Come convalidare l'autenticazione e-mail è impostata correttamente (DKIM, DMARC, SPF)

Validatore DKIM DMARC SPF

Se invii e-mail a qualsiasi volume, è un settore in cui sei ritenuto colpevole e devi dimostrare la tua innocenza. Collaboriamo con molte aziende assistendole con la migrazione della posta elettronica, il riscaldamento IP e i problemi di recapito. La maggior parte delle aziende non si rende nemmeno conto di avere un problema.

I problemi invisibili della deliverability

Esistono tre problemi invisibili con la consegna delle e-mail di cui le aziende non sono a conoscenza:

  1. permesso – Fornitori di servizi di posta elettronica (ESP) gestisce i permessi di opt-in... ma il provider di servizi Internet (ISP) gestisce il gateway per l'indirizzo email di destinazione. È davvero un sistema terribile. Puoi fare tutto bene come azienda per acquisire autorizzazioni e indirizzi e-mail e l'ISP non ne ha idea e potrebbe bloccarti comunque.
  2. Posizionamento della posta in arrivo – Gli ESP promuovono l'alto deliverability tariffe che sono fondamentalmente sciocchezze. Un'e-mail che viene instradata direttamente nella cartella della posta indesiderata e mai vista dal tuo abbonato e-mail viene tecnicamente consegnata. Per monitorare veramente il tuo posizionamento della posta in arrivo, devi usare un seed list e andare a dare un'occhiata a ciascun ISP. Ci sono servizi che fanno questo.
  3. reputazione – Anche gli ISP e i servizi di terze parti mantengono i punteggi di reputazione per l'indirizzo IP di invio della tua e-mail. Esistono liste nere che gli ISP possono utilizzare per bloccare del tutto tutte le tue e-mail, oppure potresti avere una scarsa reputazione che ti porterebbe alla cartella della posta indesiderata. Ci sono un certo numero di servizi che puoi usare per monitorare la tua reputazione IP... ma sarei un po' pessimista dal momento che molti in realtà non hanno informazioni dettagliate sugli algoritmi di ciascun ISP.

Autenticazione email

La migliore pratica per mitigare eventuali problemi di posizionamento della posta in arrivo è assicurarsi di aver impostato un numero di record DNS che gli ISP possono utilizzare per cercare e assicurarsi che le e-mail che stai inviando siano veramente inviate da te e non da qualcuno che finge di essere la tua azienda . Ciò avviene attraverso una serie di standard:

  • Framework delle politiche del mittente (SPF) – lo standard più antico in circolazione, è qui che registri un record TXT sulla registrazione del tuo dominio (DNS) che indica da quali domini o indirizzi IP stai inviando email per la tua azienda. Ad esempio, invio e-mail per Martech Zone da Area di lavoro di Google e di CircoPress (il mio ESP attualmente in versione beta). Ho un plug-in SMTP sul mio sito Web da inviare anche tramite Google, altrimenti avrei anche un indirizzo IP incluso in questo.

v=spf1 include:circupressmail.com include:_spf.google.com ~all

  • DominioAutenticazione, Reporting e Conformità dei messaggi basata su (DMARC) – questo nuovo standard contiene una chiave crittografata che può convalidare sia il mio dominio che il mittente. Ogni chiave viene prodotta dal mio mittente, assicurando che le e-mail inviate da uno spammer non possano essere contraffatte. Se stai utilizzando Google Workspace, ecco come configurare DMARC.
  • Posta identificata DomainKeys (DKIM) – Lavorando insieme al record DMARC, questo record informa gli ISP su come trattare le mie regole DMARC e SPF e su dove inviare eventuali rapporti sulla consegna. Voglio che gli ISP rifiutino tutti i messaggi che non superano DKIM o SPF e voglio che inviino rapporti a quell'indirizzo e-mail.

v=DMARC1; p=reject; rua=mailto:dmarc@martech.zone; adkim=r; aspf=s;

  • Indicatori di marca per l'identificazione dei messaggi (BIMI) – l'ultima aggiunta, BIMI fornisce agli ISP e alle loro applicazioni di posta elettronica un mezzo per visualizzare il logo del marchio all'interno del client di posta elettronica. C'è sia uno standard aperto che un standard crittografato per Gmail dove è necessario anche un certificato crittografato. I certificati sono piuttosto costosi, quindi non lo sto ancora facendo.

v=BIMI1; l=https://martech.zone/logo.svg;a=self;

NOTA: se hai bisogno di assistenza sulla configurazione di una qualsiasi delle tue autenticazioni e-mail, non esitare a contattare la mia azienda Highbridge. Abbiamo una squadra di esperti di email marketing e deliverability che può aiutare.

Come convalidare la tua autenticazione e-mail

Tutte le informazioni sull'origine, le informazioni sull'inoltro e le informazioni di convalida associate a ogni e-mail si trovano nelle intestazioni dei messaggi. Se sei un esperto di deliverability, interpretarli è abbastanza facile... ma se sei un principiante, sono incredibilmente difficili. Ecco come appare l'intestazione del messaggio per la nostra newsletter, ho disattivato alcune e-mail di risposta automatica e informazioni sulla campagna:

Intestazione del messaggio - DKIM e SPF

Se leggi attentamente, puoi vedere quali sono le mie regole DKIM, se DMARC passa (non lo fa) e se SPF passa... ma è molto lavoro. C'è una soluzione molto migliore, però, ed è da usare DKIMValidatore. DKIMValidator ti fornisce un indirizzo e-mail che puoi aggiungere all'elenco delle newsletter o inviare tramite l'e-mail dell'ufficio... e traducono le informazioni dell'intestazione in un bel rapporto:

Innanzitutto, convalida la mia crittografia DMARC e la firma DKIM per vedere se passa o meno (non lo fa).

DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
	s=cpmail; t=1643110423;
	bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
	h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
	b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          circupressmail.com
s= Selector:        cpmail
q= Protocol:        
bh=                 PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers:  Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data:            HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup

Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature

result = fail
Details: body has been altered

Quindi, cerca il mio record SPF per vedere se passa (lo fa):

SPF Information:
Using this information that I obtained from the headers

Helo Address = us1.circupressmail.com
From Address = info@martech.zone
From IP      = 74.207.235.122
SPF Record Lookup

Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)

Result code: pass
Local Explanation: martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="info@martech.zone"; helo=us1.circupressmail.com; client-ip=74.207.235.122

E infine, mi fornisce informazioni sul messaggio stesso e se il contenuto può contrassegnare alcuni strumenti di rilevamento dello SPAM, controlla se sono nelle liste nere e mi dice se è consigliabile o meno essere inviato alla cartella della posta indesiderata:

SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown: 
-5.0 RCVD_IN_DNSWL_HI       RBL: Sender listed at https://www.dnswl.org/,
                            high trust
                            [74.207.235.122 listed in list.dnswl.org]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
                            identical to background
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid
 0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
                            Colors in HTML
 0.1 DKIM_INVALID           DKIM or DK signature exists, but is not valid

Assicurati di testare tutti i servizi di messaggistica ESP o di terze parti da cui la tua azienda sta inviando e-mail per assicurarti che l'autenticazione e-mail sia configurata correttamente!

Testa la tua email con il validatore DKIM

Divulgazione: sto usando il mio link di affiliazione per Area di lavoro di Google in questo articolo.