L'e-mail è uno strumento essenziale per le aziende e la maggior parte di noi vi fa affidamento quotidianamente per comunicare. Tuttavia, con l'aumento del numero di utenti di e-mail, è cresciuto anche il problema dello spam, dello spoofing, del phishing, del whaling e delle frodi via e-mail. Questi tipi di attacchi possono causare danni significativi, tra cui perdita di reputazione, perdite finanziarie e violazione dei dati. Per prevenire questi attacchi, le aziende devono adottare misure proattive per proteggere i propri sistemi di posta elettronica. Uno dei modi per farlo è configurare un SPF.
I principali provider di posta elettronica, come Yahoo Mail e Google Workspace, raccomandano protocolli di autenticazione delle e-mail come Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication, Reporting, and Conformance (DMARC) per proteggere i destinatari delle e-mail da potenziali frodi.
I punti chiave da prendere in considerazione
- I protocolli di autenticazione delle e-mail, come SPF, sono strumenti essenziali per prevenire spoofing, phishing e frodi.
- L'impostazione di un record SPF valido comporta l'indicazione di tutti i server e-mail autorizzati (comprese le terze parti) tramite un singolo record DNS TXT per dominio.
- L'aggiornamento regolare dei record SPF e il rispetto del limite di 10 ricerche DNS (evitando meccanismi scoraggiati come "ptr") sono fondamentali per la manutenzione e la deliverability.
- Il test del record SPF consente di verificare la corretta configurazione e funzionalità.
- L'SPF fornisce una protezione fondamentale, ma funziona meglio con DKIM e DMARC per una sicurezza e una conformità complete delle e-mail.
SPF nella sicurezza delle e-mail - Spiegazione
Che cos'è l'SPF? SPF è l'acronimo di Sender Policy Framework. È un protocollo di autenticazione delle e-mail che consente di specificare quali server sono autorizzati a inviare e-mail al proprio dominio. SPF funziona aggiungendo un record DNS TXT al file di zona DNS del vostro dominio, che elenca gli indirizzi IP o i nomi di host autorizzati a inviare e-mail da quello specifico nome di dominio. Questo record viene consultato dai server di posta elettronica riceventi per verificare l'autenticità di un'e-mail; indica agli altri server di posta elettronica che qualsiasi e-mail inviata dal vostro dominio che non proviene da indirizzi IP autorizzati deve essere gestita in base alla politica specificata (ad esempio, rifiutata o contrassegnata come sospetta).
L'impostazione di un record SPF valido è essenziale per impedire agli utenti non autorizzati di inviare e-mail utilizzando il vostro nome di dominio. Ad esempio, gli spammer o gli aggressori potrebbero utilizzare il vostro nome di dominio per inviare e-mail di spam o phishing. e-mail di phishinglanciare campagne di whaling o commettere altre frodi, il che può danneggiare la reputazione del vostro marchio, far sì che le vostre e-mail legittime vengano bloccate o rifiutate da altri server e compromettere la sicurezza dei vostri clienti e dipendenti.
Semplificate la configurazione dell'SPF con PowerDMARC!
Componenti SPF
I componenti principali di un record SPF nel DNS sono i seguenti:
- Versione (v=spf1):
Specifica la versione SPF, che inizia sempre con v=spf1. - IP4 e IP6 (ip4: / ip6:):
Elenca gli indirizzi IPv4 e IPv6 autorizzati a inviare e-mail per il dominio. - Meccanismi A e MX (a: / mx:):
- a: consente di inviare e-mail da server il cui IP corrisponde al record A del dominio (o a un nome host specifico, se fornito, ad esempio `a:mail.example.com`).
- mx: consente di ricevere e-mail dai server elencati nei record MX (Mail Exchange) del dominio. Questo dovrebbe specificare il dominio (`mx:example.com`), non uno specifico hostname di server di posta.
