| |
INTRODUZIONE
È una tecnologia di autenticazione che viene utilizzata dai sistemi anti-spam per certificare l'identità di chi spedisce le email. Il server che riceve guarda al dominio del mittente (FROM:) e al dominio dell'envelope-sender (identificabile guardando il l'header RETURN PATH:), interroga il loro DNS per verificare che l'IP da cui l'email proviene sia tra quelli autorizzati.
Se non corrisponde al dominio dichiarato, il messaggio è rifiutato oppure segnalato come potenziale spam. Permette quindi di AUTENTICARE IL DOMINIO DEL MITTENTE.
CHI LO USA
Già implementato da realtà del calibro di World Wide Web Consortium, Sap, Aol e Mail.com, Spf, Hotmail, Comcast, Gmail, Verizon e molti altri, è stato integrato da Microsoft con il proprio CallerId, per diventare la proposta di autenticazione SenderId, che è una variante dell'SPF erroneamente chiamato spf 2.0.
LINK UTILI
Tutte le istruzioni di dettaglio e il wizard sono disponibili su questo sito ufficiale: http://spf.pobox.com/wizard.html
Microsoft ha inoltre un proprio sistema di autenticazione, definito SenderID. Qui si trovano tutte le informazioni per ottenerlo:
http://www.microsoft.com/mscorp/safety/technologies/senderid/default.mspx
Esiste inoltre l'autenticazione basata su DKIM (DomainKey Identified Mail) è utilizzato da Yahoo!, British Telecom, Gmail e altri. Tutte le email inviate con MailUp sono già automaticamente firmate con DKIM, ed è possibile opzionalmente su richiesta implementare la firma custom del Cliente.
A COSA SERVE L'AUTENTICAZIONE SPF
L'autenticazione, in generale, è utilizzata da un numero sempre più alto di provider di posta, ad esempio in Hotmail le email senza il SenderID o SPF verificato, vengono riportati con una icona "?". Allo stesso modo, leggendo nelle intestazioni di un messaggio inviato a GMAIL, si potrà notare se l'SPF ha lo stato "pass".
Successivamente tale criterio potrà essere utilizzato come elemento caratterizzante per identificare lo Spam, oppure per certificare la reputazione del mittente, o ancora applicare regole di verifica antispam più o meno elaborate a seconda che l'SPF sia a posto o no.
Un mittente autenticato con SPF inoltre, potrà poi disporre di una Accreditation o di una Reputation, cioè in base al un comportamento corretto nel corso del tempo, difficilmente verrà bloccato come spam se un giorno accade qualche problema.
PERCHE' IMPLEMENTARE SPF E IL SENDERID ?
Per ridurre al minimo la possibilità che le proprie email vengano classificate come SPAM, quindi che arrivino nella cartella "Posta Indesiderata" o vengano bloccate come spam (anche erroneamente).
QUANTO COSTA?
Non costa nulla. L'interveno sul DNS operato dal proprio fornitore hosting, di solito richiede pochi minuti e non viene venduto come servizio a pagamento, poichè riguarda le configurazioni di base di un dominio. Tutti i domini gestiti da NWEB inoltre rispettano questi requisiti automaticamente, non c'è bisogno di richiedere alcun intervento.
COSA FARE IN PRATICA?
Chiedere a chi gestisce il dominio del mittente delle email - quindi al fornitore del servizio hosting o al proprio amministratore di rete - questo:
<<
G.le Amministratore del Dominio,
con l'obiettivo di aumentare i tassi di recapito delle nostre email, che vengono inviate con il sistema web based MailUp, La prego di inserire nel TXT del DNS dei nostri domini i seguenti due record:
v=spf1 ip4:93.174.64.0/21 include:emailsp.it ~all
spf2.0/pra ip4:93.174.64.0/21 include:emailsp.it ~all
oppure se già esistente di aggiornarlo aggiungendo le classi di IP sopra indicate.
Per verificare il corretto inserimento suggeriamo questo link: http://www.kitterman.com/spf/validate.html
Per domande e approfondimenti:
http://www.mailup.it/PotenziareMailUp_IncrementareSenderID.asp
Grazie e cordiali saluti,
>> |
SU QUALI DOMINI VA INDICATO?
