L’email spoofing è la creazione di messaggi di posta elettronica con un indirizzo mittente contraffatto allo scopo di indurre gli utenti a pensare che un messaggio provenga da una persona o un’entità che conoscono o di cui possono fidarsi. Gli utenti sono quindi indotti a cliccare su link dannosi, o aprire allegati malevoli o persino a effettuare pagamenti.
Gli attacchi di email spoofing si risolvono, per le vittime, in grandi perite di tempo per cercare le cause e correggere i rimbalzi, quando addirittura i loro indirizzi IP non vengono inseriti nelle blacklists, con conseguente perdita di reputazione del dominio interessato, e la posta che va a finire immancabilmente in spam!
IN QUESTO ARTICOLO:
- Cos’è il record SPF?
- Come si aggiunge un record SPF?
- Come è strutturato un record SPF?
- Sintassi del record SPF
- Crea il tuo record SPF
Cos’è il record SPF?
Il record SPF (Sender Policy Framework) è un sistema di convalida della posta elettronica progettato per prevenire lo spam rilevando lo spoofing della posta elettronica. È una sorta di “autenticazione” che i server di posta elettronica eseguono per indicare quali e-mail sono legittime e quali no.
Quando un mittente invia un messaggio e-mail, il server destinatario esegue una ricerca sul dominio di invio per individuare il record SPF: la presenza di un record SPF fa sì che il server destinatario possa “capire” se l’indirizzo IP da cui è stato inviato il messaggio è un mittente autenticato e, in tal caso, il messaggio viene consegnato.
Al contrario, i messaggi inviati da mittenti non autenticati finiscono in spam.
In sintesi, il record SPF impedirà che i tuoi messaggi vengano contrassegnati come spam prima che raggiungano i tuoi destinatari.
Oltre al record SPF, sono state sviluppate nel corso degli anni altre misure per affrontare lo spoofing: Sender ID , DKIM e DMARC.
Come si aggiunge un record SPF?
Un record SPF è collegato al nome di dominio. Quindi non è necessario un record separato per ogni indirizzo e-mail, ma uno per il nome di dominio (es. miodominio.com). Tutti gli indirizzi e-mail collegati a quel dominio sono protetti in questo modo.
Per poter aggiungere un record SPF è necessario avere accesso alla gestione dei DNS. Il record SPF è aggiunto come record TXT.
Se il DNS del proprio dominio è gestito da un provider, l’aggiunta dei record SPF è gestita dal provider.
Le modifiche ai record SPF avranno effetto solo dopo 1-4 ore.
Come è strutturato un record SPF?
Un record SPF tipo è così composto:
v=spf1 a mx ip4:123.0.0.0 ~all
Questa stringa indica che sono autorizzati in uscita:
- tutti i server che hanno come IP il valore dei record di tipo A e MX della zona DNS sul quale è impostato l’SPF
- l’IP 123.0.0.0
Se vogliamo includere diversi IP tra quelli autorizzati, possiamo utilizzare una sintassi di questo tipo:
v=spf1 a mx ip4:123.0.0.0 ip4:123.0.0.2/8 ip4:123.0.0.11 ~all
Per autorizzare gli indirizzi IP che si risolvono dall’SPF di un altro dominio a spedire a nostro nome scriviamo:
v=spf1 a mx ip4:123.0.0.0 ip4:123.0.0.2/8 ip4:123.0.0.11 include:spf.miohost.com ~all
Attenzione: è fondamentale includere nel record SPF tutti gli IP da cui può essere inviata posta a nome del proprio dominio!
Ad esempio, se invii la newsletter dal tuo sito devi includere l’host di invio della newsletter nel record SPF!
Sintassi del record SPF
Vediamo nel dettaglio i valori del record SPF:
v=spf1: indica quale versione dello standard SPF si utilizza; spf1 è la prima ed è perfetta
a : indica che i record A del dominio sono autorizzati
mx : indica che anche i record MX (server MX) del dominio stesso possono effettuare l’invio a nome del tuo dominio
include : indica che gli IP che si ottengono risolvendo il record SPF dell’host specificato sono autorizzati a spedire e-mail a nome del tuo dominio: nel nostro esempio “spf.miohost.com”
ip4: indica che il server con l’indirizzo IP specificato può inviare posta per questo dominio: nel nostro esempio “ip4:123.0.0.0”, “ip4:123.0.0.2/8”, “ip4:123.0.0.11”
all : questo parametro va dichiarato alla fine del record e può esprimere una serie di opzioni:
- -all = Hard Fail. Qualsiasi messaggio che non proviene da un server di posta elencato nel record SPF viene considerato spam
- ~all = Soft Fail. Qualsiasi messaggio che non proviene da un server di posta elencato nel record SPF è probabilmente spam e vengono lasciati passare con riserva
- ?all = Neutro. Per i messaggi provenienti da server che non sono stati incluso nel record SPF, non esiste una raccomandazione e devono essere considerati neutri
- +all = Pass. Nessuna restrizione per questo dominio. Indica che il record non contiene errori o avvisi ed è considerato sicuro
Crea il tuo record SPF
Per creare un record SPF personalizzato, vai qui. Sulla base di alcune domande, questo strumento genera il tuo record SPF.
Segui questi passaggi su dynu.com:
- Inserisci il tuo nome di dominio (es. tuodominio.com)
- Imposta “Consenti ai server elencati come MX di inviare email per tuodominio.com” su Sì se il server che gestisce il traffico di posta elettronica in entrata dal tuo dominio invia anche la posta elettronica. Se il traffico e-mail attraverso la Piattaforma e-mail di base scade, scegliere No .
- Impostare “Consenti l’indirizzo IP corrente del dominio per l’invio di e-mail ” su SÌ se il server Web a cui si riferisce il nome del dominio invia anche la posta.
- Usi un SMTP diverso? Inserisci il suo indirizzo IP nel campo “Indirizzi IP in formato CIDR che recapitano o inoltrano mail per questo dominio “. Il campo può contenere più indirizzi IP e gruppi di indirizzi IP.
- Inserisci in questo campo il nome dei domini autorizzati ad inviare la tua posta “Qualsiasi dominio che può consegnare o inoltrare la posta questo dominio”.
- Imposta “Consenti qualsiasi nome host che termina in lemonsoft.it per inviare email per tuodominio.com” su Sì se anche i tuoi sottodomini possono inviare e-mail.
- “Aggiungi nomi host del server che possono recapitare o inoltrare la posta per tuodominio.com”: qui inserisci gli host che puntano a server di posta elettronica per inviare mail per il tuo dominio.
- Copia il risultato e aggiungilo tramite le impostazioni DNS nel pannello di controllo del tuo gestore.
