Sicurezza e-mail: in che modo i framework di base aiutano i proprietari di siti WordPress

Attraverso nazioni e settori, una tecnologia ha condiviso innumerevoli segreti per oltre due decenni. Sì, nonostante l'ascesa dei social media, delle app di messaggistica e degli strumenti di gestione dei progetti, l'e-mail rimane di fatto il canale di comunicazione online numero uno, ma è anche fonte di molte preoccupazioni quando si tratta di sicurezza.

Quando si tiene conto dell'età della tecnologia e dell'incentivo per gli hacker a tentare la frode, è facile capire perché continua a infastidire le aziende e gli individui allo stesso modo. In realtà è più preoccupante ora che mai, perché l'avvento dell'autenticazione a più fattori, dell'archiviazione cloud, degli ecosistemi digitali e degli accessi social ha lasciato molti di noi a fare affidamento sulla sicurezza dei nostri indirizzi e-mail semplicemente per affrontare la giornata.

Purtroppo, non basta avere una password complessa e mantenerla protetta, perché la posta elettronica può essere attaccata in altri modi: falsificata, contraffatta e utilizzata per manipolare persone di ogni tipo. È qui che i framework di sicurezza delle e-mail diventano di vitale importanza: rendono molto più facile avere fiducia nella legittimità delle tue e-mail.

Ma perché la frode è una tale minaccia? Quali sono questi framework e in che modo aiutano i proprietari di siti Web a procedere in sicurezza? Puoi davvero fare affidamento su di loro per proteggerti? Diamo un'occhiata.

Perché la frode via e-mail è un problema così preoccupante

Ci stiamo muovendo sempre più verso il pagamento senza contanti, l'online banking e il lavoro a distanza che richiedono comunicazioni digitali estese e approfondite (spesso su argomenti delicati). Più ci fidiamo delle e-mail, più diventano allettanti per gli hacker, a maggior ragione quando le e-mail coinvolgono persone che non conoscono abbastanza la tecnologia per sapere quando vengono truffate.

Se qualcuno che sa come usare la posta elettronica ma non ha idea che lo spoofing della posta elettronica sia possibile riceve un'e-mail fraudolenta, non saprà di essere dubbioso. E il rendimento per i truffatori è ancora più ricco in prospettiva di quanto avrebbero mai potuto ottenere attraverso le truffe telefoniche, perché possono automatizzare le loro e-mail fraudolente ed evitare conversazioni telefoniche prolungate che possono esporre buchi nelle loro storie di copertura.

Per i domini legittimi, la frode via e-mail è una grande preoccupazione perché li fa sembrare cattivi. Anche se le persone alla fine apprendono che non eri responsabile, assoceranno comunque il tuo marchio alla frode in una certa misura. Quindi, se vuoi che il tuo dominio sia affidabile (e che le persone siano al sicuro dai tentativi di sfruttarli a tuo nome), dovrai proteggere le tue e-mail. Ecco come:

Presentazione dei framework di sicurezza e-mail più comuni

I due framework di posta elettronica più utilizzati sono SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) e funzionano in modo simile ma in modi leggermente diversi: SPF richiede un nome host o un indirizzo IP supportato, mentre DKIM richiede un messaggio di intestazione. Diamo un'occhiata a una spiegazione più dettagliata:

Come funziona SPF

Quando abiliti SPF sul dominio del tuo sito web, stabilisci un elenco di nomi host e indirizzi IP considerati legittime fonti di posta elettronica da quel dominio, un elenco che viene aggiunto al record DNS per il sito (il record che collega il tuo URL a il tuo indirizzo IP).

Ogni sistema di posta elettronica che sembra ricevere un'e-mail da un indirizzo su quel dominio prenderà l'indirizzo IP utilizzato per inviarlo e lo confronterà con l'elenco nel record DNS. Se è una corrispondenza, l'e-mail sarà considerata legittima: se non corrisponde, il sistema saprà che l'e-mail è fraudolenta (o è andata terribilmente storta in qualche modo).

Come funziona DKIM

Quando si abilita DKIM, viene adottato l'approccio distinto dell'utilizzo della crittografia per la verifica. Il dominio avrà una chiave privata che viene mantenuta segreta e utilizzata per crittografare un messaggio nascosto nell'intestazione di ogni e-mail, nonché una chiave di decrittografia pubblica che viene aggiunta al record DNS.

Ogni sistema di posta elettronica che raccoglie un'e-mail presumibilmente da quel dominio prenderà la chiave pubblica dal record DNS e proverà a decrittografare il messaggio nascosto. Se riesce, saprà che l'e-mail proviene dal posto giusto. Se fallisce, saprà che il mittente è stato falsificato.

Cosa comporta DMARC

DMARC, che sta per "Autenticazione, reportistica e conformità dei messaggi basati sul dominio", è un sistema che comprende SPF e DKIM mentre arricchisce alcune opzioni, imposta le politiche e segnala se necessario.

Quando configuri DMARC, dovrai essenzialmente specificare quale dei suddetti metodi viene utilizzato per le e-mail dal tuo dominio (possibilmente entrambi), nonché cosa dovrebbe essere fatto quando vengono rilevate e-mail che non soddisfano lo standard scelto. Puoi anche impostare una notifica da attivare in modo da essere a conoscenza dei tentativi di impersonare il tuo indirizzo e-mail (nello stesso modo in cui puoi ricevere notifiche per le modifiche a un sito WordPress).

Come agire per mantenere la tua posta al sicuro

Se vuoi che le tue e-mail siano affidabili e che i destinatari si sentano sicuri nell'accedervi, dovresti assicurarti di fare tutto il possibile per proteggerti dalle frodi. Come minimo, segui i tre passaggi seguenti:

• Proteggi con cura la tua mailing list. Anche se ti assicuri che ogni email che afferma di provenire dal tuo dominio venga controllata, è comunque pericoloso per i truffatori entrare in possesso del tuo elenco di indirizzi, perché molte persone (spesso di generazioni precedenti) non controlleranno il mittente molto da vicino se i contenuti assomigliano chiaramente a qualcosa che riconoscono. Proteggi la tua lista e-mail in modo che le persone abbiano meno motivi per indirizzare il tuo pubblico (dovresti farlo comunque dopo il GDPR).
• Configura un framework di sicurezza. Puoi utilizzare SPF, DKIM o DMARC, ma qualunque cosa tu faccia, assicurati di seguire le migliori pratiche per qualsiasi sistema tu stia utilizzando e conferma che funzioni. Se utilizzi un software di automazione della posta elettronica per il tuo marketing, assicurati di configurarlo come fonte attendibile in modo che le e-mail che distribuisce non vengano rifiutate come illegittime al momento della consegna.
• Avvisa i tuoi iscritti di stare attenti. Avendo fatto tutto il possibile dalla tua parte dell'equazione, vale comunque la pena contattare il tuo pubblico (soprattutto se non è molto esperto di tecnologia) per avvertirlo della prospettiva di una frode. Fai sapere loro quali tipi di messaggi invierai loro e quali non invierai mai e invitali a contattarti direttamente se non sono sicuri di un messaggio che presumibilmente hai inviato loro.

Fai tutto questo e sarai in grado di procedere con un grado di certezza molto migliorato che le tue e-mail saranno al sicuro e il tuo pubblico sarà al riparo dall'enorme minaccia di frode via e-mail.