Passa al contenuto principale

Che cosa sono i record Sender Policy Framework? Cosa sapere su SPF

Scopri cosa sono i record del Sender Policy Framework (SPF) e come aiutano a prevenire lo spoofing delle email.

Un Sender Policy Framework (SPF) funziona come una guardia all'ingresso della hall. Fornisci una lista degli ospiti e la guardia accoglie quelli con i nomi sulla lista, mentre tutti gli altri aspettano l'approvazione o vengono respinti.

Ad esempio, un titolare di una piccola impresa di solito conosce i clienti e i fornitori per nome, e hai visto i loro loghi aziendali, il personale e altri identificatori. Tuttavia, gli scambi di email mancano di quei segnali visivi di legittimità.

Il vicepresidente al marketing di un’azienda di medie dimensioni può conoscere di vista solo alcuni dei clienti e dei fornitori. Pertanto, il vicepresidente si affida a un receptionist che filtri le chiamate e i visitatori, consentendo di parlare direttamente con il vicepresidente solo a quanti non possono essere aiutati da membri del personale junior.

Al contrario, il CEO o il titolare di un’azienda internazionale di import/export in genere parla solo con persone con cui ha appuntamenti presi con largo anticipo. Inoltre, tutti coloro che ottengono un appuntamento devono avere un motivo essenziale per l’intera azienda che solo il CEO può gestire, come può essere il caso di un cliente molto importante che ha un contratto complesso.

In ciascuna di queste situazioni, le aziende devono avere un modo per distinguere il mittente autentico. Altrimenti, se uno spammer, un truffatore o un bot ti impersona per ottenere accesso alla tua lista dei clienti o al tuo server email, la tua azienda potrebbe subire una perdita significativa in termini di reputazione. Il Sender Policy Framework fornisce tale fattore di distinzione.

Scopri maggiori informazioni sugli SPF, comprese le risposte alle domande come "Cos'è un record SPF" e "Come si crea un record SPF?", in modo da poter sfruttare questa misura di sicurezza per la tua azienda.

Cosa sono i record Sender Policy Framework?

Un record SPF è essenzialmente un sistema di verifica dell'identità digitale per le email. È una specifica riga di codice di testo (TXT) aggiunta ai record DNS del dominio che opera dietro le quinte per autenticare i mittenti di email e garantire che provengano da indirizzi IP autorizzati.

Quando è configurato correttamente, questo record informa i server di posta in arrivo che l'email proviene da origini legittime autorizzate a inviare email da determinati domini.

L'autenticazione SPF funziona creando un elenco di indirizzi IP e nomi di server approvati che sono autorizzati a inviare email utilizzando il tuo dominio. Quando qualcuno riceve un'email che afferma di provenire dal tuo dominio, il suo server di posta elettronica controlla automaticamente questo record SPF per verificare che il server mittente sia nella lista dei server approvati.

Ecco come funziona ogni elemento:

  • Identificazione del mittente: il record SPF consente ai server dei Destinatari di Confermare che un’email proviene veramente da una Origine autorizzata e non da qualcuno che tenta di falsificare il tuo dominio. Questa verifica avviene in modo invisibile durante la consegna delle email.
  • Verifica del mittente: i sistemi di posta elettronica possono verificare automaticamente se l'indirizzo IP del server di posta mittente corrisponde a quanto elencato nel tuo record SPF, impedendo ai server non autorizzati di impersonare correttamente il tuo dominio nelle email.
  • Verifica del percorso di ritorno: l'SPF fornisce un percorso affidabile per tornare all’origine autentica se i destinatari hanno domande sul messaggio o dubbi su come vengono utilizzate le loro informazioni, migliorando la responsabilità.

Implementando i record SPF, stai essenzialmente dicendo al mondo esattamente quali server sono autorizzati a inviare email per conto del tuo dominio, creando un primo fondamentale livello di sicurezza delle email e di autenticazione del mittente.

