In questo articolo parleremo dei record SPF e del perch\u00e9 \u00e8 essenziale utilizzarli per la sicurezza delle email<\/a>. Prima di dire cosa sia un record SPF, vediamo cosa significa SPF.<\/p>\n Il Sender Policy Framework (SPF) \u00e8 un metodo di autenticazione delle email che ha lo scopo di individuare gli indirizzi del mittente contraffatti durante la consegna delle email.<\/p>\n Gli aggressori spesso falsificano gli indirizzi dei mittenti<\/a>, facendoli sembrare autentici, come se fossero quelli di un utente normale. L’SPF pu\u00f2 permettere di individuare questi messaggi e a metterli in quarantena, impedendo loro di sferrare i propri attacchi.<\/p>\n L’SPF permette al server di ricezione di verificare se un’email che sembra provenire da un determinato dominio proviene effettivamente da un indirizzo IP autorizzato di quel dominio. L’elenco contenente tutti gli indirizzi IP e gli host autorizzati per un dominio specifico si trova nei record DNS<\/a> del dominio stesso.<\/p>\n\n Un record SPF \u00e8 un tipo di record TXT<\/a> pubblicato in un file di zona DNS, contenente un elenco di tutti i server di posta autorizzati che possono inviare email a nome del dominio. Si tratta di un’implementazione di SPF che deve essere aggiunta al DNS<\/a> per individuare e impedire agli spammer di inviare email dannose con indirizzi contraffatti a nome del dominio.<\/p>\n Gli spammer effettuano lo spoofing delle email creando un’email con indirizzi mittente contraffatti, dato che la maggior parte dei server email non esegue l’autenticazione. Modificano quindi l’indirizzo del mittente di un’email falsificando le intestazioni<\/a>, facendo credere che le email siano state inviate dal vostro dominio.<\/p>\n Questa operazione si chiama spoofing e permette agli spammer di ingannare gli utenti, ottenere i loro dati privati e causare danni alla reputazione.<\/p>\n Oggi, quasi tutte le email dannose riportano indirizzi falsi. Di conseguenza, le persone a cui gli aggressori hanno rubato l’indirizzo email subiscono un danno alla reputazione, perdono tempo a correggere i messaggi rimbalzati, i loro indirizzo IP finiscono nella lista nera, ecc.<\/p>\n Per questo motivo, i record SPF sono necessari per migliorare la deliverability e la sicurezza delle email<\/a>.<\/p>\n In generale, un record SPF viene definito utilizzando un tipo di record TXT (da non confondere con il record SPF di tipo file).<\/p>\n Un record SPF inizia con una “v”, che indica la versione SPF utilizzata. Al momento questa versione deve essere “spf1” perch\u00e9 \u00e8 riconosciuta dalla maggior parte dei server di scambio di posta.<\/p>\n Seguono altri termini che definiscono le regole per gli host che inviano email dal dominio in questione. Questi termini possono anche fornire ulteriori informazioni per l’elaborazione del record SPF.<\/p>\n Ecco come si presenta un record SPF e il significato di ogni sua parte:<\/p>\n Qualsiasi computer pu\u00f2 inviare email sostenendo di provenire da qualsiasi indirizzo consentito dall’SMTP<\/a>. Gli aggressori e i truffatori sfruttano questa possibilit\u00e0 utilizzando indirizzi contraffatti, difficili da rintracciare.<\/p>\n Una tecnica simile viene utilizzata negli attacchi di phishing, in cui gli aggressori inducono gli utenti a rivelare le loro informazioni personali o aziendali imitando un sito o un servizio autentico che gli utenti frequentano.<\/p>\n Per contrastare questo fenomeno, l’SPF consente al proprietario di un dominio di stabilire quali computer sono autorizzati a inviare email da quel dominio, utilizzando i record DNS. Inoltre, i destinatari possono rifiutare un’email proveniente da una fonte non autorizzata dopo aver verificato il suo indirizzo dai record SPF, prima di ricevere il corpo dell’email.<\/p>\n Come abbiamo visto nell’esempio precedente, un record SPF ha la forma di una voce TXT che elenca tutti gli indirizzi IP dei server email autorizzati. \u00c8 possibile impostare uno o pi\u00f9 indirizzi IP autorizzati per l’invio di email in una voce SPF.<\/p>\n Quando un utente autorizzato invia un’email con un record SPF abilitato, il server di posta del destinatario esegue una ricerca DNS per individuare la voce TXT e stabilire se l’indirizzo IP<\/a> del mittente \u00e8 autorizzato.