Uno dei problemi che affligge le aziende è il fatto che la email finisca nello SPAM del destinatario. Questo si verifica molto spesso per le email generate da un sito. In questa guida vi spiego come risolvere il problema.

Perché la email va in spam?

Recentemente i requisiti perché una email venga considerata legittima e non finisca nello SPAM sono diventati molto più stringenti di un tempo. Se le tue mail finiscono nello spam dei destinatari è perché uno o più dei requisiti fondamentali non sono soddisfatti. Ecco una lista in ordine di priorità.

1. Usa un dominio e un server che non siano stati coinvolti in attività di spam

Se il dominio (la parte dell’email tipo @miosito.it) oppure il server (con il suo numero IP) hanno una storia di invii di spam, è probabile che vengano considerati sospetti. Se è così, il dominio in questione è su qualche black-list pubblica, ed è facile diagnosticare se un dominio ha questo problema usando un tool di controllo delle black-list. Eccone uno gratuito: https://mxtoolbox.com/blacklists.aspx

basta inserire il proprio dominio, se si ottengono degli OK o comunque non indicazioni in rosso, va tutto bene.
In caso di segnalazioni rosse è possibile richiedere la rimozione dalle blacklist, ma è forse più rapido usare un altra casella o dominio per l’invio.

2. Definisci il record SPF per il tuo dominio

Il record SPF è una piccola stringa di testo che va inserita nel DNS del dominio per comunicare al mondo quali siano i server di posta SMTP abilitati a spedire posta per quel dominio. Oggi è veramente molto importante definire il proprio record SPF per evitare che il proprio dominio venga usato a nostra insaputa per inviare SPAM.

Per creare il record SPF ti basta entrare nel DNS del tuo dominio, creare un record di tipo TXT senza specificare nulla nella chiave (o, a seconda dei casi, specificare il tuo dominio di base, in molti DNS si inserisce la chiocciola @) e poi come valore di testo inserire una stringa del tipo:

“v=spf1 a mx include:121.122.123.124 ~all”

La parte “a mx” significa “i server di posta abilitati sono quelli definiti nel DNS con record di tipo A e MX”.

La parte “include:” è opzionale e serve ad aggiungere un server di posta che non sia elencato nel DNS. Qui, il numero 121.122.123.124 andrà sostituito con il numero IP del tuo specifico server di posta, è possibile anche inserire un range di numeri. Se il server di posta è definito nel DNS con un record A oppure un record MX la parte “include:” si può proprio omettere.

La parte finale ~all significa che se una mail non rientra nei requisiti può essere accettata o scartata a discrezione del server di posta che riceve, se invece uso -all (con il trattino iniziale) sto dicendo che la mail va proprio rifiutata se arriva da un server che non rispetta i requisiti.

3. Definisci il record DKIM per il tuo server di posta

Purtroppo gli hacker più esperti riescono a “impersonare” i server di posta falsificando i numeri IP e per questo è raccomandato usare un sistema chiamatto DKIM (DomainKeys Identified Mail) che implementa una specie di certificato digitale per il server in questione, rendendo impossibile la falsificazione del numero IP.

Il record DKIM è sempre in pratica un record TXT inserito nel DNS, ma il suo contenuto viene generato solitamente all’interno dell’hosting stesso, se così non fosse (esistono strumenti di generazione gratuiti) si deve installare la chiave privata di questo certificato digitale e può essere ancora più complesso.

Se hai un hosting basato su cPanel cerca con la casella di ricerca la sezione “email deliverability”  nlla quale puoi verificare e farti generare i valori corretti per il record DKIM.

Fatto questo, basta creare nel DNS un record TXT con chiave e valore indicati.

Se usi gmail, il risultato del test DKIM è visibile usando il menu tre puntini e poi “Mostra originale”. Se viene indicato PASS significa che la email ha passato il test.

4. Usa per le email dal web una casella vera

Moltissimi siti inviano email e molti linguaggi di programmazione come PHP consentono di inviare mail specificando un mittente email a piacere. Questa pratica un tempo consentita è in realtà considerata “fake mail”, l’esempio tipico è il form contatti inviato da una email tipo [email protected] che in realtà non esiste.

Se anche il tuo sito usa questo modo di spedire, la email molto probabilmente non arriverà a destinazione. Devi quindi usare una casella email realmente esistente, e fare in modo che la spedizione avvenga tramite accesso autenticato al server di posta usando username e password di quella casella specifica che hai scelto come mittente per l’invio.