Limiti dell'SPF: cosa non può fare

Sebbene i record del Sender Policy Framework aiutino i titolari di domini a proteggere le loro comunicazioni email, questo protocollo di autenticazione delle email presenta dei limiti che è importante conoscere. L'SPF da solo non è una soluzione di sicurezza completa.

I suoi limiti includono:

  • Nessuna capacità di crittografia: quando i server di posta in arrivo eseguono l'autenticazione SPF, verificano solo l'autenticità del mittente ma non proteggono il contenuto effettivo dei messaggi. Chiunque intercetti le tue email può comunque leggerle se non usi una crittografia aggiuntiva.
  • Nessuna funzionalità di privacy: questi record non nascondono i metadati delle email né proteggono le informazioni sensibili nei messaggi. Verificano semplicemente che un'email provenga da un server di posta autorizzato.
  • Interruzioni durante l'inoltro: quando qualcuno inoltra la tua email, la convalida SPF ha esito negativo perché l'indirizzo IP del server di invio dello spedizioniere diventa il nuovo mittente. Ciò significa che i messaggi inoltrati legittimi potrebbero essere contrassegnati come sospetti.
  • Nessuna funzionalità di reporting: a differenza di protocolli più avanzati, l'SPF non genera report su chi sta cercando di falsificare il dominio né fornisce dati analitici sui problemi di consegna legati all’autenticazione.
  • Insufficiente come soluzione autonoma: la ricerca DNS eseguita durante i controlli SPF è solo un livello di sicurezza delle email. Gli aggressori intelligenti possono trovare un modo per aggirare la protezione basata solo su SPF, motivo per cui gli esperti consigliano di implementarla insieme a DKIM e DMARC per garantire una protezione completa.
  • Ambito di protezione limitato: l'SPF verifica solo il server di invio, non il contenuto effettivo delle email. Ciò significa che gli attacchi di phishing con contenuti dannosi possono ancora superare i controlli SPF se inviati da server autorizzati.

Cosa devi sapere su SPF?

L’implementazione dei record SPF indica ai server di posta elettronica dei destinatari che il messaggio non è una simulazione, un raggiro o un tentativo di truffa. Prendendo il tempo per incorporare i record SPF nelle impostazioni del dominio, si crea un processo di verifica che aumenta la fiducia e riduce la resistenza ai messaggi.

Quando i messaggi affermano di provenire dal tuo dominio protetto da SPF ma invece provengono da server non autorizzati, non supereranno i controlli di autenticazione SPF: questo protegge sia la reputazione del tuo brand che i tuoi destinatari da potenziali truffe.

Questo sistema di verifica è particolarmente importante per gestire la posta in arrivo, poiché fornisce un ulteriore livello di controllo di sicurezza prima che i messaggi raggiungano le caselle di posta.

Ecco le cose più importanti da sapere sull'SPF:

  • Verifica dell'Indirizzo IP: un record SPF è essenzialmente un elenco pubblicato di indirizzi IP autorizzati a inviare email per conto del tuo dominio, che fornisce istruzioni chiare ai provider di posta elettronica sulla gestione dei tuoi messaggi in uscita.
  • Miglioramento della consegna: il record SPF fornisce un livello di protezione che rende più probabile che i messaggi legittimi raggiungano la casella di posta del destinatario anziché essere contrassegnati come spam.
  • Nessuna funzione di crittografia: sebbene l'SPF verifichi l'autenticità del mittente, non crittografa il contenuto del messaggio né protegge la privacy delle informazioni al suo interno.
  • Visibilità dell'intestazione: i risultati della verifica SPF appaiono nelle intestazioni complete dei messaggi di posta elettronica, permettendo ai destinatari di controllare manualmente l'autenticazione, se necessario.
  • Segnalazione di fiducia: il dominio SPF elencato per primo nel tuo meccanismo "include" dimostra che hai preso le precauzioni minime per proteggere sia i tuoi dati aziendali che i tuoi destinatari da potenziali minacce basate sulle email.

