Guida Red Sift alla configurazione dei protocolli email

image
Esplora la nostra guida
In questo capitolo
In questo capitolo

Email Security Glossary of Terms

Here is a glossary of terms that you may come across when you are setting up your email configuration, learning more about email security, or using OnDMARC.

Sender IP

The IP address of the originating server.

EHLO domain

The domain name given in the EHLO command MUST be either a primary host name (a domain name that resolves to an address resource record (RR) or, if the host has no name, an address literal.

PTR record

A PTR record is a DNS record that resolves an IP address to a domain name. It does the opposite of what an A record does.

A record

An A record resolves a domain name to an IP address. It does the opposite of what the PTR record does.

DMARC

DMARC stands for Domain-based Message Authentication, Reporting, and Conformance. It’s an outbound email security protocol that protects domains against exact impersonation.

OnDMARC simplifies the complexities of DMARC by automating processes and providing clear instructions on how to block unauthorized use of your domain.

DMARC Compliant

Being DMARC compliant means that your domain is in either a policy of quarantine p=quarantine or reject p=reject.

SPF

SPF stands for Sender Policy Framework. It was developed to combat sender address forgery. It is an authentication protocol which verifies the Return-Path/MAIL FROM or HELO/EHLO identities during email transmission.

TXT Record

TXT record is a type of DNS resource record (RR) used to associate an arbitrary text with a host.

DKIM

DKIM stands for DomainKeys Identified Mail and it is a protocol that helps organizations claim responsibility for an email. It provides a method for validating a domain name associated with an email through the use of cryptography. 

DKIM Signing Domain

This is the domain name identity that has signed the email with its cryptographic signature.

DKIM Selector

The selector is an arbitrary string travelling along with each DKIM signed email which helps the recipient to find the public key in your DNS and validate the DKIM signature. 

DKIM Canonicalization

Canonicalization is a method used by the sender to normalize or standardize the email header and body before signing it with DKIM. Two canonicalization algorithms exist - relaxed and simple for each header and body. The simple algorithm tolerates almost no modification and the relaxed algorithm tolerates common modifications such as whitespace replacement and header field line rewrapping.

DKIM Signed Headers

This is a complete and ordered list of header fields presented to the signing algorithm.

DKIM Signature

This contains the DKIM signature data of the email.

DKIM signing domain

This is the domain name identity for which DKIM signed the email.

DKIM Key Length

This is the size of the DKIM key being used when signing the email. Longer keys are considered stronger and more secure. 

TTL

TTL or time to live is a mechanism that limits the lifespan or lifetime of data in a computer or network.

From Domain

This email header displays who the message is from. This is the visible domain shown in your mail client.

Return Path

The email header is used to indicate where bounces should be sent in case an email cannot be delivered. Depending on the mail provider receiving the email an SPF check is either done on this email header first or the EHLO or both.

p=

The p= is a DMARC tag that specifies the policy used. Examples include: ​ p=none - means no policy will be applied to emails that fail DMARC p=quarantine - means quarantine emails that fail DMARC p=reject - means reject emails that fail DMARC.

pct=

The pct= is a DMARC tag that specifies to what percentage of emails the policy should be applied to. If this tag is absent then 100% of the emails will have the policy applied. Other examples:

  • p=reject; pct=20 means that the specified policy will apply to 20% of the emails, the remaining 80% will have the policy of quarantine applied as this is the next policy down.
  • p=quarantine; pct=50 means that the specified policy will apply to 50% of the emails, the remaining 50% will have the policy of none applied as this is the next policy down.
  • p=none; pct=100 means that the specified policy will apply to 100% of the emails.

rua=

The rua= is a DMARC tag that tells the recipient where to send the DMARC aggregate reports to.

ruf=

The ruf= is a DMARC tag that tells the recipient where to send the DMARC forensic reports.

SPF domain

SPF uses the Return-Path/MAIL-FROM domain of emails in order to look up the SPF record of the email sender.

sp=

The sp= is a DMARC tag that specifies the subdomain policy used. 

adkim=

adkim= is a DMARC tag that specifies whether a strict or relaxed DKIM alignment mode is required by the Domain Owner.

aspf=

aspf= is a DMARC tag which specifies whether strict or relaxed SPF alignment mode is required by the Domain Owner.

Sender Score

Score from 0 to 100 given to a sender. A score below 20 means it is a suspicious address, a score between 20 and 70 is from an average sender, and only really trustworthy senders get a score over 70.

Validity Certified Allowlist

Validity offers allowlists as a positive reputation signal to assist you with quickly identifying the best mailers and making informed decisions on message handling.