<\/p>\n Se non trova alcun record SPF, invia al mittente un messaggio di “hard fail” o “soft fail”.<\/p>\n Se il server del destinatario rifiuta il dominio, l’utente o il client non autorizzato riceve un messaggio di rifiuto (“hard fail”). Se invece il client \u00e8 un agente di trasferimento di messaggi (MTA), verr\u00e0 generato un messaggio di rimbalzo all’indirizzo di posta elettronica effettivo (“soft fail”).<\/p>\n I record SPF sono composti da diverse parti, a partire dal numero di versione.<\/p>\n Tutti i record SPF iniziano con un numero di versione, che deve essere autorizzato dai meccanismi che definiscono i mittenti validi. Il numero di versione SPF, ad esempio spf1, \u00e8 seguito da una stringa che comprende meccanismi, quantificatori e modificatori.<\/p>\n I meccanismi descrivono gli host designati come mittenti autorizzati in uscita per un determinato dominio. Un record SPF pu\u00f2 avere zero o pi\u00f9 meccanismi. Alcuni meccanismi comuni nei record SPF sono:<\/p>\n Definiscono tutti gli indirizzi IP autorizzati a inviare email dal dominio.<\/p>\n I meccanismi hanno un quantificatore per definire come possono gestire una corrispondenza.<\/p>\n Un server di posta elettronica confronta l’indirizzo IP del mittente con l’elenco degli indirizzi IP autorizzati nei meccanismi. Quando trova una corrispondenza per l’indirizzo IP in uno dei meccanismi SPF, implementa la regola per la gestione del risultato. La regola predefinita \u00e8 I quattro quantificatori sono i seguenti:<\/p>\n Quando in un record SPF non si vede alcun quantificatore, significa che \u00e8 stato applicato il quantificatore I modificatori permettono di estendere il framework. Sono coppie di valori o nomi separati dal segno I due modificatori pi\u00f9 utilizzati sono:<\/p>\n Se il dominio ha un record SPF, diminuisce le possibilit\u00e0 di ricevere email dannose e contraffatte, migliorando la sicurezza dell’email e proteggendola da cyberattaccanti e spammer<\/a>.<\/p>\n Un record SPF aumenta anche la credibilit\u00e0 del dominio e riduce le possibilit\u00e0 di essere cancellati dai filtri antispam. In questo modo, le email legittime vi raggiungono pi\u00f9 rapidamente.<\/p>\n Inoltre, aggiungere record SPF nel dominio \u00e8 diventato sempre pi\u00f9 cruciale per verificare quali mittenti possono inviare email a nome del dominio. Offre molti vantaggi, che analizzeremo di seguito.<\/p>\n I record SPF aiutano ad aumentare la sicurezza delle email sia per i privati che per le aziende. Nell’era della cybersicurezza, in cui gli utenti di tutto il mondo sono vittime di crimini informatici, \u00e8 necessario prendere provvedimenti per proteggere la casella di posta elettronica.<\/p>\n Aggiungere un record SPF \u00e8 un modo per farlo. Rendendo pi\u00f9 difficile il passaggio dei malintenzionati, \u00e8 meno probabile che i messaggi spam arrivino nella casella di posta; di conseguenza, la sicurezza delle email aumenta.<\/p>\n Se un dominio non ha un record SPF, le sue email possono essere respinte o i server possono contrassegnarle come spam. Se questo accade ripetutamente, la capacit\u00e0 di inviare email al proprio pubblico (nota anche come deliverability) si riduce.<\/p>\n Questo diventa un ostacolo per i privati e le aziende che utilizzano questi domini per raggiungere i propri clienti, dipendenti, venditori e altre persone associate.<\/p>\n Se i vostri utenti ricevono costantemente email da aggressori che si spacciano per la vostra azienda<\/a>, la credibilit\u00e0 del dominio \u00e8 a rischio. I malintenzionati possono anche danneggiare i vostri clienti e i vostri dipendenti esponendo i loro dati personali, il che danneggia ulteriormente la vostra reputazione<\/a>.<\/p>\n Ecco perch\u00e9 \u00e8 fondamentale proteggere il dominio da questi incidenti con l’aiuto dei record SPF. Limitando l’invio di email solo agli indirizzi IP autorizzati elencati nei record, eviterete l’invio di messaggi spam e ridurrete la probabilit\u00e0 di attacchi di questo tipo.<\/p>\n Il sistema di verifica delle email DMARC<\/a> garantisce che solo gli utenti autorizzati inviino email a nome del dominio.<\/p>\n Le sue policy indicano anche ai server come gestire le email con verifiche DKIM e SPF non riuscite. Il DMARC stabilisce che tali email devono essere contrassegnate come rifiutate, spam o consegnate.