Il Domain Name System (DNS) indirizza gli utenti da un indirizzo di dominio all'indirizzo IP dei server utilizzati dal dominio. Scopra di più su questo sistema e sui tipi di record che contiene: MX, SPF, DKIM, DMARC e NS.
Cosa sapere sul Domain Name System e sui tipi di record che contiene
Internet utilizza il DNS (Domain Name System) per indirizzare gli utenti da un indirizzo di dominio all'indirizzo IP dei server impiegati dal dominio stesso. Il DNS viene spesso paragonato a una sorta di rubrica telefonica della rete: quando un dominio cambia servizio, la rubrica viene aggiornata. Il DNS contiene diversi tipi di record relativi ai servizi in uso, tra cui la consegna delle email (MX), i provider autorizzati a inviare posta da un dominio (SPF) e le firme digitali che attestano che un messaggio non è stato manomesso durante la consegna (DKIM). Inoltre, i record nameserver (NS) indicano il server o il servizio che ospita tutti i record DNS di un dominio. Questi record DNS sono pubblicamente accessibili per progettazione e possono spesso causare problemi di consegna delle email.
Record MX
I record MX, o Mail Exchange, indicano ai mittenti delle email dove devono essere consegnati i messaggi. È buona prassi pubblicare un solo servizio MX sul DNS: pubblicare più provider MX in concorrenza tra loro per uno stesso dominio può creare problemi. Ad esempio, se un mail exchange è impegnato a elaborare messaggi, questi possono essere indirizzati a un altro record di mail exchange, che potrebbe appartenere a un provider email completamente diverso. Il risultato sono regole e flussi email contrastanti che instradano il messaggio lungo percorsi diversi finché non raggiunge la casella di posta del destinatario.
Esempio di record MX correttamente configurati per Google:
Record SPF
I record SPF (Sender-Policy Framework) stabiliscono quali provider di servizi email sono autorizzati a inviare messaggi utilizzando l'indirizzo di un dominio. Questo tipo di record TXT è una misura di sicurezza di base per prevenire lo spoofing, ovvero quando un malintenzionato invia messaggi che sembrano provenire da un contatto o da un dominio noto. Quando un messaggio viene ricevuto, il provider email ne controlla l'intestazione per verificare che provenga da un servizio autorizzato a inviare per conto del dominio, usando il nome del dominio come indirizzo "from". È buona prassi non superare i 10 lookup DNS (inclusi i sub-lookup) in un record SPF. Esistono tecniche per consentire a più di 10 provider di servizi email di inviare per conto di un dominio, ma esulano dallo scopo di questo articolo.
Esempio di record SPF correttamente configurati per Google Workspace:
Record DKIM
I record DKIM (DomainKeys Identified Mail) sono un tipo di firma digitale applicata alle intestazioni delle email che consente al mittente di assumersi la responsabilità di un messaggio in modo verificabile dai destinatari. A tutti i messaggi inviati da un servizio email viene allegata la firma DKIM come prova che il messaggio non è stato manomesso durante la consegna. I record DKIM dovrebbero essere configurati per ciascun servizio elencato nel record SPF.
Esempio di record DKIM per Google Workspace:
Record DMARC
Un quarto tipo di record è il DMARC (Domain-based Message Authentication Reporting and Conformance). Questo record DNS indica ai server email di destinazione come gestire i messaggi inviati da un dominio quando non superano i controlli SPF e/o DKIM. Il DMARC esula dallo scopo di questo articolo, ma è un elemento importante da considerare nell'adozione delle migliori pratiche di sicurezza email.
Esempio di record DMARC per Google Workspace:
Record NS
I record NS (nameserver) identificano il servizio che ospita tutti i record DNS di un dominio. È prassi comune pubblicare più record NS dello stesso provider per garantire la ridondanza. I nameserver vengono modificati quando si sposta un dominio da un provider di hosting DNS a un altro, e questo tipo di cambiamento può richiedere diverse ore prima che le modifiche si propaghino in rete. Il nuovo provider DNS deve essere configurato con i record menzionati in precedenza: in caso contrario, i record DNS precedentemente impostati possono sparire dai lookup DNS pubblici, generando problemi di consegna delle email.
Esempio di record DNS Nameserver:
Per approfondire i record DNS, consulti gli articoli qui sotto: