Cosa è SPF e come leggere un record SPF

SPF è un record del DNS di un dominio che viene utilizzato per la sicurezza. In questo articolo ti spiego cosa è SPF e come leggere un record SPF.

[Avvertenza: questo è un articolo più tecnico del solito ma è importante perché tu possa avere qualche informazione in merito e capire qualcosa di più dello SPAM]

Cercherò comunque di renderla più semplice possibile.

Cosa significa SPF

SPF sta per Sender Policy Framework ed è riferito a un dominio e al server di posta in uscita del dominio stesso.

Si tratta di un record del DNS di un dominio che stabilisce quale server di posta è autorizzato a spedire posta per quel dominio.

SPF in parole povere

Detto in parole povere e usando una metafora è come se dicessi a tutti i miei destinatari e corrispondenti che per spedire tutti i miei pacchi io userò sempre e solo DHL. Quando tu dovessi ricevere un pacco da me, saprai che se questo ti viene consegnato da DHL, molto probabilmente sarà una spedizione che è partita proprio da me.

Se un giorno ti vedessi recapitare un pacco che sembra arrivare da me ma che ti viene consegnato da GLS, potresti nutrire seri dubbi che sia stato io ad avertelo spedito, proprio perché io ti ho detto chiaramente che avrei usato sempre e solo DHL. Quindi tu potresti respingere quel pacco supponendo che ci sia qualcosa che non va in quella spedizione.

Ecco, il funzionamento è proprio questo e lo scopo di SPF è di combattere lo spam e il phishing dato che chi fa phishing ti manda un’email che tenta di farti credere di essere qualcuno di diverso.

Come funziona il record SPF

Un giorno ti arriva un’email da [email protected] (se non lo sai Tim Cook è l’amministratore di Apple).

Il tuo server di posta in arrivo controlla che il server SMTP con il quale è stata spedita quella email, sia autorizzato a spedire email per conto del dominio apple.com.

Se il server SMTP è autorizzato, il tuo server accetta l’email e la recapita alla tua casella, altrimenti la respinge perché significa che qualcuno ti ha spedito un’email fasulla tentando di farti credere che il mittente sia proprio Tim Cook.

Questo è lo scopo del record SPF, introdotto da non moltissimo tempo proprio allo scopo di combattere il dilagare dello SPAM e del phishing.

Non è una cosa di cui tu ti debba occupare, intendiamoci. È una cosa da tecnici informatici e se ne deve occupare chi ti segue da questo punto di vista e si occupa della tua infrastruttura tecnica.

Però i casi in cui il record SPF non è correttamente configurato per un dominio sono più di quelli che potresti pensare, proprio perché c’è in circolazione un quantitativo imbarazzante di persone che non sono capaci di fare il loro lavoro e millantano conoscenze che non hanno.

Solo che alla fine a pagarne le spese sarai tu, perché saranno tue le email che non verranno consegnate o finiranno nello SPAM senza che tu ne abbia una minima colpa.

Individuare un problema di SPF

Se ti dovesse tornare un messaggio di errore, il classico Delivery Status Notification con un qualcosa di simile a questo

554 5.7.1 <********@tuodominio.it>: Recipient address rejected: Failed SPF check; tuodominio.it, Redundant applicable 'v=spf1' sender policies found

allora significa che il server del destinatario ha rifiutato la tua email perché il server SMTP che gliel’ha consegnata non era autorizzato a farlo. E allora saprai che chi ti ha configurato il dominio o il server di posta non ha fatto bene il suo lavoro, oppure che tu non gli hai comunicato un cambiamento di server SMTP o una combinazione delle due cose, e potrai chiedere di sistemare il problema.

In sostanza significa che tu invii la tua posta con un server che non è autorizzato a farlo e quindi il server del tuo mittente respinge la tua posta proprio per questo motivo.

Come verificare il record SPF

Puoi andare su Mail Tester e inserire il nome del tuo dominio – ovviamente se ne hai uno – per controllare che il record SPF sia correttamente configurato.

Non inserire gmail.com o yahoo.com o cose del genere perché ovviamente sarà tutto configurato correttamente. Questo sistema serve solo a verificare che il tuo dominio personale sia a posto.

Se non è presente il record SPF ti verrà detto, altrimenti ti verrà mostrato il contenuto del record; qualcosa di simile a questo:

1 SPF record found for the domain apple.com : “v=spf1 ip4:17.0.0.0/8 -all”

Ora, se ti interessa, ti spiegherò come si legge un record SPF ma vado oltre lo scopo del blog e la spiegazione è parecchio tecnica, quindi se ti ritieni soddisfatto della spiegazione che ti ho dato finora, puoi tranquillamente smettere di leggere, altrimenti continua pure senza problemi, ma io ti ho avvertito.

Come si legge un record SPF

Entriamo nel tecnico e interpretiamo il risultato del record SPF del dominio apple.com

"v=spf1 ip4:17.0.0.0/8 -all"

• v=spf1 – mostra che il record è di tipo 1
• ip4:17.0.0.0/8 – indica che i server che hanno IP nel range che va da 17.0.0.0 a 17.0.0.8 possono spedire email per conto del dominio apple.com. Nota che qui può essere indicato anche un dominio esterno, non necessariamente un indirizzo IP.
• -all è una parte del record che indica cosa deve essere fatto nel caso in cui l’indirizzo IP del mittente o il dominio non corrispondano a quelli indicati nel record, quindi quando l’invio non è autorizzato. Le tipologie di questa indicazione possono essere
  • -all (respingere – non consegnare l’email se il mittente non è autorizzato)
  • ~all (accetta con riserva – accetta l’email ma la marca come ‘sospetta’)
  • +all (fai passare – accetta tutto da quel dominio)
  • ?all (neutrale – accettala e fa finta di nulla)

Cosa fare e come comportarsi dipende da come è configurato questo record ma questa non è una cosa di cui ti devi occupare tu, a meno che non sia tu l’amministratore di sistema. Molti grandi siti hanno un ?all che fa passare qualsiasi cosa. Chi vi segue sa sicuramente cosa fare.

Approfondimenti

• dominio
• server di posta in uscita
• server SMTP
• perché le email finiscono nello spam
• Mail Tester