Come risolvere i problemi di spoofing delle e-mail in WordPress (passo dopo passo)

Pubblicato: Divulgazione dei lettori
LinkedIn
Riassumere:ChatGPTPerplessità

Lo spoofing delle e-mail WordPress si verifica quando le e-mail sembrano provenire dal tuo dominio ma non dispongono di un'autenticazione adeguata, causando errori di consegna e rischi per la sicurezza.

I tuoi moduli di contatto potrebbero impostare gli indirizzi e-mail dei visitatori come mittenti, il tuo server potrebbe inviare e-mail non autenticate oppure il tuo dominio potrebbe semplicemente non disporre dei record DNS che ne dimostrano la legittima proprietà.

Questo crea due problemi principali: le tue e-mail legittime vengono bloccate o contrassegnate come spam e gli autori di attività dannose possono più facilmente impersonare il tuo dominio per inviare messaggi fraudolenti.

In questa guida risolveremo questi problemi di spoofing configurando WP Mail SMTP con un'autenticazione adeguata, configurando i record DNS con SPF, DKIM e DMARC e assicurandoci che i moduli di contatto gestiscano correttamente gli indirizzi dei mittenti.

Come risolvere i problemi di spoofing delle e-mail su WordPress

Inizieremo cercando di capire come si presenta lo spoofing delle email in WordPress e perché si verifica. Quindi configureremo WP Mail SMTP con un'autenticazione adeguata, che è il metodo più affidabile per eliminare i problemi di spoofing e garantire che le tue email raggiungano la loro destinazione.

Passaggio 1: Comprendere lo spoofing delle e-mail di WordPress

Lo spoofing delle e-mail in WordPress si verifica quando il tuo sito invia e-mail che sembrano legittime ma non è in grado di provarne l'autenticità ai server di posta riceventi.

Questo accade perché WordPress utilizza di default la funzione di posta elettronica di base di PHP, che invia messaggi senza protocolli di autenticazione adeguati.

Lo scenario di spoofing più comune riguarda i moduli di contatto. Quando qualcuno compila il tuo modulo di contatto, molti plugin impostano automaticamente il proprio indirizzo e-mail come mittente "Da".

Un altro problema frequente è che WordPress invia e-mail di sistema (reimpostazione password, registrazioni utenti, conferme d'ordine) utilizzando il tuo nome di dominio ma senza le firme crittografiche che dimostrano che il messaggio proviene effettivamente dal tuo server.

I provider di posta elettronica come Gmail e Outlook rifiutano sempre più spesso questi messaggi non autenticati, un problema approfondito nella nostra guida sulla comprensione della deliverability delle e-mail.

Ecco i segnali principali che indicano che il tuo sito WordPress ha problemi di spoofing:

  • I moduli di contatto inviati non arrivano ai destinatari
  • Le tue e-mail finiscono sempre nella cartella dello spam
  • Ricevi messaggi di errore relativi a problemi di autenticazione
  • I provider di posta elettronica mostrano avvisi relativi a "mittente non verificato"
  • Il tuo dominio compare in segnalazioni di phishing che non hai inviato

La causa principale è sempre la stessa: le tue e-mail non dispongono delle firme digitali e dei record DNS richiesti dai moderni sistemi di sicurezza della posta elettronica.

Per risolvere questo problema è necessario passare a SMTP autenticato e configurare record di autenticazione e-mail corretti, come illustrato nei passaggi seguenti.

Illustrazione della deliverability delle e-mail SMTP di WP Mail

Correggete subito le vostre e-mail di WordPress

Passaggio 2: Diagnostica lo stato attuale dell'autenticazione della tua email

Prima di risolvere i problemi di spoofing, è necessario comprendere esattamente cosa non funziona nella configurazione attuale della posta elettronica. Inizia verificando se il tuo dominio dispone già di record di autenticazione e-mail configurati.

Utilizza uno strumento di ricerca dei record SPF per verificare se disponi di un record SPF. Basta inserire il nome del tuo dominio e cliccare su "Ricerca record SPF". Se non viene trovato alcun record, come nella schermata qui sotto, significa che c'è un problema.

nessun record SPF valido

Successivamente, controlla i record DKIM utilizzando DKIM Lookup di MXToolbox. Dovrai conoscere il tuo selettore DKIM, che varia a seconda del provider di posta elettronica. I selettori comuni includono "default", "google", "selector1" o il selettore specifico del tuo provider.

Successivamente, verifica la tua politica DMARC con DMARC Lookup di MXToolbox. La mancanza di un record DMARC è una delle cause più comuni di vulnerabilità allo spoofing delle e-mail.

