BEC and EAC

Google e Yahoo prevedono una scadenza ravvicinata per il rispetto dei nuovi requisiti per l’autenticazione DMARC. Sei pronto?

Share with your network!

This is an updated version of a blog post originally published in October 2023.

Se hai un account Gmail o Yahoo, sai quanto la tua casella email possa essere inondata di email non richieste e altre email che sono un chiaro tentativo di frode. TI sei mai chiesto perché queste aziende non riescono a bloccare questi messaggi fraudolenti in modo più efficace e aiutarti a ricevere meno email indesiderate? Sappi che non sei il solo.

La buona notizia è che Google, Yahoo e Apple hanno deciso di agire, e le cose miglioreranno presto per i loro utenti del servizio email. La cattiva notizia è che se la tua azienda non ha implementato misure esaustive per l’autenticazione delle email dovrai metterti al lavoro molto velocemente.

A partire da febbraio 2024, Gmail richiederà l’autenticazione delle email per l’invio di messaggi agli account Gmail. Se invii oltre 5.000 email al giorno a degli account Gmail, dovrai soddisfare ulteriori requisiti di autenticazione delle email. Inoltre, dovrai:

  • Implementare delle policy DMARC (Domain-based Message Authentication, Reporting & Conformance)
  • Garantire l’allineamento tra i domini SPF (Sender Policy Framework) e DKIM ( DomainKeys Identified Mail)
  • Permettere ai destinatari di annullare l’iscrizione con un clic

Per consultare le linee guide dettagliate di Google per i mittenti email fai clic qui.

Yahoo ha introdotto requisiti simili. Inoltre, richiederà una solida autenticazione delle email a partire da Febbraio 2024, per fermare il flusso di messaggi dannosi e ridurre il numero di email di scarso interesse che ingombrano le caselle email degli utenti.

Appena 10 giorni dopo gli annunci di Google e Yahoo nell’ottobre 2023, Apple ha pubblicato una guida delle best practice per l’email iCloud che riprende molti degli stessi requisiti di autenticazione delle email. Pur non avendo fissato una data precisa per la pubblicazione di policy DMARC, Apple raccomanda ai mittenti interessati di seguire queste best practice per evitare che le loro email vengano considerate come indesiderate e bloccate automaticamente.

Sei pronto a soddisfare questi requisiti? Ecco cosa devi sapere.

Nuovi requisiti di Google e Yahoo per l’email

I nuovi requisiti di Google vengono suddivisi in due categorie. Tutti i mittenti dovranno attenersi a quelli della prima categoria. A seconda del numero di email che invii al giorno, possono essere applicate regole aggiuntive.

Requisiti validi per tutti i mittenti:

1. Autenticazione delle email. Si tratta di una misura fondamentale volta a evitare che i criminali informatici inviino email che sembrano provenire da un membro della tua azienda. Questa tattica, denominata “spoofing del dominio” permette ai criminali informatici, se non si viene fatto nulla per impedirlo, di utilizzare in modo improprio i domini di invio per lanciare attacchi informatici.

  • SPF e un protocollo di autenticazione delle email concepito per evitare lo spoofing degli account email, una tecnica comune utilizzata negli attacchi di phishing e lo spam. Componente fondamentale della sicurezza informatica dell’email, il protocollo SPF consente al server email ricevente di verificare se l’email in arrivo proviene da un indirizzo IP autorizzato dall’amministratore del dominio.
  • DKIM è un protocollo che permette a un’azienda di assumersi la responsabilità della trasmissione di un messaggio firmandolo in modo che i provider di caselle email possano verificarlo. La verifica dei record DKIM è resa possibile dall’autenticazione crittografica.

2. Bassi tassi di spam. Se dei destinatari segnalano i tuoi messaggi come spam a un tasso superiore al nuovo requisito dello 0,3% (puntando idealmente a tassi di spam dello 0,1%, ovvero 1 messaggio su 1.000 consegnato contrassegnato come spam), i tuoi messaggi potrebbero essere bloccati o inviati direttamente a una cartella Spam/Posta indesiderata.