- Includere il meccanismo (include:):
Permette ai record SPF di altri domini di autorizzare i mittenti, utile quando servizi di terze parti inviano e-mail per conto del vostro dominio. Consultate l'organizzazione di terze parti per confermare il valore corretto del dominio per la dichiarazione include. - Meccanismo PTR (ptr:):
Esegue una ricerca DNS inversa. Tuttavia, RFC7208 sconsiglia l'uso del meccanismo "ptr" a causa di problemi di affidabilità e di prestazioni. In genere si raccomanda di utilizzare invece i meccanismi 'a', 'mx' o 'ip4'/'ip6'. - Tutti i meccanismi (tutti):
Imposta una regola predefinita per i mittenti non soddisfatti dai meccanismi precedenti. Deve essere sempre collocata alla fine del record SPF. Le opzioni sono:- -tutti: Hard fail (rifiuta gli IP non autorizzati). Consigliato per l'applicazione.
- ~Tutti: Soft fail (contrassegna gli IP non autorizzati come sospetti). Spesso usato durante la configurazione iniziale o i test.
- Tutti: Neutro (nessuna azione specifica sugli IP non autorizzati). Offre poca protezione.
- +tutti: Pass (consente tutti gli IP, fortemente sconsigliato perché nega lo scopo dell'SPF).
- Reindirizzare (redirect=):
Punta al record SPF di un altro dominio se si vuole usare la sua politica invece di definire i meccanismi nel record corrente. Sostituisce la necessità di un meccanismo "tutti". - Modificatori:
Regole opzionali per la messa a punto, come `exp=` per le spiegazioni sui fallimenti, anche se meno comuni.
Esempio di SPF
v=spf1 ip4:192.168.1.1 include:_spf.thirdparty.com -all
Questo esempio consente l'invio di e-mail da 192.168.1.1 e include un record SPF di terze parti, rifiutando le email da altri IP con -tutti.
Padroneggiare le impostazioni SPF
Un'impostazione SPF si riferisce alla configurazione del protocollo di autenticazione e-mail SPF nel DNS del proprietario di un dominio. Un'impostazione SPF consente di autorizzare le fonti di invio legittime, assicurando che i server di ricezione possano facilmente distinguere tra un mittente di e-mail autentico e uno che sta semplicemente impersonando un nome di dominio legittimo. È un passo necessario per la convalida delle e-mail, per contribuire alla protezione contro i cyberattacchi basati sulle e-mail.
Come impostare e aggiungere i record SPF
L'impostazione di un record SPF è essenziale non solo per le vostre fonti attive, ma anche per tutti i domini che possedete, compresi quelli non inviati o "parcheggiati", per garantire che siano al sicuro dall'uso di malintenzionati. L'impostazione di un record SPF è un processo semplice che prevede i seguenti passaggi:
Fase 1: determinare i server e-mail e le fonti di invio
Il primo passo consiste nel compilare un elenco completo di tutti i server e servizi autorizzati a inviare e-mail per il vostro dominio. Queste fonti possono includere i vostri server di posta (ad esempio, Microsoft Exchange, web-based come Gmail), qualsiasi provider di servizi di posta elettronica di terze parti (ESP) che utilizzate per le e-mail di marketing o transazionali, e altri servizi come processori di pagamento, piattaforme di e-commerce, CRM, helpdesk o sistemi di supporto/ticketing che inviano e-mail per vostro conto.
Passo 2: Creare un record SPF
Una volta identificate tutte le fonti di invio autorizzate, è possibile creare un record SPF utilizzando uno strumento di generazione di record SPF. strumento di generazione di record SPF o creando manualmente la sintassi. Un record SPF è un record TXT (testo) nella configurazione DNS del vostro dominio. Assicurarsi di creare un solo record SPF per dominio. Una sintassi semplice potrebbe essere la seguente:
v=spf1 ip4:<IP address> include:<third-party domain> -all
In this example, “v=spf1” indicates the SPF version, “ip4:<IP address>” lists an authorized IP, “include:<third-party domain>” incorporates a third-party sender’s policy, and “-all” at the end indicates that emails from sources not listed should be rejected. Double-check for typos, as even small errors like ‘inlcude’ instead of ‘include’ can invalidate the record.
