Email aziendale in blacklist: cosa significa e come risolvere

Email aziendale in blacklist: cosa significa e come risolvere

Introduzione

Se utilizzate un servizio di posta elettronica aziendale, ad esempio [email protected], può capitare che le nostre email finiscano più o meno regolarmente in spam. Il problema è complicato da comprendere e da risolvere, ma dovrebbe essere affrontato in maniera decisiva. Il lavoro di tante aziende di consulenza si svolge regolarmente online, e sicuramente è una grossa seccatura doversi accorgere che le mail non arrivano, che finiscano in spam nelle caselle dei destinatari e così via. In questo articolo cercherò di riassumere i principali provvedimenti che possiamo prendere, le segnalazioni che dobbiamo fare e gli accorgimenti generali da prendere.

Come accorgersi del problema

Utilizzi la mail aziendale per inviare e ricevere e non funziona, semplicemente: problemi tipici, in questo caso, sono ad esempio quelli indicati di seguito.

  • le mail partono, ma non arrivano a destinazione (di solito tornano indietro con messaggio di errore ed un codice di errore, ad esempio il 550 che vedremo tra un attimo);
  • le mail non partono per nulla,;
  • le mail partono, ma finiscono nella cartella di spam del destinatario.

Per rendersi conto è sufficente provare a fare degli invii di prova da una mail aziendale ad un indirizzo differente, ad esempio Gmail o Hotmail, di cui abbiamo il controllo.

Come funziona l’antispam

Tipicamente i filtri antispam sono attivati in modo automatico da server che smistano la posta in rete, e non sono in genere eliminabili come avverrebbe per altre opzioni; lavorano su un algoritmo a campione, che tende a rilevare comportamenti sospetti nelle email o invii troppo veloci.

La prima cosa più semplice che possiamo fare, se le nostre mail finiscono in spam, è quella di dire a tutti i nostri destinatari di toglierci dalla casella antispam; vale sicuramente come segnale positivo per il filtro antispam, che alla lunga dovrebbe smetterla di classificarci come tali. Se tutti i nostri destinatari lo fanno, è una prima grossa mano per uscire dalla cosiddetta blacklist: significa che l’indirizzo IP del nostro mailserver è stato classificato come sender di spam.

Controllare se la mail è in blacklist

Come prima cosa bisogna trovare l’IP del nostro server SMTP: non è detto che coincida con l’IP del dominio, anzi in molti casi non è così. Per trovarlo, basta andare a cercare l’indirizzo URL del proprio server di posta, ad esempio mail.dominioaziendale.it oppure webmail.dominioaziendale.it e determinare l’IP associato dal tool per trovare l’IP di un dominio. Fatto questo, prendiamo nota dell’IP effettivo (ad esempio 123.456.789.123) ed andiamo a controllarlo da questo servizio esterno (DNSbl ovvero DNS-based Blackhole List, ovvero una lista pubblica di indirizzi IP interrogabile dall’esterno e che si basa interamente sul Domain Name System):

www.dnsbl.info

che è il sito che permette di gestire le blacklist (detti a volte anche ban) che impediscono alle mail di funzionare correttamente. Qui bisogna inserire l’IP trovato in precedenza, e cliccare su CHECK THIS IP. Dopo qualche secondo di attesa, apparirà una lista del genere di vari provider che verranno testati per noi (vedi oltre), e per ogni spunta rossa capiremo di essere finiti in blacklist.

Un altro sito di importanza fondamentale per le blacklist delle mail è questo:

dnsbl.SPFBL.net

che è molto rigido in fatto di antispam, e non è uno scherzo soddisfare tutti i requisiti per uscirne. Molte volte, all’atto pratico, conviene cambiare direttamente mail server e passare ad un mail server dedicato.

Cosa fare per uscire dalla blacklist

Non avendo troppi elementi per giudicare l’argomento, mi sono un po’ documentato, e – per quanto i filtri antispam abbiano comportamenti difficili da valutare dall’esterno – si possono dedurre un po’ di regole pratiche per non finire nell’antispam. La prima regola, ovviamente, è quella di assicurarsi che nessuno dei nostri client di posta sia affetto da virus: ci sono malware che inviano mail a nostra insaputa di continuo sfruttando le nostre credenziali, per cui fate controllare e scansionare sia tutti i PC dei dipendenti che di eventuali collaboratori che usino i vostri servizi di posta aziendali.