Return Path Blocklist

The Validity Blocklist (RPBL) is a real-time list of IP addresses categorized as the “worst of the worst”, based on reputation and other data we receive from our partners.

The value is a combination of the following factors:

  • botnet = IP addresses observed exhibiting botnet characteristics in message transmission
  • noauth= IP addresses transmitting messages lacking/failing SPF and DKIM authentication, and with poor Sender Score reputation
  • pristine = IP addresses with messages hitting pristine traps
  • suspect_attach = IP addresses observed transmitting messages with suspicious attachments
free trial imagefree trial image
How secure is your email setup? Check in less than a minute

Domande frequenti: Guida alla configurazione dei protocolli email

Qual è la differenza tra SPF Hard Fail (-all) e Soft Fail (~all) e quale opzione dovrei utilizzare nel 2026?

Prima di DMARC, nei record SPF era spesso usato il meccanismo “-all” per applicare restrizioni rigorose alle policy dei mittenti. Tuttavia, le attuali raccomandazioni del settore per il 2026 privilegiano “~all” per bilanciare sicurezza e deliverability ed evitare il rifiuto non necessario di email legittime che falliscono SPF, ma superano DKIM e DMARC.

Il motivo è che “~all” in combinazione con DMARC (in p=reject) consente comunque di non recapitare email non autenticate quando SPF e DKIM falliscono, senza bloccare email legittime – migliorando così la deliverability complessiva.

Le specifiche DMARC (RFC 7489) affermano che un prefisso “-” nel meccanismo SPF del mittente – come “-all” – può comportare il rifiuto di un’email già nella fase iniziale, cioè prima che venga applicato DMARC. Utilizza “-all” solo per domini inattivi che non inviano mai email. DMARC non distingue tra Soft Fail e Hard Fail su SPF: considera entrambi semplicemente come un errore SPF.

Come funziona il DMARC-Alignment e qual è la differenza tra Strict e Relaxed Alignment?

DMARC richiede non solo che SPF o DKIM abbiano esito positivo, ma anche che almeno uno dei domini usati con SPF o DKIM corrisponda al dominio presente nell'intestazione From. Un corretto allineamento è fondamentale nel 2026 per la consegna delle email, perché i principali provider ora richiedono questa verifica.

Per SPF, l’allineamento significa che la verifica di MAIL FROM/Return-PATH è andata a buon fine e la parte dominio di MAIL FROM/Return-PATH coincide con il dominio dell’indirizzo From. In modalità Strict le due devono essere identiche; in modalità Relaxed vengono accettate anche le sottodomini se appartengono alla stessa organizational domain.

Esempio: se MAIL-FROM/RETURN-PATH è @ondmarc.com e il From-header è @knowledge.ondmarc.com, non sono allineati in modalità Strict, ma DMARC li considererebbe validi in modalità Relaxed.

Cosa sono i report aggregati e forensi di DMARC e qual è la differenza?

Un report aggregato DMARC contiene informazioni sullo stato di autenticazione dei messaggi inviati per conto di un dominio. Si tratta di un bounce report in XML che riepiloga quali email hanno superato o fallito SPF e DKIM. Permette ai possessori di dominio di avere una panoramica precisa delle fonti che inviano email a loro nome e cosa succede (policy del destinatario).

I destinatari usano il tag 'rua' del record DMARC per inviare i report. Puoi definire la frequenza usando il tag ri nel record DMARC (valore predefinito: 86400 secondi, ovvero 24h). I report forensi forniscono dettagli molto più precisi su ogni fallimento di autenticazione. I dati personali vengono rimossi, ma tutte le informazioni utili alla risoluzione dei problemi, come header SPF/DKIM e indirizzo mittente completo e oggetto, sono trasmesse.

L’indirizzo di ricezione dei report forensi DMARC si indica tramite il tag 'ruf'. Non tutti i sistemi supportano questi report. Red Sift OnDMARC è tra le poche soluzioni che può ricevere report forensi – grazie alla partnership con Yahoo.

Cosa sono le macro SPF e perché possono causare problemi di deliverability?

Una macro SPF è un meccanismo nei record SPF che consente di definire insiemi riutilizzabili di indirizzi IP. Le macro SPF offrono maggiore flessibilità e mantenibilità: puoi definire set complessi di IP in un unico meccanismo e referenziarli in vari record. Ad esempio, invece di elencare ogni IP autorizzato, puoi usare una macro come “%{i}”, che richiama l’IP in uscita dell’email. In questo modo puoi gestire facilmente grandi elenchi IP senza superare il limite di lookup SPF e rendere meno evidenti le autorizzazioni IP durante le interrogazioni DNS.