Passo 3: Pubblicare il record SPF
Dopo aver creato il record SPF, è necessario pubblicarlo nel DNS del dominio. Gli amministratori di dominio possono effettuare facilmente gli aggiornamenti DNS richiesti. È possibile farlo accedendo al sito web del proprio provider DNS e aggiungendo un nuovo record TXT con il contenuto del record SPF. Il contenuto effettivo deve iniziare con `v=spf1` e non deve essere racchiuso tra doppi apici all'interno della voce DNS stessa (anche se alcune interfacce DNS possono visualizzarlo con gli apici). In alternativa, potete chiedere al vostro team IT o al provider di hosting di farlo per voi. Tenete presente che le modifiche DNS possono richiedere un certo tempo (fino a 72 ore, anche se spesso molto più velocemente) per propagarsi su Internet.
Passo 4: Testare il record SPF
Una volta pubblicato il record SPF e lasciato il tempo necessario per la propagazione, è essenziale testarlo per assicurarsi che funzioni correttamente e che non superi il limite di 10 ricerche DNS (meccanismi come `include`, `a`, `mx`, `ptr`, `exists` e `redirect` contano per questo limite, comprese le ricerche all'interno di dichiarazioni `include` annidate). È possibile utilizzare i controllori di record SPFcome quello fornito da PowerDMARC o MXToolbox, per verificare il proprio record SPF. Questi strumenti vi diranno se il vostro record SPF è valido, se è formattato correttamente, se rientra nei limiti di ricerca e se funziona come previsto.
5 idee sbagliate sui record SPF
In Internet circolano alcuni miti sui record SPF che possono indurre a prendere decisioni sbagliate. Vediamo di sfatarli uno per uno:
1. L'SPF da solo può prevenire lo spoofing
Questo non è vero. L'impostazione dell'SPF da sola non è in grado di prevenire tutti i tipi di spoofing o impersonificazione, soprattutto per quanto riguarda l'intestazione "Da" che gli utenti vedono. Per fornire una protezione più forte e istruire i destinatari su come gestire i fallimenti, SPF deve essere combinato con DKIM e DMARC (Domain-based Message Authentication, Reporting, and Conformance). Il DMARC consente ai proprietari dei domini di specificare un criterio (come il rifiuto o la quarantena) per le e-mail che non superano i controlli SPF o DKIM.
2. È possibile utilizzare +all nel record SPF
L'uso di +all consente a qualsiasi server su Internet di inviare e-mail a nome del vostro dominio. Questo annulla completamente lo scopo di sicurezza del protocollo SPF. Invece, ~all (soft fail) o preferibilmente -all (hard fail) sono i meccanismi consigliati da utilizzare alla fine del record per implementare efficacemente l'SPF.
3. L'SPF funziona per le e-mail inoltrate
Tutti vorremmo che fosse vero. Purtroppo, in molti scenari di inoltro della posta, l'SPF si rompe. Questo accade perché l'indirizzo IP del server di inoltro spesso non corrisponde agli IP autorizzati elencati nel record SPF del mittente originale e le informazioni dell'intestazione possono cambiare. In questi casi, protocolli come DKIM (che di solito sopravvive all'inoltro) o preferibilmente ARC(Authenticated Received Chain) possono aiutare a mantenere i risultati dell'autenticazione attraverso i passaggi di inoltro.
4. I record SPF hanno ricerche DNS illimitate
La specifica SPF (RFC) impone un limite massimo di 10 ricerche DNS per ogni verifica SPF. Meccanismi come `include`, `a`, `mx`, `ptr`, `exists` e `redirect` eseguono ricerche DNS. Il superamento di questo limite provoca un SPF PermError (errore permanente), che può far fallire l'autenticazione di e-mail legittime. È essenziale mantenere il record conciso e potenzialmente utilizzare metodi di ottimizzazione SPF come l'appiattimento o le macro SPF dinamiche per rimanere entro il limite, soprattutto se si utilizzano molti mittenti terzi.
