Di quale record SPF ho bisogno per il mio dominio?

Blog

Scoprite di quale record SPF avete bisogno per proteggere il vostro dominio dallo spoofing. Scoprite come funziona l'SPF e come impostarlo per una consegna sicura delle e-mail.

di Ayan Bhuiya

Ultimo aggiornamento:
7 Tempo di lettura: 7 minuti
Di quale record SPF ho bisogno per il mio dominio?
Indice dei contenuti-

I punti chiave da prendere in considerazione

  1. I record SPF sono scritti utilizzando una sintassi definita che comprende meccanismi quali "include", "a", "mx" e "ip4/ip6". Questi meccanismi consentono ai proprietari dei domini di specificare i server affidabili in modo strutturato.
  2. L'esatto record SPF di cui avete bisogno dipende dal fatto che la vostra organizzazione utilizzi i propri server di posta, si affidi a provider terzi o operi in un ambiente ibrido.
  3. L'abbinamento di SPF, DKIM e DMARC crea una strategia di autenticazione a più livelli che rafforza la difesa contro il phishing, lo spoofing e l'abuso di dominio.

Lo spoofing e il phishing delle e-mail rimangono minacce persistenti per le aziende di tutto il mondo, rendendo l'autenticazione delle e-mail più importante che mai. Se vi state chiedendo "di quale SPF ho bisogno", state già facendo un passo fondamentale per proteggere il vostro dominio e salvaguardare la reputazione del vostro marchio.

SPF (Sender Policy Framework) è un record DNS TXT che indica ai server di posta elettronica riceventi quali indirizzi IP e server sono autorizzati a inviare e-mail per conto del vostro dominio. Senza una corretta configurazione SPF, le vostre e-mail legittime possono finire nelle cartelle di spam, mentre i criminali informatici possono facilmente impersonare il vostro dominio.

Per capire di quale SPF avete bisogno è necessario valutare la vostra attuale configurazione di posta elettronica e assicurarsi che tutte le fonti di invio legittime siano autorizzate correttamente.

Che cos'è l'SPF nella posta elettronica?

SPF è un protocollo di autenticazione delle e-mail implementato attraverso un record TXT del DNS. Il suo scopo è quello di specificare quali server di posta e indirizzi IP sono autorizzati a inviare e-mail per conto del vostro dominio. Pubblicando queste informazioni, si crea un punto di riferimento che i server di posta elettronica riceventi possono controllare per decidere se accettare un messaggio.

I record SPF sono scritti utilizzando una sintassi definita che include meccanismi come "includere", "a", "mx" e "ip4/ip6". Questi meccanismi consentono ai proprietari di domini di specificare i server affidabili in modo strutturato. Ad esempio, "include" inserisce le politiche SPF di fornitori terzi, mentre "mx" autorizza i server che gestiscono la posta in entrata del dominio. Insieme, questi elementi creano un insieme preciso di istruzioni per i server di posta, assicurando che vengano riconosciuti solo i mittenti legittimi.

Perché l'SPF è importante?

cosa-spf-email-mi- serve

L'autenticazione SPF offre molteplici vantaggi che migliorano direttamente sia la sicurezza e le prestazioni delle e-mail.

In primo luogo, l'SPF aiuta a a prevenire i tentativi dispoofing e phishing rendendo significativamente più difficile per i criminali informatici impersonare il vostro dominio nelle e-mail dannose. Con questa protezione, gli aggressori perdono un metodo chiave per sfruttare l'identità del vostro marchio nelle campagne fraudolente.

L'SPF inoltre migliora la consegnabilità delle e-mail. I provider di servizi Internet e le piattaforme come Gmail, Outlook e Yahoo utilizzano la convalida SPF come requisito importante per decidere se fidarsi di un'e-mail in arrivo. Un record SPF correttamente configurato segnala a questi servizi che le vostre e-mail sono legittime, aumentando così la probabilità che i vostri messaggi arrivino nelle caselle di posta piuttosto che nelle cartelle di posta indesiderata.

SPF protegge la reputazione del vostro marchio impedendo l'uso non autorizzato del vostro dominio in campagne di spam o phishing. Quando i clienti sanno che le e-mail provengono veramente da voi, la fiducia nella vostra organizzazione aumenta e voi mantenete un maggiore controllo sui vostri canali di comunicazione.

Come funziona l'SPF

Il processo di autenticazione SPF funziona attraverso una sequenza di verifica chiara e graduale che ha luogo ogni volta che viene inviata un'e-mail. Conoscere a fondo questo processo facilita la configurazione di record SPF accurati che corrispondono alla struttura unica del vostro ambiente e-mail.