A seconda della struttura della macro nel record SPF, una mancata espansione della macro può causare errori SPF o un risultato neutro (?all). Se l’invio di email legittime dipende dalle macro SPF, queste ultime possono portare a maggiori fallimenti o a segnalare come sospetto il traffico verso sistemi che si basano su SPF.

Cos’è MTA-STS e come si attiva senza bloccare la ricezione degli email?

Mail Transfer Agent Strict Transport Security (MTA-STS) è uno standard per la cifratura dei messaggi tra due server di posta. Comunica ai server mittenti che le email devono essere recapitate solo tramite connessione sicura, tramite Transport Layer Security (TLS), proteggendo così dai tentativi di intercettazione da parte dei criminali informatici.

L’adozione di MTA-STS è cresciuta rapidamente e nel 2026 la sicurezza dei trasporti sarà considerata essenziale per la protezione della posta in transito. Per attivare MTA-STS su un dominio ricevente, occorre dichiarare il supporto tramite DNS e rendere disponibile un file di policy sul proprio sito.

MTA-STS va attivato con cautela per non causare blocchi accidentalmente. Si consiglia di iniziare con la modalità Test: in questo modo, grazie ai rapporti TLS, puoi identificare e risolvere eventuali errori prima di passare alla modalità strict. Questo approccio graduale sarà probabilmente lo standard per la protezione della posta in transito nel 2026.

Cos’è TLS-RPT e come si collega a MTA-STS?

SMTP TLS Reporting (TLS-RPT), secondo RFC8460, serve a segnalare problemi di connettività TLS dai server MTA mittenti. Proprio come per DMARC, anche qui vengono inviati report via email al titolare del dominio quando problemi TLS ostacolano la consegna. I report contengono le policy MTA-STS rilevate, statistiche di traffico, connessioni fallite e motivi di errore.

Con la funzione MTA-STS in Red Sift OnDMARC non dovrai preoccuparti delle complesse implementazioni. Basta aggiungere gli MTA-STS Smart Record forniti da OnDMARC al proprio DNS e Red Sift si occuperà dell’hosting del file di policy, la gestione del certificato SSL e l’invio automatico di segnalazioni di violazione via report TLS. Nel 2026, l’MTA-STS in hosting è sempre più uno standard previsto nelle moderne piattaforme DMARC, rendendo più semplice l’integrazione della cifratura nei trasporti.

Cos’è DANE e in cosa differisce da MTA-STS?

Secondo RFC 7671, DANE (DNS-based Authentication of Named Entities) è un nuovo standard Internet per la creazione di comunicazioni TLS tra client e server senza dipendere dalle autorità di certificazione (CA) tradizionali.

Nel modello attuale, qualsiasi CA può rilasciare un certificato per qualunque dominio. DANE adotta un altro approccio, sfruttando l’infrastruttura DNSSEC (Domain Name System Security Extensions) per associare in modo crittografico un nome di dominio a un certificato. DANE si basa sul protocollo DNSSEC esistente per garantire autenticità e integrità della ricezione.

DANE introduce inoltre un nuovo tipo di record DNS, TLSA, che segnala al client il supporto server a TLS. È raccomandato implementare sia MTA-STS sia DANE. DANE è d’obbligo per molti enti pubblici, in particolare in UE.

MTA-STS e DANE sono efficaci solo se anche il server mittente li supporta – molti implementano solo uno dei due. Attivare entrambi aumenta la sicurezza generale. Nel 2026 le organizzazioni adottano spesso MTA-STS prima, per massima compatibilità, e aggiungono DANE per livelli di sicurezza superiori quando richiesto.

A cosa serve la policy DMARC per le sottodomini (sp-tag) e come viene applicata?

La policy per le sottodomini permette agli amministratori di proteggere in modo differenziato diversi domini e sottodomini a seconda dello stadio di implementazione di DMARC. Ad esempio, se tutti i servizi di invio associati al dominio principale sono già protetti da SPF e DKIM, puoi impostare una policy DMARC p=reject sul dominio principale e p=none sulle sottodomini – o viceversa.

Se un servizio di invio non supporta DMARC (cioè non implementa SPF o DKIM) puoi assegnargli una sottodominio separata con una policy DMARC propria, senza compromettere la protezione dei domini restanti. Ciò consente di distribuire il traffico tra diverse sottodomini e proteggerle separatamente secondo le esigenze.