Un record SPF attentamente personalizzato ridurrà la probabilità che il tuo nome di dominio venga fraudolentemente falsificato e impedisca ai tuoi messaggi di essere segnalati come spam prima che raggiungano i tuoi destinatari. Lo spoofing delle e-mail è la creazione di messaggi e-mail con un indirizzo di mittente falsificato; qualcosa che è semplice da fare perché molti server di posta non eseguono l’autenticazione. Le e-mail di spam e phishing in genere utilizzano tale spoofing per indurre in errore il destinatario sull’origine del messaggio. Diverse misure per affrontare lo spoofing, tuttavia, si sono sviluppate nel corso degli anni: SPF , ID mittente , DKIM e DMARC. Sender Policy Framework (SPF) è un sistema di convalida della posta elettronica progettato per prevenire lo spam rilevando lo spoofing della posta elettronica. Oggi, quasi tutti i messaggi di posta elettronica abusivi portano indirizzi di mittenti falsi. Le vittime i cui indirizzi vengono abusati spesso soffrono delle conseguenze, perché la loro reputazione diminuisce, devono sprecare il loro tempo a rimediare a messaggi di rimbalzo erroneamente indirizzati o (peggio) i loro indirizzi IP vengono inseriti nella lista nera.
L’SPF è uno standard aperto che specifica un metodo tecnico per prevenire la contraffazione dell’indirizzo del mittente. SPF consente agli amministratori di specificare quali host possono inviare posta per conto di un determinato dominio creando un record SPF specifico (o record TXT) nel Domain Name System (DNS). Gli scambisti di posta utilizzano i record DNS per verificare che la posta proveniente da un dato dominio sia inviata da un host autorizzato dagli amministratori di quel dominio.
Benefici
L’aggiunta di un record SPF al tuo file di zona DNS è il modo migliore per impedire agli spammer di falsificare il tuo dominio. Inoltre, un record SPF ridurrà il numero di messaggi di posta elettronica legittimi che vengono contrassegnati come spam o rimbalzati dai server di posta dei destinatari. Sfortunatamente, il record SPF non è efficace al 100%, perché non tutti i provider di posta lo controllano. Molti lo fanno, quindi, dovresti notare una diminuzione significativa della quantità di rimbalzi ricevuti.
Esempio di record SPF
Un record SPF viene aggiunto al file di zona DNS del tuo dominio come record TXT e identifica i server SMTP autorizzati per il tuo dominio.
TXT @ "v=spf1 a include:_spf.google.com ~all"
Assicurarsi di avvolgere il record SPF tra virgolette. La seguente tabella fornisce una spiegazione dei vari componenti del record SPF di esempio:
| componenti | Descrizione |
|---|---|
| TXT | Il tipo di record della zona DNS; I record SPF sono scritti come record TXT |
| @ | In un file DNS, il simbolo “@” è un segnaposto utilizzato per rappresentare “il dominio corrente” |
| v=spf1 | Identifica il record TXT come record SPF, utilizzando SPF Versione 1 |
| a | Autorizza gli host identificati nei record A del dominio per l’invio di e-mail |
| include: | Autorizza la posta da inviare per conto del dominio da google.com |
| ~all | Indica che questo elenco è tutto incluso e che nessun altro server è autorizzato ad inviare e-mail |
Componenti di un record SPF
Un record SPF è costituito dal numero di versione SPF seguito da stringhe comprendenti (i) meccanismi, (ii) qualificatori e (a volte) (iii) modificatori. I client SPF ignorano i record TXT che non iniziano con la stringa di versione "v=spf1 ...".
I record SPF possono definire zero o più meccanismi . I meccanismi possono essere utilizzati per descrivere il set di host che sono designati come mailer in uscita autorizzati per il dominio. Il seguente elenco sono meccanismi comuni inclusi in un record SPF:
all | ip4 | ip6 | a | mx | ptr | exists | include
I meccanismi possono essere preceduti da uno dei quattro qualificatori :
| Qualifier | Descrizione |
|---|---|
| + | Pass = L’indirizzo ha superato il test; accetta il messaggio. Esempio: “v=spf1 +all” |
| – | (Difficile) Fail = L’indirizzo non ha superato il test; rimbalzare qualsiasi e-mail non conforme.Esempio: “v=spf1 -all” |
| ~ | Soft Fail = L’indirizzo non ha superato il test, ma il risultato non è definitivo; accettare e taggare qualsiasi posta non conforme. Esempio: “v=spf1 ~all” |
| ? | Neutro = L’indirizzo non ha superato o fallito il test; fai tutto (probabilmente accetta la posta).Esempio: “v=spf1 ?All” |
Se un qualificatore non è incluso, il +qualificatore è implicito.