Verifica l'autenticazione dell'e-mail con un messaggio reale

Un altro modo per verificare rapidamente lo stato di autenticazione della tua email è inviare un'email di prova a Gmail e controllare le intestazioni del messaggio (clicca sui tre puntini e poi su Mostra originale).

test spf dkim dmarc gmail

Cerca questi risultati di autenticazione:

  • SPF: PASS (buono) vs SPF: FAIL (problema)
  • DKIM: PASS (buono) vs DKIM: FAIL (problema)
  • DMARC: PASS (buono) vs DMARC: FAIL (problema)

Passaggio 3: configurare i record di autenticazione e-mail (livello DNS)

L'autenticazione delle e-mail avviene a livello DNS, dove si pubblicano i record che indicano ai server di posta in arrivo come verificare le e-mail provenienti dal proprio dominio.

Questi tre protocolli lavorano insieme per prevenire lo spoofing: SPF autorizza i server di invio, DKIM aggiunge firme digitali e DMARC imposta le politiche per la gestione dei fallimenti di autenticazione.

Configurare i record SPF

I record SPF (Sender Policy Framework) specificano quali server di posta sono autorizzati a inviare e-mail per conto del tuo dominio. Senza un record SPF, qualsiasi server può dichiarare di inviare e-mail dal tuo dominio.

La maggior parte dei siti WordPress richiede l'autorizzazione di più fonti di invio: il tuo host web per le e-mail di sistema, il tuo provider SMTP per l'invio autenticato e, talvolta, servizi di terze parti come le piattaforme di marketing.

Questo spesso porta alla creazione di più record SPF, compromettendo l'autenticazione. La chiave è creare un unico record SPF che includa tutti i mittenti legittimi.

Lo aggiungerai come record TXT nel DNS del tuo dominio, in genere iniziando conv=spf1 eterminando con~all per rifiutare i mittenti non autorizzati.

Regola di record SPF multipli in Cloudflare

Configurare l'autenticazione DKIM

DKIM (DomainKeys Identified Mail) aggiunge una firma crittografica alle tue e-mail che i server di ricezione possono verificare rispetto a una chiave pubblica memorizzata nel tuo DNS.

Il tuo provider SMTP genererà le chiavi DKIM per te, ma a volte il record DNS risultante è troppo lungo per una singola voce TXT.

Quando ciò accade, è necessario suddividere il record DKIM su più voci DNS, mantenendo il formato corretto richiesto dai server di posta.

Il record DKIM include la chiave pubblica del tuo provider e viene pubblicato come record TXT in un sottodominio specifico, solitamente qualcosa come selector1._domainkey.tuodominio.com.

SendLayer DKIM

Implementare la politica DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) collega SPF e DKIM indicando ai server riceventi cosa fare quando le e-mail non superano l'autenticazione.

È la tua principale difesa contro lo spoofing dei domini. La creazione di un record DMARC comporta l'impostazione di una politica che può mettere in quarantena le e-mail sospette, rifiutarle completamente o semplicemente monitorarle senza intraprendere alcuna azione.

Inizia con una politica di monitoraggio (p=none) per raccogliere dati senza influire sulla consegna, poi passa gradualmente a p=quarantine e infine a p=reject man mano che verifichi che le email legittime superano l'autenticazione.

Applicare il record DMARC in Cloudflare

Ordine di implementazione DNS

Imposta i tuoi record di autenticazione in questa sequenza:

  • SPF prima – Autorizza i tuoi server di invio
  • DKIM secondo – Aggiunge firme digitali
  • DMARC last – Imposta le politiche in base ai risultati SPF/DKIM

Questo ordine garantisce che ogni protocollo si basi su quello precedente.

DMARC richiede la configurazione sia di SPF che di DKIM per funzionare in modo efficace, quindi non saltare questo passaggio.

Passaggio 4: installare e configurare WP Mail SMTP

L'installazione di WP Mail SMTP sostituisce l'inaffidabile funzione di posta predefinita di WordPress con l'invio SMTP autenticato, essenziale per prevenire lo spoofing delle e-mail.

Se disponi di WP Mail SMTP Pro, accedi al tuo account e vai alla scheda Download per ottenere il file del plugin più recente. La versione Pro include funzionalità avanzate e la registrazione delle e-mail che aiutano a identificare e risolvere i problemi di consegna.

scarica-wp-mail-smtp

Nella dashboard di WordPress, vai su Plugin » Aggiungi nuovo » Carica plugin, carica il file zip e clicca su Installa ora. Una volta installato, attiva immediatamente il plugin.

