsletter, il momento del dubbio, delle domande

• Ho inserito i link corretti?
• L'oggetto andrà bene?
• I testi alternativi delle immagini sono a posto?
• I server da cui sto per spedire hanno qualche problema?
• I parametri di invio, le firme DKIM, i record SPF sono configurati correttamente?
• La mia email verrà riconosciuta come spam?

Ad alcune di queste domande, specialmente quelle riguardanti la classificazione come SPAM, sappiamo che è difficile se non impossibile rispondere prima dell'invio effettivo.

Per quel che riguarda invece i quesiti più tecnici e diretti, come quello sulle firme o sull'integrità dei link, è invece possibile e corretto effettuare un check pre-invio, specie quando ci si affida a soluzioni proprietarie, senza mediazione di un ESP.

L'email, si sa, è uno dei servizi più longevi di internet e si basa su un protocollo - l'SMTP - datato e non pensato per le necessità moderne.

La semplicità del protocollo e l'assenza di effettive misure di sicurezza all'interno dello stesso hanno consentito nel corso degli anni abusi e operazioni illegali: in sostanza era davvero semplice sia inviare email per conto di qualcun altro, sia intercettare le comunicazioni, che viaggiavano - e per la maggior parte ancora oggi viaggiano - in chiaro. Questo tipo di abusi è sicuramente un danno anche per chi si occupa di email marketing, e fa piacere sapere che molti grossi provider si stanno muovendo per "ripulire" il più possibile il canale.

Proprio per ovviare a questi problemi sono nate estensioni al protocollo, per consentire l'identificazione del sender (SPF), permettere la firma digitale dell'email proveniente da un dato dominio (DKIM) e per gestire la criptazione dell'intera email (tramite criptografia TLS), oltre ad un sistema di policy da adottare da parte del ricevente nel caso ci fossero problemi con SPF e DKIM (il record DMARC, di cui abbiamo parlato recentemente).

Da qualche tempo molte freemail hanno pubblicato policy DMARC che di fatto impediscono l'uso degli indirizzi da loro forniti come mittenti in sistemi esterni a quelli d'origine. Yahoo e Libero hanno da tempo abbracciato questa politica, mentre Gmail ha annunciato che l'avrebbe fatto da giugno 2016 (cosa che ancora non è avvenuta). 

Ma cosa significa esattamente questo, e come è possibile tecnicamente, quali saranno gli effetti sul mondo dell'email marketing e degli ESP? 

Le freemail hanno l'indubbio merito di aver esteso l'utilizzo dell'email al di fuori del mondo accademico e professionale, fornendo ad ognuno di noi, gratuitamente (o meglio, al prezzo di un po' di pubblicità), la possibilità di avere una propria casella, spesso di dimensioni quasi illimitate.

In termini di utilità il Google Postmaster Tools non è nemmeno lontanamente paragonabile ai Google Webmaster Tools, ma almeno è un primo passo con il quale Google si avvicina a chi spedisce email verso i server di BigG. Avrei voluto scrivere "si apre", ma in realtà non è una grande apertura, considerando che Yahoo, Microsoft, Libero e altri forniscono strumenti di Feedback loop ben più puntuali e lo fanno, in sordina, da molti anni e, per di più, utilizzando standard aperti di "reporting" (ARF)

L'attivazione dell'accesso al portale necessita di specificare quale sia il dominio DKIM (valore d= della relativa firma) delle email inviate o il dominio del mittente nel caso si utilizzi SPF. La proprietà del dominio dovrà poi essere verificata con l'inserimento di un record TXT nel DNS del dominio stesso.

Scrivevo ieri di come l'adozione di DKIM sia molto meno diffusa rispetto al "cugino" SPF, complice, probabilmente, il maggiore impatto tecnico che ha la sua implementazione da parte dei mittenti.

Oltre a questo vorrei aggiungere alcune anomalie nelle quali mi sono imbattuto:

DKIM, acronimo di DomainKeys Identified Mail, identifica un meccanismo di autenticazione della posta. Al contrario di SPF (Sender Policy Framework), che si preoccupa di "certificare" se il postino (mail server mittente) di una determinata email è autorizzato a consegnare quella determinata email, DKIM si concentra sulla "certificazione" del contenuto. DKIM permette infatti di stabilire che i gestori di un determinato dominio "firmatario" (parametro d= nell'header DKIM) hanno applicato una firma certificando il contenuto e le intestazioni del messaggio. Se la firma risulta valida si può quindi stabilire che la mail ricevuta sia "certificata" dal dominio che ha messo la firma.

Da notare che, al contrario di quello che alcuni pensano, la specifica DKIM non impone alcuna relazione tra il dominio del firmatario e il dominio mittente e che il fatto che una mail sia firmata non significa che non sia spam.