SPF per la protezione della posta

Roland Piątkowski
7 grudnia, 2021
Bez kategorii

SPF(Sender Policy Framework) – Uno strumento per determinare quali server sono autorizzati a inviare posta per conto del nostro dominio. Cioè, la voce per il dominio example.com specificherà cosa fare con i messaggi da qualsiasi persona a @example.com. Vi permette di rifiutare un messaggio o semplicemente di segnalarlo e notificarvi un possibile tentativo di impersonare quel dominio.

Controllo SPF

Spis treści

Una semplice regola per controllare SPF è quella di interrogare il server DNS per il record txt del dominio dell’indirizzo e-mail (ad esempio info@roan24.pl è il dominio roan24.pl). Quindi „dig roan24.pl txt” ci restituirà: „v=spf1 a mx ip4:178.33.3.224 -all” cioè il dominio ha una voce spf versione 1 (v=spf1), e dal dominio dato può inviare posta solo da indirizzi ip che sono nella voce A (a), MX (mx), o ha un ip versione 4 178.33.3.224 (ip4:178.33.3.224). Per quanto riguarda le voci a e mx, potete leggere come funzionano nel nostro articolo sulle basi del DNS.
Poi tutto ciò che rimane è controllare cosa fare con il messaggio, cioè la voce „all”, più comunemente usato è „~all” che significa accettare ma segnalare la possibilità di frode, o „-all” se il server di invio non è nella lista SPF quindi rifiutare il messaggio senza ulteriori controlli.

Come introdurre la SPF

Una descrizione dettagliata dell’intera sintassi può essere trovata sul sito di openspf, ma nella versione inglese. Tuttavia, descriverò qui, spero in modo comprensibile, quale sintassi usare per inserire SPF sul nostro dominio.
Quindi sì, useremo sempre v=spf1 all’inizio, poiché descriverò qui la versione uno di spf (non c’è una versione due per ora). Quindi abbiamo una voce:
v=spf1
Questa voce non ci dice ancora nulla, aggiungiamo un tag all ad essa – significa come dovremmo trattare il messaggio che stiamo controllando spf. E così possiamo farlo precedere da quattro segni „+” che significa che va bene, „-” che non è passato, „~” che è sospetto, „?” neutro.
E così, se la voce sembra „+all” e l’host di invio non è nella lista, allora dobbiamo accettare tale messaggio.
Se è „~all” e l’host non è nella lista, si suppone che accettiamo un tale messaggio ma lo segniamo come un errore spf, o sospettato di essere spam.
Se abbiamo „-all”, raccomandato da me significa che se il server non è nella lista allora il messaggio da esso dovrebbe essere rifiutato.
La voce „tutto” significa che fondamentalmente non è successo nulla, che ci sia o no – in breve, potrebbe non esserci alcuna voce.
Raccomando di usare o „~all” se i vostri indirizzi cambiano spesso e potreste avere problemi a digitarli tutti, o „-all” se conoscete gli indirizzi esatti dei vostri server e non cambiano troppo spesso.
v=spf1 -all
Con un inizio e una fine inseriamo ora gli indirizzi ip o le voci (al centro della voce) nella nostra lista.
A – cioè il server nella voce a può inviare posta. NOTA Se usi un proxy o un cdn (ad esempio cloudflare), non dovresti inserire questo dato perché il tuo server di posta non dovrebbe essere autorizzato a inviare posta per tuo conto.
MX – Va notato qui che se si cambia l’indirizzo del server nella voce MX, non è più necessario cambiare la voce SPF, il che rende il lavoro più facile, a volte può succedere che usiamo un gateway per ricevere la posta e questa voce non deve essere utilizzata.
ip4 – cioè un indirizzo ip o un indirizzo ip/maschera (per esempio 192.168.0.0/24 è – da 192.168.0.0 a 192.168.0.255) indica gli indirizzi ip specifici della versione quattro che sono autorizzati a inviare posta.
ip6 – sullo stesso principio degli indirizzi ip4, ma riguarda solo gli indirizzi della versione 6.
Ci sono anche voci aggiuntive come „include” e „redirect”, include aggiunge voci dal dominio specificato (tramite una ricerca txt) e redirect reindirizza a un altro dominio dove possiamo trovare le linee guida SPF nella voce txt.
Inoltre, creare una voce SPF non è difficile anche per i provider di posta più grandi ed è raccomandato, basta ricordare che bisogna aggiornarla quando si cambia l’indirizzo ip del server di posta e non viene aggiunta per MX. Per i piccoli domini, raccomandiamo di usare voci brevi con solo la voce mx aggiunta, per esempio. è sufficiente per tutti i nostri clienti:
v=spf1 mx ip4:178.33.3.224 -all

Riassunto

SPF non è l’ideale per proteggere la nostra posta, ma è abbastanza facile da inserire e, correttamente formattato, può ridurre significativamente il phishing legato all’impersonificazione del nostro dominio di posta.