Site icon Mailtrap

Tutto sui record SPF

Un record SPF è un record DNS indispensabile per una consegna affidabile delle e-mail. Si tratta di un tipo di autenticazione delle e-mail che protegge le tue e-mail dalla contraffazione. In questo modo la tua reputazione viene protetta da phisher e spoofers. Scopri di più sul Sender Policy Framework per aumentare la credibilità del tuo prodotto.

Cos’è un record SPF?

Uno dei record di risorse DNS è di tipo TXT. Viene utilizzato principalmente per indicare fatti relativi al dominio e fornire informazioni a fonti esterne. È indispensabile per l’autenticazione delle e-mail. Ad esempio, un’e-mail arriva da un server al tuo provider di servizi Internet (ISP). L’ISP può autenticare l’e-mail utilizzando un record TXT dedicato, il record SPF. Questo record contiene i dati relativi ai server affidabili autorizzati dal tuo dominio, in modo che l’ISP possa identificare la fonte da cui proviene un’e-mail e individuare un’e-mail contraffatta. SPF o Sender Policy Framework è il metodo principale (ma non l’unico) per autenticare le tue e-mail.

Gli standard di autenticazione delle e-mail: a cosa servono?

L’SMTP non è in grado di proteggere la tua applicazione da frodi come spoofing, phishing e spam. Non dispone di una funzione per identificare l’origine di un messaggio e-mail e convalidare il dominio. Al contrario, l’autenticazione via e-mail può fare il suo lavoro.

Esistono tre standard ampiamente adottati per l’autenticazione delle e-mail: SPF, DKIM e DMARC. In breve, ognuno di essi svolge le seguenti funzioni:

SPF, DKIM e DMARC differiscono nell’implementazione tecnica, ma si basano tutti su record DNS. Puoi trovare anche altri metodi di autenticazione come ADSP, Sender ID, iprev e così via. Alcuni di questi metodi non sono stati reclamati o sono stati deprecati.

Sender Policy Framework o SPF

Il Sender Policy Framework è apparso ufficialmente come standard sperimentale nel 2006. Otto anni dopo, SPF è stato approvato come standard proposto per l’autenticazione delle e-mail.

In parole povere, SPF è un protocollo in base al quale i server di posta decidono se ricevere o rifiutare un’e-mail in arrivo. La decisione viene presa utilizzando le informazioni SPF contenute nei record TXT come per l’elenco degli indirizzi IP autorizzati all’interno di un particolare dominio. Se l’e-mail è stata inviata da uno di questi indirizzi, non è contraffatta e può essere accettata.

Quando hai bisogno di SPF

Se il tuo prodotto digitale invia messaggi transazionali o commerciali, assicurati di implementare il Sender Policy Framework. Infatti, l’SPF è attualmente richiesto dai provider di servizi internet. Se non hai un record SPF valido o se hai una configurazione sbagliata, il tuo ISP potrebbe eseguire un filtraggio secondario delle e-mail. Una mancata autenticazione SPF significa che la tua e-mail verrà riconosciuta come spam o addirittura bloccata.

L’SPF è un problema per gli spammer e i phisher. perché permette di riconoscere le e-mail contraffatte. In questo modo è possibili distinguere e-mail vera da e-mail falsa e far rimanere la reputazione dei prodotti reali rimane. Ma per completare il quadro, è meglio implementare un’autenticazione delle e-mail su con tutti i meccanismi possibili (i.e., SPF + DKIM + DMARC).

Contro dell’autenticazione SPF delle e-mail

Idee sbagliate comuni sull’SPF

L’SPF è una misura necessaria ma non la soluzione definitiva contro lo spoofing e il phishing. Assicurati di essere consapevole delle seguenti convinzioni sbagliate in modo da poter utilizzare correttamente il framework.

L’SPF funziona con l’indirizzo di envelope-from (passaggio di ritorno) delle e-mail. È invisibile all’utente a differenza dell’indirizzo header-from, che si riferisce al contenuto del messaggio. Pertanto, un record SPF non può proteggere l’indirizzo visibile del mittente.

Il framework sfrutta i sistemi di filtraggio dello spam per controllare le e-mail. Inoltre, protegge dai messaggi contraffatti provenienti da un dominio specifico. Tuttavia, non offre miglioramenti significativi in termini di lotta allo spam.