Installare WP Mail SMTP

La procedura guidata di configurazione viene visualizzata automaticamente dopo l'attivazione ed è essenziale per risolvere i problemi di spoofing delle e-mail. Non saltare questo passaggio.

Avete bisogno di una mano?

Puoi acquistare White Glove Setup per avere un esperto che installi e configuri WP Mail SMTP per te!

Clicca su Iniziamo per avviare il processo di configurazione che eliminerà le vulnerabilità allo spoofing.

fare clic sul pulsante Cominciamo

Di solito scelgo un provider transazionale come SendLayer, SMTP.com o Brevo per la velocità e l'affidabilità, poiché gestiscono le code e i limiti di velocità meglio della webmail di base.

Selezionate il vostro mailer SMTP

Una volta scelto il tuo provider di posta elettronica, clicca sul link sottostante per aprire la relativa documentazione. Abbiamo una guida completa per ogni provider di posta elettronica, così potrai collegare facilmente il tuo sito WordPress:

Mailers disponibili in tutte le versioniPostini in WP Mail SMTP Pro
SendLayerAmazon SES
SMTP.comMicrosoft 365 / Outlook.com
BrevoZoho Mail
Spazio di lavoro Google / Gmail
Getto di posta
Pistola postale
Timbro postale
InviaGrid
SMTP2GO
SparkPost
Email elastica
Altro SMTP

Seguite i passaggi sullo schermo per collegare il vostro account, quindi completate i campi richiesti dal mailer. A seconda della scelta, dovrete incollare una chiave API, accedere con OAuth o approvare l'invio dal vostro dominio.

Durante la configurazione di WP Mail SMTP, troverai l'impostazione "Force From Email " (Forza da e-mail) situata sotto il campo di configurazione principale " From Email " (Da e-mail).

WordPress utilizza solitamente l'indirizzo e-mail dell'amministratore del sito per i messaggi in uscita, ma ciò crea problemi di autenticazione quando diversi plugin cercano di utilizzare vari indirizzi mittenti.

I moduli di contatto, le e-mail di registrazione degli utenti e le notifiche di e-commerce potrebbero tentare di utilizzare indirizzi mittenti diversi, causando un'autenticazione incoerente e potenziali segnalazioni di spoofing.

Abilitando l'opzione Abilita forza da e-mail , tutti i messaggi in uscita verranno standardizzati in modo da utilizzare l'indirizzo del dominio autenticato impostato nel campo Da e-mail.

WP Mail Impostazioni SMTP da e-mail

Passaggio 5: Configurazione BIMI (Avanzato)

BIMI (Brand Indicators for Message Identification) è un protocollo anti-spoofing avanzato che mostra il logo del tuo marchio direttamente nei client di posta elettronica dei destinatari quando i tuoi messaggi superano i controlli di autenticazione.

Questa verifica visiva rende immediatamente evidente ai destinatari che le e-mail provengono effettivamente dalla tua organizzazione, fornendo un ulteriore livello di protezione contro i tentativi di spoofing.

Esempio BIMI

Per istruzioni dettagliate sull'implementazione, i requisiti relativi al logo, la formattazione dei record DNS e la configurazione del certificato Verified Mark, consulta la nostra guida completa su cos'è BIMI e come implementarlo.

Passaggio 6: verifica la configurazione della tua e-mail

Una volta configurato tutto, utilizza la funzione di test integrata in WP Mail SMTP per valutare la deliverability delle tue email. Vai su Strumenti e clicca sulla scheda Test email per iniziare.

Invio di un'email di prova con WP Mail SMTP

In questa schermata, personalizzate l'indirizzo del destinatario per l'e-mail di prova e premete Invia e-mail.

Inviare un'email di prova da WP Mail SMTP

Se tutto è stato impostato correttamente, verrà visualizzato un messaggio verde.

Test dell'email di Cloudflare in WordPress - messaggio di successo

Se WP Mail SMTP rileva qualche problema, mostra un avviso.

La deliverability dovrebbe essere migliorata Messaggio di avvertimento

Sotto l'avviso, vengono visualizzate alcune informazioni sui passi da compiere per migliorarlo.

La guida comune alla risoluzione dei problemi di WP Mail SMTP copre le soluzioni per i problemi di configurazione più comuni.

Domande frequenti su come risolvere lo spoofing delle e-mail di WordPress

La risoluzione del problema dello spoofing delle e-mail in WordPress è un argomento molto interessante per i nostri lettori. Ecco alcune risposte alle domande più frequenti al riguardo:

Che cos'è lo spoofing delle e-mail in WordPress?

