Il mail server completo e flessibile progettato per le PMI

Costruire e pubblicare il record SPF per il proprio dominio di posta elettronica

KB50181

Ultimo aggiornamento: 18 December 2014

Record SPF

14.5.2

MDaemon la tecnologia SPF (Sender Policy Framework) che consente la verifica dei server di invio e la protezione da spoofing e phishing, due tipi di contraffazione della posta elettronica con cui il mittente tenta di far apparire i messaggi come inviati da qualcun altro.

Molti domini pubblicano i record MX nel DNS (Domain Name System) per identificare le postazioni a cui è consentito ricevere la posta elettronica, ma ciò non consente di identificare in alcun modo le postazioni a cui è consentito inviare la posta. SPF è un mezzo attraverso il quale i domini possono pubblicare anche i record relativi ai mittenti per identificare le postazioni autorizzate all'invio dei messaggi. Eseguendo una ricerca SPF sui messaggi in entrata, un mail server (MDaemon compreso) può tentare di determinare se al server di invio è consentito consegnare la posta per il dominio di invio responsabile e, di conseguenza, se l'indirizzo del mittente può essere stato contraffatto o "mascherato". 

Per migliorare la consegnabilità della propria posta, legittimamente inviata dai propri IP, è opportuno pubblicare il record SPF per i domini di posta gestiti. 

Il record SPF è un record TXT (non esiste il tipo SPF) che deve essere pubblicato sul DNS che gestisce il dominio in oggetto.

Di seguito alcuni esempi per capire la sintassi:

achab.it:

TXT v=spf1 ip4:81.208.125.122/29 ip4:77.93.254.48/28 ip4:95.110.166.69 ip4:95.110.166.82 -all

il record si legge in questo modo:

  • spf1 è la versione del protocollo (1, è nato perfetto!)
  • ip4:81.208.125.122/29 indica che il range di 8 IP che partono dal 81.208.125.122 sono autorizzati a spedire e-mail a nome di achab.it
  • -all tutti gli alri IP che non sono compresi in questi 3 range non sono autorizzati a spedire e-mail a nome di achab.it

altn.com:

TXT v=spf1 mx a:lists.altn.com a:r2d2.altn.com a:mail1.altn.com a:smtp1.altn.com include:srs.bis.na.blackberry.com -all

rispetto al precedente, si trova nella sintassi anche degli IP celati nei record mx e a di altri domini:

  • mx indica che anche gli IP che si ottengono risolvendo i record MX del dominio altn.com, oltre ad essere preposti per ricevere la posta di altn.com, sono autorizzati anche a spedire.
  • a:r2d2.altn.com indica la stessa cosa anche per l'IP del record A di questo dominio
  • include:srs.bis.na.blackberry.com indica che anche gli IP che si ottengono risolvendo il record SPF di srs.bis.na.blackberry.com sono autorizzati a spedire e-mail a nome di altn.com

gmail.com:

TXT v=spf1 redirect=_spf.google.com

redirect=_spf.google.com indica che occorre cercare il record SPF di questo altro dominio:

TXT v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all

la "~" (softfail) in ~all istruisce il destinatario sul fatto che si è in una situazione di test o transitoria, per cui si chiede al destinatario di non essere severo in caso di fallimento della verifica. 

risolvendo il primo include (include:_netblocks.google.com) si ottiene:

TXT v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20 ip4:173.194.0.0/16 ~all

ovviamente Google ha qualche server in più di Achab!

La sintassi completa per la costruzione dei record si trova a questo url.

Esistono anche wizard e strumenti di verifica dei record SPF on-line, ma visto che i link spesso cambiano, è meglio cercarli sul momento.  

Attenzione
Nella costruzione del record SPF è fondamentale includere TUTTI gli IP da cui può essere inviata posta a nome del proprio dominio. Se se ne dimentica qualcuno, si rischia che i danni provocati superino i benefici prodotti dalla pubblicazione del record SPF.