In realtà, il server di posta che invia un messaggio viene autorizzato in base al record SPF. Quindi, il framework funziona a livello di dominio.

Ricorda che puoi avere un solo record SPF. In caso contrario, otterrai “permerror”, un errore che indica che il record SPF recuperato non può essere interpretato.

Anche se tutti i messaggi sono autorizzati secondo DKIM, hai bisogno di un record SPF per identificare il dominio. Inoltre, il Sender Policy Framework è necessario nei servizi cloud e nelle reti IPv6. Quindi, il modo migliore per combattere lo spoofing e proteggere le tue e-mail è implementare SPF, DKIM e DMARC.

Come funziona l’SPF?

In generale, l’SPF in azione consiste nelle seguenti fasi:

Ad esempio, un server con indirizzo IP ‘234.213.42.2’ ha inviato un’e-mail da ‘home@apple.com’. Durante il controllo SPF, il server in entrata chiederà al dominio ‘apple.com’ se questo indirizzo IP è autorizzato a inviare l’e-mail. In caso affermativo “benvenuto” e il messaggio passa, in caso contrario il messaggio verrà smistato in base al meccanismo specificato nel record SPF.

Sintassi del record SPF

Per prima cosa, analizziamo un semplice esempio di record SPF.

"v=spf1 +a +mx redirect=esempio.com -all"

v = spf1 è il numero di versione del record corrente, mentre gli altri sono Meccanismi, Qualificatori e Modificatori per specificare le diverse regole del controllo SPF. Ecco cosa puoi impostare nel tuo record SPF.

QualificatoScopoImplementazione
+Accetta. L’host è autorizzato a inviare un messaggio+
Rifiuta. L’host non è autorizzato a inviare un messaggio
~Accetta ma segna. L’host non è autorizzato a inviare un messaggio ma è in transizione (il meccanismo è a scopo di test).~
?Accetta. La validità dell’host non è specificata?
MeccanismoScopoImplementazione
aDefinisce il record DNS A del dominio come autorizzato. Se non specificato, viene utilizzato il dominio corrente.a
a/<lunghezza del prefisso>
a:<dominio>
a:<dominio>/<lunghezza del prefisso>
tuttiDefinisce la politica per tutte le altre fontitutti
esisteControlla la validità di un record A per un dominio fornitoesiste:<dominio>
includereInclude il dominio specificato come autorizzato. Se il dominio non ha un record valido, otterrai “permerror”.include:<dominio>
ip4Definisce l’intervallo di rete IPv6. Può essere utilizzato con il prefisso, che indica la lunghezza dell’intervallo. Se non viene specificato alcun prefisso, /32 è il valore predefinito.ip4:<indirizzo IP4>
ip4:<rete IP4>/<lunghezza prefisso>
ip6Definisce l’intervallo di rete IPv6. Può essere utilizzato con il prefisso, che indica la lunghezza dell’intervallo. Se non viene specificato alcun prefisso, /128 è il valore predefinito.ip6:<indirizzo IP6>
ip6:<rete IP6>/<lunghezza prefisso>
mxDefinisce il record DNS MX del dominio come autorizzato. Cioè, il messaggio deve essere inviato da uno dei server di posta in entrata del dominio.mx
mx/<lunghezza del prefisso>
mx:<dominio>
mx:<dominio>/<lunghezza del prefisso>
ptr [deprecato]Definisce il nome host inverso e il sottodominio dell’indirizzo IP di invio.ptr
ptr:<dominio>
ModificatoreScopoImplementazione
esp.Specifica la spiegazione che un mittente vedrà se il messaggio è stato respintoexp=<dominio>
reindirizzareSostituisce il dominio con il record correnteredirect=<dominio>

Cosa devi tenere a mente:

Ora mettiamo in pratica queste conoscenze.

Crea un record SPF per il tuo dominio

Fase 1 – Preparazione

Passo 2 – Pannello di controllo DNS

Passo 3 – Record SPF

ip4:35.167.41.421 ip6:2a13:c025:e4:7a01:bc72:dcb5:7a13

include:sendgrid.net o include:mandrillapp.com

Ecco come si presenta il record SPF più comune:

"v=spf1 a mx -all"

Qui, tutti i record A e MX di questo dominio sono autorizzati a inviare e-mail. Le e-mail provenienti da qualsiasi altro record verranno rifiutate.

