Capire e utilizzare il record SPF

Per verificare se un’e-mail provenga effettivamente dal mittente dichiarato, si può utilizzare il Sender Policy Framework (SPF), con il quale i server di posta verificano l’autenticità degli indirizzi dei mittenti. Questa verifica si basa sul record SPF. Ma come funziona esattamente?

Il problema: il mittente è “autentico”?

In teoria verificare le e-mail in entrata è semplice: il server di posta ricevente, infatti, conosce il dominio del mittente. Ad esempio, se riceve un’e-mail da maria.rossi@gmx.com, il destinatario può risalire all’indirizzo IP di gmx.com. Questo corrisponde a 213.165.64.8, un’informazione contenuta nell’header dell’e-mail, così come l’indirizzo IP del mittente.

Tuttavia, nessuna grande azienda utilizza un unico server di posta, ma ne vengono impiegati sempre molti. Inoltre, molti dei maggiori provider si avvalgono di server di filtro e-mail (come mailchannels.com) per impedire l’invio di e-mail di spam attraverso i propri sistemi. In questo caso, al destinatario compare l’indirizzo IP del server di filtro e-mail e non quello del mittente vero e proprio. Serve quindi un metodo che permetta al destinatario di sapere quali indirizzi IP sono associati al mittente “autentico”. In altre parole, è necessario verificare che il server di posta mittente (il cui indirizzo IP compare nell’header dell’e-mail) lavori su incarico ufficiale del mittente indicato.

La soluzione: SPF (Sender Policy Framework)

SPF è l’acronimo di “Sender Policy Framework”. Questo metodo permette ai server di posta di verificare se un’e-mail in entrata proviene realmente dal server host dichiarato. Il controllo SPF viene eseguito in background in modo automatico, senza che l’utente finale se ne accorga.

Semplificando, SPF stabilisce quali server di posta possono inviare messaggi per conto delle e-mail di dominio. A questo riguardo, i server di posta vengono identificati sulla base del loro nome o del loro indirizzo IP.

Ad esempio, un’e-mail del mittente maria.rossi@gmx.com può essere inviata soltanto attraverso uno dei seguenti indirizzi IP: 213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207.0. Nel record SPF del dominio gmx.com sono quindi elencati questi indirizzi IP. A questo punto, il server di posta ricevente può verificare se l’indirizzo IP che legge nell’header dell’e-mail compare o meno in questo elenco.

L’elenco dei server di posta autorizzati è memorizzato sul server dei nomi (DNS) del dominio mittente (nel nostro esempio gmx.com), da dove può essere richiamato da qualunque server di posta ricevente.

E-mail professionale
Ottieni il massimo dalle tue e-mail
  • Utilizza al meglio le tue e-mail grazie all'IA (opzionale)
  • Indirizzo di posta elettronica personalizzato
  • Dominio incluso
  • E-mail sicura con protezione antivirus e antispam

Cos’è il record SPF?

Il record SPF viene inserito come record DNS nella zona del DNS (server dei nomi) di competenza del dominio, nello specifico sotto forma di record TXT. Il record contiene un elenco degli indirizzi IP dai quali possono essere inviate e-mail di questo dominio. Sono inoltre presenti altri record, ad esempio per il server di filtro e-mail sopra menzionato attraverso il quale l’e-mail deve passare prima di essere inoltrata al destinatario. Queste “stazioni intermedie” sono spesso inserite con l’istruzione include. Di seguito illustriamo i più comuni parametri del record SPF:

Codice Significato
v Versione del record; v=SPF1 indica la versione attualmente valida.
ip4 Indirizzo IP; “IP4” è la denominazione della nota forma di indirizzo IP. Oltre a questa, esistono i nuovi indirizzi IP6 che però sono ancora poco diffusi.
-all Tutti gli altri mittenti non indicati qui non sono autorizzati e devono essere rifiutati.
include Indica altri domini il cui record SPF deve essere richiamato.

Oltre al codice -all sopra indicato, esiste anche la versione con la tilde: ~all. Questa indica che tutti gli altri mittenti non sono autorizzati, ma devono tuttavia essere accettati. Questa dichiarazione “soft fail” è stata inizialmente introdotta per finalità di test, ma oggi è utilizzata da diversi provider di hosting.

Esempio: Il record SPF di gmx.com

Screenshot di un record SPF
Esempio di record SPF sulla base del dominio gmx.com.
Consiglio

Utilizzi le caselle di posta elettronica IONOS e desideri creare un record SPF per il tuo dominio? Il Centro assistenza di IONOS ti spiega come creare un record SPF con IONOS.

Verificare il record SPF

Il modo più semplice per controllare se la tua e-mail viene effettivamente verificata con un record SPF è utilizzare lo strumento di mxtoolbox:

  1. Invia un’e-mail a ping.tools.mxtoolbox.com.
  2. Dopo un breve lasso di tempo, riceverai un’e-mail di risposta da abuse@mxtoolbox.com.
  3. Questa e-mail ti fornisce un primo feedback e un link ai risultati dettagliati.

Tieni presente che possono essere necessarie fino a 24 ore prima che un record SPF diventi attivo. Se il controllo del record SPF segnala un errore, ripeti il test il giorno successivo.

Puoi verificare il record SPF anche direttamente nell’e-mail inviata:

  1. Inviati un’e-mail.
  2. Apri l’e-mail e guarda l’header dell’e-mail (riga di intestazione) o il codice sorgente. A seconda del client e-mail, puoi farlo attraverso il menu “Visualizzazione” oppure il menu di scelta rapida (tasto destro del mouse).
  3. Il record SPF è contrassegnato con “Received-SPF”.
Consiglio

Se non disponi ancora di un server di posta elettronica, puoi ospitare il tuo server di posta elettronica con IONOS. Grazie ai più elevati standard di sicurezza e al certificato SSL, le tue e-mail sono sempre protette da accessi non autorizzati.

Cosa offre un record SPF? Vantaggi e svantaggi

Per motivi di sicurezza, oggi il record SPF è sempre più richiesto come requisito obbligatorio da un numero crescente di provider di servizi internet. Questo significa che il server di posta ricevente non consegna all’utente finale le e-mail che non dispongono della necessaria autorizzazione, oppure le consegna con un avvertimento (“e-mail non sicura”).

Il principale vantaggio del record SPF è costituito dalla facilità di implementazione: è sufficiente un semplicissimo record TXT. Nella maggior parte dei casi, questo può essere generato automaticamente dal provider del servizio.

Per quanto il record SPF sia importante, la sua efficacia come protezione non deve essere sopravvalutata.

  • SPF non protegge dallo spoofing. Nonostante SPF, un truffatore può comunque riuscire a far visualizzare nell’e-mail un nome mittente falso.
  • SPF non migliora la reputazione del mittente. Anche uno spammer può utilizzare SPF.
  • SPF non protegge da un mittente di posta non autorizzato. Se qualcuno invia messaggi dal tuo server di posta senza esserne stato autorizzato, SPF non interviene.

Solitamente, il record SPF si utilizza insieme ad altri meccanismi di sicurezza, in particolare insieme a DKIM e DMARC.

Hai trovato questo articolo utile?
Per offrirti una migliore esperienza di navigazione online questo sito web usa dei cookie, propri e di terze parti. Continuando a navigare sul sito acconsenti all’utilizzo dei cookie. Scopri di più sull’uso dei cookie e sulla possibilità di modificarne le impostazioni o negare il consenso.