Requisiti per i mittenti che inviano più di 5.000 email al giorno:

1. Dovranno essere implementati dei metodi di autenticazione SPF e DKIM. Le aziende che inviano email a utenti Gmail o Yahoo devono implementare metodi di autenticazione SPF e DKIM.

2. Le aziende devono implementare delle policy DMARC. DMARC è uno standard di autenticazione delle email che protegge l’email a livello di dominio.

  • L’autenticazione DMARC rileva e blocca le tecniche di spoofing degli account email utilizzate negli attacchi di phishing, violazione dell’email aziendale (BEC, Business Email Compromise) e altri attacchi tramite email.
  • DMARC si basa sugli standard esistenti SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). È la prima e unica tecnologia implementata diffusamente in grado di rendere affidabile il dominio indicato nell’intestazione “Da”. Il proprietario del dominio può pubblicare un record DMARC nel DNS (Domain Name System) e creare una policy per indicare ai destinatari cosa fare con le email che non superano l’autenticazione.

3. I messaggi devono superare l’allineamento DMARC. Ciò significa che il dominio d’invio Envelope-From o il dominio DKIM corrisponde al dominio indicato nell’intestazione “Da”.

4. I messaggi devono permettere ai destinatari di annullare l’iscrizione con un clic. Le email di iscrizione devono contenere un’intestazione “List- Unsubscribe” e un link di annullamento dell’iscrizione con un clic ben visibile nel corso del messaggio. Quando un utente lo richiede, l’annullamento dell’iscrizione deve essere effettuato entro due giorni.

Panoramica dei requisiti di Google, Yahoo e Apple per i mittenti

Requisito

Google

Apple

Yahoo

Requisito DMARC soddisfatto (autenticazione SPF o DKIM riuscita)

Sì (<5.000 messaggi/giorno)

Requisito DMARC soddisfatto (autenticazione SPF e DKIM riuscita)

Sì (>5.000 messaggi/giorno)

-

Record PTR DNS inversi e di inoltro validi

Tassi di spam segnalati in Postmaster Tools < 0,3% (idealmente, <0,1%)

-

Formato dei messaggi conforme agli standard (RFC 5321 e 5322)

Nessuno spoofing del dominio del fornitore nelle intestazioni “Da”

TLS necessario per le email in entrata

-

-

Intestazioni ARC richieste per le email inoltrate

Sì (>5.000 messaggi/giorno)

-

-

Autenticazione DMARC delle email per i tuoi domini d’invio

Sì (DMARC p=none)

Sì (DMARC p=none)

Allineamento dell’intestazione “Da” con il dominio SPF o DKIM

Annullamento dell’iscrizione con un clic per i messaggi commerciali/promozionali sottoscritti (RFC 8058)

Sì (1 giugno 2024)

Sì (febbraio 2024)

Separazione delle email

Sì (per dominio)

Sì (per indirizzo IP o dominio)

Sì (per indirizzo IP o dominio)

Conformità con le policy SMTP di errore temporaneo e di rifiuto

Date da ricordare

Di seguito le date in cui entreranno in vigore questi requisiti.

Gennaio 2024

Apple non ha stabilito una data per la pubblicazione delle policy DMARC, ma tutti gli altri requisiti sono stati presentati come già in vigore. Quindi, è meglio partire dal principio che anche questo requisito debba essere rispettato immediatamente.

Febbraio 2024

Questa è la scadenza iniziale definita da Google e Yahoo per il rispetto dei nuovi requisiti.

Google ha fornito ulteriori chiarimenti sulla scadenza di febbraio dopo il suo annuncio iniziale. Ha precisato che i mittenti che inviano più di 5.000 email al giorno e non rispettano i nuovi requisiti inizieranno a ricevere errori temporanei (con codici di errore) a livello di protocollo SMTP per una piccola percentuale del loro traffico email non conforme. Questi errori temporanei hanno lo scopo di aiutare i mittenti a identificare il traffico di email che non soddisfa le nuove linee guida e iniziare a risolvere il problema della non conformità.