5. Con l'SPF potete "impostare e dimenticare"!
Non commettete questo errore SPF! La vostra infrastruttura di invio delle e-mail può cambiare nel tempo: potreste aggiungere nuovi servizi di terze parti, cambiare ESP o dismettere i vecchi server. È necessario aggiornare regolarmente i record SPF per riflettere questi cambiamenti. Un mancato aggiornamento significa che le nuove fonti di invio legittime potrebbero non essere autorizzate, causando potenzialmente il blocco delle loro e-mail o la loro marcatura come spam da parte dei server di ricezione.
Come funziona il record SPF?
- Il proprietario del dominio crea un record SPF (un record TXT nel DNS) manualmente o utilizzando uno strumento online che specifica le fonti di invio (indirizzi IP, domini tramite include, ecc.) che sono autorizzate a inviare e-mail per conto del dominio.
- Quando si riceve un'e-mail, il server di posta del destinatario estrae il dominio dall'indirizzo Return-Path dell'e-mail (noto anche come mittente della busta o Mail From).
- Il server ricevente esegue una query DNS per cercare il record SPF TXT per il dominio del mittente.
- Il server ricevente verifica se l'indirizzo IP del server di connessione che ha inviato l'e-mail corrisponde a una delle fonti autorizzate elencate nel record SPF.
- Se c'è una corrispondenza (Pass), l'email passa il controllo SPF. Se non c'è corrispondenza, il risultato dipende dal meccanismo 'all' definito nel record (ad esempio, -all per Fail, ~all per SoftFail, ?all per Neutral). Questo risultato può influenzare il fatto che l'e-mail arrivi nella casella di posta, nella cartella spam o venga rifiutata, soprattutto se combinato con DMARC.
Suggerimenti per un'impostazione accurata dell'SPF
Ecco alcuni suggerimenti per creare un record SPF solido ed efficace:
- Includere tutte le fonti di invio autorizzate: Assicuratevi di elencare meticolosamente tutti i server e i servizi di terze parti autorizzati a inviare e-mail per il vostro dominio. La mancanza di una fonte può causare problemi di recapito per la posta elettronica legittima.
- Applicate l'SPF a tutti i vostri domini: Proteggete anche i domini che non inviano (parcheggiati) pubblicando un record SPF come `v=spf1 -all` per dichiarare esplicitamente che nessuna e-mail deve provenire da essi.
- Utilizzare il meccanismo "tutti" corretto: Utilizzare `~all` (SoftFail) durante le fasi iniziali di test o di transizione. Una volta sicuri, utilizzare `all` (Fail) per un'applicazione più rigorosa, che indichi chiaramente ai server riceventi di rifiutare le e-mail non autorizzate. Evitare ``tutti'' (Neutro) e non usare mai `+tutti'' (Passa).
- Posizionare correttamente "all": Il meccanismo `all' dovrebbe essere sempre l'ultimo componente della stringa del record SPF.
- Utilizzare correttamente il meccanismo "include": Il meccanismo "include" è essenziale per autorizzare i mittenti terzi. Assicuratevi di utilizzare il dominio corretto fornito dalle terze parti per la loro politica SPF.
- Utilizzate con attenzione i meccanismi "mx" e "a": Usate `mx` per autorizzare i server elencati nei record MX del vostro dominio (`mx:yourdomain.com`). Usare `a` per autorizzare gli indirizzi IP associati al record A del dominio (`a`) o un nome host specifico (`a:mail.yourdomain.com`). Non usare `mx` con un hostname specifico del server di posta.
- Evitare i meccanismi scoraggiati: Non utilizzare il meccanismo `ptr`, poiché è deprecato e inaffidabile.