Ho anche parlato via email con uno dei gestori di SPFBL per chiedere chiarimenti, e mi ha detto che:

  1. l’indirizzo IP del mailserver deve essere conforme allo standard RFC 5321 (uno standard universale per l’invio di posta elettronica via SMTP, un documento che dovrebbero leggere e conoscere a menadito prima di ogni altro i gestori di questi servizi, cosa spesso smentita dai fatti, purtroppo);
  2. gli IP condivisi non sono in genere adeguati per i server di posta, anche perchè (come vedremo meglio tra un attimo) non è in genere possibile ottenere un FQDN idoneo. Questo significa che i vari server a basso costo con invio di email incluso (magari con mail illimitate e vari ed eventuali specchietti per le allodole) NON vanno bene per un servizio di posta aziendale efficente e funzionale.
  3. i mail server su hosting condiviso, da quello che mi dicono da SPFBL, non si possono togliere dalla blacklist in alcun modo.

Le regole da seguire sono in genere di utilizzare mail server che facciano uso di record DNS di tipo SPF, DKIM e possibilmente usare pure FQDN, che sono tre fattori che aiutano ad identificare il server e a limitare la possibilità di finire in spam durante l’uso della posta; per non perderci tra troppe sigle, vediamo nel dettaglio di che si tratta e cosa fare nel concreto. Ricordatevi che sono fattori che rientrano nelle varie valutazioni dei filtri antispam, e che potrebbero da soli non bastare allo scopo.

Uscire dall’antispam: togliere la firma dalle email

Se non riuscite a farvi togliere dalla blacklist, un modo per calmierare il problema è quello di evitare di utilizzare firme HTML: in genere le firme e tutte le mail andrebbero validate prima dell’invio, e se usano tag HTML non convenzionali (ad esempio quelli generati in automatico da Outlook, molto usato in ufficio) ci sono buone possibilità che i filtri antispam le blocchino.

Usate quindi firme con HTML validato (basta chiedere di farlo a chi conosce bene HTML) oppure, alla peggio, usare solo firme testuali possibilmente senza link e senza immagini che puntino a domini esterni. Se il dominio è in blacklist, ovviamente, un link al nostro sito può essere un fattore valutato negativamente dai filtri antispam.

Cos’è un record SPF (Sender Policy Framework ) e come evita lo spam

Il Sender Policy Framework o SPF è un metodo di validazione delle mail, che serve a garantire che chi invia la posta non sia uno spammer che stia sfruttando la tecnica dello spoofing (in breve l’invio di spam falsificando l’indirizzo del mittente). Nella pratica SPF non è altro che un semplice record TXT che deve essere impostato a dovere dal sistemista, di solito attraverso le zone del DNS, e che possiede questa forma:

TXT @ "v=spf1 a include:_spf.google.com ~all"

ovvero un record TXT di tipo SPF (v=spf1), impostato nelle zone del DNS in cui autorizziamo il server SMTP di Gmail (uno dei più usati) ad essere il solo a poter inviare posta (~all). Ci sono delle regole precise per generare record SPF in modo corretto, e c’è un’ottima guida dettagliata sul sito di DigitalOcean, a riguardo. Chi riceve le nostre email sarà così in grado di confrontare la provenienza del messaggio con le regole SPF. Secondo alcuni lo standard non è sufficente, secondo altri è addirittura sconsigliabile o inutile farne uso: dipende dai casi. Ad oggi esiste uno standard RFC ma è sostanzialmente rimasto a livello sperimentale.

L’uso di SPF è comunque vincolato alla propagazione nel DNS del record TXT – che il più delle volte i servizi di hosting che lo supportano sono in grado di suggeririvi come impostare, oppure ve lo impostano loro direttamente (Siteground lo fa, ad esempio).

Cos’è un record DKIM (DomainKeys Identified Mail) e come evita lo spam

DomainKeys Identified Mail è un altro meccanismo di protezione dallo spam, il quale (similmente a SPF) serve a rendere possibile il controllo che la mail inviata da [email protected]  sia stata effettivamente autorizzata dal proprietario del dominio.it. Anche qui parliamo di una sorta di “firma” che viene apposta sul DNS in modo che gli invii successivi risultino validati e meno soggetti ai filtri antispam. I dettagli tecnici sono leggermente più evoluti e complessi di SPF, e si dividono in due fasi (prima la firma, poi la verifica). Vi risparmio ulteriori dettagli tecnici: basti sapere che buona parte degli hosting supporta attivamente DKIM, e vi consentiranno di impostarlo per il vostro dominio.

