Riassunto AI
Lo spoofing delle e-mail di WordPress si verifica quando le e-mail sembrano provenire dal tuo dominio ma mancano di un'autenticazione adeguata, causando errori di recapito e rischi per la sicurezza.
I tuoi moduli di contatto potrebbero impostare gli indirizzi e-mail dei visitatori come mittente, il tuo server potrebbe inviare posta non autenticata o al tuo dominio mancano semplicemente i record DNS che provano la legittima proprietà.
Lo spoofing si manifesta in WordPress in due modi correlati. O le tue email non superano l'autenticazione e vengono bloccate o contrassegnate come spam, oppure gli aggressori sfruttano il tuo dominio non protetto per inviare messaggi di phishing che sembrano provenire da te. Entrambi i problemi vengono risolti dalla stessa configurazione di autenticazione, ma sapere con quale dei due hai a che fare ti aiuta a dare priorità alla correzione.
In questa guida, configurerai WP Mail SMTP con la corretta autenticazione, imposterai i record DNS con SPF, DKIM e DMARC, e correggerai il modo in cui i tuoi moduli di contatto gestiscono gli indirizzi del mittente, in modo che le tue email arrivino effettivamente e sia più difficile impersonare il tuo dominio.
Come correggere i problemi di spoofing delle email su WordPress
Inizieremo comprendendo come si presenta lo spoofing delle email in WordPress e perché si verifica. Successivamente, configurerai WP Mail SMTP con la corretta autenticazione, che è il metodo più affidabile per eliminare i problemi di spoofing e garantire la consegna delle tue email.
Se non sei sicuro di quale sia il tuo problema, la tabella seguente associa il sintomo al passaggio che lo risolve.
| Sintomo che stai riscontrando | Causa più probabile | Dove iniziare |
|---|---|---|
| Email che finiscono nelle cartelle spam | Nessuna autenticazione sulla posta in uscita | Passaggio 3 + Passaggio 4 |
| Invii dei moduli di contatto non arrivati | Email del visitatore utilizzata come indirizzo mittente | Passaggio 4 (Force From Email) |
| Bounce per email che non hai inviato | Il dominio viene attivamente impersonato | Passaggio 3 (DMARC con p=reject) |
| Segnalazioni di phishing che menzionano il tuo dominio | Nessuna applicazione DMARC | Passaggio 3 (policy DMARC) |
| Avvisi "Mittente non verificato" in Gmail | SPF o DKIM mancanti | Passaggio 2 + Passaggio 3 |
| Il test di WP Mail SMTP mostra un avviso di recapito | Uno o più record non configurati correttamente | Passaggio 2 + Passaggio 6 |
- Passaggio 1: Comprendere lo spoofing delle email di WordPress
- Passaggio 2: Diagnosticare lo stato attuale dell'autenticazione email
- Passaggio 3: Impostare i record di autenticazione email (Livello DNS)
- Passaggio 4: Installare e configurare WP Mail SMTP
- Passaggio 5: Configurazione BIMI (Avanzato)
- Passaggio 6: Verifica la configurazione dell'email
Passaggio 1: Comprendere lo spoofing delle email di WordPress
L'email spoofing in WordPress si verifica quando il tuo sito invia email che sembrano legittime ma non possono dimostrare la loro autenticità ai server di posta in arrivo.
Ciò accade perché WordPress utilizza per impostazione predefinita la funzione di posta base di PHP, che invia messaggi senza i protocolli di autenticazione appropriati.
Lo scenario di spoofing più comune coinvolge i moduli di contatto. Quando qualcuno compila il tuo modulo di contatto, molti plugin impostano automaticamente il suo indirizzo email come mittente “Da”.
Un altro problema frequente è che WordPress invia email di sistema (reset password, registrazioni utenti, conferme d'ordine) utilizzando il nome del tuo dominio ma senza le firme crittografiche che dimostrano che il messaggio proviene effettivamente dal tuo server.
I provider di posta come Gmail e Outlook rifiutano sempre più questi messaggi non autenticati, un problema trattato nella nostra guida su come comprendere la deliverability delle email.
La causa principale è sempre la stessa: le tue email mancano delle firme digitali e dei record DNS richiesti dalla moderna sicurezza delle email.
La soluzione ha due parti. Sposta l'invio su SMTP autenticato e pubblica i corretti record di autenticazione email nel tuo DNS. Tratteremo entrambi nei passaggi seguenti.
Correggi subito le tue email WordPress
Passaggio 2: Diagnosticare lo stato attuale dell'autenticazione email
Prima di risolvere i problemi di spoofing, devi capire esattamente cosa non funziona nella tua attuale configurazione email. Inizia verificando se il tuo dominio ha già record di autenticazione email configurati.
Utilizza uno strumento di Ricerca Record SPF per vedere se hai un record SPF. Inserisci semplicemente il tuo nome di dominio e fai clic su "SPF Record Lookup". Se non viene trovato alcun record, come nello screenshot qui sotto, è un problema.
Successivamente, controlla i record DKIM utilizzando MXToolbox’s DKIM Lookup. Dovrai conoscere il tuo selettore DKIM, che varia a seconda del provider di posta elettronica. I selettori comuni includono "default", "google", "selector1" o il selettore specifico del tuo provider.
Dopo di ciò, verifica la tua policy DMARC con MXToolbox’s DMARC Lookup. Un record DMARC mancante è una delle cause più comuni di vulnerabilità allo spoofing delle email.
Testa l'autenticazione email con un messaggio reale
Un altro modo per verificare rapidamente lo stato di autenticazione delle tue email è inviare un'email di prova a Gmail e controllare le intestazioni del messaggio (fai clic sui tre puntini e poi su Mostra originale).
Passaggio 3: Impostare i record di autenticazione email (Livello DNS)
L'autenticazione delle email avviene a livello DNS, dove pubblichi record che indicano ai server di posta in ricezione come verificare le email dal tuo dominio.
Tre protocolli lavorano insieme per prevenire lo spoofing. SPF autorizza i server di invio, DKIM aggiunge firme digitali e DMARC imposta le policy per la gestione dei fallimenti di autenticazione. Ecco come ognuno di essi si inserisce.
| Protocollo | Cosa fa | Cosa fallisce se manca |
|---|---|---|
| SPF | Elenca i server autorizzati a inviare posta dal tuo dominio | Qualsiasi server può inviare posta spacciandosi per te |
| DKIM | Aggiunge una firma crittografica in modo che i destinatari possano verificare che il messaggio non sia stato alterato | I destinatari non possono confermare che il messaggio provenga dal tuo server o sia arrivato intatto |
| DMARC | Indica ai server riceventi cosa fare quando SPF o DKIM falliscono e ti invia report | I messaggi contraffatti vengono comunque recapitati e tu non hai visibilità su chi sta inviando a tuo nome |
Hai bisogno di tutti e tre. SPF da solo non fermerà lo spoofing perché non sopravvive all'inoltro, e DKIM da solo non dice a nessuno cosa fare in caso di fallimenti. DMARC li lega insieme.
Configura i record SPF
I record SPF (Sender Policy Framework) specificano quali server di posta sono autorizzati a inviare email per conto del tuo dominio. Senza un record SPF, qualsiasi server può affermare di inviare email dal tuo dominio.
La maggior parte dei siti WordPress necessita di autorizzare più fonti di invio: il tuo web host per le email di sistema, il tuo provider SMTP per l'invio autenticato e talvolta servizi di terze parti come le piattaforme di marketing.
Ciò porta spesso a record SPF multipli, che interrompono l'autenticazione. La chiave è creare un singolo record SPF che includa tutti i tuoi mittenti legittimi.
Aggiungerai questo come record TXT nel DNS del tuo dominio, tipicamente iniziando con v=spf1 e terminando con ~all per rifiutare i mittenti non autorizzati.
Imposta l'autenticazione DKIM
DKIM (DomainKeys Identified Mail) aggiunge una firma crittografica alle tue email che i server riceventi possono verificare rispetto a una chiave pubblica archiviata nel tuo DNS.
Il tuo provider SMTP genererà le chiavi DKIM per te, ma a volte il record DNS risultante è troppo lungo per una singola voce TXT.
Quando ciò accade, dovrai dividere il record DKIM su più voci DNS mantenendo la formattazione corretta che i server di posta si aspettano.
Il record DKIM include la chiave pubblica del tuo provider e viene pubblicato come record TXT a un sottodominio specifico, solitamente qualcosa come selector1._domainkey.tuodominio.com.
Implementa la policy DMARC
DMARC (Domain-based Message Authentication, Reporting, and Conformance) lega SPF e DKIM insieme, indicando ai server di ricezione cosa fare quando le email non superano l'autenticazione.
È la tua difesa primaria contro lo spoofing del dominio. Un record DMARC imposta una policy che può mettere in quarantena le email sospette, rifiutarle completamente o semplicemente monitorare senza intraprendere azioni.
Inizia con una policy di monitoraggio (p=none) per raccogliere dati senza influire sulla consegna, quindi passa gradualmente a p=quarantine e infine a p=reject man mano che verifichi che le email legittime superino l'autenticazione. Io rimarrei a p=none per almeno due settimane prima di inasprire, più a lungo se hai più fonti di invio o esegui campagne di marketing regolari. I report aggregati DMARC ti mostreranno tutto ciò che hai dimenticato di autorizzare prima che una policy più restrittiva inizi a bloccare la posta reale.
Passaggio 4: Installare e configurare WP Mail SMTP
WP Mail SMTP sostituisce la funzione di posta predefinita inaffidabile di WordPress con l'invio SMTP autenticato, essenziale per prevenire lo spoofing delle email.
Se hai WP Mail SMTP Pro, accedi al tuo account e vai alla scheda Download per ottenere il file del plugin più recente. La versione Pro include funzionalità avanzate e il logging delle email che aiutano a identificare e risolvere i problemi di recapito.
Nella tua bacheca di WordPress, vai su Plugin » Aggiungi Nuovo » Carica Plugin, carica il file zip e fai clic su Installa Ora. Una volta installato, attiva immediatamente il plugin.
La procedura guidata di configurazione appare automaticamente dopo l'attivazione ed è essenziale per risolvere i problemi di spoofing delle email. Non saltare questo passaggio.
Fai clic su Iniziamo per avviare il processo di configurazione che eliminerà le tue vulnerabilità di spoofing.
Di solito scelgo un provider transazionale come SendLayer, SMTP.com o Brevo per velocità e affidabilità, poiché gestiscono code e limiti di frequenza meglio della webmail di base.
Una volta scelto il tuo provider di posta elettronica, fai clic sul link sottostante per aprire la documentazione relativa. Abbiamo una guida completa per ogni provider di posta in modo che tu possa collegare facilmente il tuo sito WordPress:
| Provider disponibili in tutte le versioni | Provider in WP Mail SMTP Pro |
|---|---|
| SendLayer | Amazon SES |
| SMTP.com | Microsoft 365 / Outlook.com |
| Brevo | Zoho Mail |
| Google Workspace / Gmail | |
| Mailjet | |
| Mailgun | |
| Postmark | |
| SendGrid | |
| SMTP2GO | |
| SparkPost | |
| Elastic Email | |
| Altri SMTP |
Segui i passaggi sullo schermo per collegare il tuo account, quindi completa i campi richiesti dal mailer. A seconda della tua scelta, incollerai una chiave API, accederai con OAuth o approverai l'invio dal tuo dominio.
Durante la configurazione di WP Mail SMTP, incontrerai l'impostazione Forza Email Mittente situata sotto il campo di configurazione principale Email Mittente .
WordPress utilizza tipicamente l'indirizzo email di amministrazione del tuo sito per i messaggi in uscita, ma ciò crea problemi di autenticazione quando plugin diversi tentano di utilizzare indirizzi mittente differenti.
I moduli di contatto, le email di registrazione utente e le notifiche e-commerce potrebbero tentare di utilizzare indirizzi Mittente diversi. Indirizzi Mittente diversi interrompono l'autenticazione e attivano i flag di spoofing.
L'impostazione Forza da Email standardizza tutti i messaggi in uscita per utilizzare l'indirizzo del dominio autenticato che imposti nel campo Email Mittente.
Passaggio 5: Configurazione BIMI (Avanzato)
BIMI (Brand Indicators for Message Identification) è un protocollo avanzato anti-spoofing che visualizza il logo del tuo brand direttamente nei client di posta elettronica dei destinatari quando i tuoi messaggi superano i controlli di autenticazione.
Questa verifica visiva aggiunge una rapida conferma sopra l'autenticazione che hai già impostato. I destinatari vedono il tuo logo accanto ai messaggi legittimi, il che rende i messaggi contraffatti senza di esso più evidentemente falsi.
Per istruzioni dettagliate sull'implementazione, requisiti del logo, formattazione dei record DNS e configurazione del Verified Mark Certificate, consulta la nostra guida completa su cos'è BIMI e come implementarlo.
Passaggio 6: Verifica la configurazione dell'email
Una volta configurato tutto, utilizza la funzione di test integrata di WP Mail SMTP per valutare la recapitalità delle tue email. Vai su Strumenti e fai clic sulla scheda Test Email per iniziare.
In questa schermata, personalizza l'indirizzo del destinatario per la tua email di test e premi Invia Email.
Se tutto è configurato correttamente, vedrai un messaggio verde.
Se WP Mail SMTP rileva problemi, mostrerà un avviso.
Sotto l'avviso, vedrai alcune informazioni sui passaggi che devi intraprendere per migliorarlo.
La guida alla risoluzione dei problemi comuni di WP Mail SMTP copre le soluzioni per i tipici problemi di configurazione.
Continua a monitorare dopo il lancio
Superare un singolo test significa che i tuoi record sono validi oggi. Non ti dice cosa succederà la prossima settimana quando un nuovo plugin inizierà a inviare posta, o quando una piattaforma di marketing che hai dimenticato verrà segnalata per la mancanza di DKIM. Due strumenti gratuiti valgono la pena di essere controllati settimanalmente per il primo mese dopo la configurazione.
I report aggregati DMARC arrivano come file XML all'indirizzo che inserisci nel tag rua= del tuo record DMARC. Elencano ogni IP che ha inviato posta affermando di essere il tuo dominio nelle precedenti 24 ore, con i risultati di superamento o fallimento di SPF e DKIM per ciascuno. L'XML grezzo è difficile da leggere, ma parser gratuiti come DMARC Digests di Postmark o gli strumenti di dmarcian trasformano i report in qualcosa di leggibile. Se vedi posta autenticata proveniente da un IP che non riconosci, si tratta di un servizio dimenticato che devi autorizzare, o di qualcuno che sta attivamente falsificando il tuo dominio.
Google Postmaster Tools mostra cosa pensa Gmail del tuo dominio di invio: tasso di spam, reputazione IP, percentuali di superamento dell'autenticazione e la nuova dashboard Stato conformità che segnala i fallimenti dei requisiti per i mittenti di massa. La nostra guida alla configurazione di Google Postmaster Tools illustra la verifica del tuo dominio e la lettura dei report.
FAQ su come correggere lo spoofing delle email di WordPress
Correggere lo spoofing delle email di WordPress è un argomento di grande interesse per i nostri lettori. Ecco le risposte ad alcune domande comuni:
Cos'è lo spoofing delle email in WordPress?
Lo spoofing delle email in WordPress si verifica quando le email sembrano provenire dal tuo dominio ma mancano di un'autenticazione adeguata, causando fallimenti nella consegna e rischi per la sicurezza.
Ciò accade perché WordPress utilizza per impostazione predefinita la funzione mail di base di PHP, che invia messaggi senza i protocolli di autenticazione SPF, DKIM o DMARC che provano la legittimità dell'email.
Come faccio a sapere se le mie email di WordPress vengono sottoposte a spoofing?
Controlla questi segnali:
- le richieste del modulo di contatto non raggiungono i destinatari
- le email finiscono costantemente nelle cartelle spam
- ricevi messaggi di rimbalzo per fallimenti di autenticazione
- i provider di posta elettronica mostrano avvisi di "mittente non verificato"
- il tuo dominio appare nei report di phishing che non hai inviato.
Prova inviando un'email a Gmail e controllando in Mostra originale i risultati PASS/FAIL di SPF, DKIM e DMARC.
Come faccio a sapere se qualcuno sta facendo spoofing del mio dominio?
Il segnale più chiaro sono i messaggi di rimbalzo o le risposte fuori sede per email che non hai mai inviato. Le segnalazioni dei clienti di messaggi sospetti "da parte tua" sono un altro campanello d'allarme. La risposta definitiva proviene dai report aggregati DMARC, che elencano ogni IP che invia posta sotto il tuo dominio. Se vedi posta autenticata da IP che non riconosci, il tuo dominio è sottoposto a spoofing. Imposta la tua policy DMARC su p=reject una volta che hai confermato che tutti i tuoi mittenti legittimi superano l'autenticazione.
Qual è la differenza tra email hackerata ed email sottoposta a spoofing?
Un account email hackerato significa che un aggressore ha effettivamente avuto accesso alla tua casella di posta, di solito tramite una password rubata. Vedrai messaggi sconosciuti nella tua cartella Posta inviata e avvisi di accesso da luoghi in cui non sei mai stato. Lo spoofing non richiede alcun accesso. L'aggressore falsifica l'indirizzo Mittente su un messaggio che invia dal proprio server, quindi il tuo account non viene mai toccato. I messaggi sottoposti a spoofing non appaiono mai nella tua cartella Posta inviata. I record di autenticazione (SPF, DKIM, DMARC) prevengono lo spoofing. Password forti e autenticazione a due fattori prevengono l'hacking dell'account.
