Sintassi SPF: Guida completa
L'apprendimento e l'implementazione dei concetti di SPF sono importanti per le aziende orientate alla tecnologia. Può proteggere le aziende dai potenziali rischi di phishing, spamming, attacchi BECecc. L'SPF o Sender Policy Framework funziona utilizzando un SPF che comprende la sintassi SPF.
Questo blog parla in generale della tabella di sintassi SPF, dei meccanismi SPF, dei qualificatori SPF e dei modificatori SPF, tutti elementi necessari per acquisire una solida padronanza del concetto di autenticazione delle e-mail tramite protocolli tecnici.
Sintassi SPF per i bengodi
Un record SPF è un record DNS che include un elenco di tutti gli indirizzi IP autorizzati a inviare e-mail utilizzando il nome di dominio ufficiale. Quando un server al di fuori dell'elenco invia un'e-mail utilizzando il dominio, viene trattato come non autorizzato. Di conseguenza, il suo inserimento viene rifiutato dalla casella di posta elettronica del destinatario. In questo modo si protegge il nome dell'azienda da attività dannose avviate da hacker.
Le aziende dovrebbero creare e controllare i record SPF per evitare gli attacchi di phishing che vengono effettuati utilizzando i propri nomi di dominio. Oltre 255 milioni di attacchi di phishing sono stati registrati solo nella prima metà del 2022! Immaginate quanto sia diventato cruciale implementare l'SPF e conoscere la sintassi SPF.
Un record SPF contiene istruzioni che indicano al server del destinatario di controllare e convalidare le e-mail ricevute dal vostro dominio. Inoltre, indica cosa fare con quelle che non riescono a essere autenticate. Un componente specifico rappresenta tutte le istruzioni.
Analizziamo ciascun elemento utilizzando un esempio di record SPF. Ecco come si presenta una sintassi SPF.
v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all
La funzione di ciascun elemento è la seguente:
- v=spf1 specifica al server ricevente un record SPF. Tutti i record SPF devono iniziare così.
- La sezione successiva di questa sintassi SPF indica gli indirizzi IP autorizzati a inviare e-mail utilizzando il vostro dominio. Nell'esempio precedente, abbiamo ip4:123.1.5.0 e ip4:100.5.2.1
- La sezione "include:exampledomain.com dell'esempio precedente specifica le terze parti autorizzate a inviare e-mail utilizzando il dominio. Il tag "include" indica ai server dei destinatari di verificare il record SPF del dominio incluso (exampledomain.com) per gli indirizzi IP che sono anch'essi autorizzati. È possibile aggiungere più domini all'interno di un record SPF, ma devono essere validi.
- L'elemento -all indica ai server riceventi di contrassegnare le e-mail come NON PASS per SPF se sono inviate da qualsiasi dominio o indirizzo IP al di fuori dell'elenco specificato nel record SPF.
Sintassi SPF avanzata
Una tabella di sintassi SPF viene definita utilizzando un record DNS TXT con una singola stringa di testo. Inizia sempre con l'elemento 'v=' che specifica la versione SPF utilizzata, e per ora esiste una sola versione.
Tutti i record SPF hanno i loro termini specifici che fungono da regole per gli host autorizzati a condividere i messaggi utilizzando il dominio ufficiale.
Nella sintassi SPF avanzata si analizzano i tre componenti tre componenti: meccanismi SPF, qualificatori SPF e modificatori SPF.
Meccanismi SPF
- TUTTI: Corrisponde sempre ed è l'ultimo meccanismo aggiunto alla fine di un record SPF. Visualizza risultati predefiniti come "-all" per gli IP non corrispondenti.
- A: Indica un nome di dominio con un record AAAA o A come corrispondenza, in quanto elimina l'indirizzo del mittente. Se la sintassi del record DNS SPF non è specificata, viene utilizzato il dominio corrente.
- ip4: Una corrispondenza è positiva se un mittente è collegato all'intervallo di indirizzi ipv4 indicato nel record SPF. Si aggiunge con un prefisso che specifica la lunghezza dell'intervallo. Quando non c'è un prefisso, si usa /32.
