Di seguito trovi un breve riepilogo dei tre meccanismi descritti nella sezione e delle loro funzioni:

• DKIM (DomainKeys Identified Mail) è un metodo utilizzato per associare l’identità di un nome di dominio a un messaggio in uscita e per convalidare l’identità di un nome di dominio associata a un messaggio in arrivo tramite l’autenticazione crittografica.
• SPF (Sender Policy Framework) è un metodo utilizzato per prevenire la contraffazione dell’indirizzo del mittente, ovvero l’uso di falsi indirizzi del mittente. Consente al server di posta di verificare che le e-mail in ingresso da un dominio provengano da un host autorizzato dall’amministratore di tale dominio. Inoltre, Plesk utilizza SRS (Sender Rewriting Scheme), in modo che i messaggi inoltrati possano superare la verifica SPF.
• DMARC (Domain-based Message Authentication, Reporting and Conformance) è una tecnologia che estende le capacità dei metodi SPF e DKIM. Il criterio DMARC definisce come il destinatario deve gestire i messaggi e-mail a seconda dei risultati di verifica di DKIM e SPF.
• ARC (Authenticated Received Chain) is a technology that enables intermediate mail servers (for example, mailing lists and mail forwarding services) to store an email’s authentication results using special headers. This helps the destination mail server validate the email if its SPF and DKIM records are made invalid by the intermediate mail server’s processing.

I requisiti del server di posta per queste soluzioni sono i seguenti:

In questa tabella, ‘+’ indica che la soluzione è supportata da tutte le versioni compatibili con Plesk Obsidian. ‘-‘ indica che la soluzione non è supportata.

DKIM

Abilitando DKIM per un dominio, verrà applicata un’intestazione speciale a ogni e-mail inviata da quel dominio. Questa intestazione contiene una chiave privata di crittografia. I server di posta del destinatario usano una chiave pubblica per verificare che un’e-mail sia stata effettivamente inviata dal dominio e che nessuno abbia manomesso il contenuto dell’e-mail in transito. Le e-mail che non hanno l’intestazione non saranno considerate autentiche.

Per fornire il supporto DKIM, viene utilizzata la funzionalità di una libreria esterna (Linux) o del server di posta in dotazione con Plesk (Windows).

Attivazione o disattivazione di DKIM sul server

DKIM è abilitato in Plesk per impostazione predefinita. Per disattivare DKIM o per mantenerlo solo per la posta in uscita o in arrivo, vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta»), scorri fino alla sezione «Protezione da spam DKIM» e deseleziona una o entrambe le seguenti caselle di controllo:

• «Consentire la firma della posta in uscita». Questa opzione permette ai clienti di attivare la firma DKIM per la posta in uscita, a livello del singolo dominio.
• (Plesk per Linux). «Verificare la posta in arrivo». Questa opzione attiva la verifica DKIM su tutte le posta in ingresso. Vengono verificati tutti i messaggi. Se la verifica non riesce, i messaggi vengono contrassegnati con un’intestazione speciale.

Abilitare DKIM per un dominio

Se la firma DKIM è abilitata sul server, i nuovi domini che hanno il DNS e l’hosting della posta in Plesk firmano la posta in uscita con DKIM per impostazione predefinita.

I domini che utilizzano un server DNS esterno non possono avere DKIM abilitato per impostazione predefinita. Firmare la posta in uscita con DKIM significa che Plesk aggiunge i due record seguenti alla zona DNS del dominio (esempio.com sta per il tuo nome di dominio):

• default._domainkey.esempio.com contiene la parte pubblica della chiave generata.
• _ domainkey.esempio.com contiene il criterio DKIM. È possibile modificare questo criterio.

A differenza dei domini ospitati in Plesk, Plesk non può aggiungere questi record ai domini che utilizzano un server DNS esterno. Per questi domini, è necessario abilitare manualmente il DKIM.

Per abilitare la firma DKIM della posta in uscita per un dominio che utilizza un server DNS esterno:

1. Vai su Siti web e domini> il tuo dominio > Impostazioni della posta nella scheda «Posta».

2. Mantieni selezionata la casella di controllo «Usa il sistema di protezione spam DKIM per firmare i messaggi di posta elettronica in uscita».

3. Fai clic su «Configurare un DNS esterno» per aprire il suggerimento. Copia i due record DNS che vedi e aggiungili al server DNS.

   Nota: Aggiungi record DNS DKIM anche per i tuoi alias di dominio, se ne possiedi. Utilizza gli stessi record del dominio principale ma con il nome dell’alias di dominio.