Se hai un sito WordPress questo si ottiene facilmente installando il plug-in WP SMTP (basta cercarlo in Aggiungi Plug-in) e inserire alcuni dati fondamentali quali:

• server di posta usato, meglio se il nome server reale che vi ha specificato l’hosting provider
• protocollo di accesso (Solitamente o TLS su porta 587 oppure SSL su porta 465).
• user e password della casella, quindi [email protected] o quello che decidi di usare

Il plug-in indicato ha, sotto la sezione Tools un test con cui puoi tentare di spedire un messaggio al tuo email e vedere così rapidamente se la configurazione fatta funziona. Se qualcosa non va è facile ritornare alla pagina della configurazione e cambiare i parametri per la connessione alla casella email.

Raccomando, su siti WordPress, di forzare sempre l’indirizzo del mittente alla casella usata perché è facile che in alcuni punti del sito si usino indirizzi di default tipo worpdress@ che non corrispondono a caselle email realmente esistenti.

Se hai un sito creato con altri sistemi, verifica sempre che esso spedisca posta usando una casella realmente esistente. Per siti sviluppati con PHP è meglio usare librerie apposite che permettono di realizzare l’invio da caselle di posta esistenti secondo gli standard.

5. Presenza di link nella mail

Ricorda che i sistemi antispam verificano anche il contenuto. Attenzione quindi a non riempire le email di link ipertestuali che possono sembrare sospetti.

Uno/due link sono OK, ma una email con decine di link potrebbe risultare sospetta, anche se i record SPF e DKIM sono in ordine.

6. Verifiche con il record DMARC

E’ indice di qualità corredare il proprio dominio di un record DMARC: è un record TXT con una apposita sintassi che permette di specificare come gestire eventuali segnalazioni di spam. In caso circolino email sospette legate al nostro dominio possiamo quindi farci inoltrare un report che  permette a un eventuale ecnico sistemista di verificare in anticipo gli eventuali problemi.

Un generatore di record DMARC lo trovi qui: https://dmarcadvisor.com/it/dmarc-generator/

Un aneddoto, per esempio

Concludo menzionando un episodio accaduto realmente: un corriere che come servizio invia una fake mail ai destinatari dei pacchi. Non dirò quale sia il corriere ma ecco come sono andate le cose.

Un giorno chiama un nostro cliente con un e-commerce avviato (chiamiamolo ecommerce.it) che usa regolarmente un famoso corriere. Dice che le notifiche di consegna del corriere agli acquirenti non arrivano perché rimbalzano indietro, taggate come SPAM.

Andando a vedere le email rimbalzate indietro, scopro che queste email vengono inviate dal corriere (il cui dominio immaginiamo sia corriere.com) NON tramite una casella tipo [email protected] MA usando l’indirizzo email dell’ecommerce per cui consegna, quindi qualcosa tipo [email protected]

Perché succede questo, alla luce di quanto abbiamo appena visto?

Il corriere usa un indirizzo realmente esistente ([email protected]) ma spedito dai propri sistemi. In pratica si arroga il diritto di spedire a nome del proprio cliente. Ma invia in realtà una fake mail, perché usa un proprio server, esattamente ciò che fanno gli spammer in giro per il mondo!

Abbiamo risolto inserendo nel record SPF del dominio ecommerce.it un range di indirizzi estrapolati dalle mail rimbalzate indietro, in modo che i server usati per questi invii, vere e e proprie fakemail perché inviate dal corriere e non dal titolare del dominio usato, risultassero anch’essi come “ufficiali” per il dominio ecommerce.it.

Abbiamo usato un compromesso, certamente non ottimale, ma che ha risolto il problema.
Il corriere avrebbe potuto e dovuto usare una propria casella (es. [email protected]) mettendo nella intestazione “Reply-to” delle email l’indirizzo dell’e-commerce per eventuali risposte e conversazioni tra acquirenti e ecommerce. Ma così non è stato, ha preferito usare un indirizzo non suo  togliersi di mezzo per non risultare, per poi fare spallucce al sorgere dei problemi.

Conclusione

Abbiamo capito che per evitare a una email di finire in SPAM devono essere soddisfatti alcuni requisiti, e abbiamo visto come metterci a posto perché le nostre email abbiano la massima probabilità di raggiungere i nostri destinari.

Se hai necessità di aiuto per configurare la tua email contattaci, Siti Web Bologna è disponibile per le aziende a consulenze sistemistiche per risolvere questi e altri problemi.