Record SPF

Al giorno d’oggi sempre più persone utilizzano le e-mail per comunicare con altre persone. Con l’aumento dell’utilizzo delle e-mail sono nel corso degli anni anche aumentati i tentativi da parte di malintenzionati di intercettare dati sensibili.

Come ogni sistema che si sviluppa nel tempo i sistemi sono vulnerabili e per questo risulta necessario trovare dei metodi per evitare che l’utente finale finisca nel tranello dell’hacker. Uno dei modi per fare ciò è utilizzare un record SPF nel DNS del dominio. Questo record è stato creato come tentativo per evitare che il mittente di una mail venga falsificato e contiene le informazioni relative a chi può inviare una mail.

Quando il server e-mail del destinatario riceve una e-mail da un qualcuno, prima di consegnarla nella casella di posta, esso controlla sia il contenuto che i dati aggiuntivi della e-mail tra i quali chi è il mittente della mail e da quale server di posta essa è stata inviata. Queste informazioni vengono comparate con quelle contenute del record SPF presente nel dominio in modo tale da accertarsi che il server del mittente sia autorizzato all’invio delle e-mail. Qualora il server non sia autorizzato l’e-mail viene rimandata al mittente con l’avviso che viene rifiutata per sospetto spam o che il mittente non è contenuto nel SPF

Un record SPF è in record TXT presente nel DNS del dominio e ha una forma del tipo “v=spf1 a mx ip4:1.2.3.4 -all”. v=spf1″ indica la versione di SPF utilizzata. A questo seguono i cosiddetti meccanismi che indicano chi è autorizzato e che possono essere anticipati dai qualificatori che indicano se il mittente è autorizzato o meno.

qualificatori principali sono:

  • + indica il mittente è autorizzato
  •  indica che il mittente non è autorizzato
  • ~ indica che il mittente non è autorizzato, ma il messaggio può essere lasciato passare

meccanismi principali sono:

  • a: indica che vengono controllati i record del DNS di tipo A e AAAA presenti nel DNS. Viene usato ad esempio nel caso in cui una pagina può inviare una mail.
  • mx: che indica che è autorizzato chi invia dall’IP che viene utilizzato dal server
  • ip4: e ip6: entrambi vengono seguiti da un indirizzo IP4 o IP6. Ad esempio, ip4:1.2.3.4
  • include: indica che la politica di un altro dominio è accettabile. Un esempio è include:zcom.it
  • all che significa “tuti” e deve essere sempre posto alla fine del record. I meccanismi che seguono “all” vengono sempre ignorati.

Quando un record SPF viene valutato non deve essere fare più di 10 DNS Lookup altrimenti viene generato un errore. L’utilizzo di un numero eccessivo di record a, mx e include potrebbe rendere invalido il record stesso e quindi dare problemi nella consegna delle e-mail. Inoltre, nel calcolo del numero di lookup vengono contati anche gli include che sono presenti in un altro record. Per questo motivo dovrebbe essere incentivato l’uso di record ip4 e ip6 nella creazione del record SPF.

Best Practices

  • Quando possibile, inserire direttamente l’indirizzo IP utilizzando “ip4” o “ip6”.
  • Specificare solo i server di posta in uscita.
  • Per domini che non spediscono e-mail dovrebbe esserci un record “v=spf1 -all”.
  • Creare un record anche per i HELO/EHLO.
  • Per ridurre il carico sul DNS, è consigliabile inserire prima i parametri che non richiedono o chiedono pochi look-ups quali ad esempio “ip4” e solo successivamente quelli che ne richiedono molti.
  • Quando si è un provider e-mail non bisognerebbe usare “-“.

Un esempio pratico

Un cliente ha il dominio esempio.it. Collegato a questo dominio ci sono le sue caselle di posta con server da Limitis. Oltre alle caselle di posta, anche il suo sito Web usa questo dominio. Per le proprie campagne di marketing esso utilizza un famoso Tool di Newsletter XYZ.

Il record SPF per questo cliente dovrà essere creato in questo modo:

  • Il record inizia con “v=spf1”.
  • Vengono autorizzati all’invio i tool citati per cui vengono aggiunti i meccanismi a:esempio.it, include:zcom.it, include:xyz.it. Questi indicano in ordine che la pagina web, il server di email di Limitis e il tool di newsletter sono autorizzati all’invio.
  • Il record termina con un -all che indica che tutti i server di e-mail che non sono esplicitamente inclusi nei meccanismi delle email vengono rifiutati.

Il record finale è quindi “v=spf1 a:esempio.it include:zcom.it include:xyz.it -all”

Come puoi verificare il record SPF del tuo dominio?

Utilizza il nostro strumento “Limitis SPF-Checker” per verificare i tuoi record SPF e DMARC.
Puoi trovarlo gratuitamente su https://spf.limitis.com.
Lì otterrai tutte le informazioni necessarie.