Lo spoofing delle e-mail in WordPress si verifica quando le e-mail sembrano provenire dal tuo dominio ma non dispongono di un'autenticazione adeguata, causando errori di consegna e rischi per la sicurezza.

Questo accade perché WordPress utilizza di default la funzione di posta elettronica di base di PHP, che invia messaggi senza i protocolli di autenticazione SPF, DKIM o DMARC che dimostrano la legittimità dell'e-mail.

Come faccio a sapere se le mie e-mail WordPress sono state falsificate?

Controlla questi segnali:

  • I moduli di contatto inviati non arrivano ai destinatari
  • le e-mail finiscono sempre nella cartella dello spam
  • ricevi messaggi di errore relativi a problemi di autenticazione
  • I provider di posta elettronica mostrano avvisi di "mittente non verificato"
  • Il tuo dominio compare in segnalazioni di phishing che non hai inviato.

Esegui il test inviando un'e-mail a Gmail e controllando Mostra originale per i risultati SPF, DKIM e DMARC PASS/FAIL.

Come posso risolvere i problemi di spoofing delle e-mail di WordPress?

Installa il plugin WP Mail SMTP, configuralo con un provider SMTP professionale come SendLayer, imposta i record SPF, DKIM e DMARC nel tuo DNS, abilita l'impostazione "Force From Email" per utilizzare il tuo indirizzo di dominio autenticato e verifica l'autenticazione dell'email utilizzando la funzione di test di WP Mail SMTP.

I moduli di contatto di WordPress possono causare lo spoofing delle e-mail?

Sì, i moduli di contatto causano comunemente lo spoofing quando utilizzano l'indirizzo e-mail del visitatore come mitt ente, facendo sembrare che sia stato il visitatore a inviare l'e-mail direttamente, anziché il tuo sito web a inoltrare il messaggio.

Risolvi il problema utilizzando WP Mail SMTP con l'opzione Force From Email abilitata e impostando invece gli indirizzi e-mail dei visitatori nel campo Reply-To .

Quali provider SMTP impediscono lo spoofing delle e-mail di WordPress?

I provider SMTP professionali come SendGrid, Mailgun, Amazon SES, Postmark e SMTP.com prevengono lo spoofing fornendo un'autenticazione adeguata, la firma DKIM e un'infrastruttura di consegna.

Evita di utilizzare provider di webmail di base come gli account Gmail personali, poiché non dispongono delle funzionalità di autenticazione necessarie per l'invio di WordPress.

L'hosting condiviso può causare problemi di spoofing delle e-mail di WordPress?

Sì, l'hosting condiviso spesso causa spoofing perché più siti web condividono lo stesso indirizzo IP del server, rendendo difficile l'autenticazione SPF, e la maggior parte degli host condivisi non configura DKIM né fornisce un'adeguata autenticazione delle e-mail.

Risolvi questo problema utilizzando WP Mail SMTP con un provider di servizi e-mail dedicato invece di affidarti ai server di posta del tuo provider di hosting.

Successivamente, scopri come risolvere i ritardi nelle e-mail in WordPress.

Le tue email WordPress arrivano con 20 minuti di ritardo? O peggio ancora, arrivano ore dopo che qualcuno ha inviato un modulo o completato il checkout? Consulta questa guida per scoprire cosa sta causando i ritardi sul tuo sito e come risolverli in modo che le tue email vengano inviate immediatamente.

Correggete subito le vostre e-mail di WordPress

Siete pronti a sistemare le vostre e-mail? Iniziate oggi stesso con il miglior plugin SMTP per WordPress. Se non avete il tempo di sistemare le vostre e-mail, potete ottenere l'assistenza completa di White Glove Setup come acquisto aggiuntivo e c'è una garanzia di rimborso di 14 giorni per tutti i piani a pagamento.

Se questo articolo vi è stato utile, seguiteci su Facebook e Twitter per altri consigli e tutorial su WordPress.

Divulgazione: I nostri contenuti sono sostenuti dai lettori. Ciò significa che se fate clic su alcuni dei nostri link, potremmo guadagnare una commissione. Scoprite come WPForms viene finanziato, perché è importante e come potete sostenerci.

Hamza Shahid

Hamza è uno scrittore di WP Mail SMTP, specializzato anche in argomenti legati al marketing digitale, alla sicurezza informatica, ai plugin di WordPress e ai sistemi ERP.Per saperne di più

Provate il nostro plugin gratuito WP Mail SMTP

Utilizzate il vostro provider SMTP preferito per inviare in modo affidabile le e-mail di WordPress.