<\/p>\n Inoltre, consente agli amministratori del dominio di ricevere rapporti che evidenziano le attivit\u00e0 di posta elettronica e di modificare le proprie policy di conseguenza.<\/p>\n \u00c8 necessario impostare un record SPF per il dominio<\/a> se si inviano email commerciali e transazionali a clienti, dipendenti o fornitori. L’utilizzo di diverse soluzioni per la sicurezza delle email consolida deliverability e sicurezza.<\/p>\n Pertanto, se volete che le vostre email raggiungano la destinazione prevista, un record SPF vi garantir\u00e0 questo risultato e una maggiore sicurezza per i vostri domini e le vostre email. Filtra le email contraffatte di phisher e spammer e protegge la vostra reputazione.<\/p>\n Ecco come aggiungere, creare e modificare i vostri SPF.<\/p>\n Prima di creare un record SPF, \u00e8 necessario capire se la vostra configurazione per l’invio di email lo richiede.<\/p>\n Quindi, per prima cosa, bisogna capire il percorso di ritorno. L’SPF si basa sul dominio utilizzato nel percorso di ritorno, anzich\u00e9 sul dominio FROM. Pertanto, all’inizio, cercate di capire quale sia il percorso di ritorno utilizzato per l’invio della vostra posta elettronica.<\/p>\n Inoltre, alcuni servizi di invio di email (ESP) come Google possono utilizzare il vostro nome di dominio nel percorso di ritorno. Questo richiede la creazione di un record SPF per il vostro dominio.<\/p>\n Tuttavia, altri ESP, come Postmark, possono utilizzare il loro dominio nel percorso di ritorno e in questo caso non \u00e8 necessario creare un SPF da soli, ma deve farlo il vostro ESP.<\/p>\n Quindi, ora che sapete perch\u00e9 dovete impostare un record SPF, vediamo come fare.<\/p>\n Le organizzazioni possono avere pi\u00f9 indirizzi da cui inviare le email. Quindi, come primo passo per la creazione di un record SPF, \u00e8 necessario individuare gli indirizzi IP utilizzati dal vostro dominio per inviare le email. Elencate tutti gli indirizzi IP e i server di posta corrispondenti in un documento di testo o in un foglio di calcolo.<\/p>\n Inoltre, scoprite quali sono le vie utilizzate per l’invio di email a nome del vostro brand. Potrebbe trattarsi di un server web, di un server di posta elettronica in ufficio come Microsoft Exchange, del server di posta del vostro ESP, di un server di posta appartenente al provider di caselle postali del vostro client o di un server di posta di terze parti<\/a>.<\/p>\n Se non siete sicuri dei vostri indirizzi IP, potete contattare il vostro ESP e ottenere l’elenco completo di tutti gli indirizzi IP relativi al vostro account. Un’altra opzione potrebbe essere quella di parlarne con il vostro amministratore di sistema. Loro possono fornirvi un elenco di tutti gli indirizzi IP utilizzati dalla vostra azienda.<\/p>\n Un’organizzazione pu\u00f2 possedere molti domini. Alcuni di questi domini possono essere dedicati all’invio di email e altri a scopi diversi.<\/p>\n Nel secondo step, dovrete creare un record SPF per ogni dominio, indipendentemente dal fatto che i domini siano utilizzati per l’invio di email o per altri scopi.<\/p>\n Questo perch\u00e9 i criminali informatici potrebbero tentare di creare uno spoofing degli altri domini che potreste non utilizzare per l’invio di email, in quanto non saranno protetti da SPF, mentre gli altri domini utilizzati per l’invio di email lo sono.<\/p>\n L’SPF confronta l’indirizzo IP del server di posta del mittente con un elenco di indirizzi IP di mittenti autorizzati pubblicato dal mittente nel suo record DNS<\/a> per convalidare l’identit\u00e0 del mittente e garantire la sicurezza delle email.<\/p>\n Per creare un record SPF, dovrete scrivere un tag Inoltre, se utilizzate una soluzione di terze parti per inviare email a nome del vostro dominio:<\/p>\n Ora il vostro SPF potrebbe assomigliare a questo:<\/p>\n Questo \u00e8 per i domini che sono autorizzati a inviare email a vostro nome. Per gli altri domini, invece, dovete escludere i modificatori (tranne Ecco come potrebbe apparire il vostro record SPF per i domini che non utilizzate per l’invio di email: Ecco come creare il vostro record SPF. Dopodich\u00e9, \u00e8 sufficiente pubblicarlo.