Il processo inizia quando la vostra organizzazione pubblica un record SPF nelle impostazioni DNS del vostro dominio. Questo record agisce come un regolamento pubblico, specificando quali indirizzi IP, server di posta e servizi di terze parti sono autorizzati a inviare e-mail a vostro nome.

Quando qualcuno invia un'e-mail che sostiene di provenire dal vostro dominio, il server di posta ricevente avvia una ricerca SPF controllando i record DNS del vostro dominio. Quindi confronta l'indirizzo IP del server di invio con le fonti autorizzate elencate nel vostro record SPF.

Se il server mittente è incluso, il messaggio supera l'autenticazione SPF, segnalando al sistema destinatario che l'e-mail può essere attendibile. Tuttavia, se il server di invio non è elencato come autorizzato, l'email non supera l'SPF. A seconda della politica configurata, il server ricevente può rifiutare completamente l'e-mail, metterla in quarantena o inviarla alla cartella spam del destinatario. L'intera sequenza avviene automaticamente e in pochi millisecondi, rendendo l'SPF un livello di protezione molto efficiente.

Di quale record SPF avete bisogno?

La determinazione del record SPF necessario richiede un'attenta revisione dell'infrastruttura di posta elettronica per identificare tutte le fonti legittime che inviano messaggi a nome del vostro dominio. L'esatto record SPF di cui avete bisogno dipende dal fatto che la vostra organizzazione utilizzi i propri server di posta, si affidi a fornitori terzi o operi in un ambiente ibrido.

Per le organizzazioni che utilizzano i propri server di postail record SPF deve includere gli indirizzi IP del server utilizzando i meccanismi "ip4" o "ip6". Un esempio è il seguente:

  • v=spf1 ip4:192.0.2.1 -all 

Questo record autorizza un singolo indirizzo IPv4 a inviare e-mail per il vostro dominio, mentre il meccanismo -all indica ai server di ricezione di rifiutare i messaggi provenienti da qualsiasi fonte non autorizzata.

Se la vostra azienda utilizza fornitori di terze partiè necessario includere i record SPF di ciascun servizio utilizzando le dichiarazioni "include". Esempi comuni sono:

  • Spazio di lavoro Google: include:_spf.google.com
  • Microsoft 365: include:spf.protection.outlook.com
  • Mailchimp: include:servers.mcsv.net

Per ambienti mistiè possibile combinare diversi meccanismi in un unico record SPF completo. Ad esempio:

  • v=spf1 include:_spf.google.com include:servers.mcsv.net ip4:203.0.113.1 -all

Questo esempio autorizza Google Workspace, Mailchimp e uno specifico indirizzo IPv4 a inviare per conto del vostro dominio.

Come controllare il record SPF

La verifica del record SPF è un passo essenziale per garantire che sia configurato correttamente e che funzioni come previsto. Una corretta convalida consente di individuare tempestivamente gli errori, prima che questi compromettano la consegna delle e-mail o espongano il vostro dominio a un uso improprio.

cosa-spf-record-mi- serve

A questo scopo sono disponibili diversi strumenti gratuiti e affidabili. Tra le opzioni più diffuse vi sono MXToolbox, il controllore SPF di PowerDMARCe Admin Toolbox di Google. Queste piattaforme consentono di analizzare rapidamente il record SPF pubblicato e restituiscono rapporti dettagliati. Evidenziano se il record è formattato correttamente, rilevano gli errori di sintassi e segnalano potenziali problemi di ricerca DNS che potrebbero causare errori imprevisti.

Quando si esegue un controllo, i risultati mostreranno di solito uno dei vari esiti:

Un risultato di "pass" indica che il server di invio è autorizzato e che l'e-mail ha soddisfatto i requisiti SPF. A "fail" significa che il server non è elencato nel vostro record SPF e l'e-mail è considerata non autorizzata.

A "softfail" suggerisce che il server è probabilmente non autorizzato, ma l'email può comunque essere consegnata (spesso con un avviso o inviata alla cartella spam), mentre un "neutro" significa che il record SPF non ha espresso chiaramente se il server è autorizzato, lasciando la decisione al server di posta del destinatario.

Oltre a questi, ci sono altri possibili risultati. "Nessuno" significa che non è stato trovato alcun record SPF per il dominio, quindi non c'è alcun criterio pubblicato da convalidare. "Errore" (errore permanente) si verifica quando il record SPF non è valido o è configurato in modo errato, ad esempio se ci sono troppe ricerche DNS o errori di sintassi che rendono impossibile al server del destinatario valutarlo correttamente. "Temperror" (errore temporaneo) indica un problema temporaneo, come un errore DNS, che ha impedito la corretta convalida SPF, ma che può essere risolto con un nuovo tentativo.

