Implementare l’autenticazione SPF

È una tecnologia di autenticazione che viene utilizzata dai sistemi anti-spam per verificare l’identità di chi spedisce le email. Il server che riceve guarda al dominio del mittente , interroga il serverDNS per verificare che l’IP da cui l’email proviene sia tra quelli autorizzati. Se non è autorizzato il messaggio è rifiutato oppure segnalato come potenziale spam. Permette quindi di autenticare il dominio del mittente.

Chi lo usa

E’ utilizzato dalla maggior parte degli ISP tra cui , Aol, Mail.com, Hotmail, Comcast, Gmail, Verizon, Microsoft, Yahoo! e molti altri.

A cosa serve l’autenticazione SPF

L’autenticazione, in generale, è utilizzata da un numero sempre più alto di provider di posta, ad esempio in Hotmail le email senza SPF verificato vengono riportate con una icona “?”. Allo stesso modo, leggendo nelle intestazioni di un messaggio inviato a GMAIL, si potrà notare se l’SPF ha lo stato “pass”. Successivamente tale criterio potrà essere utilizzato come elemento caratterizzante per identificare lo Spam, oppure per certificare la reputazione del mittente, o ancora applicare regole di verifica antispam più o meno elaborate a seconda che l’SPF sia a posto o no. Un mittente autenticato con SPF inoltre, potrà poi disporre di una Accreditation o di una Reputation, cioè in base al un comportamento corretto nel corso del tempo, difficilmente verrà bloccato come spam se un giorno accade qualche problema. Perché implementare SPF? Per ridurre al minimo la possibilità che le proprie email vengano classificate come SPAM, quindi che arrivino nella cartella “Posta Indesiderata” o vengano bloccate come spam (anche erroneamente). Quanto costa? Non costa nulla. L’intervento sul DNS operato dal proprio fornitore hosting, di solito richiede pochi minuti e non viene venduto come servizio a pagamento, poiché riguarda le configurazioni di base di un dominio. Tutti i domini gestiti da MailUp S.p.A. inoltre rispettano questi requisiti automaticamente, non c’è bisogno di richiedere alcun intervento.

Cosa fare in pratica?

Chiedere a chi gestisce il dominio del mittente delle email – quindi al fornitore del servizio hosting o al proprio amministratore di rete – questo:

<< G.le Amministratore del Dominio, con l’obiettivo di aumentare i tassi di recapito delle nostre email, che vengono inviate con il sistema web based MailUp, La prego di inserire nel TXT del DNS dei nostri domini il seguente record: v=spf1 include:musvc.com ~all oppure se già esistente di aggiornarlo aggiungendo le classi di IP sopra indicate, ed avendo cura di aggiungere tutti gli SMTP utilizzati per l’invio delle nostre email. Per verificare il corretto inserimento suggeriamo questo link: http://www.kitterman.com/spf/validate.html Grazie e cordiali saluti. >>

Su quali domini va indicato?

  • Per i domini utilizzati come envelope-sender, cioè come MAIL-FROM, identificabile guardando l’header dell’email alla riga “Return Path:” è fondamentale registrare il record SPF. In genere l’envelope-sender è un indirizzo fornito da MailUp (es. abcd@bounce.musvc.com), a meno che il Cliente non abbia richiesto la sua personalizzazione.
  • Per i domini utilizzati come mittente delle email, cioè come FROM, identificabile semplicemente guardando il campo “Da”.
Ad esempio se le email vengono inviate da mario@example.com, sarà da aggiornare il record DNS del dominio “example.com”

Dettagli tecnici ulteriori

Si consiglia di aggiungere eventuali altri IP o SMTP che la propria organizzazione utilizza per inviare messaggi email, anche singoli. Ad esempio: a:smtp.xyz.com se i dipendenti di XYZ dovessero usare smtp.xyz.com per inviare le loro email. Per ulteriori dettagli: Per inserire altri IP/Host utilizzati per l’invio delle email, ci sono diversi modi:
  1. Mettendo il nome del dominio del provider prima di “~all “, quindi: “v=spf1 include:musvc.com a mx include:NOMEPROVIDER ~all”
  2. Questa previa verifica che il provider abbia l’SPF pubblicato, altrimenti è inutile e dannoso. Da quello che abbiamo verificato, a Luglio 2008 i provider che lo hanno inserito sono: tiscali.it, telecomitalia.it, fastwebnet.it . Vedere sotto per istruzioni su come verificare un record spf.
  3. Mettere il tag MX che sta a indicare tutti i server mx di questo dominio: “v=spf1 include:musvc.com a mx mx:nomedominio.tld ~all”
  4. Questo previa verifica che il provider utilizzi gli stessi server che recapitano le email in ingresso perché gli MX o mail exchanger sono sicuramente i server che ricevono la posta per un determinato dominio, ma non per forza quelli che la inviano.
  5. Inserire il record SPF meno restrittivo quindi senza tilde: “v=spf1 include:musvc.com a mx ?all”
Di default suggeriamo la configurazione con ~all, che significa che se un IP/host non è compreso tra quelli autorizzati, il server ricevente dovrebbe fare un’analisi ulteriore (antispam) prima di recapitare il messaggio. Se si è sicuri di comprendere tutti gli IP/host autorizzati ad inviare email per conto del dominio, usare invece “-all”.
Legenda

Un esempio

Quando mario@example.com invierà una serie di messaggi a utenti @gmail.com con MailUp, Gmail andrà ad interrogare il DNS di example.com, che gli risponderà che gli IP dei server di MailUp sono autorizzati a mandare messaggi per conto di example.com.

Domande?

Nel caso vi siano dubbi o problemi, MailUp S.p.A. offre un servizio di consulenza ai propri clienti che intendono implementare il SPF DKIM / DMARC sui propri server ma non sono in grado di farlo. Per chiedere un aiuto o una consulenza scrivere al supporto clienti.