Sono passati quasi 8 anni da quando Yahoo e Libero decisero di pubblicare un record DMARC con una policy di reject e quarantine rispettivamente, ovvero una policy che chiedeva ai server riceventi di rifiutare o mettere in spam email il cui mittente (intestazione "From:") fosse di uno dei domini dei rispettivi servizi ma che non superassero le verifiche DMARC.

Nel corso del 2017 anche Google aveva annunciato l'intenzione di adottare a breve tale politica per i suoi domini, ma poi si era limitata ad attivarla dopo qualche tempo per il solo dominio googlemail.com, dominio che di fatto non riguardava molti paesi del mondo. Da allora ci si aspettava che Google facesse il passo di applicare la policy DMARC anche a @gmail.com ma non è mai successo.

L'email è da tempo uno strumento essenziale nella comunicazione quotidiana. Sia che si tratti di inviare una candidatura lavorativa che di rimanere in contatto con i propri cari, è fondamentale che le email siano sicure e protette.

Recentemente, Google e Yahoo, tra i principali fornitori di servizi email, hanno annunciato l'introduzione di nuove politiche per migliorare la sicurezza delle caselle di posta e ridurre lo spam, garantendo agli utenti un'esperienza email più sicura e priva di messaggi indesiderati.

Microsoft ha appena annunciato che i suoi servizi di posta elettronica per i consumatori, tra cui Outlook, Hotmail, MSN e Live, inizieranno a rispettare le impostazioni DMARC "p=reject". Ciò significa che se un messaggio inviato da un dominio non supera i controlli DMARC, per un dominio che pubblica un record DMARC con policy "reject", il messaggio verrà rifiutato invece di finire nella cartella di posta indesiderata.

In precedenza, i messaggi che non superavano i controlli DMARC con policy "reject" venivano spostati nella cartella di posta indesiderata, invece di essere rifiutati come richiesto dal mittente: tuttavia, Microsoft ha deciso di passare a un approccio più rigoroso per garantire la sicurezza e la privacy degli utenti.

Nel corso degli ultimi anni, molti fornitori di indirizzi email gratuiti hanno cominciato a "stringere la corda", rilasciando record DMARC con policy di quarantine o reject.

Il record DMARC, pubblicato nella zona DNS del dominio, consente al proprietario del dominio di indicare ai server riceventi come comportarsi nel caso nel caso DKIM e SPF falliscano, non siano presenti o non siano allineati.

Apple ha pubblicato già da qualche tempo un record DMARC, che fino a qualche giorno fa riportava la direttiva "p=none", la più morbida, che semplicemente indica al server ricevente di inviare una notifica ad uno specifico indirizzo nel caso in cui una email con un mittente mac.com, me.com o icloud.com fallisca il check su SPF e DKIM.

Questa direttiva è stata sostituita dalla più stringente "p=quarantine", che indica ai sistemi riceventi che, in caso di email non certificate e allineate secondo i protocolli DKIM e SPF, l'email stessa venga relegata in una cartella apposita di quarantena, normalmente quella riservata allo spam.

Determinare l'identità di chi ci ha scritto una email non è sempre semplice: data la natura del protocollo SMTP, chiunque potrebbe spedire una email, facendo finta di essere qualcun altro.

È notizia di questi giorni che il gruppo di lavoro Authindicators (capitanato dagli esperti di cyber sicurezza Agari e che include rappresentanti di Comcast, Valimail, Google, Microsoft e Oath) ha annunciato il piano di beta riservata di BIMI (Brand Indicators for Message Identification, ovvero Indicatori del Marchio per l'Identificazione del Messaggio).

BIMI, in parole molto semplici, è uno standard aperto che consentirà, ai sender con domini autenticati secondo le procedure DMARC, di presentare il proprio logo grafico a webmail e programmi di posta, che potranno mostrarlo agli utenti, rendendo dunque i brand autenticati visibili e riconoscibili da subito.

L'email, si sa, è uno dei servizi più longevi di internet e si basa su un protocollo - l'SMTP - datato e non pensato per le necessità moderne.

La semplicità del protocollo e l'assenza di effettive misure di sicurezza all'interno dello stesso hanno consentito nel corso degli anni abusi e operazioni illegali: in sostanza era davvero semplice sia inviare email per conto di qualcun altro, sia intercettare le comunicazioni, che viaggiavano - e per la maggior parte ancora oggi viaggiano - in chiaro. Questo tipo di abusi è sicuramente un danno anche per chi si occupa di email marketing, e fa piacere sapere che molti grossi provider si stanno muovendo per "ripulire" il più possibile il canale.

Proprio per ovviare a questi problemi sono nate estensioni al protocollo, per consentire l'identificazione del sender (SPF), permettere la firma digitale dell'email proveniente da un dato dominio (DKIM) e per gestire la criptazione dell'intera email (tramite criptografia TLS), oltre ad un sistema di policy da adottare da parte del ricevente nel caso ci fossero problemi con SPF e DKIM (il record DMARC, di cui abbiamo parlato recentemente).

Da qualche tempo molte freemail hanno pubblicato policy DMARC che di fatto impediscono l'uso degli indirizzi da loro forniti come mittenti in sistemi esterni a quelli d'origine. Yahoo e Libero hanno da tempo abbracciato questa politica, mentre Gmail ha annunciato che l'avrebbe fatto da giugno 2016 (cosa che ancora non è avvenuta). 

Ma cosa significa esattamente questo, e come è possibile tecnicamente, quali saranno gli effetti sul mondo dell'email marketing e degli ESP? 

Le freemail hanno l'indubbio merito di aver esteso l'utilizzo dell'email al di fuori del mondo accademico e professionale, fornendo ad ognuno di noi, gratuitamente (o meglio, al prezzo di un po' di pubblicità), la possibilità di avere una propria casella, spesso di dimensioni quasi illimitate.