Confronto tra SPF, DMARC e DKIM

L'Internet Engineering Task Force ha pubblicato l'attuale protocollo SPF nel documento RFC 7208 nell'aprile 2014. Lo scopo era quello di creare un consenso su come impedire ad hacker e phisher di inviare email che fanno finta di provenire da un’organizzazione nota e affidabile.

Tale consenso è diventato spf1 e, da quel momento in poi, v=spf1 è diventato il formato standard per la dichiarazione iniziale di ogni record SPF. Tuttavia, l’inoltro di un messaggio invalida l'SPF. Di conseguenza, sono entrate in gioco due strategie aggiuntive: DKIM e DMARC.

Cos'è DKIM?

DKIM è l’acronimo di DomainKeys Identified Mail. Come SPF, DKIM è un record TXT nel DNS. Tuttavia, i record DKIM rimangono validi anche quando vengono inoltrati. Gli attuali standard DKIM sono emersi dagli sforzi di Yahoo! e Cisco, che hanno creato ciascuno i propri standard di autorizzazione delle email.

Immagina che DKIM sia come il sigillo di cera che in passato veniva applicato ai documenti ufficiali. Questi sigilli di cera erano riconoscibili; se un messaggio arrivava con un sigillo mancante o rotto, non era considerato affidabile.

Ogni server di invio email ha un DKIM a due componenti: la chiave DKIM privata e la chiave pubblica. Ogni server di destinazione accede alla metà pubblica della chiave. Il server di posta elettronica ricevente esegue una ricerca nel record TXT del DNS quando invii il messaggio email.

Se il server email trova la chiave DKIM pubblica, apre la firma DKIM. Se la firma nel messaggio corrisponde alla firma pubblicata nel DNS, il server email ricevente considera valido il messaggio. In caso contrario, il messaggio viene respinto, il che significa che non raggiunge la casella di posta del destinatario previsto.

Pertanto, il messaggio potrebbe non essere consegnato, finire nella cartella dello spam o essere trasferito in un’altra cartella impostata dall’utente per gestire tali messaggi.

Il formato corretto per i record DKIM è il seguente:

"<selector(s=)._domainkey.domain(d=)>.  TXT v=DKIM1; p=<public key>

Ecco un esempio di chiave pubblica DKIM nel formato corretto:

"dk5182-3458._domainkey.mydomainexample.com. IN TXT "v=DKIM1\;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1TaNgLlSyQMNWVLNLvyY/neDgaL2oqQE8T5illKqCgDtFHc8eHVAU+nlcaGmrKmDMw9dbgiGk1ocgZ56NR4ycfUHwQhvQPMUZw0cveel/8EAGoi/UyPmqfcPibytH81NFtTMAxUeM4Op8A6iHkvAMj5qLf4YRNsTkKAV;""

Cosa fa ciascuna parte di un record DKIM?

In questo esempio, dk5182-3458 rappresenta il selettore (s=). (d=) rappresenta il dominio specificato, mydomainexample.com. La versione deve sempre apparire come "v=DKIM1'' in ogni record DKIM. Il meccanismo "p" rappresenta il codice pubblico, una stringa di lettere, numeri e simboli.

Che cos'è DMARC?

DMARC è l'acronimo di Domain-based Message Authentication, Reporting & Conformance. DMARC impedisce le attività dannose bloccando i messaggi dagli spoofer prima ancora che raggiungano la tua casella di posta. Gli spoofer fingono essere tuoi rappresentanti per raccogliere informazioni utili per il furto dell’identità o altri tipi di frode.

Se utilizzi DMARC, queste tentate intrusioni diventano impossibili. DMARC utilizza un codice open source gratuito. Tuttavia, anche il provider di servizi email deve utilizzare la protezione DMARC. DMARC fornisce un terzo livello di protezione dopo SPF e DKIM.

DMARC ti consente di comunicare al tuo provider di servizi email se rifiutare o mettere in quarantena le email da fonti inaffidabili o sconosciute in base alle informazioni ricevute dopo le richieste DKIM e SPF.

