Il record Sender Policy Framework(SPF) è una parte importante del sistema Domain-based Message Authentication, Reporting and Conformance (DMARC).DMARC) che specifica un metodo per prevenire la falsificazione dell'indirizzo del mittente.
I record SPF sono complessi da impostare e possono verificarsi problemi di implementazione se non sono configurati correttamente. Inoltre, la sintassi dei record SPF utilizza alcuni termini specifici che possono confondere al primo impatto. Per questo motivo, in questo post del blog, esaminiamo la sintassi dei record SPF e ciò che è necessario considerare quando li si configura.
Che cos'è un record SPF?
Un record SPF è un tipo di record DNS che identifica quali server sono autorizzati a inviare un'e-mail per conto del vostro dominio. A tal fine, elenca i server che sono stati autorizzati a inviare e-mail per il vostro dominio; se qualsiasi altro server tenta di inviare un'e-mail per conto del vostro dominio, verrà respinto come mittente non autorizzato.
Lo scopo di un record SPF è quello di impedire a utenti malintenzionati di inviare messaggi e-mail contraffatti con il vostro dominio nel campo Da. Ciò può accadere se un utente malintenzionato invia una quantità massiccia di e-mail di spam dal vostro server, falsificando il vostro dominio.
Come funziona l'SPF?
1. Creazione di un record SPF Sintassi
Si crea una sintassi del record SPF nel proprio server DNS che specifica quali indirizzi IP sono autorizzati a inviare e-mail dal proprio dominio. Ciò significa che se qualcuno cercasse di inviare e-mail contraffatte dal vostro dominio, i suoi messaggi fallirebbero perché l'indirizzo IP del suo server di posta non sarebbe elencato tra i server approvati.
Ad esempio, se volete che solo gli account Gmail possano inviare posta dal vostro nome di dominio, ma non gli account Outlook, aggiungete la seguente riga al vostro record SPF:
v=spf1 a mx include:_spf.google.com ~all
Questo indica ai server che tutti i messaggi inviati da un host il cui indirizzo IP termina con _spf.google.com devono essere considerati validi (m), mentre tutti gli altri messaggi devono essere scartati (a).
È possibile utilizzare il nostro generatore di record SPF per iniziare a creare un record gratuito!
2. Ricerca DNS
Quando un mittente di e-mail tenta di inviare un messaggio, il server del destinatario esegue una ricerca DNS sul dominio di invio per vedere se esiste un record SPF: questa operazione è chiamata "autenticazione". SPF permerror.
Se non c'è un record SPF, l'autenticazione fallisce e il messaggio non viene consegnato. Se esiste un record SPF, il server SPF verifica la presenza di indirizzi IP nel record TXT presso l'hostname specificato nel record SPF.
Se non ci sono indirizzi IP specificati, l'autenticazione fallisce. In caso contrario, verrà eseguita una query A per ogni indirizzo IP specificato nell'ordine di apparizione nel record TXT.
L'indirizzo IP che restituisce un codice di risultato pari a NXDOMAIN o NOERROR sarà considerato autorizzato dal server SPF e il suo nome host sarà aggiunto all'elenco degli host di invio autorizzati per quel dominio.
3. Risultato dell'autenticazione
Il server di posta consegna il messaggio al destinatario o lo segnala come rifiutato in base alle regole specificate nel record SPF.
I risultati dell'autenticazione possono assumere tre forme: Superato, Neutro o Fallito.
Passa significa che il server di posta accetta il messaggio come legittimo e ne consente la consegna. Neutro significa che non esiste alcun record o che ne esiste uno non valido per quel dominio nel DNS, quindi non c'è modo di sapere se si tratta di un messaggio legittimo proveniente da quel dominio. Fallito significa che qualcosa in questo messaggio non era abbastanza autentico da consentirne la consegna.
Ad esempio, un server di posta con indirizzo IP '234.2.1.2' invia un'e-mail da 'join@apple.com'. Il server in entrata consulterà il servizio dei nomi di dominio(DNS) per determinare se questo indirizzo IP è autorizzato a inviare e-mail per conto del dominio "apple.com". In caso affermativo, il messaggio verrà consegnato; in caso contrario, verrà scartato o contrassegnato come spam, ovvero smistato in base al meccanismo specificato nel record SPF.
