Passa al contenuto principale

Che cosa sono i record Sender Policy Framework? Cosa devi sapere su SPF

La creazione di un record SPF fornisce ai destinatari delle email uno strumento per verificare se un mittente è autorizzato o meno a inviare un’email a tuo nome.

Un SPF (Sender Policy Framework) funziona come la security all’ingresso di un locale. Tu gli dai una lista degli ospiti e la security dà il benvenuto a coloro i cui nomi sono nell’elenco mentre tutti gli altri attendono di essere approvati o vengono allontanati. Ad esempio, il titolare di una piccola attività di solito conosce clienti e fornitori per nome e ne ha visto i loghi, il personale e gli altri identificatori. Tuttavia, gli scambi di email non offrono quei segnali visivi che in genere suggeriscono legittimità.

Il vicepresidente al marketing di un’azienda di medie dimensioni può conoscere di vista solo alcuni dei clienti e dei fornitori. Pertanto, il vicepresidente si affida a un receptionist che filtri le chiamate e i visitatori, consentendo di parlare direttamente con il vicepresidente solo a quanti non possono essere aiutati da membri del personale più junior.

Al contrario, il CEO o il titolare di un’azienda internazionale di import/export in genere parla solo con persone con cui ha appuntamenti presi con largo anticipo. Inoltre, tutti coloro che ottengono un appuntamento devono avere un motivo essenziale per l’intera azienda che solo il CEO può gestire, come può essere il caso di un cliente molto importante che ha un contratto complesso.

In ciascuna di queste situazioni, le aziende devono avere un modo per distinguere il mittente autentico. Infatti, se uno spammer, un truffatore o un bot ti impersona per ottenere accesso alla tua lista dei clienti o al tuo server email, la tua azienda potrebbe subire una perdita significativa in termini di reputazione. Il Sender Policy Framework fornisce tale fattore di distinzione.

Scopri maggiori informazioni su SPF, comprese le risposte alle tue domande come "Cos’è un record SPF?" e "Come si crea un record SPF?" per sfruttare questa misura di sicurezza per la tua azienda.

Che cosa sono i record Sender Policy Framework?

Un record Sender Policy Framework, o SPF, è una riga di codice informatico che comunica ai destinatari delle tue email che il messaggio è stato generato da te, dalla tua azienda o da un distributore di email autorizzato che lavora per conto tuo. Un record SPF fornisce istruzioni che il destinatario del messaggio può utilizzare:

  • per identificare il mittente di un messaggio,
  • per verificare che il mittente abbia l’autorità per inviare email dalla tua azienda,
  • come possibile percorso di restituzione del messaggio alla fonte in caso di obiezioni sull’uso dei suoi dati

Limitazioni di SPF: che cosa non può fare SPF

Ora che abbiamo risposto alla domanda "Che cos’è un record SPF?", dobbiamo discutere cosa non può fare un record SPF. L’autenticazione SPF offre il livello minimo di sicurezza per le tue campagne email.

Alcune delle limitazioni da considerare includono:

  • SPF non crittografa i messaggi.
  • Questi framework non forniscono alcun miglioramento della privacy.
  • L’inoltro di un’email interrompe SPF perché l’utente che effettua l’inoltro diventa il nuovo mittente.
  • SPF non genera report.
  • Il solo SPF non fornisce una protezione sufficiente.

Cosa devi sapere su SPF?

L’utilizzo dei record SPF indica al destinatario che il messaggio non è una simulazione, un raggiro o un tentativo di truffa. Per creare un certo livello di fiducia, ogni azienda deve affrontare delle sfide. Se aumenti la fiducia attraverso questo processo di verifica, riduci la resistenza al tuo messaggio. L’utilizzo di SPF aiuta anche a migliorare la sicurezza informatica per il destinatario.

Ecco alcune informazioni importanti da tenere a mente su SPF:

  1. SPF è una lista di indirizzi IP e istruzioni che i provider di servizi Internet devono seguire quando gestiscono le tue email in uscita.
  2. SPF fornisce un livello di protezione che aumenta la probabilità che i tuoi messaggi raggiungano il destinatario previsto.
  3. Un record email SPF non crittografa i messaggi.
  4. I record SPF vengono visualizzati nelle intestazioni complete del messaggio.
  5. Il dominio SPF elencato per primo nel meccanismo "include" dimostra che hai preso almeno alcune precauzioni minime per proteggere i tuoi dati personali e aziendali.

