Capire e utilizzare il record SPF
Per verificare se un’e-mail provenga effettivamente dal mittente dichiarato, si può utilizzare il Sender Policy Framework (SPF), con il quale i server di posta verificano l’autenticità degli indirizzi dei mittenti. Questa verifica si basa sul record SPF. Ma come funziona esattamente?
Il problema: il mittente è “autentico”?
In teoria verificare le e-mail in entrata è semplice: il server di posta ricevente, infatti, conosce il dominio del mittente. Ad esempio, se riceve un’e-mail da maria.rossi@gmx.com, il destinatario può risalire all’indirizzo IP di gmx.com. Questo corrisponde a 213.165.64.8, un’informazione contenuta nell’header dell’e-mail, così come l’indirizzo IP del mittente.
Tuttavia, nessuna grande azienda utilizza un unico server di posta, ma ne vengono impiegati sempre molti. Inoltre, molti dei maggiori provider si avvalgono di server di filtro e-mail (come mailchannels.com) per impedire l’invio di e-mail di spam attraverso i propri sistemi. In questo caso, al destinatario compare l’indirizzo IP del server di filtro e-mail e non quello del mittente vero e proprio.
Serve quindi un metodo che permetta al destinatario di sapere quali indirizzi IP sono associati al mittente “autentico”. In altre parole, è necessario verificare che il server di posta mittente (il cui indirizzo IP compare nell’header dell’e-mail) lavori su incarico ufficiale del mittente indicato.
La soluzione: SPF (Sender Policy Framework)
SPF è l’acronimo di “Sender Policy Framework”. Questo metodo permette ai server di posta di verificare se un’e-mail in entrata proviene realmente dal server host dichiarato. Il controllo SPF viene eseguito in background in modo automatico, senza che l’utente finale se ne accorga.
Semplificando, SPF stabilisce quali server di posta possono inviare messaggi per conto delle e-mail di dominio. A questo riguardo, i server di posta vengono identificati sulla base del loro nome o del loro indirizzo IP.
Ad esempio, un’e-mail del mittente maria.rossi@gmx.compuò essere inviata soltanto attraverso uno dei seguenti indirizzi IP: 213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207.0. Nel record SPF del dominio gmx.comsono quindi elencati questi indirizzi IP. A questo punto, il server di posta ricevente può verificare se l’indirizzo IP che legge nell’header dell’e-mail compare o meno in questo elenco.
L’elenco dei server di posta autorizzati è memorizzato sul server dei nomi (DNS) del dominio mittente (nel nostro esempio gmx.com), da dove può essere richiamato da qualunque server di posta ricevente.
Indirizzo e-mail professionale e dominio individuale
Scegli un indirizzo e-mail personalizzato e un nome per il dominio che rappresentino al meglio la tua azienda.
Cos’è il record SPF?
Il record SPF viene inserito come record DNS nella zona del DNS (server dei nomi) di competenza del dominio, nello specifico sotto forma di record TXT. Il record contiene un elenco degli indirizzi IP dai quali possono essere inviate e-mail di questo dominio. Sono inoltre presenti altri record, ad esempio per il server di filtro e-mail sopra menzionato attraverso il quale l’e-mail deve passare prima di essere inoltrata al destinatario. Queste “stazioni intermedie” sono spesso inserite con l’istruzione include. Di seguito illustriamo i più comuni parametri del record SPF:
| Codice | Significato |
|---|---|
| v | Versione del record; v=SPF1 indica la versione attualmente valida. |
| ip4 | Indirizzo IP; “IP4” è la denominazione della nota forma di indirizzo IP. Oltre a questa, esistono i nuovi indirizzi IP6 che però sono ancora poco diffusi. |
| -all | Tutti gli altri mittenti non indicati qui non sono autorizzati e devono essere rifiutati. |
| include | Indica altri domini il cui record SPF deve essere richiamato. |
Oltre al codice -all sopra indicato, esiste anche la versione con la tilde: ~all. Questa indica che tutti gli altri mittenti non sono autorizzati, ma devono tuttavia essere accettati. Questa dichiarazione “soft fail” è stata inizialmente introdotta per finalità di test, ma oggi è utilizzata da diversi provider di hosting.