Sintassi del record SPF
La sintassi del record SPF comprende diversi elementi: direttive, qualificatori e meccanismi.
Le direttive sono la prima parte della sintassi di un record SPF. Indicano come interpretare il resto del record. In un record SPF possono comparire tre direttive: v=spf1, a e mx. La direttiva v indica che questo record è un record SPFv1; la direttiva a indica che questo record è una segnalazione di fallimento dell'autenticazione in stile SPFv2; la direttiva mx specifica un elenco di server di scambio di posta per un dominio.
I qualificatori specificano la posizione dei record SPF nella zona DNS: exim4, enduser o _spf. Questi qualificatori indicano ai ricevitori di posta dove cercare i vostri record SPF quando li confrontano con i loro record DNS.
I meccanismi sono utilizzati per indicare come gestire gli indirizzi e-mail che non superano il controllo SPF. È possibile scegliere tra diversi meccanismi: tutti, nessuno, softfail, neutralizza o rifiuta.
- tutti accetterà tutte le e-mail provenienti da mittenti che hanno superato il controllo SPF;
- nessuno rifiuterà tutto ciò che proviene da mittenti che hanno superato il controllo SPF;
- softfail accetta i messaggi di posta elettronica provenienti da mittenti che non hanno superato un controllo SPF, ma li contrassegna come sospetti;
- neutrale indica che non si rifiutano né si accettano i messaggi inviati dal proprio dominio: si tratta essenzialmente di una posizione "senza opinione" sul fatto che il messaggio debba essere accettato o rifiutato;
- rifiutare rifiuterà le e-mail che non hanno superato il controllo SPF.
Qualificatori della sintassi del record SPF
I "qualificatori" nella sintassi di un record SPF aiutano a indicare l'ambito del record SPF. Vengono utilizzati principalmente per indicare se uno specifico indirizzo IP è autorizzato o meno a inviare e-mail per conto del vostro dominio.
| Qualificatore | Codice risultato | Spiegazione |
| + | Passo | l'unico qualificatore senza connotazione negativa. Indica che il record di sicurezza del nome di dominio non contiene errori o avvisi ed è considerato sicuro. |
| - | Bocciatura | indica che il record di sicurezza del nome di dominio contiene errori o avvisi che impediscono di considerarlo sicuro.
|
| ~ | Softfail | indica che il record di sicurezza del nome di dominio contiene errori o avvertimenti che non impediscono di considerarlo sicuro, ma possono indicare problemi di risoluzione DNS o altri problemi relativi alle ancore di fiducia DNS. |
| ? | Neutro | Indica che il dominio non ha un record SPF o che il suo record era sintatticamente corretto, ma non corrispondeva a nessun server di invio quando è stato controllato con uno (o più) server di invio nell'elenco di indirizzi IP affidabili per quel dominio. |
Meccanismi di sintassi dei record SPF
I meccanismi sono utilizzati nella sintassi del record SPF per indicare al server ricevente il tipo di meccanismo di autenticazione da utilizzare. Esistono due tipi di meccanismi:
- il mittente può specificare un insieme di meccanismi specifici;
- Oppure può specificare che tutti i meccanismi sono consentiti.
| Meccanismo | Scopo | La direttiva si applica quando | Attuazione |
| a | definisce il record DNS A del dominio come autorizzato. Se questa direttiva non è specificata, viene utilizzato il dominio corrente.
|
può essere applicato quando viene interrogato un record A o AAAA in un dominio che contiene l'indirizzo IP del mittente. | a
a/<prefix-length> a:<domain> a:<domain>/<prefix-length> |
| tutti | La direttiva all viene sempre abbinata e definisce la politica per tutte le altre fonti. | Questo meccanismo deve essere sempre applicato e questo meccanismo corrisponde sempre. | tutti |
| esiste | Controlla se un record A è valido o meno per un determinato dominio. Esamina tutti i record A di quel dominio e verifica se uno di essi corrisponde ai criteri stabiliti nel record SPF. | Si applica quando esiste un record A su tale dominio o se sono stati autorizzati altri criteri, secondo RFC7208. | exists:<domain> |
| includere | Lo scopo di questo meccanismo è specificare il dominio e cercare una corrispondenza, oltre a restituire un errore permanente se il dominio non ha un record SPF valido. | Il meccanismo "include" nei record SPF può essere utilizzato per includere altri record SPF all'interno del record di un dominio. Se un dominio non ha un record SPF, ma un altro dominio ce l'ha e quest'ultimo ha un indirizzo IP che corrisponde all'indirizzo IP del mittente, il meccanismo "include" farà sì che il dominio con l'indirizzo IP corrispondente venga utilizzato ai fini dell'autorizzazione.