Confronto di SPF con DMARC e DKIM

L’Internet Engineering Task Force ha pubblicato l’attuale protocollo SPF in RFC 7208 nell’aprile 2014. Lo scopo era quello di creare un consenso su come impedire ad hacker e phisher di inviare email che fanno finta di provenire da un’organizzazione nota e affidabile. Tale consenso è diventato spf1 e, da quel momento in poi, v=spf1 è diventato il formato standard per la dichiarazione iniziale di ogni record SPF. Tuttavia, l’inoltro di un messaggio invalida SPF. Di conseguenza, sono entrate in gioco due strategie aggiuntive: DKIM e DMARC.

Che cos’è DKIM?

DKIM è l’acronimo di DomainKeys Identified Mail. Come SPF, DKIM è un record TXT nel DNS. Tuttavia, i record DKIM rimangono validi anche quando vengono inoltrati. Gli attuali standard DKIM sono nati dagli sforzi di Yahoo! e Cisco, che hanno ciascuno creato i propri standard di autorizzazione per le email. Immagina che DKIM è come il sigillo di cera che in passato veniva applicato ai documenti ufficiali. Questi sigilli di cera erano riconoscibili: se un messaggio arrivava con un sigillo mancante o rotto, non era considerato affidabile.

Ogni server email di smistamento ha un DKIM in due parti: la chiave DKIM privata e una chiave pubblica. Ogni server di destinazione accede alla metà pubblica della chiave. Quando invii il tuo messaggio email, il server email ricevente esegue una ricerca nel DNS. Se il server email trova la tua chiave DKIM pubblica, apre la firma DKIM. Se la firma nel messaggio corrisponde alla firma pubblicata nel DNS, il server email ricevente considera valido il messaggio. In caso contrario, il messaggio è soggetto a bounce, il che significa che non raggiunge la casella di posta del destinatario desiderato. Pertanto, il messaggio potrebbe non essere consegnato, finire nella cartella dello spam o essere trasferito in un’altra cartella impostata dall’utente per gestire tali messaggi.

Il formato corretto per i record DKIM è il seguente:

<selector(s=)._domainkey.domain(d=)>.   TXT v=DKIM1; p=\<public key>

Ecco un esempio di chiave pubblica DKIM nel formato corretto: 

dk5182-3458. _domainkey.mydomainexample.com. IN TXT "v=DKIM1 \; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1TaNgLlSyQMNWVLNLvyY/neDgaL2oqQE8T5illKqCgDtFHc8eHVAU+nlcaGmrKmDMw9dbgiGk1ocgZ56NR4ycfUHwQhvQPMUZw0cveel/8EAGoi/UyPmqfcPibytH81NFtTMAxUeM4Op8A6iHkvAMj5qLf4YRNsTkKAV;"

Cosa fa ciascuna parte di un record DKIM?

In questo esempio, dk5182-3458 rappresenta il selettore (s=). (d=) rappresenta il dominio specificato, mydomainexample.com. La versione deve sempre apparire come "v=DKIM1'' in ogni record DKIM. Il meccanismo "p" rappresenta il codice pubblico, una stringa di lettere, numeri e simboli.

Che cos’è DMARC?

DMARC è l’acronimo di Domain-based Message Authentication, Reporting & Conformance. DMARC impedisce le attività dannose bloccando i messaggi dagli spoofer prima ancora che raggiungano la tua casella di posta. Gli spoofer fingono essere tuoi rappresentanti per raccogliere informazioni utili per il furto dell’identità o altri tipi di frode.

Se utilizzi DMARC, queste tentate intrusioni diventano impossibili. DMARC utilizza un codice open source gratuito. Tuttavia, anche il provider di servizi email deve utilizzare la protezione DMARC. DMARC fornisce un terzo livello di protezione dopo SPF e DKIM.

DMARC ti consente di comunicare al tuo provider di servizi email se rifiutare o mettere in quarantena le email da fonti inaffidabili o sconosciute in base alle informazioni ricevute dopo le richieste DKIM e SPF.