<\/p>\n Una volta definito il record SPF, il passo successivo \u00e8 pubblicarlo nel vostro DNS. Esistono due metodi:<\/p>\n In questo modo i destinatari delle email come Gmail<\/a>, Hotmail, Mailbird, ecc. potranno richiedere il record SPF.<\/p>\n Inoltre, se volete aggiornare i record DNS:<\/p>\n Dopo aver creato e pubblicato il vostro record SPF, potete utilizzare un programma di verifica del record SPF per testarlo. Sul mercato ci sono molte opzioni per il controllo dei record SPF, come Dmarcian, Agari, Mimecast, ecc.<\/p>\n Eseguire un test vi aiuter\u00e0 a verificare la validit\u00e0 del vostro record SPF e a vedere l’elenco di tutti i server autorizzati che possono inviare email a nome del vostro dominio. Se non vedete un indirizzo IP legittimo nell’elenco, potete includere l’indirizzo IP di invio rimasto e aggiornare il record.<\/p>\n Per aggiungere un record SPF dovete accedere al pannello di controllo del DNS del vostro dominio. Se utilizzate un provider di servizi di web hosting come Kinsta, aggiungere un record SPF al vostro DNS sar\u00e0 pi\u00f9 semplice. Potete consultare la documentazione e seguire i passaggi indicati.<\/p>\n In generale, i provider di servizi di posta elettronica pubblicano i record SPF per consentire l’invio di email dai vostri domini. Ma se non ne avete idea o se il vostro ISP gestisce i vostri record DNS, potete rivolgervi al vostro reparto IT.<\/p>\n Sebbene aggiungere i record SPF vi fornisca vantaggi in termini di sicurezza delle email, recapitabilit\u00e0<\/a> e altro, ci sono alcune limitazioni. Scopriamole.<\/p>\n Le versioni precedenti di SPF controllavano le impostazioni nei record DNS TXT del dominio mittente per facilitare la distribuzione e i test. I record DNS TXT sono stati concepiti come testo libero senza alcuna semantica.<\/p>\n Tuttavia, nel 2005 la IANA ha assegnato un Resource Record di tipo 99 a SPF. Ci\u00f2 ha comportato una riduzione dell’utilizzo di SPF, poich\u00e9 gli utenti erano sopraffatti dai due meccanismi, che li confondevano. Nel 2014 \u00e8 stato dismesso.<\/p>\n L’SPF \u00e8 stato originariamente progettato per impedire agli aggressori di falsificare l’indirizzo di posta elettronica (envelope-from). Ma ora molti lo fanno solo nel campo “Da” dell’intestazione della posta, che \u00e8 visibile ai destinatari invece di essere elaborato dal loro MTA. Questo aumenta i rischi di spoofing.<\/p>\n Anche se potete utilizzare SPF con DMARC per controllare il campo “Da” dell’intestazione della posta, potreste aver bisogno di una soluzione avanzata e pi\u00f9 forte per rimanere protetti dallo spoofing del nome visualizzato invece di SPF.<\/p>\n Inoltre, \u00e8 difficile aggiornare i record SPF se si aggiungono flussi di posta elettronica o si cambia ISP. I record SPF possono anche interrompere l’inoltro di un messaggio semplice e non garantiscono l’autenticazione delle email.<\/p>\n Prima di scoprire le best practice per creare e mantenere i record SPF, parliamo di alcune prassi generali.<\/p>\n Dopo queste prassi generali, scopriamo alcune delle best practice relative all’utilizzo dei record SPF.<\/p>\n L’SPF include meccanismi complessi, ma non \u00e8 necessario utilizzarli tutti nei vostri record SPF. Mantenete i vostri record SPF semplici e definite solo il numero necessario di record SPF, non di pi\u00f9.<\/p>\n Questo vale anche per il meccanismo Aggiungete gli intervalli in notazione CIDR, perch\u00e9 un singolo errore pu\u00f2 alterare drasticamente il valore. Quindi, se un aggressore riesce a compromettere alcuni dei vostri sistemi e uno di essi possiede un indirizzo IP appartenente a questo intervallo, potrebbe essere fatale. Pu\u00f2 utilizzare in modo improprio l’indirizzo IP correttamente autenticato per inviare email di spam. Potrebbe danneggiare la vostra reputazione, causare una perdita di dati e far s\u00ec che il vostro dominio venga segnalato come spam dai provider di posta elettronica<\/a>.<\/p>\n Dato che questo rischio \u00e8 molto diffuso, i provider di posta elettronica sono diventati vigili e bloccano i domini che sembrano sospetti per evitare che ci\u00f2 accada. Limitano gli intervalli di dimensioni del CIDR da considerare validi nei record SPF.