Google e Yahoo: nuove regole sull’invio di campagne e-mail massive

Google e Yahoo hanno comunicato l’adozione di controlli più severi a carico delle e-mail inviate in maniera massiva (bulk mail). L’obbiettivo è di ridurre lo spam nelle caselle di posta dei propri utenti.

Questo cambiamento è molto positivo; il rovescio della medaglia è, però, che tali restrizioni metteranno in difficoltà numerose aziende che non abbiano ancora implementato dei record SPF, DKIM e DMARC validi: i messaggi di posta elettronica da loro inviati rischiano di essere contrassegnati come spam, phishing o non recapitati.

La tabella di marcia

Seguendo una timeline precisa, i due provider applicheranno progressivamente requisiti sempre più rigidi il cui mancato rispetto comporterà delle conseguenze.

• Da febbraio 2024 – I mittenti riceveranno degli errori temporanei (con codici d’errore come il 5.7.26) su una piccola percentuale di e-mail non conformi, consentendo loro di intervenire per tempo ed in maniera graduale.
• Da aprile 2024 – Una certa percentuale delle e-mail non conformi verrà rifiutata dai destinatari di posta. Tale percentuale verrà gradualmente aumentata fino a giungo.
• Dal 1° giugno 2024 – Entro tale data sarà obbligatorio integrare in ogni e-mail di marketing l’opzione di cancellazione con un solo clic (oltre, ovviamente, rispettare tutti gli altri requisiti tecnici).

Perché l’introduzione di nuovi requisiti?

I criminali informatici inviano diverse migliaia di e-mail al giorno con l’obiettivo di raggiungere il maggior numero possibile di bersagli; lo stesso comportamento si può riscontrare anche nelle e-mail di marketing che, però, hanno un obbiettivo benevolo.

Con l’introduzione di queste nuove regole, a differenza dei criminali, le aziende avranno la possibilità di identificarsi correttamente online ed il traffico legittimo verrà distinto da quello illecito nelle caselle Google e Yahoo del destinatario.

Chi dovrà adempiere ai nuovi requisiti?

Tutti! Chiunque invii e-mail, indipendentemente dalla quantità. Di seguito, qualche precisazione.

Requisiti per i mittenti che inviano meno di 5.000 e-mail al giorno

• Autenticazione SPF O DKIM delle e-mail
• Record DNS inversi e di inoltro validi
• Tassi di spam segnalati in Postmaster Tools inferiori allo 0,3%
• Formato dei messaggi aderente alla richiesta di commenti RFC 5322
• Nessuno spoofing Gmail nelle intestazioni “Da” (policy di quarantena DMARC delle impostazioni Gmail)
• Tutti i domini e gli indirizzi IP che inviano e-mail devono avere record DNS forward e reverse (record PTR) validi

Requisiti per i mittenti che inviano più di 5.000 e-mail al giorno

• Autenticazione SPF e DKIM delle e-mail
• Record DNS inversi e di inoltro validi
• Tassi di spam segnalati in Postmaster Tools inferiori allo 0,3%
• Formato dei messaggi aderente alla richiesta di commenti RFC 5322
• Nessuno spoofing Gmail nelle intestazioni “Da” (policy di quarantena DMARC delle impostazioni Gmail)
• Tutti i domini e gli indirizzi IP che inviano e-mail devono avere record DNS forward e reverse (record PTR) validi
• Disporre di un record DMARC valido
• Allineamento dei domini su almeno uno dei protocolli (SPF o DKIM) per superare la verifica DMARC
• Possibilità di annullare l’iscrizione con un clic dei messaggi di iscrizione

Le scadenze vanno rispettate

Le conseguenze per chi non rispetterà le scadenze sono piuttosto serie: Google e Yahoo potrebbero contrassegnare le e-mail lecite come spam o, addirittura, bloccarle del tutto. Alcuni esempi di danno economico:

• fatture non consegnate,
• clienti irraggiungibili,
• opportunità di vendita che svaniscono,
• impatti sulle attività di invio e-mail in generale,
• perdita della brand reputation.

Come evitare queste conseguenze?

Al momento non sono state fornite informazioni concrete in merito al “come e se” sarà possibile uscire da un eventuale elenco di spam/blocco: rimane fondamentale fare tutto il possibile per non finire mai in tale lista.

Indipendentemente dal fatto che invii piccole o grandi quantità di e-mail, il consiglio è sempre di prevedere la migliore configurazione di sicurezza per i propri domini.

Se vuoi verificare la sicurezza dei tuoi domini