Sender Policy Framework (SPF) è un metodo di autenticazione email che verifica che un messaggio sia stato inviato da un server di posta autorizzato. Impara come funziona e come aiuta a proteggere il tuo dominio email.
Utilizzato insieme a DKIM e DMARC(nuova finestra), SPF è uno dei principali metodi utilizzati dai fornitori di servizi internet (ISP) e dalle piattaforme email per identificare e bloccare spam e attacchi phishing.
Ti spieghiamo SPF, come funziona e perché è necessario per aiutarti a proteggere il tuo dominio e assicurare la consegna dei tuoi messaggi.
Cos’è Sender Policy Framework (SPF)?
Per cosa si utilizza SPF?
In cosa differisce SPF da DKIM e DMARC
Come funziona SPF?
Cos’è un record SPF?
SPF e l’inoltro automatico delle email
Perché utilizzare SPF?
Combatti spammer e truffatori
Migliora la consegna delle email
Incrementa la reputazione del tuo dominio
Autenticazione SPF facile con Proton Mail
Cos’è Sender Policy Framework (SPF)?
Sender Policy Framework (SPF) è un protocollo di autenticazione email che ti consente di specificare i server autorizzati a inviare email dal tuo dominio, rendendo più difficile per i truffatori spoofare (falsificare) il tuo indirizzo.
Se invii email da un dominio personalizzato (ad esempio, @iltuodominio.it), puoi elencare gli indirizzi IP(nuova finestra) dei server di posta autorizzati a inviare le tue email. Controllando il tuo elenco di indirizzi IP, i servizi email e gli ISP possono identificare se il messaggio proviene da un server fidato.
Per cosa si utilizza SPF?
SPF è uno dei principali metodi utilizzati dai server di posta per autenticare le email. Aiuta i fornitori di servizi email a identificare gli indirizzi contraffatti e a bloccare spam e email phishing.
Tuttavia, SPF da solo non è sufficiente a rilevare i messaggi spoofati perché l’indirizzo del mittente (campo Da) può essere falsificato. Utilizzando SPF con DKIM e DMARC, i fornitori di servizi email possono verificare che il dominio del mittente corrisponda al campo Da, confermando che l’indirizzo non sia stato spoofato.
Come SPF si differenzia da DKIM e DMARC
SPF, DKIM e DMARC sono protocolli di autenticazione email utilizzati per verificare che le email provengano da un mittente legittimo, ma funzionano tutti in modo diverso. Ecco come funzionano insieme:
- SPF (Sender Policy Framework) verifica che un’email sia stata inviata da un indirizzo IP autorizzato a inviare email dal dominio del mittente.
- DKIM (DomainKeys Identified Mail) verifica crittograficamente che l’indirizzo del mittente e il contenuto del messaggio non siano stati modificati durante il transito.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance) assicura che il dominio nei controlli DKIM e SPF corrisponda al dominio del mittente nel campo Da. Specifica anche come i provider di servizi email dovrebbero gestire un messaggio che fallisce sia i controlli DKIM che SPF: accettarlo, rifiutarlo o segnalarlo come spam.
Scopri come configurare SPF, DKIM e DMARC con Proton Mail
Come funziona SPF?
SPF verifica se un’email in arrivo è stata inviata da un server di posta autorizzato a inviare email da quel dominio.
Prima di tutto, devi creare un record SPF che elenchi gli indirizzi IP dei server di posta autorizzati a inviare email dal tuo dominio. Poi sei pronto per inviare messaggi con SPF come segue:
- Invii un’email, ad esempio, dall’indirizzo tu@iltuodominio.it. Supponiamo che il messaggio sia inviato da uno dei tuoi server di posta autorizzati con l’indirizzo IP 185.70.40.111.
- Quando l’email arriva, il server di posta destinatario controlla l’indirizzo del mittente nel campo Return-Path (noto anche come MAIL FROM) dell’intestazione email e cerca il record SPF per il tuo dominio (in questo esempio, iltuodominio.it).
- Il server di posta destinatario verifica se l’indirizzo IP da cui è stata inviata la mail (185.70.40.111) è elencato nel tuo record SPF.
- Se l’indirizzo IP è elencato, il messaggio supera il controllo SPF; se non lo è, fallisce.
Nota che al passo 2. il server di posta destinatario cerca il record SPF per il dominio nel campo Return-Path, che non deve necessariamente essere lo stesso del dominio nel campo Da. Anche se il dominio nell’indirizzo Da è falsificato e diverso da quello nel Return-Path, un messaggio può superare il controllo SPF.
Ecco perché hai bisogno di DMARC per verificare che il dominio nei controlli SPF e DKIM corrisponda all’indirizzo del mittente nel campo Da.
Cos’è un record SPF?
Un record SPF è un tipo di record testuale DNS(nuova finestra) che elenca gli indirizzi IP dei server autorizzati a inviare email da un determinato dominio. I record SPF vengono pubblicati sul server DNS del dominio, così qualsiasi server di posta destinatario può consultarli per verificare se un’email è stata inviata da un server fidato.