<\/p>\n Evitate di utilizzare l’istruzione La dichiarazione In generale, i domini hanno un solo record SPF, il che significa che possono memorizzare un solo record TXT che inizia con la dicitura Questa limitazione SPF viene violata di frequente. Molti tentano di aggiungere pi\u00f9 record perch\u00e9 potrebbero aver implementato diversi servizi nel loro dominio e ogni fornitore di servizi potrebbe richiedere la creazione e l’aggiunta di un record SPF al proprio dominio.<\/p>\n I record duplicati danneggiano la deliverability delle email, generano rischi per la sicurezza e possono infangare la vostra reputazione. I grandi provider di servizi di posta elettronica come Google e Microsoft dispongono di tecniche per limitare questi danni e correggere automaticamente i record duplicati. Ma i sistemi di posta elettronica minori potrebbero non adottare queste misure.<\/p>\n Quando individuate record SPF duplicati, dovete affrontare immediatamente il problema, che \u00e8 abbastanza facile da risolvere. Le organizzazioni che hanno diversi record SPF possono unirli in un’unica dichiarazione. Unendo due record SPF, Secondo la RFC, i record SPF possono contenere fino a 255 caratteri per una singola stringa. Questa \u00e8 una limitazione per tutti i record TXT di un DNS.<\/p>\n Come spiegato in precedenza, i record SPF che non rispettano questa linea guida possono generare errori permanenti o temporanei nei sistemi di posta elettronica dei destinatari. Anche se il vostro gestore DNS potrebbe impedirvi di superare questo limite, ci\u00f2 potrebbe comportare dei problemi durante l’archiviazione di record pi\u00f9 lunghi.<\/p>\n Anche se i record possono contenere solo 255 caratteri in un’unica stringa, esiste l’opzione di creare pi\u00f9 stringhe in un record DNS. In questo modo, quando il server di posta del destinatario inizia ad analizzare il record SPF e trova pi\u00f9 stringhe in un record, le combina in un ordine specifico senza spazi.<\/p>\n Una volta fatto questo, il server di posta verificher\u00e0 il contenuto. Anche in questo caso, tenete presente che c’\u00e8 un limite al numero totale di caratteri del vostro record, anche se potete aggiungere pi\u00f9 stringhe. Capire questo limite potrebbe essere difficile, ma assicura che i pacchetti DNS non superino i 512 byte, la lunghezza consigliata dei pacchetti UDP.<\/p>\n Ma se il vostro record SPF supera questo limite, create dei sotto-record e suddividete un singolo record in pi\u00f9 record per evitare problemi di verifica SPF. Durante la suddivisione dei record SPF, includete ogni sottoregistro nella parte principale. Fate attenzione perch\u00e9 questo potrebbe creare un numero eccessivo di richieste DNS, il che rappresenta un problema di sicurezza da risolvere.<\/p>\n Oltre a mantenere 255 caratteri in una stringa, dovete anche limitare il numero di lookup del DNS. Le specifiche RFC indicano di non eseguire pi\u00f9 di 10 ricerche DNS nel record. Questo aiuta a prevenire problemi come i loop DNS infiniti e gli attacchi DDoS (Distributed Denial of Service)<\/a>.<\/p>\n Ma cosa succede quando si effettuano pi\u00f9 di 10 ricerche nel record?<\/p>\n Si verifica un errore permanente durante l’autenticazione SPF. I meccanismi SPF – Tuttavia, i meccanismi Fate anche attenzione alle dichiarazioni di inclusione annidate, come i sotto-record che vengono utilizzati per scomporre un record pi\u00f9 grande. Questo pu\u00f2 aumentare le query DNS generate dal vostro record SPF. Quindi, se usate un servizio di terze parti, assicuratevi che non utilizzi query DNS eccessive nei record SPF.<\/p>\n Tutte le voci SPF si risolvono in una sottorete o in un indirizzo IP.<\/p>\n Le sottoreti e gli indirizzi IP duplicati possono essere facilmente generati durante la creazione di un elenco di indirizzi IP e di sistemi autorizzati a inviare email. In genere, questo pu\u00f2 accadere quando si aggiunge la dichiarazione La best practice da seguire \u00e8 quella di utilizzare la notazione ip4 o ipv6, se l’indirizzo IP del server cambia raramente. In questo modo i destinatari eviteranno le ricerche DNS. Inoltre, potete specificare un intervallo di indirizzi IP se avete un lungo elenco di server email in uscita, dato che le ricerche DNS per ogni record SPF sono limitate a dieci.