Per ve­ri­fi­ca­re se un’e-mail provenga ef­fet­ti­va­men­te dal mittente di­chia­ra­to, si può uti­liz­za­re il Sender Policy Framework (SPF), con il quale i server di posta ve­ri­fi­ca­no l’au­ten­ti­ci­tà degli indirizzi dei mittenti. Questa verifica si basa sul record SPF. Ma come funziona esat­ta­men­te?

Il problema: il mittente è “autentico”?

In teoria ve­ri­fi­ca­re le e-mail in entrata è semplice: il server di posta ricevente, infatti, conosce il dominio del mittente. Ad esempio, se riceve un’e-mail da maria.rossi@gmx.com, il de­sti­na­ta­rio può risalire all’indirizzo IP di gmx.com. Questo cor­ri­spon­de a 213.165.64.8, un’in­for­ma­zio­ne contenuta nell’header dell’e-mail, così come l’indirizzo IP del mittente.

Tuttavia, nessuna grande azienda utilizza un unico server di posta, ma ne vengono impiegati sempre molti. Inoltre, molti dei maggiori provider si avvalgono di server di filtro e-mail (come mailchannels.com) per impedire l’invio di e-mail di spam at­tra­ver­so i propri sistemi. In questo caso, al de­sti­na­ta­rio compare l’indirizzo IP del server di filtro e-mail e non quello del mittente vero e proprio. Serve quindi un metodo che permetta al de­sti­na­ta­rio di sapere quali indirizzi IP sono associati al mittente “autentico”. In altre parole, è ne­ces­sa­rio ve­ri­fi­ca­re che il server di posta mittente (il cui indirizzo IP compare nell’header dell’e-mail) lavori su incarico ufficiale del mittente indicato.

La soluzione: SPF (Sender Policy Framework)

SPF è l’acronimo di “Sender Policy Framework”. Questo metodo permette ai server di posta di ve­ri­fi­ca­re se un’e-mail in entrata proviene realmente dal server host di­chia­ra­to. Il controllo SPF viene eseguito in back­ground in modo au­to­ma­ti­co, senza che l’utente finale se ne accorga.

Sem­pli­fi­can­do, SPF sta­bi­li­sce quali server di posta possono inviare messaggi per conto delle e-mail di dominio. A questo riguardo, i server di posta vengono iden­ti­fi­ca­ti sulla base del loro nome o del loro indirizzo IP.

Ad esempio, un’e-mail del mittente maria.rossi@gmx.com può essere inviata soltanto at­tra­ver­so uno dei seguenti indirizzi IP: 213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207.0. Nel record SPF del dominio gmx.com sono quindi elencati questi indirizzi IP. A questo punto, il server di posta ricevente può ve­ri­fi­ca­re se l’indirizzo IP che legge nell’header dell’e-mail compare o meno in questo elenco.

L’elenco dei server di posta au­to­riz­za­ti è me­mo­riz­za­to sul server dei nomi (DNS) del dominio mittente (nel nostro esempio gmx.com), da dove può essere ri­chia­ma­to da qualunque server di posta ricevente.

E-mail pro­fes­sio­na­le
La tua e-mail con il provider made in Germany n°1 in Europa
  • Dominio in linea con la tua e-mail
  • Tec­no­lo­gia made in Germany
  • Nuove fun­zio­na­li­tà IA

Cos’è il record SPF?

Il record SPF viene inserito come record DNS nella zona del DNS (server dei nomi) di com­pe­ten­za del dominio, nello specifico sotto forma di record TXT. Il record contiene un elenco degli indirizzi IP dai quali possono essere inviate e-mail di questo dominio. Sono inoltre presenti altri record, ad esempio per il server di filtro e-mail sopra men­zio­na­to at­tra­ver­so il quale l’e-mail deve passare prima di essere inoltrata al de­sti­na­ta­rio. Queste “stazioni in­ter­me­die” sono spesso inserite con l’istru­zio­ne include. Di seguito il­lu­stria­mo i più comuni parametri del record SPF:

Codice Si­gni­fi­ca­to
v Versione del record; v=SPF1 indica la versione at­tual­men­te valida.
ip4 Indirizzo IP; “IP4” è la de­no­mi­na­zio­ne della nota forma di indirizzo IP. Oltre a questa, esistono i nuovi indirizzi IP6 che però sono ancora poco diffusi.
-all Tutti gli altri mittenti non indicati qui non sono au­to­riz­za­ti e devono essere rifiutati.
include Indica altri domini il cui record SPF deve essere ri­chia­ma­to.