Esempio di record SPF
Ecco un esempio di record SPF con una spiegazione di cosa significa di seguito:
v=spf1 ip4:185.70.40.111 include:_spf.protonmail.ch mx ~all
- v=spf1: Il numero di versione SPF. Ogni record SPF deve iniziare con questo tag.
- ip4: Gli indirizzi IP dei server autorizzati a inviare email dal tuo dominio. Possono essere indirizzi IPv4 o IPv6(nuova finestra); gli indirizzi IPv6 usano il tag ip6.
- include: Istruisce il server a verificare i record SPF del dominio aggiuntivo menzionato. In questo esempio, il server cercherebbe _spf.protonmail.ch e aggiungerebbe gli indirizzi IP trovati alla lista degli indirizzi autorizzati.
- mx: Qualsiasi indirizzo IP che corrisponde ai server di posta elencati nei record MX(nuova finestra) del dominio mittente. Ad esempio, Proton Mail utilizza mail.protonmail.ch e mailsec.protonmail.ch.
- ~all: Indica ai server di posta elettronica riceventi cosa fare se un’email non supera il controllo SPF. I tre tag all più comuni sono:
- ~all: Segnala il messaggio come sospetto
- –all: Rifiuta il messaggio
- ?all: Il server di posta elettronica ricevente decide (raccomandazione neutra)
Tuttavia, dall’introduzione di DMARC, molti provider di posta elettronica, inclusa Proton Mail, non utilizzano più questi tag all. Oltre a verificare che il campo Da corrisponda al dominio nei controlli SPF e DKIM, DMARC indica ai server cosa fare con i messaggi che falliscono questi controlli, rendendo i tag all superflui.
Nell’esempio sopra, il record SPF autorizza l’invio di mail da:
- 185.70.40.111
- Gli indirizzi IP trovati in _spf.protonmail.ch
- Gli indirizzi IP dei server di posta elencati nei record MX del dominio
Se un’email da questo dominio viene ricevuta da un indirizzo IP non elencato sopra, il messaggio fallisce il controllo SPF ed è trattato come sospetto.
SPF e l’inoltro delle email
Uno dei limiti di SPF è che non funziona in modo affidabile con le email inoltrate.
Quando si inoltra un messaggio, se il server di posta mittente sostituisce l’indirizzo email del mittente originale nel campo Percorso di ritorno (MAIL FROM) con l’indirizzo del trasmettitore, il server ricevente controllerà il record SPF del dominio del trasmettitore. In questo caso, il messaggio dovrebbe superare SPF.
Ma non tutte le piattaforme di posta elettronica riscrivono il campo Percorso di ritorno quando inoltrano. Se il server di posta mantiene l’indirizzo del mittente originale nel campo Percorso di ritorno, il server di posta ricevente controllerà il record SPF del mittente originale. Poiché questo non include l’indirizzo IP del server di inoltro, il messaggio fallisce.
Fortunatamente, se un’email fallisce SPF, potrebbe comunque superare il controllo DKIM perché DKIM verifica il contenuto del messaggio, non il suo indirizzo IP di invio. Purché non cambi il contenuto e la struttura del messaggio originale, dovrebbe superare DKIM.
Perché usare SPF?
Insieme a DKIM e DMARC, SPF è uno dei principali modi per proteggere il tuo dominio e assicurarti che le tue email vengano consegnate. Ecco perché dovresti usarlo:
Combatti spammers e truffatori
SPF rende più difficile per i criminali informatici inviare messaggi fingendosi il tuo dominio (spoofing email). Specificare i server di posta affidabili con SPF aiuta a prevenire che i truffatori usino il tuo dominio per spam e attacchi di phishing.
Migliora la consegnabilità delle email
SPF aiuta i provider di servizi Internet e le piattaforme email a identificare le email legittime. Quindi, utilizzare SPF aumenta le possibilità che i tuoi messaggi vengano consegnati invece di finire nella cartella spam.
Incrementa la reputazione del tuo dominio
Più le tue email superano i controlli di autenticazione come SPF, più migliorerai la reputazione del tuo dominio con le piattaforme email. Quindi SPF può aiutare a migliorare la consegnabilità delle tue email nel lungo termine.
Autenticazione SPF facile con Proton Mail
Se hai un dominio personalizzato, ti consigliamo vivamente di configurare SPF, insieme a DKIM e DMARC, per migliorare la sicurezza e la consegnabilità delle tue email.
Implementare tutti e tre è facile se hai un piano a pagamento Proton Mail. Ti spieghiamo come configurare il tuo dominio personalizzato e DKIM, SPF e DMARC con una semplice procedura guidata.
Ottieni Proton Mail Plus per un singolo dominio, oppure scegli Proton Unlimited con supporto per tre domini, 15 indirizzi, 500 GB di spazio di archiviazione e alias illimitati di hide-my-email.
Se hai un’attività commerciale, puoi proteggere la tua posta elettronica con Proton for Business.
O vuoi solo provare un servizio di posta elettronica sicura intuitivo che rispetta la tua privacy? Allora iscriviti a Proton Mail gratuitamente. Tutti i piani Proton includono Proton Mail crittografato end-to-end, Proton Calendar, Proton Drive e Proton VPN(nuova finestra). Quindi unisciti a noi e mantieniti al sicuro!