<\/p>\n Oltre a questi, potete valutare anche altri aspetti:<\/p>\n Il DKIM (DomainKeys Identified Mail) fornisce una chiave di crittografia e una firma digitale per verificare che un messaggio email non sia stato falsificato o alterato. Poich\u00e9 DKIM utilizza firme digitali crittografiche, dovete seguire alcune best practice per proteggere il vostro dominio.<\/p>\n Il DMARC (Domain-based Message Authentication and Conformance) unifica i meccanismi di autenticazione SPF e DKIM in un quadro comune e consente ai proprietari dei domini di dichiarare il modo in cui desiderano che un’email proveniente da quel dominio venga gestita se non supera un test di autorizzazione.<\/p>\n Il DMARC offre numerosi vantaggi. Vi fornisce una funzione di reporting e vi permette di segnalare ai provider di servizi di posta elettronica di bloccare i messaggi che non hanno superato l’autenticazione e che sono stati inviati a nome del vostro dominio. Questo aiuta a identificare e bloccare i messaggi fraudolenti inviati dal vostro dominio, salvaguardando i vostri clienti e migliorando la reputazione del dominio.<\/p>\n Quindi, se non utilizzate ancora il DMARC, iniziate a farlo immediatamente. E se lo usate, assicuratevi che i vostri messaggi includano “l’allineamento degli identificatori”. Questo allineamento \u00e8 essenziale affinch\u00e9 un’email superi la verifica del DMARC. Ma se non lo inserite durante l’utilizzo del DMARC, le vostre email verranno inviate direttamente alla lista dei sospetti.<\/p>\n Potete utilizzare alcuni strumenti per verificare i record SPF. Questi strumenti sono noti come strumenti di controllo dei record SPF o controllori di record SPF.<\/p>\n Un checker di record SPF aiuta a garantire la validit\u00e0 di un record SPF controllando vari parametri:<\/p>\n Esempi di strumenti di verifica dei record SPF sono, tra gli altri, Dmarcian, Agari e Mimecast.<\/p>\n\n Dato che i rischi della cybersicurezza si stanno evolvendo e colpiscono sia i privati che le aziende, \u00e8 necessario implementare il maggior numero di livelli di sicurezza possibile per rimanere protetti. Esistono molte tecniche, strumenti, soluzioni e servizi di sicurezza per proteggere i dati, la rete, le applicazioni e i sistemi.<\/p>\n Un record SPF al vostro dominio \u00e8 una di quelle soluzioni tecniche che possono aiutarvi a salvaguardare i beni e la reputazione della vostra azienda, impedendo agli spammer di inviare email a nome del vostro dominio.<\/p>\n L’utilizzo di un SPF da solo potrebbe non offrirvi una protezione completa; per questo motivo, utilizzate DKIM e DMARC con i vostri record SPF. Questa strategia \u00e8 pi\u00f9 efficace nel rilevare i rischi per la sicurezza come lo spoofing delle email, l’inserimento nella lista nera dei server e la segnalazione come spam.<\/p>\n Quindi, se utilizzate queste tecniche, assicuratevi di seguire le best practice elencate sopra per i record SPF, DKIM e DMARC e di utilizzare un programma di controllo dei record SPF per verificare la validit\u00e0 del vostro record.<\/p>\n","protected":false},"excerpt":{"rendered":" Una tecnologia per la sicurezza come Sender Policy Framework (SPF) pu\u00f2 rivelarsi preziosa in un mondo afflitto da attacchi online e messaggi spam. La sicurezza informatica …<\/p>\n","protected":false},"author":164,"featured_media":63624,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_kinsta_gated_content":false,"_kinsta_gated_content_redirect":"","footnotes":""},"tags":[49,10918,5535,26146,26147],"topic":[25879,26067],"class_list":["post-58523","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","tag-dns","tag-email","tag-email-deliverability","tag-record","tag-spf","topic-suggerimenti-email-marketing","topic-suggerimenti-sicurezza"],"yoast_head":"\n
\nCosa Significa SPF?<\/h2>\n
![\"Procedura](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/spfrecord-1.png\")
Cos’\u00e8 un Record SPF?<\/h2>\n
![\"Record](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/SPF-Record-1.png\")
Sintassi del Record SPF<\/h3>\n
Esempio di Record SPF<\/h3>\n
<v=\"spf1 a include:_spf.google.com -all\">\n<\/pre>\n
\n