- Rimanere entro il limite di 10 ricerche DNS: fare attenzione ai meccanismi (`include`, `a`, `mx`, `exists`, `redirect`) che richiedono ricerche DNS. Le ricerche annidate contano. Il superamento del limite porta a PermError.
- Verificare la presenza di errori di battitura: Esaminare attentamente il record SPF per verificare la presenza di errori di sintassi o di battitura prima di pubblicarlo.
- Pubblicare correttamente nel DNS: Assicurarsi che il record sia pubblicato come tipo TXT e che il contenuto inizi con `v=spf1` senza essere racchiuso tra virgolette nel campo dati DNS effettivo.
- Mantenete aggiornato il vostro record SPF: quando la vostra infrastruttura e-mail o l'elenco dei mittenti terzi cambiano, assicuratevi di aggiornare tempestivamente il vostro record SPF per riflettere tali modifiche. Esaminate e mantenete regolarmente il vostro record.
Vantaggi dell'ottimizzazione delle impostazioni SPF con PowerDMARC
Il limite di ricerca DNS è una restrizione significativa imposta dallo standard SPF. Limita il numero di ricerche DNS che possono essere eseguite quando un server ricevente verifica il record SPF di un'e-mail. Il limite è fissato a 10 ricerche DNS. Se la valutazione del record SPF richiede più di 10 ricerche (comprese le ricerche annidate dai meccanismi di "inclusione"), si verifica un SPF PermError, che può causare il fallimento dell'autenticazione di e-mail legittime e problemi di consegna.
Appiattimento SPF è una tecnica utilizzata per ridurre il numero di ricerche DNS necessarie per verificare il record SPF di un'e-mail. Funziona sostituendo meccanismi come `include` con gli indirizzi IP effettivi risolti da tali ricerche, consolidandoli direttamente nel record SPF principale. Ciò può ridurre significativamente il numero di query DNS necessarie per autenticare un'e-mail. PowerDMARC offre soluzioni automatizzate di appiattimento SPF o soluzioni dinamiche basate su macro per gestire record SPF complessi e rimanere al di sotto dei limiti.
Ecco un esempio di come l'appiattimento dell'SPF può essere utile:
Supponiamo che la vostra azienda utilizzi diversi servizi di terze parti per l'invio di e-mail. Questi possono includere un software di automazione del marketing (ad esempio, `include:spf.marketing.com`), un sistema di helpdesk (ad esempio, `include:spf.support.com`) e uno strumento CRM per le piccole imprese. strumento CRM per le piccole imprese (ad esempio, `include:spf.crm.com`). Ognuna di queste dichiarazioni `include` richiede una ricerca DNS e i record inclusi potrebbero contenere a loro volta altre ricerche. Se il numero totale supera i 10, il record SPF si rompe.
Utilizzando l'appiattimento SPF (o una soluzione macro), gli indirizzi IP autorizzati da questi include di terze parti possono essere risolti e rappresentati in modo più efficiente, spesso riducendo il numero totale di ricerche richieste per rimanere entro il limite. In questo modo, quando un server di posta elettronica esegue una ricerca DNS per verificare il vostro record SPF, può completare con successo la valutazione senza raggiungere la soglia di PermError.
Per riassumere
L'impostazione di un SPF è un passo fondamentale per proteggere il vostro sistema di posta elettronica e prevenire le frodi via e-mail. Creando un record SPF accurato, pubblicandolo correttamente nella configurazione DNS del vostro dominio e mantenendolo nel tempo, potete garantire l'autenticazione delle e-mail legittime inviate dal vostro dominio e impedire agli utenti non autorizzati di abusare del vostro nome di dominio. Seguire le best practice e i suggerimenti sopra descritti vi aiuterà a creare un record SPF solido e a migliorare la vostra sicurezza generale delle e-mail, soprattutto se usato insieme a DKIM e DMARC.
Domande frequenti sull'impostazione di un record SPF
Posso avere più record SPF per un dominio?
