Tutti i giorni riceviamo email provenienti apparentemente dalle poste italiane, vari istituti di credito, corrieri ed altre fonti conosciute, che ci invitano a cliccare un link per effettuare una certa operazione contabile o di verifica. In realtà queste email provengono da mittenti reali diversi, il cui scopo è di carpire i dati del nostro conto corrente o della nostra carta di credito. L'abuso del dominio e degli indirizzi email prende il nome di phishing o, talvolta, spoofing.
SPF è una tecnologia che permette di contrastare questa forma di abuso o falsificazione dei mittenti.
Cos’è SPF
SPF (Sender Policy Framework) è un protocollo per la validazione del mittente, che permette di verificare se un messaggio proviene effettivamente dal mittente che viene dichiarato durante la fase di spedizione.
Il principio su cui si basa SPF è semplice: si tratta di avere a disposizione un elenco di indirizzi IP “certificati” da cui un certo dominio di posta invia in modo legittimo le proprie email. Con queste informazioni accessibili a tutti, quando un server riceve una email, può confrontare l’indirizzo IP sorgente (cioè del server che sta spedendo il messaggio) con gli IP da cui il dominio mittente ha diritto di spedire (quelli cioè dell’elenco): se l’IP non corrisponde significa che si è di fronte ad una email illecita.
Per creare e tenere aggiornato l’elenco degli indirizzi IP da cui un dominio può spedire email si usa un record “TXT” pubblicato in un DNS: ogni amministratore di dominio deve preoccuparsi di effettuare le modifiche sul suo DNS, eventualmente appoggiandosi al proprio provider.
Per approfondire le tematiche legate a SPF si può consultare questo sito.
Utilizzare SPF
Configurare il controllo SPF in MDaemon
e abilitare la verifica SPF (o Sender-ID, che è la versione Microsoft di SPF; peraltro, il modulo dovrebbe già essere attivato per impostazione predefinita.
Preparare il record SPF
TXT v=spf1 ip4:80.200.120.120/29 ip4:77.99.233.48/28 mx ptr -all
che si interpreta in questo modo:
- spf1 è la versione del protocollo SPF (fermo alla versione 1)
- ip4:80.200.120.120/29 indica che l'IP 80.200.120.120 e i 7 consecutivi sono autorizzati a spedire
- ip4:77.99.233.48/28 indica che anche l'IP 80.200.120.120 e i 15 consecutivi sono autorizzati a spedire
- mx indica che anche l'IP che si ottengono risolvendo i record MX del dominio stesso sono autorizzati a spedire
- ptr indica che anche l'IP che si ottiene risolvendo il record PTR è autorizzati a spedire
- -all indica che TUTTI gli altri IP non sono autorizzati a spedire posta per questo dominio.
Esempi
Tutte le email del dominio sono spedite dall’host 222.123.111.222
Il corrispondente record SPF è:
v=spf1 ip4:222.333.111.222/32 –all
Nota: se il mail server utilizzato per spedire ha un indirizzo IP privato, l’indirizzo IP da inserire nel record SPF è quello pubblico del router o del gateway utilizzato per la connessione a Internet.
2) Esempio:
Tutte le email del dominio vengono inviate da host che appartengono alla DMZ i cui indirizzi IP vanno da 111.222.123.1 a 111.222.123.254
Il corrispondente record
SPF è: v=spf1 ip4:111.222.123.0/24 -all
3) Esempio:
Tutte le email del dominio vengono inviate da due host:
Host1 180.23.45.67
Host2 180.23.45.80
Il corrispondente record SPF è:
v=spf1 ip4:180.23.45.67/32 ip4:180.23.45.80/32 -all
4) Esempio:
Il mail server invia la posta attraverso il mail server del proprio ISP.
In questo caso chiedere all’ISP di configurare il record SPF per il proprio dominio.
ATTENZIONE: è di fondamentale importanza che il record SPF, con i vari parametri della sintassi, includa tutti e veramente tutti gli indirizzi IP da cui può uscire la posta a nome del proprio dominio; se si dimentica qualche indirizzo si rischia che SPF provochi più danni (posta rifiutata) che benefici.
Aggiunta del record SPF al server DNS di Windows
Se il DNS del proprio dominio è gestito da un provider, l’aggiunta dei record SPF al DNS va gestita dal provider.
L’operazione è semplice:
1. Avviare il tool di gestione del DNS.
2. Selezionare e aprire il dominio nel quale si desidera aggiungere il record SPF. Fare click con il tasto destro del mouse sulla lista dei record e quindi selezionare “Other New Records…” dal menu contestuale.
3. Selezionare il tipo di record “Text (TXT)” e premere il pulsante “Create Record…”
4. Scrivere o incollare il record SPF, creato con la procedura a pagina 4, nella casella di testo “Text”; confermare premendo il pulsante “OK”.
5. Confermare con il pulsante “Done” : si può notare immediatamente il nuovo record.
Verifica della configurazione
On-line si trovano vari siti che effettuano questi controlli. Uno ad esempio lo si trova qui
Attenzione che questi tool spesso verificano solo la correttezza sintattica del record e non ad esempio che le informazioni inserite siano esatte o complete. Per verificare anche questo aspetto si può inviare una email ad un proprio indirizzo su GMAIL e verificare poi nell'header del messaggio ricevuto l'esito del controllo effettuato da GMAIL o inviandolo ad un altro MDaemon con la verifica SPF attiva in ricezione.