v=spf1<\/code> \u00e8 l’SPF versione 1, un componente che identifica un record TXT come un record SPF.<\/li>\na<\/code> autorizza l’host individuato nel record A del dominio a inviare le email.<\/li>\ninclude:<\/code> \u00e8 utilizzato per autorizzare le email che il mittente pu\u00f2 inviare a nome di un dominio (in questo caso, google.com).<\/li>\n-all<\/code> indica al server del destinatario che gli indirizzi non elencati in questo record SPF non sono autorizzati a inviare email. Indica inoltre ai server di rifiutare tali indirizzi.<\/li>\n<\/ul>\nCome Funziona un Record SPF?<\/h2>\n
![\"Modello](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/SPF-Record-Works-1-1.jpg\")
Componenti di un Record SPF<\/h2>\n
Numero di Versione<\/h3>\n
Meccanismi<\/h3>\n
\n
a<\/code>:<\/strong> specifica tutti gli indirizzi IP in un record DNS A (esempio: v=spf1 a:google.com -all<\/code>). Viene utilizzato per ultimo e definisce la regola per gestire un IP mittente che non corrisponde a nessun meccanismo precedente.<\/li>\nmx<\/code>:<\/strong> definisce tutti i record A verso il record MX appartenenti a ciascun host. Esempio v=spf1 mx mx:google.com -all<\/code><\/li>\ninclude:<\/code>:<\/strong> definisce altri domini autorizzati (ad esempio: v=spf1 include:outlook.microsoft.com -all<\/code>). Se la policy di quel particolare dominio \u00e8 valida, anche questo meccanismo sar\u00e0 valido. \u00c8 necessaria l’estensione di reindirizzamento se si vuole ottenere una delega completa con la policy di un altro dominio.<\/li>\nptr<\/code>:<\/strong> definisce tutti i record A verso il record PTR di ogni host (esempio: v=spf1 ptr:domain.com -all<\/code>). Tuttavia, se possibile, \u00e8 meglio evitare questo meccanismo.<\/li>\nall<\/code>:<\/strong> corrisponde a tutti gli indirizzi IP locali e remoti e viene utilizzato alla fine del record SPF (esempio: v=spf1 +all<\/code>).<\/li>\nexists<\/code>:<\/strong> specifica i domini contrassegnati come eccezione secondo la definizione SPF. Quando si esegue una query su un determinato dominio, questo corrisponde al risultato ottenuto. Viene utilizzato raramente e offre corrispondenze pi\u00f9 complicate come le query DNSBL.<\/li>\nip4<\/code>:<\/strong> utilizzato per definire un indirizzo IPv4, ad esempio v=spf1 ip4:192.0.0.1 -all.<\/li>\nip6<\/code><\/strong>: utilizzato per definire un indirizzo IPv6, ad esempio, v=spf1 ip6:2001:db8::8a2e:370:7334 -all<\/li>\n<\/ul>\nQuantificatori<\/h3>\n
pass<\/code> o +<\/code>.<\/p>\n\n
+<\/code><\/strong> rappresenta il risultato PASS. Se l’indirizzo supera il test, il messaggio deve essere accettato (esempio: v=spf1 +all<\/code>). \u00c8 possibile ometterlo perch\u00e9, ad esempio, +mx<\/code> e mx<\/code> sono uguali.<\/li>\n-<\/code><\/strong> sta per HARDFAIL, indica che l’indirizzo non ha superato il test e che l’email deve essere rifiutata (esempio: v=spf1 -all<\/code>).<\/li>\n~<\/code><\/strong> rappresenta SOFTFAIL e si pronuncia tilde. Significa che l’indirizzo non ha superato il test; tuttavia, il risultato non \u00e8 definitivo. \u00c8 possibile accettare e contrassegnare un’email non conforme (esempio: v=spf1 ~all<\/code>).<\/li>\n?<\/code><\/strong> sta per NEUTRO, dove l’indirizzo non ha fallito o superato il test e si \u00e8 liberi di accettarlo o rifiutarlo (esempio: v=spf1 ?all<\/code>).<\/li>\n<\/ul>\n+all<\/code>.<\/p>\nModificatori<\/h3>\n
=<\/code> e forniscono altre informazioni. I record SPF possono avere anche zero, uno o due modificatori, ma possono comparire una sola volta, verso la fine del record.<\/p>\n\n
redirect<\/code>:<\/strong> utilizzato per inviare una query ad altri domini. Questo modificatore \u00e8 facile da capire rispetto ad altri meccanismi e modificatori e viene utilizzato quando si hanno diversi domini e si deve utilizzare lo stesso record SPF ovunque.<\/li>\nexp<\/code>:<\/strong> utilizzato per fornire una spiegazione quando un quantificatore FAIL \u00e8 incluso in un meccanismo abbinato. Questa spiegazione verr\u00e0 inserita nel registro SPF.<\/li>\n<\/ul>\nPerch\u00e9 Servono i Record SPF?<\/h2>\n
Maggiore Sicurezza delle Email<\/h3>\n
![\"Email](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/Email-Security.jpg\")
Miglioramento della Deliverability delle Email<\/h3>\n
Miglioramento della Reputazione del Dominio<\/h3>\n
![\"Reputazione](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/Domain-Reputation.jpg\")
Conformit\u00e0 DMARC<\/h3>\n
A Chi Serve un Record SPF?<\/h2>\n