I record SPF possono anche definire 1 di 2 modificatori ; o, nessun modificatore. Ogni modificatore, tuttavia, può apparire solo una volta.
redirect | exp
I record SPF vengono valutati in un processo a due passaggi: in primo luogo, vengono valutati tutti i meccanismi e i qualificatori. Quindi, vengono valutati tutti i modificatori:
- I meccanismi sono valutati da sinistra a destra;
- I modificatori vengono valutati al secondo passaggio e possono verificarsi ovunque nel record.
meccanismi
| Meccanismo | Descrizione |
|---|---|
| all | Trova tutti gli IP locali e remoti e va alla fine del record SPF. Esempio: “v = spf1 +all” |
| IP4 | Specifica un singolo indirizzo IPv4 o un intervallo di indirizzi IPv4 accettabile. Si presume una maschera di / 32 se non è inclusa la lunghezza del prefisso. Esempio: “v=spf1 ip4:192.168.0.1/16 -all” |
| IP6 | Lo stesso concetto trovato in IP4, ma, ovviamente, con indirizzi IPv6, invece. Se non viene fornita la lunghezza del prefisso, viene assunto /128 (individuazione di un singolo indirizzo host). Esempio: “v=spf1 ip6:1234::9:800:100C:456A/96 -all” |
| a | Specifica tutti gli IP nel record A DNS. Esempio: “v=spf1 a:dominio.com -all” |
| mx | Specifica tutti i record A per il record MX di ogni host. Esempio: “v=spf1 mx mx:dominio.com -all” |
| ptr | Specifica tutti i record A per il record PTR di ciascun host. Esempio: “v=spf1 ptr:domain.com -all” |
| exist | Specifica uno o più domini normalmente indicati come eccezioni alle definizioni SPF. Una query viene eseguita sul dominio fornito; se viene trovato un risultato si verifica una corrispondenza. Esempio: “v=spf1 exist: domain.com -all” |
| include | Specifica altri domini che sono domini autorizzati. Esempio: “v=spf1 include: outlook.microsoft.com -all” |
Il meccanismo “tutto”Il allmeccanismo di solito va alla fine del record SPF; ed è preceduto da un qualificatore, ad esEsempiDescrizione”v = spf1 mx -tutto”Consente agli host MX del dominio di inviare posta per il dominio e vieta tutti gli altri host.”v = spf1 -tutto”Il dominio non invia alcuna mail.”v = spf1 + tutti”Questo SPF è inutile, in quanto non limita gli host autorizzati ad inviare e-mail.
modificatori
I modificatori sono opzionali e un modificatore può apparire solo una volta per record. I modificatori sconosciuti vengono ignorati.Il modificatore ” redirect ” invia la richiesta ad un altro dominio.
redirect=example.com
Cioè, il record SPF per example.com sostituisce il record SPF per il dominio corrente. Il modificatore di reindirizzamento è utile per coloro che desiderano applicare lo stesso record a più domini. Per esempio:
| Esempio di inserimento nel file di zona di ny.yourdomain.com: | TXT @ “v=spf1 redirect=_spf.yourdomain.com” |
| Esempio di inserimento nel file di zona sf.yourdomain.com: | TXT @ “v=spf1 redirect= _spf.yourdomain.com” |
| Esempio di inserimento nel file di zona di am.yourdomain.com: | TXT @ “v=spf1 redirect=_spf.yourdomain.com” |
| Esempio di inserimento nel file di zona _spf.yourdomain.com: | TXT @ “v=spf1 mx:yourdomain.com -all” |
Per chiarezza, è CONSIGLIATO che qualsiasi modificatore di “reindirizzamento” appaia come l’ultimo termine di un record.
Il modificatore ” exp ” imposta una spiegazione nel record SPF.
exp=[macro-stringa]
Se una query SPF produce un risultato FAIL, la spiegazione viene richiesta e la stringa di spiegazione fornisce ulteriori informazioni all’utente non conforme. La spiegazione viene generalmente inserita in un log SPF. Esempio: exp = spf-error. Un editore SPF può specificare la stringa di spiegazione che vedono i mittenti. In questo modo, un ISP può indirizzare gli utenti non conformi a una pagina Web che fornisce ulteriori istruzioni.
Mettere tutto insieme
Sebbene non sia necessario un record SPF sul server DNS per valutare la posta in arrivo rispetto alle policy SPF pubblicate su altri server DNS, la procedura migliore è impostare un record SPF sul server DNS. L’impostazione di un record SPF consente ad altri server di posta elettronica di utilizzare il filtraggio SPF (se la funzionalità è disponibile sul server di posta) per proteggere da e-mail in arrivo da indirizzi e-mail falsificati o falsificati che potrebbero essere associati al dominio. Poiché i record SPF vengono implementati in modo più ampio, il filtraggio SPF diventerà più efficace nell’identificare i messaggi di posta elettronica falsificati.