- ip6: Una corrispondenza è positiva quando il mittente è collegato all'intervallo di indirizzi ipv6 specificato. Viene aggiunto con la direttiva ip4 e un prefisso che indica la lunghezza dell'intervallo. Quando non c'è un prefisso si usa /128.
- MX: Permette ai mittenti con un indirizzo IP uguale a quello incluso nel record MX specificato. I record MX sono costituiti da un indirizzo IP e da un valore di priorità per ogni server che accetta i messaggi.
- PTR: Specifica il dominio autorizzato per aiutare a risolvere gli indirizzi IP in sottodomini o domini. Per tutti i domini o sottodomini esattamente corrispondenti, viene eseguita una ricerca in avanti per ottenere l'indirizzo IP.
Questo meccanismo è considerato dispendioso in termini di tempo e inaffidabile, poiché richiede più ricerche. Non è raccomandato secondo le linee guida RFC 7208.
- ESISTE: Esegue una ricerca del record A del DNS per il dominio inserito. Una corrispondenza ha esito positivo quando viene trovato un record A valido, indipendentemente dal risultato effettivo della ricerca.
- INCLUDERE: Autorizza i mittenti di posta elettronica di terze parti indicando i loro domini. Un mittente è autorizzato solo se il suo indirizzo IP corrisponde agli indirizzi IP o ai domini forniti nel record SPF del dominio elencato.
Qualificatori SPF
Quando un meccanismo non ha un qualificatore e la corrispondenza è comunque positiva, l'autenticazione SPF viene superata. Ciascuno degli 8 meccanismi è abbinato a uno dei quattro qualificatori menzionati di seguito.
| Qualificatore | Risultato | Azione intrapresa dal server ricevente |
| + | Passo | L'e-mail supera con successo l'autenticazione SPF e il server può scambiare e-mail. I messaggi di posta elettronica sono contrassegnati come autentici. Questa è l'azione predefinita applicata se non c'è un qualificatore. |
| - | Bocciatura | L'e-mail non viene autenticata perché il server di invio non fa parte dell'elenco. Il messaggio potrebbe essere rifiutato dalla casella di posta elettronica del destinatario. |
| ~ | SoftFail | La casella di posta elettronica del destinatario accetta il messaggio, ma viene contrassegnato come sospetto e finisce nella cartella dello spam. |
| ? | Neutro | Il messaggio e-mail non passa né fallisce l'autenticazione. L'azione intrapresa non è specificata e l'e-mail viene accettata dal destinatario. |
Modificatori SPF
I modificatori SPD sono responsabili della determinazione dei parametri di lavoro di una sintassi SPF. Includono coppie di nomi o valori separati dal simbolo '=', che condividono dettagli extra ed eccezioni alle regole, se presenti.
I modificatori compaiono una sola volta e solo nell'ultima sezione di un record SPF. Tutti i modificatori non identificati vengono ignorati nel processo. Il modificatore "redirect" viene utilizzato per indirizzare altri record SPF per l'autenticazione. Si usa quando si vuole che più domini abbiano lo stesso contenuto del record SPF.
Il meccanismo "include" è utilizzato per i domini di terze parti autorizzati a inviare e-mail per conto dell'utente o utilizzando il nome della sua azienda. Il modificatore "exp" specifica il motivo per cui il server ricevente ha restituito un Qualificatore SPF fallito quando un meccanismo corrisponde.
Linee guida per i record SPF
Tenere presente quanto segue durante la creazione di un record SPF utilizzando la tabella della sintassi SPF.
- Non è possibile allineare più record SPF per un dominio.
- Un record SPF non deve contenere lettere maiuscole, altrimenti si verificherebbero errori.
- Non dovrebbero esserci più di 255 caratteri. Qualsiasi stringa che ecceda questo numero provocherà un fallimento dell'autenticazione.
- Cancellare se ci sono meccanismi SPF che risolvono allo stesso dominio.
- Eliminare i meccanismi SPF ip4 e ip6 non utilizzati. Inoltre, verificare se è possibile unire gli intervalli di indirizzi.
- È possibile creare sottodomini per memorizzare le informazioni SPF. Questo può essere fatto utilizzando "_spf.domain.com". È consigliabile per le grandi aziende IT, che dispongono di più indirizzi IP da aggiungere a un record SPF.
