- Cosa sono i record SPF?
- La necessità di aggiungere record SPF al tuo dominio
- Come creare un record SPF TXT?
- Raccogliere l’elenco degli indirizzi IP utilizzati per l’invio di e-mail
- Elenca tutti i domini di invio
- Crea il tuo record SPF di dominio
- Opzioni di errore SPF: Soft Fail e Hard Fail
- Come aggiungere il record TXT alla configurazione DNS
- Non dimenticare di testare e controllare i record TXT del dominio!
Cosa sono i record SPF?
Sender Policy Framework (SPF) è un record DNS TXT che fa parte del file di zona DNS del dominio organizzativo. Il dominio SPF contiene un elenco degli indirizzi IP o dei nomi host autorizzati a inviare e-mail da un determinato nome di dominio. Una volta che un utente inserisce la voce del record di testo SPF nella propria zona DNS, non è necessario riconfigurarlo per sfruttare i server, che includono il controllo SPF come parte integrante dei propri sistemi di prevenzione dello spam. Il metodo di aggiunta del record SPF è simile a un normale record di controllo A o MX.
La necessità di aggiungere record SPF al tuo dominio
Alcuni destinatari di posta elettronica hanno un requisito rigoroso per un framework SPF. Se un utente non pubblica record SPF sul proprio dominio, ci sono possibilità che le loro e-mail possano essere contrassegnate come spam dal destinatario della posta o, nel peggiore dei casi, possano rimbalzare. Pertanto, se un utente imposta correttamente il record SPF, può migliorare la deliverability delle e-mail e proteggere il proprio dominio dallo spam, che gli attori malintenzionati inviano per loro conto. DMARC è un sistema di convalida e-mail che crea un collegamento tra i record SPF e DKIM.
Come creare un record SPF TXT?
Raccogliere l’elenco degli indirizzi IP utilizzati per l’invio di e-mail
Il primo passo per implementare il protocollo SPF consiste nell’identificare i server di posta che fungono da mittenti per il dominio dell’organizzazione. Ci sono una varietà di luoghi che le organizzazioni utilizzano per inviare e-mail. Crea un elenco di tutti i server di posta, inclusi i seguenti che possono essere utilizzati per l’invio di e-mail per tuo conto:
- Server di posta in ufficio (esempio: Gmail, Microsoft Exchange)
- Il server di posta del proprio ISP.
- Il server di posta del provider di cassette postali del destinatario.
- Server Web
- Qualsiasi server di posta di terze parti viene utilizzato per autenticare le email per conto del tuo marchio.
Elenca tutti i domini di invio
Le organizzazioni di solito possiedono molti domini. Mentre usano alcuni per l’invio di e-mail, alcuni rimangono dormienti. Quindi, hanno bisogno di proteggere tutti i loro domini con SPF? La risposta è sì. Supponiamo che l’organizzazione scelga di creare un record SPF solo per i domini di invio. In tal caso, i domini che non inviano diventeranno un bersaglio facile per gli aggressori.
Crea il tuo record SPF di dominio
- Inizia definendo la versione SPF. Un record SPF inizia sempre con il numero di versione. Il tag v = spf2 (versione 2) viene utilizzato per definire il record come SPF.
- Segui il tag v=spf2 SPF version con tutti gli indirizzi IP che la tua organizzazione ha autorizzato a inviare e-mail per conto del tuo marchio. Ad esempio:v=spf1 ip4: xxx.xxx.xxx.xxx-all
Nota: xxx.xxx.xxx.xxx deve essere sostituito con l’indirizzo IP del server. - Il passaggio successivo consiste nell’includere il tag per le organizzazioni di terze parti autorizzate a inviare e-mail per conto dell’organizzazione, ad esempio include:thirdpartydomain.com. (qui, thirdpartydomain.com è un nome di dominio di esempio). La rilevanza di questo tag è che indicherà tutte le organizzazioni di terze parti che possono inviare e-mail per conto del dominio aziendale. Per determinare quale dominio utilizzare come valore dell’istruzione include, consultare l’organizzazione di terze parti.
- Termina il record con un tag ~ all, -all o +all dopo aver implementato tutti i tag include e gli indirizzi IP.
- Il tag ~all indicherà un soft fail, mentre il tag-all indica un hard fail. Discutiamo entrambi questi tag in dettaglio nella prossima sezione.
- Il tag + all consente a qualsiasi server di inviare e-mail dal dominio organizzativo. Non suggeriamo di utilizzare questa opzione in quanto lascia il server soggetto a spoofing.
(Fonte: www.pair.com)
Opzioni di errore SPF: Soft Fail e Hard Fail
Quando si desidera configurare la pagina del record SPF predefinito, è disponibile un’opzione per modificare il record SPF per includere soft fail o hard fail. Queste opzioni sono anche chiamate qualificatori e determinano la rigidità del record DNS TXT per le e-mail che non superano il controllo SPF. Le differenze di base sono elencate di seguito:
Soft fail (~all )
Un record SPF che utilizza il qualificatore soft fail fornisce tutte le e-mail in errore, che il destinatario può considerare posta indesiderata. È l’opzione go-to per molti creatori di SPF perché combina clemenza con una forte difesa contro lo spoofing e lo spam e-mail.
Hard Fail (-all)
Se si sceglie di utilizzare il qualificatore hard fail, il destinatario della posta rifiuterà tutte le e-mail dagli host non elencati nel record SPF. In termini semplici, il destinatario non recupererà l’e-mail e non verrà consegnato completamente.
Come aggiungere il record TXT alla configurazione DNS
Sarebbe meglio lavorare con l’amministratore del server DNS per pubblicare il record SPF su DNS. I passaggi per fare lo stesso sono menzionati di seguito:
- Accedi all’account di dominio del tuo provider host di dominio.
- Vai all’opzione I MIEI DOMINI e fai clic sul nome di dominio per il quale desideri creare il record SPF.
- Nella colonna DNS, fare clic su Gestisci record DNS.
- Qui devi aggiungere il record SPF, che l’host ti ha fornito.
- Accedere al menu a discesa Tipo e selezionare TXT.
- Se l’host ha fornito un sottodominio, digitarlo nel campo Host.
- Immettere il valore del record SPF (menzionato in precedenza) nel campo Risposta.
- Lasciare TTL (Tempo di vivere) come 300 (default).
- Selezionare il pulsante Aggiungi registrazione.
Il processo di pubblicazione dei record DNS TXT è semplice per le organizzazioni che utilizzano provider di hosting come GoDaddy o 123-reg. Tuttavia, se non siete sicuri o se il vostro ISP amministra i record DNS, si consiglia di contattare il reparto IT per il supporto. Alcuni provider di servizi di posta elettronica pubblicano automaticamente i record SPF per il tuo dominio per tuo conto.
Non dimenticare di testare e controllare i record TXT del dominio!
È possibile utilizzare uno strumento di controllo SPF per testare il record SPF. Qui, vedrai l’elenco dei server che hai autorizzato a inviare e-mail per conto del tuo dominio. Si otterrà il punto di vista del destinatario, e si può scegliere di aggiornare il record SPF se si vede che un indirizzo IP legittimo non è elencato.
Aggiungere un record SPF al file di zona DNS è un modo pratico per impedire agli spammer di utilizzare il dominio per inviare e-mail dannose. Elimina un’alta frequenza di bounce back perché i provider di posta non autenticano le e-mail e le respingono immediatamente, senza rimbalzarle all’indirizzo falsificato. Anche se potrebbe non essere efficace al 100%, noterai una forte tendenza al ribasso del numero di rimbalzi che ricevi.
