Spunta blu nelle email: a cosa serve e come ottenerla

Chi utilizza Gmail avrà probabilmente notato un dettaglio che distingue alcuni messaggi dalle normali email: un logo ufficiale accanto al mittente e, in determinati casi, una spunta blu di verifica. L’effetto visivo ricorda i sistemi di certificazione dell’identità introdotti sui social network, ma dietro quel simbolo si nasconde un’infrastruttura tecnica molto più articolata. La domanda che molti proprietari di nomi di dominio si pongono è la seguente: chiunque può ottenere quella spunta oppure si tratta di una prerogativa riservata alle grandi aziende?

Per oltre 20 anni la posta elettronica ha sofferto un problema difficile da risolvere: l’impersonificazione dei mittenti, altrimenti nota come sender spoofing. I protocolli originari dell’email non prevedevano controlli sufficientemente robusti per verificare l’identità di chi spedisce un messaggio.

Da qui la nascita di soluzioni come SPF, DKIM e DMARC, introdotte progressivamente per ridurre spoofing e phishing. Più recentemente il settore ha iniziato a lavorare anche sulla componente visiva della fiducia, dando vita a BIMI (Brand Indicators for Message Identification), una specifica che consente di mostrare il logo verificato del mittente direttamente nella casella di posta. Gmail ha portato il concetto ancora oltre introducendo la spunta blu per alcuni domini autenticati.

Che cos’è la spunta blu di Gmail

Molti utenti credono che la spunta blu certifichi l’affidabilità di un’organizzazione. In realtà il significato è più limitato: Gmail utilizza il sistema BIMI insieme a ulteriori verifiche per attestare che il dominio a cui l’email si riferisce possiede realmente il marchio e il logo visualizzati. Non certifica la bontà del contenuto del messaggio né garantisce che l’azienda possa mettere in atto pratiche discutibili.

Google ha introdotto la spunta blu in Gmail nel 2023 con l’obiettivo di rendere più difficile l’impersonificazione dei marchi più conosciuti. Quando un utente vede una spunta blu, Gmail ha già verificato una catena di autenticazione che comprende più tecnologie differenti. Lo spieghiamo di seguito.

Il ruolo di SPF, DKIM e DMARC

Prima ancora di parlare di loghi e certificati, un dominio deve dimostrare di rispettare rigorosi requisiti di autenticazione della posta elettronica.

SPF definisce quali server sono autorizzati a spedire email per conto di un dominio. DKIM applica una firma crittografica ai messaggi, consentendo al destinatario di verificare che il contenuto non abbia subito modifiche durante il transito. DMARC coordina i risultati delle verifiche SPF e DKIM, stabilendo come trattare i messaggi che non superano i controlli. Ne abbiamo abbondantemente parlato in altri nostri articoli spiegando che chi invia almeno 5.000 email al giorno (vi assicuriamo che per chi costruisce canali di comunicazione con i clienti è una soglia veramente bassa…) non vedrà più le sue mail arrivare a destinazione se non implementa correttamente il “trio” SPF-DKIM-DMARC.

O almeno Google, Microsoft e Yahoo, che complessivamente gestiscono volumi di posta enormi, hanno deciso per il “giro di vite” al fine di proteggere i loro utenti.

In più, per utilizzare BIMI, il dominio deve di solito adottare una policy DMARC in modalità enforcement, cioè configurata con p=quarantine oppure p=reject. Il gestore del dominio deve cioè bloccare o isolare i messaggi fraudolenti che tentano di utilizzare il proprio nome.

È una condizione che rappresenta uno degli ostacoli principali per molti soggetti, perché richiede un monitoraggio accurato dei flussi email legittimi prima di attivare politiche restrittive.

BIMI: il filo rosso che collega DNS e identità visiva

Una volta completata la configurazione dei meccanismi di autenticazione, citati in precedenza, entra in gioco BIMI. Il sistema utilizza un record DNS dedicato che punta a un logo in formato SVG compatibile con le specifiche richieste dai provider di posta. Il vantaggio è concreto: il destinatario può riconoscere il marchio ancora prima di aprire il messaggio.

Dal punto di vista tecnico l’implementazione non è particolarmente complessa e chi gestisce un dominio personale può configurarla autonomamente. Il problema emerge quando si desidera ottenere il livello di verifica più elevato, quello associato alla famosa spunta blu.

Perché la spunta blu richiede un certificato speciale

La parte più costosa dell’intero processo non riguarda il DNS né la configurazione del server di posta: il vero punto cruciale è rappresentato dai certificati di validazione del marchio.

Per ottenere la spunta blu su Gmail serve un Verified Mark Certificate (VMC): si tratta di un certificato digitale X.509 emesso da autorità di certificazione accreditate dopo una procedura di verifica che include il controllo della proprietà del marchio registrato e del logo associato. Gmail utilizza proprio questa informazione per mostrare la spunta accanto al nome del mittente.

DigiCert, uno dei principali fornitori del settore, propone VMC con costi annui che possono non essere alla portata di tutti. Per una multinazionale si tratta di una spesa trascurabile; per un libero professionista o per una piccola associazione il discorso cambia radicalmente.

Una novità relativamente recente riguarda i Common Mark Certificate o CMC: questi certificati nascono per organizzazioni che non possiedono un marchio registrato ma possono dimostrare l’utilizzo continuativo di un logo nel tempo. CMC può consentire la visualizzazione del logo in alcuni client compatibili, ma generalmente non attiva la spunta blu di Gmail. I costi risultano (di poco) inferiori rispetto a un certificato VMC, ma restano comunque significativi per chi utilizza un dominio senza avervi costruito intorno un business commerciale importante.

Chi dovrebbe investire su BIMI e VMC

Per una banca, una compagnia assicurativa, una piattaforma di e-commerce o un servizio SaaS che invia milioni di email ogni anno, il ritorno dell’investimento su BIMI e VMC può risultare immediato. Una riduzione anche minima dei tentativi di impersonificazione o un incremento del tasso di apertura delle campagne giustifica facilmente il costo annuale del certificato.

La situazione è diversa per chi gestisce un dominio personale o un piccolo progetto indipendente: in questi casi conviene concentrarsi innanzitutto sulla corretta configurazione di SPF, DKIM e DMARC. Sono tecnologie configurabili a costo zero (a parte proprio il tempo e l’impegno profusi per la loro corretta abilitazione), migliorano la reputazione del dominio e aumentano la probabilità che i messaggi raggiungano la posta in arrivo senza problemi.

Da una parte BIMI e i certificati associati aiutano i destinatari a identificare più facilmente i messaggi autentici; dall’altra non eliminano uno dei problemi storicamente più diffusi: i domini simili a quelli originali.

Un attaccante può registrare un indirizzo molto simile a quello di un marchio noto (i.e. typosquatting) e continuare a lanciare campagne phishing. La spunta blu protegge il dominio autentico, ma non impedisce la creazione di imitazioni visivamente credibili. Va detto però che il requisito di adottare DMARC in modalità enforcement produce un beneficio concreto: riduce drasticamente le possibilità di spoofing diretto del dominio ufficiale.

In conclusione, la spunta blu rimane un elemento accessorio. Affascinante, certamente. Ma la vera sicurezza della posta elettronica continua a dipendere dai meccanismi di autenticazione che lavorano dietro le quinte e che la maggior parte degli utenti non vede nemmeno.