Importanza di DKIM e DMARC

Mailchimp sottolinea l'importanza di DKIM e DMARC nell'autenticazione delle email per garantire comunicazioni sicure. DKIM, o DomainKeys Identified Mail, utilizza firme crittografiche per verificare l'integrità delle email, anche quando vengono inoltrate. DMARC, acronimo di Domain-based Message Authentication, Reporting & Conformance, fornisce un framework per gestire i fallimenti di autenticazione delle email e generare report.

Implementando DKIM e DMARC, le aziende migliorano la sicurezza delle email, si proteggono dallo spoofing e mantengono la reputazione del brand. Mailchimp offre strumenti e risorse per semplificare l'integrazione di questi protocolli, aiutando le aziende a ottenere successo nelle loro attività di email marketing.

Configurazione di DKIM e implementazione di DMARC

Per rafforzare l'autenticazione email con Mailchimp, configurare DKIM e implementare DMARC sono passaggi essenziali. DKIM, o DomainKeys Identified Mail, aggiunge una firma digitale alle email, assicurando che rimangano inalterate e autentiche.

DMARC, che sta per Domain-based Message Authentication, Reporting & Conformance, permette di stabilire come i server di destinazione devono trattare le email che non superano i controlli SPF e DKIM, proteggendo così il brand dai tentativi di phishing.

Le considerazioni per le politiche DMARC includono la scelta delle azioni per i controlli falliti e la revisione regolare dei report generati per impedire l'uso non autorizzato del dominio. Mailchimp offre strumenti e risorse per integrare questi protocolli senza intoppi, assicurando che le comunicazioni email siano sicure e affidabili.

Migliorare l'autenticazione delle email con DKIM e DMARC

Per aumentare la deliverability delle email e rafforzare la sicurezza di Mailchimp, configurare DKIM e DMARC è fondamentale. DKIM, o DomainKeys Identified Mail, aggiunge una firma crittografica alle email, assicurando ai destinatari la loro integrità e autenticità. Questa verifica rimane intatta anche se le email vengono inoltrate.

DMARC, acronimo di Domain-based Message Authentication, Reporting & Conformance, fornisce linee guida per gestire le email che non superano i controlli DKIM e SPF. Configurare DMARC consente ai server di posta di rifiutare o mettere in quarantena i messaggi sospetti, proteggendo il brand dal phishing e dallo spoofing.

La revisione regolare dei report DMARC è fondamentale per identificare l'uso non autorizzato del dominio e adeguare le politiche di conseguenza. Mailchimp fornisce strumenti e risorse per integrare efficacemente questi protocolli, supportando comunicazioni sicure e affidabili.

Scarica l'e-book e scopri le best practice di base per iniziare. 

Scopri le ultime tecnologie introdotte che creeranno connessioni più efficaci con i tuoi clienti. Scopri cosa sta cambiando con l'introduzione dell'AI nell'email marketing e guarda gli altri come stanno avendo successo. Ancora più importante, scopri come avere successo nell'email marketing più velocemente di quanto tu abbia mai pensato.

Scarica l'e-book
Copertina dell'e-book di Mailchimp Introduzione all'email marketing: suggerimenti per massimizzare il successo

Parti del record SPF

Un record SPF formattato correttamente è un file di testo (TXT) che contiene due elementi fondamentali. Innanzitutto, il record deve includere la versione SPF. In secondo luogo, il resto del record è costituito dai meccanismi necessari per verificare quali nomi host e indirizzi IP sono autorizzati a inviare messaggi dal tuo dominio.

Un esempio di record SPF in una dichiarazione di autenticazione email potrebbe avere l’aspetto seguente:

"v=spf1 a MX include:spf.yourbusinessdomainname.com ~all"

La dichiarazione v=spf1 comunica al server di posta elettronica ricevente che questo record TXT è un record framework policy del mittente. Il meccanismo "a'' indica al server in questione di far corrispondere l'indirizzo IP del mittente allo strumento "a" del dominio "from" prima di consentire il download dell'intero messaggio. Il meccanismo MX si riferisce al server di scambio di posta o all'"host" utilizzato per memorizzare i messaggi email, come Google Workspace o Microsoft 365 Business Premium. Infine, il meccanismo "include" specifica che il dominio SPF di esempio, yourbusinessdomainname.com, ha il diritto di inviare le email dell'azienda.