   

SPF e SRS

SPF (Sender Policy Framework) è un metodo utilizzato per prevenire la contraffazione dell’indirizzo del mittente, ovvero l’uso di falsi indirizzi del mittente. SPF consente all’amministratore di un dominio di impostare un criterio che autorizzi host specifici a inviare mail dal dominio. Un server di posta ricevente verifica che la posta in arrivo da un dominio provenga da un host autorizzato dall’amministratore di tale dominio. SPF si basa sulle regole specificate dall’amministratore nella zona DNS del mittente.

In Plesk, è possibile impostare un criterio SPF per la posta in uscita specificando regole in un record DNS. In Plesk per Linux, SPF controlla anche la posta in attivo, per impostazione predefinita.

Quando si imposta SPF, il server di posta controlla la posta in arrivo usando i passi del seguente algoritmo:

1. Leggi le regole locali.

   Le regole locali sono le regole utilizzate dal filtro antispam. Un esempio di regola locale può essere il seguente: a:test.plesk.com.

2. Cerca il record SPF del DNS del mittente (se esiste).

   Un esempio di record SPF può essere il seguente:example.com. TXT v=spf1 +a +mx -all

3. Concatena le regole locali e il record SPF nella norma risultante.

   Nel nostro esempio, la norma risultante sarà example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all.

   Nota: Se il server di posta non rileva alcun record SPF, la norma risultante comprenderà solo le regole locali.

4. Verifica la posta con la norma risultante dal passo precedente.

5. Leggi le regole ipotetiche.

   Le regole ipotetiche sono le regole globali che sovrascrivono il record SPF. Un esempio di regola ipotetica può essere il seguente: v=spf1 +a/24 +mx/24 +ptr ?all.

6. Verifica la posta solo in base alle regole ipotetiche.

7. Confronta i risultati le due verifiche: quello fatto con la norma risultante (passo 4) e quello fatto solo con le regole ipotetiche (il passo precedente). Applica la verifica con il risultato più permissivo.

Visualizza maggiori informazioni sugli stati di verifica SPF.

Per impostare una regola SPF per la posta in uscita:

Accedi a Strumenti e impostazioni > Impostazioni DNS (da «Impostazioni generali») e modifica il record DNS TXT associato a SPF. Questo record DNS è sempre presente nel modello DNS per l’intero server. Ecco un esempio di record SPF creato da Plesk:

example.com.    TXT    v=spf1 +a +mx +a:test.plesk.com -all

Le parti di questo record presentano i seguenti significati:

Leggi maggiori informazioni sulla sintassi dei record DNS SPF. La notazione del criterio è disponibile in RFC7208.

(Plesk per Linux) Per configurare SPF per il controllo della posta in arrivo:

1. Vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta») e scorri fino alla sezione «Protezione da spam SPF».

2. Seleziona un’opzione dal menu a discesa della modalità di controllo SPF per specificare come gestire un’e-mail quando SPF applica regole locali e ipotetiche:

   1. Crea solo le intestazioni SPF ricevute, non bloccare mai - per accettare tutti i messaggi in arrivo, indipendentemente dai risultati di controllo SPF.
   2. Usa notifiche di errore temporanee quando hai problemi di ricerca DNS - per accettare tutti i messaggi in arrivo, indipendentemente dai risultati di controllo SPF, anche se il controllo SPF non riesce a causa di problemi di ricerca DNS.
   3. Rifiuta la posta se SPF risolve come «non è riuscito» (negare) - per rifiutare i messaggi da mittenti non autorizzati all’uso del dominio in questione.
   4. Rifiuta la posta se SPF risolve come «softfail» - per rifiutare i messaggi da mittenti che il sistema SPF non può identificare come autorizzati o che non sono autorizzati perché il dominio non include record SPF pubblicati.
   5. Rifiuta la posta se SPF risolve a «neutrale» - per rifiutare i messaggi da mittenti che il sistema SPF non può identificare come autorizzati o che non sono autorizzati perché il dominio non include record SPF pubblicati.
   6. Rifiuta la posta se SPF non risolve a «pass» - per rifiutare i messaggi che non superano il controllo SPF per qualsiasi motivo (ad esempio, quando il dominio del mittente non implementa SPF e il controllo SPF restituisce lo stato «sconosciuto»).
3. Per specificare regole locali, digitare le norme necessarie nella casella Regole SPF locali.

   Ad esempio: include:spf.trusted-forwarder.org.

   Per maggiori informazioni sulle regole SPF, consultare.

4. Inoltre è possibile specificare le regole ipotetiche nella casella Regole ipotetiche per SPF.

   Ad esempio: v=spf1 +a/24 +mx/24 +ptr ?all

5. Per specificare una notifica di errore personalizzata, da restituire al mittente SMTP quando un messaggio viene rifiutato, digita il testo desiderato nella casella Testo di spiegazione di SPF.