Parti del record SPF

Un record SPF formattato correttamente è un file di testo (TXT) che contiene due elementi fondamentali. Innanzitutto, il record deve includere la versione SPF. In secondo luogo, il resto del record è costituito dai meccanismi necessari per verificare quali nomi host e indirizzi IP sono autorizzati a inviare messaggi dal tuo dominio.

Un esempio di record SPF in una dichiarazione di autenticazione email potrebbe avere l’aspetto seguente:

"v=spf1 a MX include:spf.yourbusinessdomainname.com ~all"

La dichiarazione v=spf1 comunica al server email ricevente che questo record TXT è un record Sender Policy Framework. Il meccanismo "a'' indica al server in questione di far corrispondere l’indirizzo IP del mittente a "uno" strumento del dominio "da" prima di consentire il download dell’intero messaggio. Il meccanismo MX si riferisce al server di scambio di posta o all’"host" utilizzato per memorizzare i messaggi email, come Google Workspace o Microsoft 365 Business Premium. Infine, il meccanismo "include" specifica che il dominio SPF di esempio, yourbusinessdomainname.com, ha il diritto di inviare le email della tua azienda.

Punti importanti da ricordare:

  • L’istruzione v=spf1 è il primo tag e deve apparire SEMPRE all’inizio del tuo record SPF.
  • La dichiarazione "a" deve corrispondere al record "da".
  • Il tuo MX è il servizio di scambio di posta utilizzato.
  • Ogni dominio autorizzato a inviare email aziendali deve apparire nella dichiarazione "include", compresi eventuali servizi email di terze parti come Mailchimp utilizzati dall’utente.
  • Includi ogni indirizzo IP da cui proviene la tua email aziendale nel tuo meccanismo SPF.

Come creare un record SPF

Per ottenere i risultati migliori, crea la sintassi del record SPF come file TXT prima di caricarlo, invece di crearla sulla dashboard del server DNS. In questo modo, puoi esaminarla per verificare la presenza di errori di formato prima di testarla.

Segui questi passaggi per creare e implementare il tuo record SPF:

  1. Innanzitutto, apri la dashboard del tuo provider di dominio.
  2. Accedi a “Impostazioni”.
  3. Crea il record SPF come formato TXT
  4. Aggiungilo alle impostazioni DNS.
  5. Testa le modifiche.

Qualsiasi modifica al record SPF esistente può richiedere fino a 48 ore, quindi sii paziente. Quindi, testa nuovamente le modifiche dopo che sono trascorsi due giorni.

Ad esempio, se invii email solo da Google Workspace, il tuo record SPF avrà questo aspetto:

"v=spf1 include: _spf.google.com ~all"

Tuttavia, se usi altri provider di servizi email, avrai sempre bisogno di una dichiarazione separata "include:" per ciascuno di essi. Di conseguenza, se utilizzi anche Mandrill di Mailchimp per inviare messaggi, aggiungi "include:mandrillapp.com" dopo la dichiarazione di Google e prima dell’elemento ~all. Pertanto, il tuo nuovo SPF avrà questo aspetto:

"v=spf1 include: _spf.google.com include:mandrillapp.com ~all"

In questo caso, sostituisci "domainkey.example.com" con il nome di dominio della tua azienda.

Proteggi la tua attività con i record SPF

Se non adotti misure per proteggere le tue comunicazioni, utenti malintenzionati come ex dipendenti scontenti, spammer e truffatori possono rovinare la reputazione della tua azienda inviando email false dalla tua azienda. L’autenticazione SPF offre ai tuoi clienti e contatti un modo per verificare che un certo messaggio arriva proprio da te. Anche se non crittografa i contenuti del messaggio, SPF fornisce la prima linea di difesa contro gli spoofer. Per una sicurezza totale contro gli attacchi informatici via email, è necessario utilizzare anche DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance).

Se non sai come creare e aggiungere record SPF al tuo DNS, puoi fare affidamento su Mailchimp per impostare e testare la tua autenticazione SPF e l’autenticazione del dominio per te.

Laptop screen showcasing 'Unlocking Advanced Email Marketing' Checklist

Scarica la guida di Mailchimp per l'email di marketing avanzato

Fai crescere la tua attività con le giuste conoscenze e strategie per migliorare le tue email, catturare l'attenzione del pubblico e trasformare i lead in clienti fedeli.

Compila il modulo sottostante per ricevere l'opuscolo informativo

Condividi questo articolo