Sender Policy Framework (SPF)


Cosa è l’SPF

Sender Policy Framework (SPF) è un sistema di validazione delle email progettato per individuare tentativi di email spoofing (spam o phishing tramite la contraffazione dell’indirizzo email del mittente). Il sistema offre agli amministratori un meccanismo che consente di definire chi è autorizzato a spedire messaggi con quel dominio (es. @mediaddress.eu), consentendo a chi li riceve di controllare la lista degli IP host autorizzati ad inviare email per quel dominio.

Un’analogia

Per comprendere facilmente questo concetto faremo un’analogia:

Fabio vuol recapitare a Loredana e Leonardo una lettera, decide di portare la lettera a mano e consegnarla alle rispettive portinaie che lo conoscono di persona. Le portinaie accettano la lettera e si premurano di consegnarla agli inquilini del condominio (rispettivamente Loredana e Leonardo).

La settimana successiva Fabio vuol consegnare una lettera a 10 suoi conoscenti, ma non ha tempo per farlo si affida ad uno spedizioniere, TalDeiTali.

La lettera viene consegnata ai portinai dei destinatari.

Ma non tutti i portinai sono uguali. Li divideremo in due categorie: sospettosi e fiduciosi.

I sospettosi accettano la lettera ma prima di recapitarla all’inquilino del condominio telefonano a Fabio per sapere se lo spedizioniere TalDeiTali che ha consegnato la lettera era stato autorizzato (a consegnare per conto di Fabio).

I fiduciosi consegnano la lettera all’inquilino senza nessuna verifica.

Al capo di TalDeTali sono, però, arrivate alcune proteste da parte di Fabio che ritiene che non abbia consegnato la lettera ad alcuni dei destinatari.

Facendo una breve verifica TalDeiTali si rende conto che Fabio non ha detto alla sua segretaria che lo spedizioniere TalDeiTali era tra quelli che potevano consegnare le lettere per conto loro (di Fabio).

Cos’è successo alle lettere non consegnate?

Sono rimaste nelle mani dei portinai sospettosi che hanno chiamato Fabio, e a cui la segretaria non ha confermato che TalDeiTali poteva consegnare per conto loro (di Fabio).

Perché adesso

Per motivi di sicurezza, oggi SPF è sempre più richiesto come requisito obbligatorio da un numero crescente di provider di servizi Internet. Questo significa che il server di posta ricevente non consegna all’utente finale le email che non dispongono della necessaria autorizzazione, oppure le consegna con un avvertimento (“e-mail non sicura”).

Cosa fare

Indicazioni Generali

Tecnicamente il record SPF è un record di tipo TXT associato al tuo dominio personale. In questo record, scritto con una sintassi particolare, vengono elencati i server di posta (SMTP) che possono spedire email con un indirizzo email del tuo dominio. Mediaddress utilizza il servizio di Mailgun Inc. (https://www.mailgun.com/) per inviare le email ai giornalisti. Il record SPF del tuo dominio dovrà, dunque, includere i server di Mailgun tra quelli abilitati per la spedizione. Se non hai un record SPF associato al tuo dominio puoi aggiungerne uno composto come segue: “v=spf1 include:mailgun.org ~all” Se invece hai già configurato un record SPF controlla che contenga l’istruzione “include:mailgun.org”

Istruzioni dei provider più utilizzati

Tutti i provider forniscono le istruzioni per poter aggiungere e/o modificare il propri record sul DNS oppure la possibilità di richiedere che sia fatto. Qui di seguito un elenco dei principali provider e i link alla loro documentazione in merito: