How does email spoofing work?

Email transazionali: spiegazione e best practice

Share with your network!

Fondamentali per le attività aziendali, le email si presentano in diverse forme. Questo articolo del blog si concentra sulle email transazionali: cosa sono, come vengono generare, perché sono così importanti e le best practice da adottare per ottimizzare i tassi di recapito e la soddisfazione dei clienti.

Che cos’è un’email transazionale?

Quando si effettua un ordine online, solitamente si riceve un messaggio automatico a conferma dell’ordine: questo è un esempio di email transazionale. Fatture, promemoria di appuntamenti, notifiche di spedizione di pacchi e messaggi di reimpostazione della password sono altri esempi.

Le email transazionali sono messaggi inviati a un destinatario specifico che generalmente includono informazioni importanti sulle transazioni relative a un utente.

Come vengono generate?

Sono tre le fonti principali delle email transazionali:

  1. Applicazioni on premise interne
  2. Applicazioni cloud interne
  3. Partner SaaS (Software-as-a-Service) che inviamo email per conto del tuo dominio (ovvero la tua azienda)

Sources of Transactional Emails

Figura 1. Le tre principali fonti delle email transazionali.

Alcune applicazioni interne offrono funzioni di automazione che permettono un notevole risparmio di tempo e costi. In passato, molte applicazioni venivano distribuite on premise ma sempre più spesso le aziende sfruttano le applicazioni web e l’hosting cloud con strumenti PaaS (Platform-as-a-Service) come Microsoft Azure.

Un crescente numero di messaggi transazionali viene inviato per conto dell’azienda da applicazioni SaaS di terze parti come Salesforce, ServiceNow e Workday. Un'esperienza utente negativa con queste applicazioni può anche avere danneggiare la reputazione del tuo marchio. L’aggiunta al tuo record SPF di applicazioni SaaS di terze parti che utilizzano indirizzi IP di invio condivisi introduce un ulteriore fattore di rischio.

Ad esempio, se un criminale informatico riuscisse a violare un fornitore di servizi email che utilizza un indirizzo IP condiviso e tale indirizzo fosse incluso nel tuo record SPF, questo criminale informatico potrebbe effettuare lo spoofing del tuo dominio e inviare email dannose che vengono autenticate come legittime.

Perché le email transazionali sono così importanti?

Tornando agli esempi di email transazionali di cui sopra, quale sarebbe il tuo livello di soddisfazione se avessi effettuato un ordine e non avessi ricevuto alcuna email di conferma? Probabilmente penseresti che l'ordine non sia stato elaborato correttamente o, peggio, che l'azienda a cui hai fornito le informazioni per l'acquisto ti abbia truffato.

La distribuzione delle email transazionali può avere un impatto significativo sulla soddisfazione complessiva del cliente e sulla reputazione del marchio di un’azienda. Se distribuite correttamente, possono essere una risorsa che crea fiducia e favorisce la fidelizzazione. In caso contrario, diventano un punto di debolezza.

Le email transazionali non sono email generate dagli utenti né email di marketing

Le email transazionali non sono messaggi inviati in massa, come le email di marketing. Le email di marketing rientrano in una categoria a parte, di ci parleremo in un’altra occasione.

Il punto saliente è che le email generate dagli utenti, le email di marketing e le email transazionali hanno tutte finalità e caratteristiche molto diverse e ognuna ha le proprie best practice.

User Email, Transactional Email, and Marketing Email

Figura 2. Panoramica dei diversi tipi di email: generate dagli utenti, transazionali e di marketing.

Migliori e peggiori procedure per le email transazionali

Prima di parlare di best practice, diamo uno sguardo a quelle che sono invece considerate procedure sbagliate, ovvero mescolare le email transazionali con le email generate dagli utenti.

Il volume delle email transazionali può essere molto elevato e quindi avere un impatto significativo sulle prestazioni complessive dell'invio di messaggi.

