Google e Yahoo hanno comunicato l’adozione di controlli più severi a carico delle e-mail inviate in maniera massiva (bulk mail). L’obbiettivo è di ridurre lo spam nelle caselle di posta dei propri utenti.
Questo cambiamento è molto positivo; il rovescio della medaglia è, però, che tali restrizioni metteranno in difficoltà numerose aziende che non abbiano ancora implementato dei record SPF, DKIM e DMARC validi: i messaggi di posta elettronica da loro inviati rischiano di essere contrassegnati come spam, phishing o non recapitati.
La tabella di marcia
Seguendo una timeline precisa, i due provider applicheranno progressivamente requisiti sempre più rigidi il cui mancato rispetto comporterà delle conseguenze.
- Da febbraio 2024 – I mittenti riceveranno degli errori temporanei (con codici d’errore come il 5.7.26) su una piccola percentuale di e-mail non conformi, consentendo loro di intervenire per tempo ed in maniera graduale.
- Da aprile 2024 – Una certa percentuale delle e-mail non conformi verrà rifiutata dai destinatari di posta. Tale percentuale verrà gradualmente aumentata fino a giungo.
- Dal 1° giugno 2024 – Entro tale data sarà obbligatorio integrare in ogni e-mail di marketing l’opzione di cancellazione con un solo clic (oltre, ovviamente, rispettare tutti gli altri requisiti tecnici).
Perché l’introduzione di nuovi requisiti?
I criminali informatici inviano diverse migliaia di e-mail al giorno con l’obiettivo di raggiungere il maggior numero possibile di bersagli; lo stesso comportamento si può riscontrare anche nelle e-mail di marketing che, però, hanno un obbiettivo benevolo.
Con l’introduzione di queste nuove regole, a differenza dei criminali, le aziende avranno la possibilità di identificarsi correttamente online ed il traffico legittimo verrà distinto da quello illecito nelle caselle Google e Yahoo del destinatario.
Chi dovrà adempiere ai nuovi requisiti?
Requisiti per i mittenti che inviano meno di 5.000 e-mail al giorno
- Autenticazione SPF O DKIM delle e-mail
- Record DNS inversi e di inoltro validi
- Tassi di spam segnalati in Postmaster Tools inferiori allo 0,3%
- Formato dei messaggi aderente alla richiesta di commenti RFC 5322
- Nessuno spoofing Gmail nelle intestazioni “Da” (policy di quarantena DMARC delle impostazioni Gmail)
- Tutti i domini e gli indirizzi IP che inviano e-mail devono avere record DNS forward e reverse (record PTR) validi
Requisiti per i mittenti che inviano più di 5.000 e-mail al giorno
- Autenticazione SPF e DKIM delle e-mail
- Record DNS inversi e di inoltro validi
- Tassi di spam segnalati in Postmaster Tools inferiori allo 0,3%
- Formato dei messaggi aderente alla richiesta di commenti RFC 5322
- Nessuno spoofing Gmail nelle intestazioni “Da” (policy di quarantena DMARC delle impostazioni Gmail)
- Tutti i domini e gli indirizzi IP che inviano e-mail devono avere record DNS forward e reverse (record PTR) validi
- Disporre di un record DMARC valido
- Allineamento dei domini su almeno uno dei protocolli (SPF o DKIM) per superare la verifica DMARC
- Possibilità di annullare l’iscrizione con un clic dei messaggi di iscrizione
Le scadenze vanno rispettate
Le conseguenze per chi non rispetterà le scadenze sono piuttosto serie: Google e Yahoo potrebbero contrassegnare le e-mail lecite come spam o, addirittura, bloccarle del tutto. Alcuni esempi di danno economico:
- fatture non consegnate,
- clienti irraggiungibili,
- opportunità di vendita che svaniscono,
- impatti sulle attività di invio e-mail in generale,
- perdita della brand reputation.
Come evitare queste conseguenze?
Al momento non sono state fornite informazioni concrete in merito al “come e se” sarà possibile uscire da un eventuale elenco di spam/blocco: rimane fondamentale fare tutto il possibile per non finire mai in tale lista.
Indipendentemente dal fatto che invii piccole o grandi quantità di e-mail, il consiglio è sempre di prevedere la migliore configurazione di sicurezza per i propri domini.