No. Un dominio deve avere esattamente un record SPF. La pubblicazione di più record SPF per lo stesso dominio è un errore comune che causa il fallimento della convalida SPF o la restituzione di risultati imprevedibili (spesso None o PermError). Se è necessario autorizzare più fonti di invio, queste devono essere tutte incluse in un'unica stringa di record TXT SPF.
È possibile dividere un record SPF di grandi dimensioni?
La suddivisione di un criterio SPF logicamente grande in più record TXT per lo stesso dominio non è consentita a causa della regola del record unico. Inoltre, i singoli record TXT DNS hanno limiti di stringhe di caratteri (anche se i moderni sistemi DNS spesso supportano stringhe multiple all'interno di un singolo record per superare i vecchi limiti di 255 caratteri). Se il record diventa troppo complesso o supera il limite di 10 ricerche DNS, non si può semplicemente dividerlo. Provate invece queste tattiche:
- Semplificare il registro: Eliminare le voci ridondanti o non necessarie. Consolidare gli intervalli IP utilizzando la notazione CIDR, ove possibile.
- Ridurre al minimo i meccanismi di generazione delle ricerche: Ridurre il numero di meccanismi `include`, `a`, `mx`, `exists` e `redirect`.
- Utilizzare soluzioni di gestione SPF: Utilizzare servizi di terze parti che offrono soluzioni di appiattimento SPF o SPF dinamico (basato su macro) per gestire record complessi e rimanere entro i limiti.
Perché si usa il record SPF?
Un record SPF viene utilizzato per prevenire lo spoofing delle e-mail, consentendo ai proprietari dei domini di dichiarare pubblicamente quali server di posta sono autorizzati a inviare e-mail per conto del loro dominio. I server riceventi controllano questo record per verificare la legittimità del server mittente, riducendo le possibilità che phishing, spam e altre e-mail fraudolente inviate utilizzando il nome del dominio raggiungano le caselle di posta dei destinatari.
Quando è necessario l'SPF?
L'SPF è necessario per qualsiasi dominio, soprattutto per quelli utilizzati per l'invio di e-mail. Si tratta di un protocollo di autenticazione delle e-mail fondamentale, necessario per migliorare la deliverability delle e-mail, proteggere la reputazione del vostro marchio, verificare l'autenticità e rispettare le politiche dei server di ricezione e le best practice del settore, compresi i recenti mandati dei principali provider come Google e Yahoo. Per saperne di più sull importanza della configurazione SPF. Anche i domini che non inviano e-mail dovrebbero avere un record SPF restrittivo (ad esempio, `v=spf1 -all`) per evitare abusi.
Come ottimizzare il record SPF?
È possibile ottimizzare manualmente il record SPF rivedendo e consolidando attentamente i mittenti autorizzati, eliminando le fonti inutilizzate, utilizzando una notazione efficiente dell'intervallo IP (CIDR) e riducendo al minimo i meccanismi che causano ricerche DNS. Tuttavia, per scenari complessi o per assicurarsi di rimanere al di sotto del limite di 10 lookup, un'opzione più semplice è quella di utilizzare servizi di ottimizzazione SPF di terze parti che offrono soluzioni di appiattimento automatico o macro SPF dinamiche per la gestione continua del record.
Come faccio a sapere che il mio record SPF è impostato correttamente?
È possibile verificare il proprio record SPF utilizzando uno strumento online di strumento di ricerca del record SPF. Questi strumenti convalidano la sintassi, controllano se il record esiste nel vostro DNS, verificano se siete entro il limite di 10 ricerche DNS e confermano se in generale è configurato correttamente.
- Le e-mail a freddo sono ancora efficaci nel 2025? Migliori pratiche per la sensibilizzazione e la sicurezza - 20 giugno 2025
- Studio di caso DMARC MSP: Come PrimaryTech ha semplificato la sicurezza dei domini dei clienti con PowerDMARC - 18 giugno 2025
- Falsi positivi DMARC: Cause, rimedi e guida alla prevenzione - 13 giugno 2025