Come impostare il record SPF? - Guida all'impostazione di SPF

Blog

Configurate il record SPF e aggiungetelo al vostro dominio. Scoprite gli errori nelle impostazioni SPF e monitorateli con PowerDMARC per una solida autenticazione e protezione delle e-mail.

di Ahona Rudra

Tempo di lettura: 8 min
Come impostare il record SPF? - Guida all'impostazione di SPF
Indice dei contenuti-

L'e-mail è uno strumento essenziale per le aziende e la maggior parte di noi vi fa affidamento quotidianamente per comunicare. Tuttavia, con l'aumento del numero di utenti di e-mail, è cresciuto anche il problema dello spam, dello spoofing, del phishing e delle frodi via e-mail. Questi tipi di attacchi possono causare danni significativi, tra cui perdita di reputazione, perdite finanziarie e violazione dei dati. Per prevenire questi attacchi, le aziende devono adottare misure proattive per proteggere i propri sistemi di posta elettronica. Uno dei modi per farlo è configurare un SPF.

I principali provider di posta elettronica, come Yahoo Mail e Google Workspace, raccomandano protocolli di autenticazione delle e-mail come Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication, Reporting, and Conformance (DMARC) per proteggere i destinatari delle e-mail da potenziali frodi.

I punti chiave da prendere in considerazione

  1. I protocolli di autenticazione delle e-mail, come l'SPF, sono strumenti essenziali per prevenire lo spoofing e le frodi.
  2. L'impostazione di un record SPF valido comporta la specificazione dei server e-mail autorizzati attraverso la configurazione DNS.
  3. L'aggiornamento regolare dei record SPF è fondamentale per garantire il riconoscimento delle nuove fonti di invio e il blocco degli utenti non autorizzati.
  4. Il test del record SPF consente di verificare che sia configurato correttamente e che funzioni come previsto.
  5. L'SPF funziona meglio in combinazione con il DMARC per fornire una difesa più forte contro le frodi via e-mail e gli attacchi di impersonificazione.

SPF nella sicurezza delle e-mail - Spiegazione 

Che cos'è l'SPF? SPF è l'acronimo di Sender Policy Framework. È un protocollo di autenticazione delle e-mail che consente di specificare quali server sono autorizzati a inviare e-mail al proprio dominio. SPF funziona aggiungendo un record DNS alla configurazione DNS del vostro dominio, che elenca gli indirizzi IP dei vostri server e-mail. Questo record indica agli altri server di posta elettronica che qualsiasi e-mail inviata dal vostro dominio che non provenga da indirizzi IP autorizzati deve essere rifiutata.

L'impostazione di un record SPF valido è essenziale per impedire agli utenti non autorizzati di inviare e-mail utilizzando il vostro nome di dominio. Ad esempio, gli spammer o gli aggressori potrebbero utilizzare il vostro nome di dominio per inviare e-mail di spam o phishing. e-mail di phishingche possono danneggiare la vostra reputazione, portare al blocco e compromettere la sicurezza dei vostri clienti e dipendenti.

Semplificate la configurazione dell'SPF con PowerDMARC!

Prova di 15 giorniPrenota una demo

Componenti SPF 

I componenti principali di un record SPF nel DNS sono i seguenti:

  1. Versione (v=spf1):
    Specifica la versione SPF, che inizia sempre con v=spf1.
  2. IP4 e IP6 (ip4: / ip6:):
    Elenca gli indirizzi IPv4 e IPv6 autorizzati a inviare e-mail per il dominio.
  3. Meccanismi A e MX (a: / mx:):
    • a: consente l'invio di e-mail da server il cui IP corrisponde al record A del dominio.
    • mx: consente di ricevere e-mail dai server elencati nei record MX (Mail Exchange) del dominio.
  4. Includere il meccanismo (include:):
    Permette ai record SPF di altri domini di autorizzare i mittenti, utile quando servizi di terze parti inviano e-mail per conto del vostro dominio.
  5. Tutti i meccanismi (tutti):
    Imposta una regola predefinita alla fine del record SPF. Le opzioni sono:

    • -tutti: Hard fail (rifiuta gli IP non autorizzati).
    • ~Tutti: Soft fail (contrassegna gli IP non autorizzati come sospetti).
    • Tutti: Neutro (nessuna azione su IP non autorizzati).
    • +tutti: Passa (consente tutti gli IP, raramente consigliato).
  6. Reindirizzare (redirect=):
    Punta al record SPF di un altro dominio, se si desidera utilizzarlo invece di crearne uno proprio.
  7. Modificatori:
    Regole opzionali per la messa a punto, anche se meno comuni.