Oltre al codice -all sopra indicato, esiste anche la versione con la tilde: ~all. Questa indica che tutti gli altri mittenti non sono au­to­riz­za­ti, ma devono tuttavia essere accettati. Questa di­chia­ra­zio­ne “soft fail” è stata ini­zial­men­te in­tro­dot­ta per finalità di test, ma oggi è uti­liz­za­ta da diversi provider di hosting.

Esempio: Il record SPF di gmx.com

Immagine: Screenshot di un record SPF
Esempio di record SPF sulla base del dominio gmx.com.
Consiglio

Utilizzi le caselle di posta elet­tro­ni­ca IONOS e desideri creare un record SPF per il tuo dominio? Il Centro as­si­sten­za di IONOS ti spiega come creare un record SPF con IONOS.

Ve­ri­fi­ca­re il record SPF

Il modo più semplice per con­trol­la­re se la tua e-mail viene ef­fet­ti­va­men­te ve­ri­fi­ca­ta con un record SPF è uti­liz­za­re lo strumento di mxtoolbox:

  1. Invia un’e-mail a ping.tools.mxtoolbox.com.
  2. Dopo un breve lasso di tempo, riceverai un’e-mail di risposta da abuse@mxtoolbox.com.
  3. Questa e-mail ti fornisce un primo feedback e un link ai risultati det­ta­glia­ti.

Tieni presente che possono essere ne­ces­sa­rie fino a 24 ore prima che un record SPF diventi attivo. Se il controllo del record SPF segnala un errore, ripeti il test il giorno suc­ces­si­vo.

Puoi ve­ri­fi­ca­re il record SPF anche di­ret­ta­men­te nell’e-mail inviata:

  1. Inviati un’e-mail.
  2. Apri l’e-mail e guarda l’header dell’e-mail (riga di in­te­sta­zio­ne) o il codice sorgente. A seconda del client e-mail, puoi farlo at­tra­ver­so il menu “Vi­sua­liz­za­zio­ne” oppure il menu di scelta rapida (tasto destro del mouse).
  3. Il record SPF è con­tras­se­gna­to con “Received-SPF”.
Consiglio

Se non disponi ancora di un server di posta elet­tro­ni­ca, puoi ospitare il tuo server di posta elet­tro­ni­ca con IONOS. Grazie ai più elevati standard di sicurezza e al cer­ti­fi­ca­to SSL, le tue e-mail sono sempre protette da accessi non au­to­riz­za­ti.

Cosa offre un record SPF? Vantaggi e svantaggi

Per motivi di sicurezza, oggi il record SPF è sempre più richiesto come requisito ob­bli­ga­to­rio da un numero crescente di provider di servizi internet. Questo significa che il server di posta ricevente non consegna all’utente finale le e-mail che non di­spon­go­no della ne­ces­sa­ria au­to­riz­za­zio­ne, oppure le consegna con un av­ver­ti­men­to (“e-mail non sicura”).

Il prin­ci­pa­le vantaggio del record SPF è co­sti­tui­to dalla facilità di im­ple­men­ta­zio­ne: è suf­fi­cien­te un sem­pli­cis­si­mo record TXT. Nella maggior parte dei casi, questo può essere generato au­to­ma­ti­ca­men­te dal provider del servizio.

Per quanto il record SPF sia im­por­tan­te, la sua efficacia come pro­te­zio­ne non deve essere so­prav­va­lu­ta­ta.

  • SPF non protegge dallo spoofing. No­no­stan­te SPF, un truf­fa­to­re può comunque riuscire a far vi­sua­liz­za­re nell’e-mail un nome mittente falso.
  • SPF non migliora la re­pu­ta­zio­ne del mittente. Anche uno spammer può uti­liz­za­re SPF.
  • SPF non protegge da un mittente di posta non au­to­riz­za­to. Se qualcuno invia messaggi dal tuo server di posta senza esserne stato au­to­riz­za­to, SPF non in­ter­vie­ne.

So­li­ta­men­te, il record SPF si utilizza insieme ad altri mec­ca­ni­smi di sicurezza, in par­ti­co­la­re insieme a DKIM e DMARC.

Vai al menu prin­ci­pa­le