Di cosa si tratta?
Il record SPF (Sender Policy Framework) consente a un server di posta elettronica di verificare la legittima provenienza delle email in entrata. Questo record si aggiunge all’interno di una zona DNS di un dominio per identificare i server o gli indirizzi IP autorizzati a inviare email per il dominio stesso.
A cosa serve ?
Lo scopo del record SPF è impedire agli spammer di inviare messaggi con indirizzi del mittente falsificati interni al tuo dominio, ovvero spacciarsi per il tuo mittente pur non essendo un utente della tua organizzazione che ha accesso all’utilizzo del tuo indirizzo mail.
I server destinatari possono controllare il record SPF per determinare se un messaggio che sembra provenire dal tuo dominio proviene da un server di posta autorizzato e conseguentemente a questo controllo decidere di scartarlo in quanto SPAM o accettarlo e consegnarlo a destinazione all’indirizzo mail del destinatario.
Il record SPF
Il record SPF viene inserito come record DNS nella zona del DNS (server dei nomi) di cui ha competenza il dominio, sotto forma di record TXT.
Il record contiene un elenco degli indirizzi IP dai quali possono essere inviate e-mail per questo dominio.
Sono inoltre presenti altri record, ad esempio per il server di filtro e-mail attraverso il quale l’e-mail deve passare prima di essere inoltrata al destinatario.
Queste “stazioni intermedie” sono spesso inserite con l’istruzione include.
parametri più comuni:
| Parametro | Significato |
|---|---|
| v | Versione del record; v=SPF1 indica la versione attualmente valida. |
| ip4 | Indirizzo IP; “IP4” è la denominazione della nota forma di indirizzo IP. Oltre a questa, esistono i nuovi indirizzi IP6 che però sono ancora poco diffusi. |
| -all | Tutti gli altri mittenti non indicati qui non sono autorizzati e devono essere rifiutati. |
| include | Indica altri domini il cui record SPF deve essere richiamato. |
esempio:
tuonomedominio.it. IN TXT "v=spf1 ip4:indirizzoipdelserver include:ocusfocus.eu include:ocusfocus.it include:ocusfocus.net ~all
Oltre al codice -all sopra indicato, esiste anche la versione con la tilde: ~all. Questa indica che tutti gli altri mittenti non sono autorizzati, ma devono tuttavia essere accettati. Questa dichiarazione “soft fail” è stata inizialmente introdotta per finalità di test, ma oggi è utilizzata da diversi provider di hosting.
Vantaggi e svantaggi
Per motivi di sicurezza, oggi il record SPF è sempre più richiesto come requisito obbligatorio da un numero crescente di provider di servizi Internet.
Questo significa che il server di posta ricevente non consegna all’utente finale le e-mail che non dispongono della necessaria autorizzazione, oppure le consegna con un avvertimento (“e-mail non sicura”).
Il principale vantaggio del record SPF è costituito dalla facilità di implementazione: è sufficiente un semplicissimo record TXT. Nella maggior parte dei casi, questo può essere generato automaticamente dal provider del servizio.
Per quanto il record SPF sia importante, la sua efficacia come protezione non deve essere sopravvalutata, questo perchè:
- SPF non protegge dallo spoofing. Nonostante SPF, un truffatore può comunque riuscire a far visualizzare nell’e-mail un nome mittente falso.
- SPF non migliora la reputazione del mittente. Anche uno spammer può utilizzare SPF.
- SPF non protegge da un mittente di posta non autorizzato. Se qualcuno invia messaggi dal vostro server di posta senza esserne stato autorizzato, SPF non interviene.
Solitamente, il record SPF si utilizza insieme ad altri meccanismi di sicurezza, in particolare insieme a DKIM e DMARC che vedrremo in seguito.
Generalmente, l’utente non deve occuparsi di scrivere e inserire autonomamente il record SPF.
I provider di hosting e-mail validi offrono strumenti appositi a tale scopo e nella maggiorparte dei casi, il record spf viene automaticamente configurato.
Chi già si serve dei ns. servizi di hosting ne è a conoscenza.