Esempio di SPF

v=spf1 ip4:192.168.1.1 include:_spf.thirdparty.com -all

Questo esempio consente l'invio di e-mail da 192.168.1.1 e include un record SPF di terze parti, rifiutando le email da altri IP con -tutti.

Padroneggiare le impostazioni SPF

Un'impostazione SPF si riferisce alla configurazione del protocollo di autenticazione e-mail SPF nel DNS del proprietario di un dominio. Un'impostazione SPF consente di autorizzare le fonti di invio legittime, assicurando che i server di ricezione possano facilmente distinguere tra un mittente di e-mail autentico e uno che sta semplicemente impersonando un nome di dominio legittimo. È un passo necessario per la convalida delle e-mail, per contribuire alla protezione contro i cyberattacchi basati sulle e-mail. 

Come impostare e aggiungere i record SPF

L'impostazione di un record SPF è essenziale non solo per le fonti attive, ma anche per i domini che non inviano, per garantire che siano al sicuro dall'uso di malintenzionati. L'impostazione di un record SPF è un processo semplice che prevede i seguenti passaggi:

Passo 1: determinare i server e-mail

Il primo passo consiste nel determinare quali server sono autorizzati a inviare e-mail per il vostro dominio. Questi server possono includere il vostro server di posta, qualsiasi provider di servizi di posta elettronica di terze parti che utilizzate o qualsiasi altro server che invia e-mail utilizzando il vostro nome di dominio.

Passo 2: Creare un record SPF

Una volta identificati i server e-mail autorizzati, è possibile creare un record SPF utilizzando uno strumento di generazione di record SPF. strumento di generazione di record SPF. Un record SPF è un record TXT (testo) nella configurazione DNS del vostro dominio, essenziale per la configurazione SPF. È possibile utilizzare una semplice sintassi per creare il record SPF, come ad esempio:

v=spf1 ip4:<IP address> -all

In this example, the “v=spf1” indicates that this is an SPF record, and “ip4:<IP address>” indicates the IP address of the authorized email server. The “-all” at the end indicates that any emails that do not come from authorized IP addresses should be rejected.

Passo 3: Pubblicare il record SPF

Dopo aver creato il record SPF, è necessario pubblicarlo nel DNS del proprio dominio. Gli amministratori di dominio possono effettuare gli aggiornamenti DNS necessari per attivare facilmente il protocollo. È possibile farlo accedendo al sito web del proprio provider DNS e aggiungendo un nuovo record TXT con il record SPF. In alternativa, potete chiedere al vostro team IT o al provider di hosting di farlo per voi.

Passo 4: Testare il record SPF

Una volta pubblicato il record SPF, è essenziale testarlo per assicurarsi che funzioni correttamente. È possibile utilizzare i controllori di record SPFcome quello fornito da MXToolbox, per verificare il record SPF. Questi strumenti vi diranno se il vostro record SPF è valido e se è configurato correttamente.

5 idee sbagliate sui record SPF 

In Internet circolano alcuni miti sui record SPF che possono indurre a prendere decisioni sbagliate. Vediamo di sfatarli uno per uno: 

1. L'SPF da solo può prevenire lo spoofing 

Questo non è vero. L'impostazione dell'SPF da sola non può prevenire attacchi informatici come lo spoofing o l'impersonificazione. Per prevenirli, l'SPF deve essere combinato con il DMARC (Domain-based Message Authentication, Reporting, and Conformance), che consente ai proprietari dei domini di rifiutare le e-mail fraudolente inviate dal proprio dominio. 

