Per combattere i fenomeni di mittenti falsificati/phishing si possono usare i cosiddetti record SPF (Sender Policy Framework) per un dominio.
Nel record SPF di un dominio si definisce quali indirizzi di posta/indirizzi IP sono autorizzati a inviare e-mail tramite il dominio mittente. Hostpoint verifica il rispetto di queste regole sui server di posta in entrata.
Come faccio a impostare una voce SPF?
Prendiamo ad esempio il nome di dominio il-vostro-dominio.ch.
In questo dominio nel DNS è attiva la seguente voce SPF:
"v=spf1 mx ip4:217.26.52.22/23 -all"
questo record può essere del tipo TXT o SPF.
Ora questo autorizza il server di posta di cui sopra nella rete 217.26.52.22/23 a inviare e-mail con il vostro dominio mittente @il-vostro-dominio.ch.
Tale autorizzazione non avviene quando la posta è in uscita, ma solo all’ingresso presso il server di posta del destinatario, ad es. nel server di posta in entrata di Hostpoint,
il quale verifica che il server di posta da cui è stata inviata l’e-mail sia effettivamente autorizzato all’invio. In altre parole, confronterà l’indirizzo IP del server di posta con l’indirizzo IP nel record SPF del dominio @il-vostro-dominio.ch.
Se il confronto ha esito negativo, il server di posta con questo IP che voleva inviare l’e-mail non è autorizzato a inviarla. Pertanto l’e-mail viene respinta in Hostpoint, dal momento che nello stesso record SPF è definito chiaramente che tutti gli altri non sono autorizzati all’invio («-all»).
Problema frequente con GMX
Un esempio importante è costituito da gmx.ch o gmx.net:
"v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26 ip4:82.165.159.0/24 -all"
GMX richiede che i clienti si servano per l’invio del server di posta in uscita di GMX. Se il cliente utilizza un server in uscita diverso da quello di GMX, il controllo SPF presso il destinatario ha esito negativo.
Anche in questo caso con «-all» viene chiaramente impartita l’istruzione secondo la quale tutti gli altri server di posta non sono autorizzati all’invio.
In questo caso Hostpoint respingerà l’e-mail. Pertanto vi raccomandiamo di utilizzare il server di posta in uscita di GMX per inviare messaggi dagli indirizzi e-mail @gmx.ch o @gmx.net.
Come posso garantire che il controllo SPF abbia esito positivo?
Per fare in modo che le vostre e-mail pervengano per quanto possibile presso tutti i provider vi raccomandiamo di impostare il server di posta in uscita valido indicato dal vostro provider.
In quanto clienti di Hostpoint vi preghiamo di utilizzare i seguenti server di posta.
Si riduce così il rischio che il destinatario blocchi le vostre e-mail a causa di un controllo SPF negativo.
Come faccio a visualizzare un record SPF?
Esistono varie possibilità per leggere un record SPF, ad esempio tramite il sito web:
oppure tramite il comando «dig»:
dig spf il-vostro-dominio.ch
dig txt il-vostro-dominio.ch
Qui troverete delle spiegazioni sulle modalità di lettura dei record SPF.
Problematica in caso di inoltro
In caso di inoltro il percorso delle e-mail si prolunga, viene cioè deviato attraverso il server presso il quale è disposto l’inoltro.
Per voi questo significa che l’e-mail viene consegnata da un nuovo server di posta (il server di posta sul quale è disposto l’inoltro) e non più dal server di posta in uscita del mittente.
In questo contesto abbiamo il problema dell’esito negativo del controllo dovuto al fatto che l’indirizzo IP del server di inoltro non è riportato nel record SPF del dominio del mittente.
Un esempio concreto:
Mittente: | Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. |
Destinatario: | Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. |
Inoltro su: | Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. |
Quando l’e-mail giunge presso Hostpoint, il mittente è sempre un indirizzo @gmx.ch, ma il server di posta che dovrebbe inviare e-mail è miohoster.ch e non corrisponde alle restrizioni del record SPF di GMX.
In questo caso il nostro server respingerà l’e-mail.
Che cosa posso fare io/il mio provider in caso di problemi di inoltro?
In linea di massima sono possibili le seguenti soluzioni:
- Il record SPF viene «allentato», ad esempio sostituendo il qualificatore «-ALL» con un altro qualificatore «~ALL», o aggiungendovi altri server di posta.
Problematica in questo caso: come si fa a sapere quale destinatario utilizza gli inoltri? È quasi impossibile includerli tutti e sarebbe decisamente complesso aggiornarli costantemente. - Il record SPF viene disattivato.
Problematica in questo caso: il problema si risolverebbe in questo modo, ma all’origine il record era stato creato per evitare phishing/abusi. Disattivando il record si eliminerebbe anche questo effetto desiderato. - Il server di posta di inoltro dovrebbe riscrivere le e-mail mediante SRS (Sender Rewrite Schema) affinché alla consegna successiva il controllo abbia esito positivo.
In qualità di fornitore di web hosting, Hostpoint punta sulla soluzione SRS.
Pertanto non dovete preoccuparvi di modificare l’indirizzo se inoltriamo una e-mail per voi, in quanto questa operazione viene effettuata in automatico. Questo però vale solo se l’inoltro viene effettuato su Hostpoint.
In quanto cliente Hostpoint desiderate utilizzare l’SPF per il vostro dominio?
Seguire questo manuale per aggiungere un record SPF per il vostro dominio.
Per richieste di supporto la preghiamo di usare invece questo modulo.