|
include:<domain> |
| ip4 | È possibile specificare un intervallo IPv4 con la direttiva "ip4", insieme a un prefisso che indica la lunghezza dell'intervallo. Se non viene specificato alcun prefisso, viene assunto /32. | Il meccanismo "ip4" si applica se una qualsiasi di queste condizioni è vera:
- L'indirizzo IPv4 specificato corrisponde a quello di un indirizzo IP presente nel record SPF.
- La sottorete IPv4 specificata contiene l'indirizzo IP del mittente. |
ip4:<ip4-address>
ip4:<ip4-network>/<prefix-length> |
| ip6 | È possibile specificare un intervallo IPv6 con la direttiva "ip4", insieme a un prefisso che indica la lunghezza dell'intervallo. Se non viene specificato alcun prefisso, viene assunto /128. | Il meccanismo "ip6" si applica se una qualsiasi di queste condizioni è vera:
- L'indirizzo IPv6 specificato corrisponde a quello di un indirizzo IP presente nel record SPF.
- La sottorete IPv6 specificata contiene l'indirizzo IP del mittente. |
ip6:<ip6-address>
ip6:<ip6-network>/<prefix-length> |
| mx | Il meccanismo "mx", come definito nel record SPF, definisce il record MX (Mail Exchanger) del Domain Name System (DNS) di un dominio come autorizzato. | Il record MX del DNS determina quale server è responsabile dell'accettazione dei messaggi e-mail per conto del dominio. Il record DNS MX contiene un indirizzo IP e un valore di priorità per ogni server che può essere utilizzato per accettare i messaggi.
Quando un record MX di un dominio contiene un indirizzo IP che corrisponde all'indirizzo IP del mittente, questo indica che il mittente è autorizzato a inviare e-mail per conto di questo dominio. |
mx
mx/<prefix-length> mx:<domain> mx:<domain>/<prefix-length> |
| ptr | Il meccanismo ptr utilizza il nome host inverso o il sottodominio dell'indirizzo IP di invio per definire il nome di dominio di destinazione. | Si applica solo se esiste almeno un record MX per il dominio interrogato o specificato e tale record MX contiene un record PTR con un FQDN per l'indirizzo IP del mittente. | ptr
ptr:<domain> |
Modificatori della sintassi del record SPF
Nella sintassi del record SPF, i modificatori possono essere utilizzati per cambiare il comportamento predefinito di un record SPF. I modificatori possono essere utilizzati per specificare eccezioni alle regole o per fornire informazioni aggiuntive al destinatario.
| Modificatore | Scopo | Attuazione |
| esp. | Il modificatore "exp" è un valore che specifica la spiegazione del motivo per cui un messaggio è stato rifiutato. Ha lo scopo di aiutare i mittenti a evitare certi tipi di problemi e può essere usato per informarli sul motivo specifico per cui il loro messaggio non è stato accettato dal server ricevente. | exp=<domain> |
| reindirizzare | Il modificatore di reindirizzamento è una stringa che sostituisce l'intero nome di dominio nel record SPF. Lo scopo di questo modificatore è quello di reindirizzare tutta la posta inviata al dominio a un altro server. Questo può essere utile per i domini con più record MX o per i domini che sono stati riassegnati a un'altra società ma che continuano a utilizzare gli stessi indirizzi e-mail. | redirect=<domain> |
Avvicinarsi alla fine
Il record SPF è una parte importante dei record DNS del vostro dominio. Indica agli altri server di posta elettronica come autenticare i messaggi che dichiarano di provenire da voi, il che significa che è importante avere un record SPF configurato correttamente. Tuttavia, assicuratevi di abbinare SPF a DMARC per una maggiore protezione contro la compromissione e lo spoofing delle e-mail.
Lo strumento Strumento di ricerca dei record SPF può aiutarvi a farlo. Il generatore vi permetterà di creare una sintassi del record SPF da zero, completa di tutti i campi richiesti, in modo da poterla aggiungere subito ai vostri record DNS.