FQDN + rDNS per evitare lo spam e la blacklist della mail

Un requisito esplicito per i server di posta non spam è quello che il suo Fully Qualified Domain Name (il nome di dominio “assoluto” e univoco per tutto il DNS: quindi ad esempio blog.dominio.it rispetto all’host blog del dominio.it) venga impostato all’interno di un rDNS (reverse DNS lookup) dello stesso IP. Questo è un fattore chiave per non finire in spam, visto che impone che il mail server sia per forza un hosting dedicato; sui condivisi questa impostazione non si può impostare, purtroppo, mentre su hosting più evoluti è già impostata dall’inizio o è comunque configurabile.

Provider che potrebbero averci messo in blacklist

Ecco, per concludere, una lista parziale dei provider che quel sito ci permette di verificare; fin quando ce ne sarà almeno uno che ci blacklista, ci sono buone possibilità che le mail finiscano in spam. Col tempo e con l’addrestramento automatico dell’algoritmo, questo non dovrebbe più succedere – per quanto l’uso di mail server di bassa qualità o condivisi dia quasi la certezza, purtroppo, di finire in blacklist.

all.s5h.net b.barracudacentral.org bl.emailbasura.org
bl.spamcannibal.org bl.spamcop.net blacklist.woody.ch
bogons.cymru.com cbl.abuseat.org cdl.anti-spam.org.cn
combined.abuse.ch db.wpbl.info dnsbl-1.uceprotect.net
dnsbl-2.uceprotect.net dnsbl-3.uceprotect.net dnsbl.anticaptcha.net
dnsbl.dronebl.org dnsbl.inps.de dnsbl.sorbs.net
dnsbl.spfbl.net drone.abuse.ch duinv.aupads.org
dul.dnsbl.sorbs.net dyna.spamrats.com dynip.rothen.com
http.dnsbl.sorbs.net ips.backscatterer.org ix.dnsbl.manitu.net
korea.services.net misc.dnsbl.sorbs.net noptr.spamrats.com
orvedb.aupads.org pbl.spamhaus.org proxy.bl.gweep.ca
psbl.surriel.com relays.bl.gweep.ca relays.nether.net
sbl.spamhaus.org short.rbl.jp singular.ttk.pte.hu
smtp.dnsbl.sorbs.net socks.dnsbl.sorbs.net spam.abuse.ch
spam.dnsbl.anonmails.de spam.dnsbl.sorbs.net spam.spamrats.com
spambot.bls.digibase.ca spamrbl.imp.ch spamsources.fabel.dk
ubl.lashback.com ubl.unsubscore.com virus.rbl.jp
web.dnsbl.sorbs.net wormrbl.imp.ch xbl.spamhaus.org
z.mailspike.net zen.spamhaus.org zombie.dnsbl.sorbs.net

Errore: 550 (A URL in this email is listed on spamrl), cosa significa?

Se provate ad inviare dalla vostra email aziendale e vi venisse restituito un errore 550, significherebbe solo una cosa: che state provando ad inviare una mail con all’interno un URL blacklistato. Ad esempio potreste aver messo un link nella firma dell’email che punta ad un dominio configurato su un IP in blacklist, per cui SMTP rifiuta l’invio e rimanda il contenuto al mittente. Molti server di posta hanno subito nel tempo questo infausto destino (addirittura themeforest.net, per un periodo), e la cosa peggiore è che il sito che ci mette in blacklist non sembra raggiungibile nè contattabile in alcun modo (parlo di spamrl.com).

Esempio:

Diagnostic-Code: smtp; 550 A URL in this email (themeforest . ne) is listed on https://spamrl.com/. Please resolve and retry

In questi casi le soluzioni per provare a risolvere risolvere possono essere due o tre:

  • cambiare l’indirizzo IP del dominio, in modo che l’IP risolva su un IP diverso – quindi ad esempio cambiare hosting;
  • utilizzare se possibile un server di posta SMTP dedicato (ad esempio questi);
  • (soluzione facile) rimuovere dalla firma di tutte le mail il link al dominio, e preferire (almeno per un po’) per una firma in formato testo o in HTML semplice senza link (possibilmente HTML validato).

0 voti


Informazioni sull'autore

Salvatore Capolupo

Consulente SEO, ingegnere informatico e fondatore di Trovalost.it, Pagare.online, Lipercubo.it e tanti altri. Di solito passo inosservato e non ne approfitto.