   Se non viene specificato nessun valore, il testo predefinito sarà usato come notifica.

6. Per completare la configurazione, fai clic su OK.

(Plesk per Linux) Per disattivare SPF per il controllo della posta in arrivo:

1. Vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta»).
2. Nella sezione «DMARC», deseleziona la casella di controllo «Abilita DMARC per la verifica della posta in arrivo», se è selezionata.
3. Nella sezione «Protezione da spam SPF», deseleziona la casella di controllo «Abilita protezione da spam SPF per la verifica della posta in arrivo», quindi fai clic su OK.

Utilizzare SRS

Oltre a SPF, alcuni server di posta in Plesk supportano SRS (Sender Rewriting Scheme), un meccanismo che consente di riscrivere gli indirizzi dei mittenti quando si inoltra un’e-mail in modo da mantenerla conforme a SPF. SRS contribuisce ad assicurare la consegna dei messaggi, se si utilizza SPF.

SRS si attiva automaticamente quando i messaggi vengono inoltrati da caselle di posta ospitate in Plesk.

Per fornire la funzionalità SRS, Plesk utilizza le capacità di una libreria esterna (Linux) o del software per server di posta (Windows).

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) è una tecnologia che estende le capacità dei criteri dei mittenti SPF e DKIM. Il criterio DMARC definisce come il destinatario deve gestire i messaggi e-mail a seconda dei risultati di verifica di DKIM e SPF. Questa tecnologia si basa sulle regole specificate nella zona DNS del mittente.

In Plesk, è possibile impostare un criterio DMARC per la posta in uscita specificando le regole in un record DNS.

Per impostare un criterio DMARC personalizzato per la posta in uscita:

1. Vai a Strumenti e impostazioni > Impostazioni DNS (in «Impostazioni generali»).
2. Modifica i record DNS associati al criterio DMARC. Questi record DNS sono sempre presenti nel modello DNS per l’intero server. Per contro, i record DNS associati a DKIM vengono aggiunti alle zone DNS di singoli domini all’attivazione di DKIM nel dominio.

Ad esempio, il criterio DMARC predefinito di Plesk è specificato nel seguente record:

_dmarc.<domain>.    TXT    v=DMARC1; adkim=s; aspf=s; p=quarantine

Secondo questa politica, il server di posta elettronica ricevente deve mettere in quarantena le e-mail che non superano i controlli DKIM e SPF, il che significa che sposta le e-mail nella cartella spam e le contrassegna come sospette. Puoi specificare un criterio più severo. Tuttavia, il server ricevente è libero di applicare i propri criteri alla posta in arrivo.

Per più informazioni su DMARC, incluse le notifiche dei criteri, consulta.

I domini hanno anche le loro politiche DMARC individuali, che i clienti possono modificare. I nuovi domini che hanno il loro DNS e l’hosting della posta in Plesk hanno il criterio di quarantena DMARC abilitato per impostazione predefinita.

Per disattivare DMARC per il controllo della posta in arrivo:

1. Vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta»).
2. Nella sezione DMARC, deseleziona la casella di controllo «Abilita DMARC per la verifica della posta in arrivo», quindi fai clic su OK.

(Plesk for Linux) ARC

ARC (Authenticated Received Chain) is a technology that enables intermediate mail servers to add an additional layer of authentication to emails that are forwarded or sent from a mailing list by adding extra headers to emails. This is so that the final receiving mail server may be able to (but does not have to) treat an email as legitimate even if it fails its SPF, DKIM, and/or DMARC checks.

Limitazioni

• ARC headers are not added to mail sent to a mailing list.
• Plesk does not validate the ARC headers for incoming mail.

Enabling ARC Support

(Plesk for Linux) To enable ARC support on your server:

1. Accedi a Plesk.
2. Vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta»).
3. Under «DKIM spam protection», select the «Allow signing outgoing mail» checkbox.
4. (Recommended) Under «SPF spam protection», select the «Enable SPF spam protection to check incoming mail» checkbox.
5. (Recommended) Under «DMARC», select the «Enable DMARC to check incoming mail» checkbox.
6. Fai clic su OK.

ARC headers can now be added to outgoing mail forwarded via the Plesk forwarding feature or sent by the autoresponder.

Once ARC support is enabled on your server, ARC can be enabled for individual mail domains.

(Plesk for Linux) To enable ARC for a domain:

1. Accedi a Plesk.
2. Go to Websites & Domains, find the domain hosting the mail account, go to the «Mail» tab, and then click Mail Settings.
3. Select the «Use DKIM spam protection system to sign outgoing email messages» checkbox, and then click OK.

ARC headers will now be added to outgoing mail forwarded via the Plesk forwarding feature or sent by the autoresponder by any of the mail accounts hosted on the domain.