2. È possibile utilizzare +all nel record SPF

L'uso di +all consente a qualsiasi server di inviare e-mail a nome del vostro dominio. Questo annulla lo scopo del protocollo SPF. Si consiglia invece di utilizzare ~all o -all per implementare efficacemente l'SPF per il proprio dominio. 

3. L'SPF funziona per le e-mail inoltrate 

Tutti vorremmo che questo fosse vero. Purtroppo, negli scenari di inoltro della posta, l'SPF si rompe a causa delle modifiche apportate alle informazioni di intestazione dai server intermedi. In questi casi, protocolli come DKIM o preferibilmente ARC possono essere utili per un'autenticazione efficace delle e-mail. 

4. I record SPF hanno ricerche DNS illimitate 

La RFC specifica un massimo di 10 ricerche DNS per i record SPF, il cui superamento porta a un risultato SPF negativo. È essenziale utilizzare metodi di ottimizzazione SPF come l'appiattimento o, preferibilmente, le macro SPF, per essere certi di rimanere sempre entro i limiti SPF.

5. Con l'SPF potete "impostare e dimenticare"! 

Non commettete questo errore SPF! Dovete aggiornare i vostri record SPF di tanto in tanto, in modo che la vostra lista di mittenti aggiornata possa inviare e-mail a nome del vostro dominio! Questo è un passo importante per garantire che le e-mail legittime non vengano bloccate dal server del destinatario. 

Come funziona il record SPF?

  • Il proprietario del dominio crea un record SPF manualmente o utilizzando uno strumento online che specifica le fonti di invio che sono autorizzate a inviare e-mail per conto del dominio. 
  • Quando viene inviata un'e-mail, il server del destinatario esegue una query DNS sul DNS del mittente per cercare il record SPF e verificare la presenza di fonti autorizzate. 
  • Se c'è una corrispondenza, l'e-mail arriva tranquillamente nella casella di posta, altrimenti può essere contrassegnata come sospetta. Ciò dipende dal qualificatore di azione (~all, -all, ?all) definito dal proprietario del dominio nel record SPF. 

Suggerimenti per un'impostazione accurata dell'SPF

Ecco alcuni suggerimenti per creare un record SPF solido:

  • Includere tutti i server e-mail autorizzati: Assicuratevi di includere nella configurazione SPF tutti i server e-mail autorizzati a inviare e-mail per il vostro dominio. Ciò può includere il vostro server di posta, i provider di servizi e-mail di terze parti o qualsiasi altro server che invia e-mail utilizzando il vostro nome di dominio.
  • Utilizzate il meccanismo "-all": Il meccanismo "-all" alla fine del record SPF indica agli altri server di posta elettronica di rifiutare qualsiasi e-mail che non provenga da indirizzi IP autorizzati. Questo è un passo fondamentale per evitare che utenti non autorizzati inviino e-mail utilizzando il vostro nome di dominio.
  • Utilizzare il meccanismo "include": Il meccanismo "include" consente di includere i record SPF di altri domini. Questo può essere utile se si utilizza un provider di servizi di posta elettronica di terze parti per inviare le e-mail per il proprio dominio. Potete includere il loro record SPF nella vostra configurazione SPF per assicurarvi che anche le e-mail inviate dai loro server siano autenticate.
  • Utilizzare il meccanismo "~all" per i test: Il meccanismo "~all" indica agli altri server di posta elettronica di contrassegnare come "soft fail" le e-mail che non provengono dagli indirizzi IP autorizzati. Ciò significa che queste e-mail verranno comunque consegnate, ma saranno contrassegnate come sospette. È possibile utilizzare questo meccanismo durante i test per assicurarsi che il record SPF funzioni correttamente senza rifiutare immediatamente le e-mail.
  • Mantenere il record SPF aggiornato: quando la vostra infrastruttura e-mail cambia, assicuratevi di aggiornare il record SPF per riflettere tali cambiamenti. Questo può includere l'aggiunta di nuovi server e-mail o la rimozione di quelli vecchi.