Esempio: Il record SPF di gmx.com
Utilizzi le caselle di posta elettronica IONOS e desideri creare un record SPF per il tuo dominio? Il Centro assistenza di IONOS ti spiega come creare un record SPF con IONOS.
Verificare il record SPF
Il modo più semplice per controllare se la tua e-mail viene effettivamente verificata con un record SPF è utilizzare lo strumento di mxtoolbox:
- Invia un’e-mail a
ping.tools.mxtoolbox.com. - Dopo un breve lasso di tempo, riceverai un’e-mail di risposta da
abuse@mxtoolbox.com. - Questa e-mail ti fornisce un primo feedback e un link ai risultati dettagliati.
Tieni presente che possono essere necessarie fino a 24 ore prima che un record SPF diventi attivo. Se il controllo del record SPF segnala un errore, ripeti il test il giorno successivo.
Puoi verificare il record SPF anche direttamente nell’e-mail inviata:
- Inviati un’e-mail.
- Apri l’e-mail e guarda l’header dell’e-mail (riga di intestazione) o il codice sorgente. A seconda del client e-mail, puoi farlo attraverso il menu “Visualizzazione” oppure il menu di scelta rapida (tasto destro del mouse).
- Il record SPF è contrassegnato con “Received-SPF”.
Se non disponi ancora di un server di posta elettronica, puoi ospitare il tuo server di posta elettronica con IONOS. Grazie ai più elevati standard di sicurezza e al certificato SSL, le tue e-mail sono sempre protette da accessi non autorizzati.
Cosa offre un record SPF? Vantaggi e svantaggi
Per motivi di sicurezza, oggi il record SPF è sempre più richiesto come requisito obbligatorio da un numero crescente di provider di servizi internet. Questo significa che il server di posta ricevente non consegna all’utente finale le e-mail che non dispongono della necessaria autorizzazione, oppure le consegna con un avvertimento (“e-mail non sicura”).
Il principale vantaggio del record SPF è costituito dalla facilità di implementazione: è sufficiente un semplicissimo record TXT. Nella maggior parte dei casi, questo può essere generato automaticamente dal provider del servizio.
Per quanto il record SPF sia importante, la sua efficacia come protezione non deve essere sopravvalutata.
- SPF non protegge dallo spoofing. Nonostante SPF, un truffatore può comunque riuscire a far visualizzare nell’e-mail un nome mittente falso.
- SPF non migliora la reputazione del mittente. Anche uno spammer può utilizzare SPF.
- SPF non protegge da un mittente di posta non autorizzato. Se qualcuno invia messaggi dal tuo server di posta senza esserne stato autorizzato, SPF non interviene.
Solitamente, il record SPF si utilizza insieme ad altri meccanismi di sicurezza, in particolare insieme a DKIM e DMARC.
Articoli simili
isak55Shutterstock Record A: spiegazione ed esempio
Il Domain Name System consente a ogni utente di navigare facilmente in Internet. Un elemento indispensabile sono i record A che associano un nome di dominio a un indirizzo IP individuale e questo con una sola riga di testo. Ma come si presenta un record di questo tipo e come si può eseguire il check di un record A?
I record DNS: come funzionano
Internet come lo conosciamo oggi sarebbe impossibile senza il Domain Name System. Il sistema di risoluzione dei nomi, a sua volta, si basa sui record DNS, che hanno una struttura molto semplice, sono inseriti in un file di testo e garantiscono che a ogni indirizzo IP venga associato un nome. Ma non è tutto: esistono diversi tipi di record DNS, conosciuti anche come record di risorse.
Cosa sono i record MX
Il Domain Name System offre funzioni che rendono possibile la comunicazione su Internet. Il record MX viene utilizzato per identificare il server di posta elettronica. Per determinare dove inviare un'e-mail, il server di posta elettronica esegue un check dei record MX. Questo significa che chiede l'indirizzo concreto. Per illustrare il principio e spiegarvi cosa sono i record MX, utilizziamo un…
Cos’è il greylisting?
Il greylisting è un metodo efficace per ridurre l’invio globale di spam via e-mail. Agisce di nascosto e perciò molti utenti non sono neppure a conoscenza del fatto che la propria casella di posta elettronica sia effettivamente protetta dal greylisting. Nel nostro articolo vi spieghiamo come funziona questo processo sul piano tecnico.
