Capire e utilizzare il record SPF

Avete ricevuto un’e-mail da un mittente di cui vi fidate e che sembra essere autentica. Eppure qualcosa non vi torna. Può essere che l’indirizzo del mittente sia stato falsificato? In fin dei conti si sa che i truffatori inviano allegati infettati con trojan a nome di note aziende, approfittando così della fiducia del destinatario. Questa pratica fraudolenta prende il nome di “spoofing”.

Fortunatamente è possibile verificare se l’e-mail in questione provenga effettivamente dal mittente dichiarato. Una soluzione molto utilizzata è il Sender Policy Framework (SPF), con il quale i server di posta verificano l’autenticità degli indirizzi dei mittenti. Questa verifica si basa sul record SPF. Ma come funziona esattamente?

Il problema: il mittente è “autentico”?

In teoria verificare le e-mail in entrata è semplice: il server di posta ricevente, infatti, conosce il dominio del mittente. Ad esempio, se riceve un’e-mail da maria.rossi@gmx.com, il destinatario può risalire all’indirizzo IP di gmx.com. Questo corrisponde a 213.165.64.8, un’informazione contenuta nell’header dell’e-mail, così come l’indirizzo IP del mittente.

Tuttavia, nessuna grande azienda utilizza un unico server di posta. Inoltre, molti dei maggiori provider si avvalgono di server di filtro e-mail (come mailchannels.com) per impedire l'invio di e-mail di spam attraverso i propri sistemi. In questo caso, al destinatario compare l’indirizzo IP del server di filtro e-mail e non quello del mittente vero e proprio.

La soluzione: SPF (Sender Policy Framework)

SPF è l’acronimo di “Sender Policy Framework”. Questo metodo permette ai server di posta di verificare se un’e-mail in entrata proviene realmente dal server host dichiarato. Il controllo SPF viene eseguito in background in modo automatico, senza che l’utente finale se ne accorga.

Semplificando, SPF stabilisce quali server di posta possono inviare messaggi per conto delle e-mail di dominio. A questo riguardo, i server di posta vengono identificati sulla base del loro nome o del loro indirizzo IP.

Ad esempio, un’e-mail del mittente maria.rossi@gmx.com può essere inviata soltanto attraverso uno dei seguenti indirizzi IP: 213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207.0. Nel record SPF del dominio mail.it sono quindi elencati questi indirizzi IP. A questo punto, il server di posta ricevente può verificare se l’indirizzo IP che legge nell’header dell’e-mail compare o meno in questo elenco.

L’elenco dei server di posta autorizzati è memorizzato sul server dei nomi (DNS) del dominio mittente (nel nostro esempio gmx.com), da dove può essere richiamato da qualunque server di posta ricevente.

Il record SPF

Il record SPF viene inserito come record DNS nella zona del DNS (server dei nomi) di competenza del dominio, nello specifico sotto forma di record TXT. Il record contiene un elenco degli indirizzi IP dai quali possono essere inviate e-mail di questo dominio. Sono inoltre presenti altri record, ad esempio per il server di filtro e-mail sopra menzionato attraverso il quale l’e-mail deve passare prima di essere inoltrata al destinatario. Queste “stazioni intermedie” sono spesso inserite con l’istruzione include. Di seguito illustriamo i più comuni parametri del record SPF:

Codice Significato
v Versione del record; v=SPF1 indica la versione attualmente valida.
ip4 Indirizzo IP; “IP4” è la denominazione della nota forma di indirizzo IP. Oltre a questa, esistono i nuovi indirizzi IP6 che però sono ancora poco diffusi.
-all Tutti gli altri mittenti non indicati qui non sono autorizzati e devono essere rifiutati.
include Indica altri domini il cui record SPF deve essere richiamato.

Oltre al codice -all sopra indicato, esiste anche la versione con la tilde: ~all. Questa indica che tutti gli altri mittenti non sono autorizzati, ma devono tuttavia essere accettati. Questa dichiarazione “soft fail” è stata inizialmente introdotta per finalità di test, ma oggi è utilizzata da diversi provider di hosting.

Esempio: Il record SPF di gmx.com

Consiglio

I record SPF di un dominio possono essere ad esempio letti con il tool di EasyDMARC.

Generalmente, l’utente non deve occuparsi di scrivere e inserire autonomamente il record SPF. I provider di hosting e-mail validi offrono strumenti appositi a tale scopo. Scoprite nella nostra sezione di Aiuto come creare un record SPF con IONOS.

Verificare il record SPF

Il modo più semplice per controllare se la vostra e-mail viene effettivamente verificata con un record SPF è utilizzare il tool di mxtoolbox:

  1. Inviate un’e-mail a ping.tools.mxtoolbox.com.
  2. Dopo un breve lasso di tempo, riceverete un'e-mail di risposta da abuse@mxtoolbox.com.
  3. Questa e-mail vi fornisce un primo feedback e un link ai risultati dettagliati.

Tenete presente che possono essere necessarie fino a 24 ore prima che un record SPF diventi attivo. Se il controllo del record SPF segnala un errore, ripetete il test il giorno successivo.

Potete verificare il record SPF anche direttamente nell’e-mail inviata:

  1. Inviate un’e-mail a voi stessi.
  2. Aprite l’e-mail e guardate l’header dell’e-mail (riga di intestazione) o il testo sorgente. A seconda del client e-mail, potete farlo attraverso il menu “Visualizzazione” oppure il menu di scelta rapida (tasto destro del mouse).
  3. Il record SPF è contrassegnato con “Received-SPF”.
Consiglio

Copiando la riga d’intestazione in un tool come Headline Analyzer è possibile ottenere informazioni chiare e dettagliate.

Cosa offre un record SPF? Vantaggi e svantaggi

Per motivi di sicurezza, oggi il record SPF è sempre più richiesto come requisito obbligatorio da un numero crescente di provider di servizi Internet. Questo significa che il server di posta ricevente non consegna all’utente finale le e-mail che non dispongono della necessaria autorizzazione, oppure le consegna con un avvertimento (“e-mail non sicura”).

Il principale vantaggio del record SPF è costituito dalla facilità di implementazione: è sufficiente un semplicissimo record TXT. Nella maggior parte dei casi, questo può essere generato automaticamente dal provider del servizio.

Per quanto il record SPF sia importante, la sua efficacia come protezione non deve essere sopravvalutata.

  • SPF non protegge dallo spoofing. Nonostante SPF, un truffatore può comunque riuscire a far visualizzare nell’e-mail un nome mittente falso.
  • SPF non migliora la reputazione del mittente. Anche uno spammer può utilizzare SPF.
  • SPF non protegge da un mittente di posta non autorizzato. Se qualcuno invia messaggi dal vostro server di posta senza esserne stato autorizzato, SPF non interviene.

Solitamente, il record SPF si utilizza insieme ad altri meccanismi di sicurezza, in particolare insieme a DKIM e DMARC.


Abbiamo una proposta per te:
Web hosting a partire da 1 €/mese!

Dominio gratis
Certificato SSL Wildcard incluso
Assistenza clienti 24/7
A partire da 1 €/mese IVA escl. per un anno,
poi 8 €/ mese IVA escl.