\n
Come Creare, Aggiungere e Modificare i Record SPF<\/h2>\n
Come creare un record SPF<\/h3>\n
![\"Mostra](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/How-to-Create-.jpg\")
Passo 1: Individuare gli Indirizzi IP che Inviano le Email<\/h4>\n
Passo 2: Elencare i Domini di Invio<\/h4>\n
Passo 3: Impostare il Record SPF<\/h4>\n
v=spf1<\/code>, seguito dagli indirizzi IP autorizzati all’invio di email. Esempio: v=spf1 ip4:192.0.0.1 -all<\/code><\/p>\n\n
include<\/code> nel record SPF per specificare che la terza parte \u00e8 un mittente legittimo. Ad esempio, potete scrivere: include:google.com<\/code><\/li>\n-all<\/code> o ~all<\/code>. Qui, il tag -all<\/code> indica un HARD SPF FAIL mentre il tag ~all<\/code> indica un SOFT SPF FAIL. Tuttavia, per i principali provider di email, sia -all<\/code> che ~all<\/code> comportano un fallimento di SPF. In generale, per\u00f2, -all<\/code> viene utilizzato spesso perch\u00e9 \u00e8 pi\u00f9 sicuro.<\/li>\nv=spf1 ip4:192.0.0.1 include:google.com -all<\/code><\/p>\n-all<\/code>) nel record SPF.<\/p>\nv=spf1 \u2013all<\/code><\/p>\nPasso 4: Pubblicare il Record SPF<\/h4>\n
\n
\n
Passo 5: Testare il Record SPF<\/h4>\n
Come Aggiungere un Record SPF al Dominio<\/h3>\n
![\"Aggiungere](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/How-to-Add.jpg\")
Limitazioni dei Record SPF<\/h2>\n
Record SPF DNS<\/h3>\n
Problemi di Intestazione<\/h3>\n
Best Practice per i Record SPF<\/h2>\n
\n
+all<\/code>. L’unico modo per utilizzare in modo produttivo all<\/code> \u00e8 nei meccanismi ~all<\/code> o -all<\/code>.<\/li>\n<\/ul>\nUsare Record SPF Limitati<\/h3>\n
include:<\/code>. Utilizzatelo in numero limitato ed evitate gli include annidati se possibile. Questo vi impedir\u00e0 di superare il limite di 10 ricerche DNS. Potete anche aggiungere indirizzi IP di vario tipo in una sola volta, invece di farlo singolarmente. Questo semplifica il processo e fa risparmiare tempo.<\/p>\nSpecificare gli Intervalli in Notazione CIDR<\/h3>\n
Evitare l’Istruzione +all<\/h3>\n
+all<\/code> nei vostri record SPF. Potrebbe sembrare eccessivamente permissiva e individuare questo tipo di problema di sicurezza \u00e8 difficile perch\u00e9 questi record SPF sono sintatticamente validi. Anche gli strumenti e le soluzioni di test per verificare i record potrebbero non individuare i record eccessivamente permissivi.<\/p>\n+all<\/code> permette al record SPF di consentire letteralmente a tutto il web di inviare email a nome del vostro dominio, compresi quelli dannosi. Infatti, i domini coinvolti nella distribuzione di spam hanno spesso record SPF che terminano con +all<\/code>. Di conseguenza, possono inviare email di spam contenenti malware infetti<\/a> da qualsiasi indirizzo IP.<\/p>\nAttenzione ai Record Duplicati<\/h3>\n
v=spf1<\/code>. Se provate ad aggiungere pi\u00f9 record in un dominio, potete incorrere in errori permanenti.<\/p>\n![\"Mostra](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/duplicate-data-1-1.jpg\")
v=spf1<\/code> rimarr\u00e0 all’inizio del record SPF e apparir\u00e0 solo una volta, mentre all<\/code> rimarr\u00e0 alla fine.<\/p>\nLimite di Caratteri<\/h3>\n
Limitare i Lookup del DNS<\/h3>\n
include:<\/code>, a<\/code>, PTR<\/code>, mx<\/code>, exists<\/code> e redirect<\/code> – porteranno a una query DNS.<\/p>\nall<\/code>, ip4<\/code> e ip6<\/code> non vengono considerati come query DNS.<\/p>\nEvitare le Sottoreti e gli Indirizzi IP Duplicati<\/h3>\n
![\"Visualizzazione](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/subnetduplicate-1.jpg\")
include:<\/code> nel record SPF e nei record MX del dominio per il provider di servizi di posta elettronica. Questi IP potrebbero essere gli stessi, appartenenti alle sottoreti incluse.<\/p>\n\n
include:<\/code> ed evitare gli include annidati se possibile.<\/li>\n~all<\/code> o -all<\/code> invece del meccanismo +all<\/code>.<\/li>\nexists<\/code>, perch\u00e9 se non utilizzato correttamente, gli errori trasmessi potrebbero generare rischi per la sicurezza.<\/li>\nUsare DKIM con SPF<\/h3>\n
\n
Usare DMARC con SPF<\/h3>\n
Come Controllare i Record SPF<\/h2>\n
Checker dei Record SPF<\/h3>\n
![\"I](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/checkspf.png\")
\n
Riepilogo<\/h2>\n