Vantaggi dell'ottimizzazione delle impostazioni SPF con PowerDMARC

Il limite di ricerca DNS è una restrizione imposta dai server di posta elettronica. Limita il numero di ricerche DNS che possono essere eseguite durante la verifica del record SPF di un'e-mail. Questo limite è generalmente fissato a 10 ricerche DNS e se il server di posta elettronica supera questo limite, l'SPF potrebbe interrompersi e causare problemi di consegna delle e-mail.

Appiattimento SPF è una tecnica utilizzata per ridurre il numero di ricerche DNS necessarie per verificare il record SPF di un'e-mail. Funziona combinando più record SPF in un unico record, che può ridurre il numero di ricerche DNS necessarie per autenticare un'e-mail.

Ecco un esempio di come l'appiattimento dell'SPF può essere utile:

Supponiamo che la vostra azienda utilizzi diversi servizi di terze parti per l'invio di e-mail. Tra questi potrebbero esserci un software di automazione del marketing, un sistema di helpdesk e uno strumento di strumento CRM per le piccole imprese. Ognuno di questi servizi verrà aggiunto all'elenco degli indirizzi IP nel vostro record SPF del DNS o nei singoli record SPF per ognuno di questi servizi, e se doveste includerli tutti nel record SPF del vostro dominio, superereste il limite di 10 ricerche DNS.

Utilizzando l'appiattimento SPF, è possibile combinare tutti questi IP ridondanti in un unico include. Ciò significa che quando un server di posta elettronica esegue una ricerca DNS per verificare il vostro record SPF, deve eseguire solo una singola ricerca o poche ricerche, anziché più ricerche per ciascuno dei singoli record SPF e indirizzi IP.

Per riassumere 

L'impostazione di un SPF è un passo fondamentale per proteggere il vostro sistema di posta elettronica e prevenire le frodi via e-mail. Creando un record SPF e pubblicandolo nella configurazione DNS del vostro dominio, potete assicurarvi che le e-mail inviate dal vostro dominio siano autenticate e impedire agli utenti non autorizzati di inviare e-mail utilizzando il vostro nome di dominio. Seguendo i suggerimenti sopra descritti, è possibile creare un record SPF forte e proteggere il sistema di posta elettronica.

Domande frequenti sull'impostazione di un record SPF

Posso dividere un SPF grande?

La suddivisione di un record SPF di grandi dimensioni in record più piccoli è sconsigliata a causa dei limiti di caratteri SPF e delle ulteriori restrizioni che impediscono di pubblicare più di un record SPF per lo stesso dominio. Provate invece queste tattiche: 

  1. Rendete il vostro record SPF semplice e conciso 
  2. Utilizzare un minor numero di include e combinare gli intervalli IP 
  3. Utilizzare soluzioni di gestione SPF e servizi di terze parti

Perché si usa il record SPF?

Un record SPF viene utilizzato per garantire che solo le fonti autorizzate possano inviare e-mail a nome del vostro dominio, limitando l'esposizione esterna e i tentativi di impersonificazione. 

Quando è necessario l'SPF?

Come protocollo di autenticazione delle e-mail, SPF è necessario per garantire la verifica dell'autenticità delle comunicazioni e-mail e la conformità ai più recenti mandati del settore. Per saperne di più sull importanza della configurazione SPF.

Come ottimizzare il record SPF?

È possibile ottimizzare il record SPF manualmente accedendo al proprio DNS e apportando le modifiche necessarie. Tuttavia, un'opzione più semplice e senza problemi è quella di utilizzare servizi di ottimizzazione SPF di terze parti che offrono l'appiattimento o l'ottimizzazione delle macro per la gestione dei record SPF. 

Come faccio a sapere che il mio record SPF è impostato?

È possibile verificare il proprio record SPF utilizzando uno strumento online di strumento di ricerca del record SPF per verificare se il record SPF è impostato correttamente.

Ultimi messaggi di Ahona Rudra (vedi tutti)
Record BIMI: 5 passi per creare e pubblicare un record BIMIpubblicare il record di bimiSpoofing delle e-mail come servizioSpoofing di e-mail come servizio