Knowledge Base

L'archivio documentale di supporto ai prodotti Achab.

KB51424 Combattere spoofing e phishing con MDaemon e SPF

Ultimo aggiornamento: 15/05/2019
Articolo valido per MDaemon versione: 13.5.2

Grazie al protocollo SPF è possibile verificare l'autenticità del mittente di una email: Scopri come!

Tutti i giorni riceviamo email provenienti apparentemente dalle poste italiane, vari istituti di credito, corrieri ed altre fonti conosciute, che ci invitano a cliccare un link per effettuare una certa operazione contabile o di verifica. In realtà queste email provengono da mittenti reali diversi, il cui scopo è di carpire i dati del nostro conto corrente o della nostra carta di credito. L'abuso del dominio e degli indirizzi email prende il nome di phishing o, talvolta, spoofing.

SPF è una tecnologia che permette di contrastare questa forma di abuso o falsificazione dei mittenti.
 

Cos’è SPF

SPF (Sender Policy Framework) è un protocollo per la validazione del mittente, che permette di verificare se un messaggio proviene effettivamente dal mittente che viene dichiarato durante la fase di spedizione.
Il principio su cui si basa SPF è semplice: si tratta di avere a disposizione un elenco di indirizzi IP “certificati” da cui un certo dominio di posta invia in modo legittimo le proprie email. Con queste informazioni accessibili a tutti, quando un server riceve una email, può confrontare l’indirizzo IP sorgente (cioè del server che sta spedendo il messaggio) con gli IP da cui il dominio mittente ha diritto di spedire (quelli cioè dell’elenco): se l’IP non corrisponde significa che si è di fronte ad una email illecita.
Per creare e tenere aggiornato l’elenco degli indirizzi IP da cui un dominio può spedire email si usa un record “TXT” pubblicato in un DNS: ogni amministratore di dominio deve preoccuparsi di effettuare le modifiche sul suo DNS, eventualmente appoggiandosi al proprio provider.

Per approfondire le tematiche legate a SPF si può consultare questo sito.


Utilizzare SPF

Se si vuole implementare SPF con MDaemon, occorre distinguere la fase in cui MDaemon si comporta come server mittente da quella in cui si comporta come server di ricezione. In qualità di ricevente lo scopo di utilizzare SPF è quello di validare i mittenti dei messaggi che si ricevono, diffidando di quelli che provengono da una sorgente che è diversa da quella dichiarata come legittima; in qualità di mittente, lo scopo di utilizzare SPF è quello di cercare di legittimare la propria posta, auspicando che in questo modo, la stessa andrà più facilmente in consegna.

 

Configurare il controllo SPF in MDaemon

In qualità di server ricevente, per configurare MDaemon per attuare il controllo SPF, occorre andare in questo menu:

Security -> Security Settings -> Sender Authentication -> SPF & Sender-ID

e abilitare la verifica SPF (o Sender-ID, che è la versione Microsoft di SPF; peraltro, il modulo dovrebbe già essere attivato per impostazione predefinita.


 

Preparare il record SPF

In qualità di server mittente, per migliorare la consegnabilità della propria posta attraverso SPF, occorre pubblicare sul DNS che gestisce il dominio aziendale il record SPF. Il record SPF è una stringa di testo di questo tipo ad esempio:

TXT v=spf1 ip4:80.200.120.120/29 ip4:77.99.233.48/28 mx ptr -all

che si interpreta in questo modo:
  • spf1 è la versione del protocollo SPF (fermo alla versione 1)
  • ip4:80.200.120.120/29 indica che l'IP 80.200.120.120 e i 7 consecutivi sono autorizzati a spedire 
  • ip4:77.99.233.48/28  indica che anche l'IP 80.200.120.120 e i 15 consecutivi sono autorizzati a spedire 
  • mx  indica che anche l'IP che si ottengono risolvendo i record MX del dominio stesso sono autorizzati a spedire 
  • ptr  indica che anche l'IP  che si ottiene risolvendo il record PTR è autorizzati a spedire 
  • -all  indica che TUTTI gli altri IP non sono autorizzati a spedire posta per questo dominio.

La sintassi per la scrittura del record SPF è disponibile qui.
 

Esempi

1) Esempio:

Tutte le email del dominio sono spedite dall’host 222.123.111.222
Il corrispondente record SPF è:

v=spf1 ip4:222.333.111.222/32 –all

Nota: se il mail server utilizzato per spedire ha un indirizzo IP privato, l’indirizzo IP da inserire nel record SPF è quello pubblico del router o del gateway utilizzato per la connessione a Internet.

2) Esempio:

Tutte le email del dominio vengono inviate da host che appartengono alla DMZ i cui indirizzi IP vanno da 111.222.123.1 a 111.222.123.254
Il corrispondente record

SPF è: v=spf1 ip4:111.222.123.0/24 -all

3) Esempio:

Tutte le email del dominio vengono inviate da due host:
Host1 180.23.45.67
Host2 180.23.45.80
Il corrispondente record SPF è:

v=spf1 ip4:180.23.45.67/32 ip4:180.23.45.80/32 -all

4) Esempio:

Il mail server invia la posta attraverso il mail server del proprio ISP.
In questo caso chiedere all’ISP di configurare il record SPF per il proprio dominio.
 

ATTENZIONE: è di fondamentale importanza che il record SPF, con i vari parametri della sintassi, includa tutti e veramente tutti gli indirizzi IP da cui può uscire la posta a nome del proprio dominio; se si dimentica qualche indirizzo si rischia che SPF provochi più danni (posta rifiutata) che benefici.

Aggiunta del record SPF al server DNS di Windows


Una volta creato il record SPF occorre aggiungerlo al proprio DNS per renderlo operativo.
Se il DNS del proprio dominio è gestito da un provider, l’aggiunta dei record SPF al DNS va gestita dal provider.

L’operazione è semplice:

1. Avviare il tool di gestione del DNS.

2. Selezionare e aprire il dominio nel quale si desidera aggiungere il record SPF. Fare click con il tasto destro del mouse sulla lista dei record e quindi selezionare “Other New Records...” dal menu contestuale.



3. Selezionare il tipo di record “Text (TXT)” e premere il pulsante “Create Record...”



4. Scrivere o incollare il record SPF, creato con la procedura a pagina 4, nella casella di testo “Text”; confermare premendo il pulsante “OK”.



5. Confermare con il pulsante “Done” : si può notare immediatamente il nuovo record.


 

Verifica della configurazione

Per verificare che il record SPF sia stato generato correttamente e che le impostazioni del DNS siano giuste consigliamo di fare un test.

On-line si trovano vari siti che effettuano questi controlli. Uno ad esempio lo si trova qui

Attenzione che questi tool spesso verificano solo la correttezza sintattica del record e non ad esempio che le informazioni inserite siano esatte o complete. Per verificare anche questo aspetto si può inviare una email ad un proprio indirizzo su GMAIL e verificare poi nell'header del messaggio ricevuto l'esito del controllo effettuato da GMAIL o inviandolo ad un altro MDaemon con la verifica SPF attiva in ricezione.

 

Questo articolo ti è stato utile?

Lasciaci un feedback

Hai trovato delle inesattezze, vorresti fare delle integrazioni all'articolo o anche solo darci un tuo parere? Scrivici liberamente utilizzando il modulo sottostante.

 

Le tue informazioni non verranno pubblicate, ma inviate privatamente al responsabile della Knowledge Base.