Punti importanti da tenere a mente:

  • L’istruzione v=spf1 è il primo tag e deve apparire SEMPRE all’inizio del record SPF.
  • L'istruzione "a" deve corrispondere al record "from".
  • Il tuo MX è il servizio di scambio di posta che utilizzi.
  • Ogni dominio autorizzato a inviare email aziendali deve apparire nella dichiarazione "include", compresi eventuali servizi email di terze parti come Mailchimp utilizzati.
  • Includi ogni indirizzo IP da cui proviene l'email della tua azienda nel meccanismo SPF.

Come creare un record SPF

Per ottenere i risultati migliori, crea la sintassi del record SPF come file TXT prima di caricarlo, invece di crearla sulla dashboard del server DNS. In questo modo, puoi esaminarla per verificare la presenza di errori di formato prima di testarla.

Segui questi passaggi per creare e implementare il record SPF:

  1. Innanzitutto, apri la dashboard del provider di dominio.
  2. Accedi a “Impostazioni”.
  3. Crea il record SPF come formato TXT.
  4. Aggiungilo alle impostazioni DNS.
  5. Testa le modifiche.

Qualsiasi modifica al record SPF esistente può richiedere fino a 48 ore, quindi sii paziente. Quindi, testa nuovamente le modifiche dopo che sono trascorsi due giorni.

Se invii email solo da Google Workspace, ad esempio, il record SPF apparirebbe così:

"v=spf1 include:_spf.google.com ~all"

Tuttavia, se hai altri fornitori di servizi email, hai sempre bisogno di un'istruzione "include:" separata per ciascuno. Di conseguenza, se utilizzi anche Mailchimp Mandrill per inviare messaggi, aggiungi "include:mandrillapp.com" dopo l'istruzione di Google e prima dell'elemento ~all. Pertanto, il tuo nuovo SPF avrà questo aspetto:

"v=spf1 include:_spf.google.com include:mandrillapp.com ~all"

Qui, sostituisci "domainkey.example.com" con il nome di dominio della tua azienda.

Proteggi la tua azienda con i record SPF

Se non adotti misure per proteggere le tue comunicazioni, utenti malintenzionati come ex dipendenti scontenti, spammer e truffatori possono rovinare la reputazione della tua azienda inviando email false dalla tua azienda. L’autenticazione SPF offre ai tuoi clienti e contatti un modo per verificare che un certo messaggio arriva proprio da te.

Anche se non crittografa i contenuti del messaggio, l'SPF fornisce la prima linea di difesa contro gli spoofer. Per una sicurezza totale contro gli attacchi informatici via email, dovresti utilizzare anche DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance).

Se ritieni che creare e aggiungere record SPF al tuo DNS sia troppo complicato, puoi affidarti a Mailchimp per configurare e testare la tua autenticazione SPF e l’ autenticazione del dominio.

Punti chiave da ricordare

  • I record SPF agiscono come guardie di sicurezza per il tuo dominio email, informando i server destinatari quali origini sono autorizzate a inviare messaggi per conto tuo.
  • Sebbene SPF offra una protezione di base, in combinazione con DKIM e DMARC si crea un sistema di sicurezza completo che riduce significativamente lo spoofing delle email e gli attacchi di phishing.
  • Record SPF configurati correttamente migliorano la deliverability delle email, proteggono la reputazione del brand e accrescono la fiducia dei destinatari verificando che le email siano legittime.
  • Nonostante i vantaggi in termini di sicurezza, i record SPF sono relativamente semplici da implementare. È solo una singola riga di codice di testo aggiunta alle impostazioni DNS del dominio.
Condividi questo articolo