Errori comuni di SPF da evitare

Sebbene l'SPF fornisca una protezione potente, è facile comprometterne l'efficacia attraverso una configurazione errata. La comprensione di questi errori aiuta a implementare record SPF più efficaci fin dall'inizio.

L'errore più significativo è la creazione di più record SPF per un singolo dominio. Secondo le Limitazioni SPFil DNS consente un solo record SPF per dominio. Se ne esiste più di uno, i server di ricezione potrebbero trattare il record come non valido, facendo fallire l'autenticazione delle e-mail legittime. Invece, tutte le fonti di invio autorizzate devono essere accuratamente consolidate in un unico record completo.

Un altro problema comune è rappresentato dal superare il limite di 10 ricerche DNS. Ogni istruzione "include" o meccanismo che fa riferimento a voci DNS esterne conta per questo limite e le configurazioni complesse possono superarlo senza un'attenta pianificazione. Quando ciò accade, la convalida SPF fallisce per impostazione predefinita, compromettendo sia la deliverability che la fiducia.

Un'ulteriore svista è non aggiornare i record SPF quando si verificano cambiamenti nell'infrastruttura di posta elettronica. Ad esempio, se si adotta una nuova piattaforma di marketing, si cambia fornitore di hosting o si migra verso un servizio come Microsoft 365 o Google Workspace, ma si trascura di aggiornare il record SPF, i messaggi legittimi possono iniziare a non essere autenticati. Ciò interrompe le comunicazioni aziendali e può danneggiare le relazioni con i clienti se le e-mail critiche non arrivano.

Il bilancio

Il tipo di record SPF necessario dipende interamente dalla configurazione del servizio di posta elettronica e dall'infrastruttura complessiva a cui ci si affida. Se l'organizzazione gestisce i propri server di posta, il record SPF deve includere gli indirizzi IP corrispondenti. Se dipendete da fornitori di terze parti, come Google Workspace, Microsoft 365 o piattaforme di marketing specializzate, il vostro record deve includere i loro meccanismi pubblicati. In ogni caso, il record deve elencare in modo completo tutte le fonti di invio legittime, per garantire che il vostro dominio sia completamente protetto da abusi.

Tuttavia, è importante capire che l'SPF da solo non fornisce una protezione completa. Sebbene convalidi le fonti di invio, gli aggressori possono comunque aggirare l'SPF effettuando lo spoofing dell'indirizzo From: visibile, facendo credere ai destinatari che un'e-mail provenga dal vostro dominio anche se non supera i controlli SPF. 

Questo è il motivo per cui l'SPF non dovrebbe mai funzionare in modo isolato. Abbinato a DKIM (che convalida l'integrità del messaggio) e a DMARC (che impone l'allineamento tra il mittente visibile e i risultati dell'autenticazione) crea una vera e propria difesa a più livelli. Questo approccio combinato rafforza in modo significativo la protezione contro il phishing, lo spoofing e l'abuso di domini, offrendo ai destinatari una maggiore fiducia nell'autenticità e nell'affidabilità dei messaggi.

Se desiderate una guida esperta e personalizzata per la vostra configurazione, valutate la possibilità di prenotare una demo con PowerDMARC per vedere come le nostre soluzioni possono aiutarvi a proteggere il vostro dominio in modo più efficace.

Domande frequenti (FAQ)

Cosa succede se non si imposta un record SPF?

Senza un record SPF, è molto più probabile che le vostre e-mail vengano segnalate come sospette o contrassegnate come spam dai server di posta ricevuti. Inoltre, i criminali informatici possono facilmente falsificare il vostro dominio, inviando e-mail di phishing o fraudolente che sembrano provenire dalla vostra organizzazione. Questo non solo mette a rischio la deliverability delle vostre e-mail, ma anche la reputazione del vostro marchio e la fiducia dei clienti.

Un dominio può avere più record SPF?

No, i domini dovrebbero avere un solo record SPF. Più record SPF violano lo standard e causano fallimenti di autenticazione, poiché i server di posta non sono in grado di interpretare quale sia il record autorevole. È opportuno invece combinare tutte le fonti autorizzate in un unico record.

Ultimi messaggi di Ayan Bhuiya (vedi tutti)
Ultimo aggiornamento:
Che cos'è l'IPS? Definizione, tipi e funzionamentoPowerDMARC offre un supporto multilingue per la sicurezza globale delle email