Ma soprattutto, se una delle applicazioni che distribuiscono messaggi transazionali dovesse causare l’inserimento in black list dei tuoi indirizzi IP di invio, il recapito delle email generate dagli utenti ne risentirebbe e le operazioni aziendali si bloccherebbero.

Le email transazionali in uscita, se gestite correttamente, forniscono valore non solo al team di messaggistica in termini di tassi di consegna, ma anche al team della sicurezza, al team dell'infrastruttura e agli sviluppatori di applicazioni.

La chiave per il successo è la creazione di un ambiente separato, ma altrettanto sicuro, per l’invio delle email transazionali.

Ambiente consigliato per le email transazionali

Prendiamo ora in esame alcune delle best practice per la gestione delle email transazionali:

Visibilità e controllo centralizzati - Devi avere visibilità e controllo centralizzati sia sulle applicazioni interne che su quelle di terze parti che inviano messaggi per conto dell'azienda. Le fonti devono essere approvate e convalidate ed è altamente consigliato l’utilizzo di una connessione sicura, come l’autenticazione SMTP, tra le fonti e il tuo ambiente di invio.

Autorizzando un numero molto limitato di indirizzi IP di invio nel tuo record SPF riduci il rischio che altri, in un ambiente di invio condiviso, possano effettuare lo spoofing dei tuoi domini. L’invio del traffico da indirizzi IP dedicati riduce ulteriormente questo rischio.

Analisi dei messaggi - Ogni messaggio inviato ha un impatto sulla tua azienda. L’analisi antivirus o antispam dei messaggi garantisce l’invio solo dei messaggi sicuri. Prendi in considerazione anche di applicare funzionalità avanzate come la crittografia delle email o regole di prevenzione della fuga di dati (DLP), soprattutto se hai a che fare con informazioni finanziarie, sanitarie o di identificazione personale. informazioni personali.

Firma DKIM (Domain Keys Identified Mail) - Si consiglia di applicare una firma DKIM su tutti i messaggi in uscita. Se utilizzi un partner SaaS che non dispone di questa funzionalità, è importate che il tuo ambiente di invio sia in grado di aggiungere la firma DKIM a questi messaggi prima dell’invio. La conformità agli standard DKIM e DMARC è essenziale per proteggere la reputazione del marchio.

Vantaggi

Disporre di un ambiente di invio separato e rigorosamente protetto per le email transazionali offre numerosi vantaggi a diversi team dell’azienda, tra cui, per esempio:

  • Team della messaggistica - Il tasso di recapito non è più compromesso da fattori totalmente fuori dal tuo controllo e il traffico delle applicazioni non influirà sulla reputazione dei tuoi indirizzi IP d’invio. Se si verifica un problema con un’applicazione, non influirà sulle email di marketing o generate dall’utente. Inoltre, la reputazione del marchio è isolata da quella di partner che inviano messaggi dai tuoi domini.
  • Team della sicurezza - Puoi ridurre i rischi associati a un record SPF troppo permissivo e avere un controllo centralizzato per disabilitare le applicazioni laddove opportuno, comprese quelle di terze parti che effettuano gli invii per conto dell'azienda, se ritieni siano sospette. Questo è particolarmente importante per i fornitori SaaS terzi che utilizzano indirizzi IP condivisi e sono obiettivi primari degli attacchi informatici.
  • Team dell’infrastruttura - Riduci l'ingombro on premise adottando un ambiente di invio basato sul cloud per le email transazionali e fornendo una soluzione semplice agli sviluppatori di applicazioni della tua azienda che hanno bisogno di funzionalità di invio di email.

Hai bisogno di aiuto per il tuo ambiente di invio di email transazionali?

Proofpoint è un leader del settore dell’email e della sicurezza della messaggistica e dispone delle risorse, delle tecnologie e delle competenze necessarie per aiutarti a separare e proteggere le tue email transazionali. Inoltre, il processo è più rapido e più conveniente di quanto tu possa immaginare. Grazie alla nostra soluzione cloud Proofpoint Secure Email Relay, potrai essere operativo in tempi record.

Scopri di più sulla soluzione Proofpoint Secure Email Relay.