Un record SPF definisce i server di posta e i domini che sono autorizzati a inviare email per conto di un dominio, oltre a comunicare ai server di destinazione le operazioni da eseguire sui messaggi dopo che sono stati controllati.
I SPF sono un tipo di record DNS TXT comunemente utilizzato per l’autenticazione e-mail, e includono un elenco di indirizzi IP e domini autorizzati a inviare e-mail da quel dominio.
(Sender Policy Framework) è un tipo di record DNS TXT che elenca tutti i server autorizzati a inviare e-mail da un dominio specifico. Un record DNS TXT (“text”) consente a un amministratore di dominio di immettere testo arbitrario nel Domain Name System (DNS). I record TXT sono stati inizialmente creati allo scopo di includere avvisi importanti riguardanti il dominio, ma da allora si sono evoluti per servire altri scopi.
Sono stati creati originariamente perché il protocollo standard utilizzato per la posta elettronica, il Simple Mail Transfer Protocol ( SMTP ), non autentica in modo intrinseco l’indirizzo “da” in un’e-mail. Ciò significa che senza SPF o altri record di autenticazione, un aggressore può facilmente impersonare un mittente e indurre il destinatario a compiere un’azione o a condividere informazioni che altrimenti non farebbe.
Pensa ai record SPF come a una lista di ospiti gestita da un addetto alla porta. Se qualcuno non è nella lista, l’addetto alla porta non lo farà entrare. Allo stesso modo, se non ha un indirizzo IP o un dominio del mittente nella sua lista, il server ricevente (addetto alla porta) non consegnerà quelle email o le contrassegnerà come spam.
I record SPF sono solo uno dei tanti meccanismi basati su DNS che possono aiutare i server di posta elettronica a confermare se un’e-mail proviene da una fonte attendibile. Domain-based Message Authentication Reporting and Conformance ( DMARC ) e Domain Keys Identified Mail ( DKIM ) sono altri due meccanismi utilizzati per l’autenticazione e-mail.
In che modo un server di posta controlla un record?
I server di posta seguono un processo relativamente semplice quando controllano un record:
Server One invia un’e-mail. Il suo indirizzo IP è 192.10.2.0 e il return-path utilizzato dall’e-mail è email@returnpath.com. (Un indirizzo return-path è diverso dall’indirizzo “from” e viene utilizzato specificamente per raccogliere ed elaborare i messaggi respinti.)
Il server di posta che riceve il messaggio (Server Due) prende il dominio del percorso di ritorno e cerca il suo record.
Se il Server Due trova un rec-SPF per il dominio del return-path , cerca nel rec-SPF l’indirizzo IP del Server Uno nel suo elenco di mittenti autorizzati. Se l’indirizzo IP è elencato nel rec-SPF, il controllo SPF passa e l’email verrà inoltrata. Se l’indirizzo IP non è elencato nel rec-SPF, il controllo SPF fallisce. In questo caso, l’email verrà rifiutata o contrassegnata come spam.
Che aspetto ha un record-SPF?
I SPF devono seguire determinati standard affinché il server capisca come interpretarne il contenuto. Ecco un esempio dei componenti principali di un record:
”v=spf1 ip4:192.10.2.0 ip4:192.10.2.1” include: ”examplesender.email -all”
Questo esempio consente al server di sapere di che tipo di record si tratta, indica gli indirizzi IP approvati e una terza parte per questo dominio e comunica al server cosa fare con le email non conformi. Analizziamo in dettaglio come i singoli componenti realizzano questo:
”v=spf1” indica al server che contiene un record. Ogni record SPF deve iniziare con questa stringa.
Poi arriva la parte -guest list- del record o l’elenco degli indirizzi IP autorizzati. In questo esempio, il record dice al server che ”ip4: 192.10.2.0e ip4: 192.10.2.1” sono autorizzati a inviare email per conto del dominio.
include: examplesender.net è un esempio del tag include, che indica al server quali organizzazioni terze sono autorizzate a inviare email per conto del dominio. Questo tag segnala che il contenuto del record per il dominio incluso (examplesender.com) deve essere controllato e che anche gli indirizzi IP in esso contenuti devono essere considerati autorizzati. È possibile includere più domini in un record, ma questo tag funzionerà solo per domini validi.
Infine, -all comunica al server che gli indirizzi non elencati nel record non sono autorizzati a inviare e-mail e devono essere rifiutati.
Le opzioni alternative includono ~all, che stabilisce che le email non elencate verranno contrassegnate come non sicure o spam ma verranno comunque accettate e, meno comunemente, +all, che significa che qualsiasi server può inviare email per conto del tuo dominio.
Mentre l’esempio utilizzato in questo articolo è abbastanza semplice, i record SPF possono certamente essere più complessi. Ecco solo alcune cose da tenere a mente per garantire che i record SPF siano validi:
Non può esserci più di un record SPF associato a un dominio.
Il record deve terminare con il all componente o includere un redirect=componente (che indica che il record SPF è ospitato da un altro dominio).
Un record SPF non può contenere caratteri maiuscoli.
Per maggiori informazioni, consulta la documentazione ufficiale del record SPF.
Qual è lo scopo dei record SPF?
Esistono molte ragioni per cui gli operatori di dominio utilizzano i record SPF:
Prevenzione degli attacchi: se le email non sono autenticate, le aziende e i destinatari delle email sono a rischio di attacchi di phishing , email di spam e spoofing delle email. Con i record SPF, è più difficile per gli aggressori imitare un dominio, riducendo la probabilità di questi attacchi.
Migliorare la recapitabilità delle email: i domini senza un record SPF pubblicato potrebbero vedere le proprie email rimbalzare o essere contrassegnate come spam. Nel tempo, le email rimbalzate o contrassegnate come spam possono danneggiare la capacità di un dominio di raggiungere le caselle di posta del pubblico, compromettendo gli sforzi per comunicare con clienti, dipendenti e altre entità.
Conformità DMARC: DMARC è un sistema di convalida e-mail che aiuta a garantire che le e-mail vengano inviate solo da utenti autorizzati. Le policy DMARC stabiliscono cosa devono fare i server con le e-mail che non superano i controlli SPF e DKIM. In base alle istruzioni della policy DMARC, tali e-mail verranno contrassegnate come spam, rifiutate o recapitate normalmente. Gli amministratori di dominio ricevono report sulle loro attività e-mail che li aiutano ad apportare modifiche alla loro policy.