Record SPF per più domini

Supponiamo che tu abbia un dominio primario – alpha.net con un record come questo v=spf1 a mx -all. e che tu debba creare un record SPF per più domini come beta.net e gamma.net?

Il meccanismo “include” ti permette di designare altri domini indipendenti da quello principale. Ad esempio, alpha.net potrebbe inviare la posta utilizzando beta.net e gamma.net.

v=spf1 include:beta.net include:gamma.net -all

Inoltre, puoi puntare al tuo dominio principale aggiungendo include:alpha.net nei record SPF dei tuoi domini secondari:

v=spf1 include:primary-domain.com -all

In questo modo si applicheranno le regole del dominio primario a quelli secondari.

Tieni presente che non puoi avere più di un record TXT per SPF per un dominio.\

Posso dividere un record SPF di grandi dimensioni?

E se il tuo record SPF avesse questo aspetto?

v=spf1 a mx a:mail.alpha.com a:first.alpha.net a:second.alpha.org mx:third.domain.net ip4:34.243.61.237 ip6:2a05:d018:e3:8c00:bb71:dea8:8b83:851e include:sendgrid.net include:mandrill.com -all

Corrisponde al requisito di 255 caratteri per stringa, ma è comunque molto lungo. Per questo motivo, puoi dividerlo in diversi record che saranno inclusi nel record SPF principale. Ecco come potrebbe andare:

spf1.alpha.com TXT

v=spf1 a mx a:mail.alpha.com a:first.alpha.net a:second.alpha.org mx:third.domain.net -all

spf2.alpha.com TXT

v=spf1 ip4:34.243.61.237 ip6:2a05:d018:e3:8c00:bb71:dea8:8b83:851e -all

spf3.alpha.com TXT

v=spf1 include:sendgrid.net include:mandrill.com -all

alpha.com TXT

v=spf1 include:spf1.alpha.com include:spf2.alpha.com include:spf3.alpha.com -all

Tutto qui. Tutti questi record verranno visti come un unico record dopo l’aggiornamento del DNS.

Verifica che il tuo record SPF si corretto

L’ultima cosa che ti consigliamo di fare è di verificare che il tuo record SPF sia corretto. Fortunatamente, esistono molti strumenti utili come SPF Record Check o SPF Syntax Validator. In questo modo potrai trovare e risolvere eventuali problemi del tuo record e essere sicuro che tutto funzioni.

Come creare un record SPF utilizzando il mio provider DNS?

Puoi creare e gestire i tuoi record SPF utilizzando la console o il pannello di controllo del tuo provider DNS. Alcuni servizi forniscono istruzioni o guide dettagliate su come creare i record TXT. Di seguito troverai i link alle guide di alcuni dei migliori provider.

Inoltre, abbiamo raccolto un elenco di specifiche SPF per i provider di posta elettronica più diffusi, in modo che tu possa copiarle e incollarle nel tuo record TXT.

Provider di servizi e-mailRecord SPF
Gmailv=spf1 include:_spf.google.com ~all
Sendgridv=spf1 include:sendgrid.net ~all
MailChimpv=spf1 include:servers.mcsv.net ?all
Mandrillv=spf1 include:spf.mandrillapp.com ?all
Pistola postalev=spf1 include:mailgun.org ~all

Dai un’occhiata a Mailtrap Email API se cerchi una soluzione che abbia un processo di configurazione semplice e che ti aiuti a monitorare la tua deliverability attraverso una dashboard con preziose informazioni, che ti fornisca un indirizzo IP dedicato e il suo riscaldamento automatico.

Record SPF: v=spf1 include:_spf.smtp.mailtrap.live -all

Leggi la nostra guida per istruzioni passo-passo su come configurare E-mail API.

Risoluzione dei problemi SPF: Il record SPF non viene convalidato

Ecco un breve elenco di problemi comuni (e relative soluzioni di base) che si possono incontrare quando si cerca di convalidare i record SPF.

Una volta impostato il tuo record SPF, puoi procedere con i protocolli DKIM e DMARC per rendere la tua sicurezza e le tue campagne di marketing superiori al resto.

Exit mobile version