- Per i domini utilizzati come envelope-sender, cioè come MAIL-FROM, identificabile guardando l'header dell'email alla riga "Return Path:" è fondamentale registrare il record SPF. In genere l'envelope-sender è un indirizzo fornito da MailUp (es. abcdespsrv.com), a meno che il Cliente non abbia richiesto la sua personalizzazione.
- Per i domini utilizzati come mittente delle email, cioè come FROM, identificabile semplicemente guardando il campo DA:, è consigliato registrare il record SenderID. Ad esempio se le email vengono inviate da mario@example.com, sarà da aggiornare il record DNS del dominio "example.com"
DETTAGLI TECNICI ULTERIORI
Si consiglia - ma non è fondamentale - di aggiungere eventuali altri IP o SMTP che la propria organizzazione utilizza per inviare messaggi email, anche singoli. Ad esempio: a:smtp.costacrociere.com se i dipendenti di CostaCrocere usanso smtp.costacrocere.com per inviare la loro posta elettronica. Per ulteriori dettagli: http://spf.pobox.com/
Per inserire altri IP/Host utilizzati per l'invio delle email, ci sono diversi modi:
- Mettendo il nome del dominio del provider prima di “~all ”, quindi:
v=spf1 ip4:81.88.228.224/27 ip4:81.88.237.160/28 ip4:81.88.234.16/28 ip4:93.174.64.0/21 a mx include:NOMEPROVIDER ~all
Questa previa verifica che il provider abbia l’SPF pubblicato, altrimenti è inutile e dannoso.
Da quello che abbiamo verificato, a Luglio 2008 i provider che lo hanno inserito sono: tiscali.it, telecomitalia.it, fastwebnet.it . Vedere sotto per istruzioni su come verificare un record spf.
- Mettere il tag MX che sta a indicare “tutti i server mx di questo dominio”:
v=spf1 ip4:81.88.228.224/27 ip4:81.88.237.160/28 ip4:81.88.234.16/28 ip4:93.174.64.0/21 a mx a mx mx:nomedominio.tld ~all
Questo previa verifica che il provider utilizzi gli stessi server che recapitano le email in ingresso perché gli MX o mail exchanger sono sicuramente i server che ricevono la posta per un determinato dominio, ma non per forza quelli che la inviano.
- Inserire il record SPF meno restrittivo quindi senza tilde:
v=spf1 ip4:81.88.228.224/27 ip4:81.88.237.160/28 ip4:81.88.234.16/28 ip4:93.174.64.0/21 a mx ?all
- Comprare il servizio hosting da un provider professionale, che possa fornire un servizio smtp sul proprio dominio, come il servizio hosting offerto da NWEB > Acquista online
Di default suggeriamo la configurazione con ~all, che significa che se un IP/host non è compreso tra quelli autorizzati, il server ricevente dovrebbe fare un'analisi ulteriore (antispam) prima di recapitare il messaggio. Se si è sicuri di comprendere tutti gli IP/host autorizzati ad inviare email per conto del dominio, usare invece "-all".
LEGENDA:
Syntax |
Type |
Meaning |
-all |
Fail |
Fail all servers not listed here (recommended option) |
~all |
Soft fail |
Give extra scrutiny to servers not listed here |
?all |
Neutral |
Unsure whether e-mail infrastructure is secure |
+all |
Pass |
There's no infrastructure security at all |
UN ESEMPIO
Quando mario@example.com invierà una serie di messaggi a utenti @gmail.com con MailUp, Gmail andrà ad interrogare il DNS di example.com, che gli risponderà che gli IP dei server di MailUp sono autorizzati a mandare messaggi per conto di example.com.
DOMANDE?
Nel caso vi siano dubbi o problemi, NWeb offre un servizio di consulenza ai propri clienti che intendono implementare il SPF / SenderID / DomainKeys / DKIM sui propri server ma non sono in grado di farlo.
Per chiedere un aiuto o una consolulenza scrivere al supporto clienti.
COME VERIFICARLO?
Ci sono alcuni servizio online gratuiti che, inserendo il proprio dominio forniscono il risultato preso dal DNS:
http://www.kitterman.com/spf/validate.html (consigliato)
http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/default.aspx
http://dnsstuff.com/
Per controllare da una finestra di DOS:
- Su Windows, digitare CMD nella casella ESEGUI del menu Start
- Digitare quindi:
- nslookup
- set type=all
- dominiodacontrollare.com
|
|