Aprile 2024

Google inizierà a rifiutare una percentuale di traffico email non conforme e aumenterà gradualmente il tasso di rifiuto. Ad esempio, se il 75% del traffico di un mittente soddisfa i requisiti, inizierà a rifiutare una percentuale del restante 25% di traffico non conforme.

1 giugno 2024

Questo è il termine stabilito da Google per l’implementazione della funzione di annullamento dell’iscrizione con un clic in tutti i messaggi commerciali e promozionali.

Cosa succede se non rispetti la scadenza?

Se la tua azienda utilizza l’email per comunicare con i suoi clienti e non ha implementato l’autenticazione delle email, queste modifiche avranno un impatto significativo sul tasso di recapito dei tuoi messaggi agli utenti Gmail , Yahoo e Apple iCloud. Se invii oltre 5.000 email al giorno ad account Gmail e Yahoo e non hai implementato i protocolli SPF e DKIM, o se non hai implementato delle policy DMARC, questi mancati recapiti avranno conseguenze ancora maggiori sulla tua azienda.

Diffida delle soluzioni rapide

Diffida dei fornitori che dichiarano di offrire implementazioni in un solo clic per raggiungere rapidamente la conformità.

Questi annunci hanno colto numerose aziende alla sprovvista e ora molte faticano a tenere il passo. Mentre cerchi di capire cosa ti serve per soddisfare i nuovi requisiti, potresti imbatterti in soluzioni che promettono di risolvere il problema con un semplice clic o che promettono di raggiungere la conformità in tempi estremamente rapidi.

Quando sembra troppo bello per essere verso, solitamente è così. L’allineamento corretto al protocollo DMARC per le tue email in uscita richiede modifiche al modo in cui i tuoi indirizzi d’invio vengono verificati a livello di protocollo SMTP e di intestazione delle email, in modo che il dominio negli indirizzi d’invio corrisponda al quello incluso nella chiave DKIM e nel dominio SPF. Quando queste modifiche implicano la collaborazione con soluzioni di terze parti o SaaS che non offrono alcuna flessibilità nella configurazione o che non supportano la firma DKIM, le cose possono complicarsi rapidamente.

Proofpoint può aiutarti

Proofpoint è un leader del settore dell’autenticazione delle email. Le nostre soluzioni DMARC vengono implementate in un numero di aziende Fortune 1000 superiore a quello dei nostri cinque principali concorrenti messi insieme. Disponiamo degli strumenti, delle risorse e dell’esperienza necessarie per valutare il tuo status e aiutarti a soddisfare i nuovi requisiti in modo più efficace di quanto potresti fare da solo.

Proofpoint Email Fraud Defense (EFD) ti permette di avvalerti di consulenti esperti che ti guideranno in ogni fase del tuo percorso DMARC, aiutandoti a rispettare i nuovi requisiti e a proteggere la reputazione globale del tuo brand.  Questa soluzione include anche i servizi SPF, DKIM e DMARC in hosting per semplificare la gestione e ottimizzare la tua implementazione.

Per le email transazionali, che possono essere inviate da applicazioni o partner terzi a tuo nome, Proofpoint Secure Email Relay può garantire che tutti questi messaggi siano firmati con DKIM e aiutarti a raggiungere più velocemente l’allineamento DMARC.

Per rispondere a questi nuovi requisiti, Proofpoint offre una valutazione gratuita dei tassi di recapito delle email per aiutarti a identificare le potenziali lacune e fornirti suggerimenti sul percorso da seguire, in modo da ridurre l’impatto di questi cambiamenti sulla tua azienda. Puoi anche consultare il nostro assistente per la creazione di record DMARC per scoprire il tuo stato DMARC e SPF.

Non aspettare l’ultimo minuto per iniziare il tuo percorso DMARC . Non sai quali problemi potresti dover superare e non puoi rischiare di non rispettare le scadenze. Rivolgiti a Proofpoint oggi stesso. Possiamo prepararti a soddisfare questi nuovi requisiti, rafforzare il tuo livello di sicurezza generale e aiutarti a interrompere la catena d’attacco.