Come risolvo i problemi di spoofing delle email di WordPress?
Installa il plugin WP Mail SMTP, configuralo con un provider SMTP professionale come SendLayer, imposta i record SPF, DKIM e DMARC nel tuo DNS, abilita l'impostazione "Forza email Mittente" per utilizzare il tuo indirizzo di dominio autenticato e testa l'autenticazione delle email utilizzando la funzione di test di WP Mail SMTP.
Quanto tempo ci vuole per risolvere lo spoofing delle email di WordPress?
Il lato del plugin richiede circa 30 minuti. L'installazione di WP Mail SMTP, il collegamento del tuo provider di posta e l'abilitazione di Forza Mittente sono solitamente completati in meno di mezz'ora, inclusa la prova di invio. Il lato DNS è più lento. I record SPF e DKIM solitamente si propagano in poche ore, ma possono richiedere fino a 48. L'applicazione di DMARC è un processo più lungo: inizia con p=none e rivedi i report per almeno due settimane prima di passare a p=quarantine, poi altre due settimane prima di p=reject. Il percorso completo da una configurazione errata all'applicazione completa di DMARC richiede solitamente da quattro a sei settimane.
SPF da solo può fermare lo spoofing delle email?
No. SPF dice solo ai server di ricezione quali IP sono autorizzati a inviare email dal tuo dominio. Non sopravvive all'inoltro (se qualcuno inoltra il tuo messaggio, il nuovo server di invio fallisce SPF) e non dice ai destinatari cosa fare quando un controllo fallisce. Hai bisogno di DKIM per firmare crittograficamente i messaggi e di DMARC per impostare la policy sui fallimenti. La combinazione di tutti e tre è ciò che effettivamente previene lo spoofing.
I moduli di contatto di WordPress possono causare spoofing delle email?
Sì, i moduli di contatto comunemente causano spoofing quando utilizzano l'indirizzo email del visitatore come mittente From, facendo apparire che sia stato il visitatore a inviare l'email direttamente piuttosto che il tuo sito web che inoltra il loro messaggio.
Risolvi questo problema utilizzando WP Mail SMTP con Forza Mittente abilitato e impostando gli indirizzi email dei visitatori nel campo Reply-To.
Quali provider SMTP prevengono lo spoofing delle email di WordPress?
Provider SMTP professionali come SendGrid, Mailgun, Amazon SES, Postmark e SMTP.com prevengono lo spoofing fornendo autenticazione adeguata, firma DKIM e infrastruttura di recapito.
Evita di utilizzare provider di webmail di base come account Gmail personali, poiché mancano delle funzionalità di autenticazione necessarie per l'invio da WordPress.
L'hosting condiviso può causare problemi di spoofing delle email di WordPress?
Sì, l'hosting condiviso causa spesso spoofing perché più siti web condividono lo stesso indirizzo IP del server, rendendo difficile l'autenticazione SPF, e la maggior parte degli host condivisi non configura DKIM o non fornisce un'autenticazione email adeguata.
Risolvi questo problema utilizzando WP Mail SMTP con un provider di servizi email dedicato invece di fare affidamento sui server di posta del tuo provider di hosting.
Successivamente, Scopri come risolvere i ritardi delle email in WordPress
Le tue email di WordPress arrivano con 20 minuti di ritardo? O peggio, arrivano ore dopo che qualcuno ha inviato un modulo o completato un checkout? Dai un'occhiata a questa guida per scoprire cosa sta effettivamente causando i ritardi sul tuo sito e come risolverli in modo che le tue email vengano inviate istantaneamente.
Correggi subito le tue email WordPress
Pronto a risolvere i tuoi problemi di posta elettronica? Inizia oggi stesso con il miglior plugin SMTP per WordPress. Se non hai tempo per risolvere i tuoi problemi di posta elettronica, puoi ottenere assistenza completa per la configurazione White Glove come acquisto aggiuntivo, e c'è una garanzia di rimborso di 14 giorni per tutti i piani a pagamento.
Se questo articolo ti è stato d'aiuto, seguici su Facebook e Twitter per altri suggerimenti e tutorial su WordPress.
