Mail

SPF: questo sconosciuto

Conoscere per configurare nel modo migliore

SPF (Sender Policy Framework) permette ai server di ricezione email di verificare l’autenticità del mittente e validare la posta elettronica in ingresso, valutando correttamente quale missiva considerare come spam e quale, invece, considerare una comunicazione legittima. Per evitare che le proprie email vengano erroneamente classificate come spam potrebbe essere opportuno configurare il proprio dominio introducendo il record SPF.

Il record SPF associato ad un nome dominio è un parametro molto importante dei DNS, in quanto consente di identificare i server di posta che sono autorizzati ad inviare email per conto del proprio dominio. Gli spammer tendono, infatti, ad inviare messaggi da indirizzi email falsi, che spesso riportano estensioni uguali a nomi dominio noti o comunque realmente esistenti. La maggior parte dei provider di posta, come Gmail, Outlook, Comcast, Verizon, sfruttano questa tecnologia di autenticazione tramite SPF per verificare l’identità del mittente e che l’indirizzo IP da cui proviene l’email è autorizzato all’utilizzo del dominio; in caso contrario la mail viene respinta. Implementare il record SPF, quindi, è molto importante in quanto evita che le mail inviate dal proprio dominio vengano dirottate verso la Posta Indesiderata o classificate come spam. Per configurare il record SPF, è necessario creare il record TXT contente ad esempio una delle seguenti sintassi:

v=spf1 ip4:IPnumero include:domino.tld –all

In questo esempio con ip4 si intende gli indirizzi IPv4 degli host che sono autorizzati ad inviare la posta in uscita per il dominio, con il comando include si indicano eventuali domini che contengono e rispettano il filtro SPF e con il comando –all (Fail) si specificano tutti gli altri server che non sono autorizzati all’invio.

v=spf1 mx a:mail.azienda.tld include:example.tld –all

In questa seconda sintassi mx indica che i server che ricevono la posta in ingresso (MX) del dominio sono autorizzati anche a spedire i messaggi; a:pippo.azienda.tld significa che anche la macchina attestata su mail.azienda.tld è autorizzata all’invio, mentre i meccanismi successivi sono identici alla sintassi precedente. Al posto del comando –all, si può trovare:

  • "+" Pass
  • "~" SoftFail
  • "?"Neutral

Questi comandi SPF possono decidere l’accettazione del messaggio:

  • Pass Il record SPF è corretto e il server è autorizzato a trasmettere: il server accetta le mail;
  • Fail  Il record SPF è corretto e il server non è autorizzato all'invio: il server rifiuta le mail;
  • SoftFail Il record SPF è specificato con "~" indica al server che è autorizzato all'invio ma è in fase di transizione: il server accetta le mail, ma come spam;
  • Neutral Il record SPF è specificato con "?” indica esplicitamente che nulla può essere detto circa la validità: il server accetta le mail;
  • None Il dominio non dispone di un record SPF: il server accetta le mail;
  • PermError si è verificato un errore permanente (ad es. errore nella sintassi del record SPF): il server rifiuta le mail;
  • TempError Un errore temporaneo è verificato: il server può accettare o rifiutare le mail.

Per configurare l’SPF bisogna quindi conoscere bene sia la sintassi del DNS, sia alcune informazioni di base: ad esempio è necessario conoscere tutti i server che per qualche motivo possono inviare posta per quel dominio che si sta configurando.

Una configurazione errata del record può portare al rifiuto di molta posta legittima.

È importante ricordare che la maggior parte dei problemi si verifica a causa della scarsa conoscenza dello strumento, che richiede invece competenze tecniche approfondite per poter essere sfruttato nella sua interezza.

Inoltre, per verificare che la configurazione effettuata sia andata a buon fine è possibile ricorrere all’utilizzo di un comodo strumento online di interrogazione del record DNS. Ad esempio si possono consultare: Kitterman, Microsoft o MXToolbox.

Statistiche

Ad oggi riportiamo le statistiche (costantemente aggiornate) dal sito ufficiale SPF di un check eseguito su 140123409 domini: Domini che hanno il filtro SPF configurato:

Tipologia di filtro SPF configurato:

Domini che presentano una configurazione errata:

 

Aggiungi commento


Codice di sicurezza
Aggiorna