Sender Policy Framework (SPF): un livello di protezione nell'infrastruttura e-mail

Hai mai avuto qualcuno (scherzando o maliziosamente) prendere il tuo telefono e mandare messaggi a qualcuno che finge di essere te? Non si sente molto bene, vero? Anche dopo aver chiarito la verità con il destinatario, è probabile che in futuro diffiderà di tutti i tuoi messaggi. E probabilmente starai molto più attento a chi prendi in prestito il tuo telefono. La fiducia è stata infranta.

Uno scenario simile è possibile nel mondo della posta elettronica e gli aspiranti phisher non hanno bisogno del tuo nome utente e password per impersonare la tua attività. Spaventoso, vero?

Fortunatamente, conosciamo un trucco semplice e non così segreto per proteggere la reputazione del tuo marchio. Si chiama Sender Policy Framework (SPF) ed è un salvavita per la reputazione della posta elettronica.

Quando l'e-mail viene inviata da un server all'altro, viene utilizzato il protocollo SMTP (Simple Mail Transfer Protocol) per inviare un messaggio dal mittente al destinatario. In quanto servizio SMTP, Twilio SendGrid facilita questo processo.

Un punto debole della sicurezza nell'infrastruttura dell'e-mail è la capacità di qualsiasi mittente o host di identificare se stesso e la propria e-mail come qualsiasi dominio desideri (un po' come il modo in cui le persone hanno creato TONNELLATE di account Twitter di Donald Trump). Ciò rende difficile per i destinatari credere che un messaggio provenga effettivamente da chi dice che proviene. Inoltre, rende i mittenti a disagio sapendo che chiunque può inviare posta dal proprio dominio e potenzialmente danneggiare la reputazione del proprio marchio.

I destinatari perdono fiducia nell'autenticità dell'e-mail e i mittenti sono impostori paranoici che si atteggiano a loro marchio, non va bene per nessuno! Parte della soluzione è il record SPF archiviato in un record txt nel DNS. In questo articolo, esploreremo tutto ciò che riguarda l'SPF: da cosa significa scoprire gli errori con il tuo, lo tratteremo tutto.

Che cos'è un record SPF?

SPF sta per Sender Policy Framework. È un metodo di autenticazione e-mail che aiuta a identificare i server di posta autorizzati a inviare e-mail da un determinato dominio. Utilizzando questo protocollo di convalida, gli ISP possono determinare quando spoofer e phisher stanno tentando di falsificare e-mail dal tuo dominio per inviare e-mail dannose ai tuoi utenti.

Con SPF, i destinatari possono sentirsi sicuri che i messaggi e-mail che ricevono provengano da chi si aspettano. E i mittenti possono stare tranquilli sapendo che i phisher non stanno e-mail spoofing o phishing il loro pubblico dal loro marchio.

Più tecnicamente, un record SPF è una breve riga di testo che l'amministratore di un dominio aggiunge al proprio record txt. Il record txt viene archiviato nel DNS (sistema dei nomi di dominio) insieme ai record A, PTR e MX. Un record SPF è simile a questo:

“v=spf1 ip4:12.34.56.78 include:example.com -all”

Come funziona SPF

La riga di testo sopra viene utilizzata per indicare al server SMTP ricevente quali host sono autorizzati a inviare posta da un determinato dominio.

Il record SPF viene solitamente verificato molto presto nella conversazione SMTP, molto prima che il corpo del messaggio sia stato trasmesso. Quando si tenta di inviare un messaggio, viene aperta una connessione TCP tra il mittente e il server ricevente.

Una volta stabilita la connessione, viene emesso un comando HELO, che essenzialmente dice al server ricevente quale dominio sta tentando di inviargli la posta. Questo è seguito da un comando MAIL FROM che dice al server ricevente da quale indirizzo e-mail proviene il messaggio. Il dominio trovato nel comando MAIL FROM (noto anche come busta da e percorso di ritorno) è il dominio utilizzato per il controllo del record SPF.

Supponiamo quindi che sia stato ricevuto un messaggio e che l'indirizzo MAIL FROM sia [email protected]. Il server ricevente controllerà i record DNS pubblici per esempio.com e cercherà un record TXT che inizi con v=spf1. Se non ci sono record TXT che iniziano con v=spf1, l'autenticazione passerà. Se è presente più di un record TXT con v=spf1, potrebbe verificarsi un errore.

Supponiamo che ne venga trovato uno e assomigli al nostro esempio di prima:

“v=spf1 ip4:12.34.56.78 include:example.com -all”

Il server ricevente verificherà ora se l'indirizzo IP del client SMTP che tenta di inviare il messaggio è incluso nel record SPF. Se l'indirizzo IP è elencato, il messaggio passerà l'autenticazione SPF.

Il nocciolo della questione: abbattere ogni pezzo del record SPF

Un record SPF è costituito da vari meccanismi, tra cui:

INCLUDERE

Sempre seguito da un nome di dominio. Quando il server ricevente incontra un meccanismo di inclusione, il record SPF per quel dominio viene controllato. Se l'IP del mittente viene visualizzato in quel record, la posta viene autenticata e il controllo SPF è terminato. Se non viene trovato, il controllo SPF passa al meccanismo successivo.

UN

Seguito anche da un nome di dominio. Tuttavia, in questo caso, l'SPF controlla semplicemente gli indirizzi IP associati a quel dominio. Se corrisponde all'IP del mittente, passa e il controllo SPF si interrompe. In caso contrario, si passa al meccanismo successivo.

MX

Simile a "A". È sempre seguito da un nome di dominio. Se il dominio elencato risolve l'indirizzo IP del client di invio, l'autenticazione viene superata e il controllo SPF viene eseguito. In caso contrario, si passa al meccanismo successivo.

IP4 e IP6

Sempre seguito da un indirizzo IP o un intervallo CIDR specifico. Se l'IP del client di invio è elencato dopo qualsiasi meccanismo IP4 o IP6, l'autenticazione passerà e il controllo SPF verrà eseguito. In caso contrario, si passa al meccanismo successivo.

PTR

Non dovrebbe mai essere incluso nei record SPF. Per alcuni motivi tecnici, sono soggetti a errori e costano molta memoria e larghezza di banda per essere risolti dai server di ricezione. Alcuni server falliranno un'autenticazione SPF basata sulla presenza di un meccanismo PTR.

REINDIRIZZARE

Sebbene tecnicamente sia un modificatore, non un meccanismo, ciò consente all'amministratore di un dominio di indirizzare un dominio al record SPF di un altro dominio. Se viene utilizzata la funzione REDIRECT, nessun altro meccanismo può essere incluso nel record SPF, incluso il meccanismo "tutti". Record di reindirizzamento di esempio: "v=spf1 redirect:example.com"

I meccanismi "INCLUDE", "A", "MX", "PTR", "EXISTS" e "REDIRECT" richiedono tutti ricerche DNS, quindi non possono essercene più di 10. Sembra abbastanza semplice, ma include anche ricerche DNS nidificate, il che significa che un "INCLUDE" che porta a un altro record SPF che ha altri due meccanismi "INCLUDE" conterebbe come tre ricerche DNS. Si sommano velocemente!

E i clienti di Twilio SendGrid?

La maggior parte dei nostri mittenti ha impostato un CNAME che punta il proprio dominio di invio a sendgrid.net. Ciò significa che il server ricevente vede il CNAME che punta a sendgrid.net e controlla invece quel record SPF. Quindi non sorprenderti se la maggior parte dei record SPF che interroghi sono identici.

Per ulteriori domande specifiche su Twilio SendGrid, dai un'occhiata alla nostra pagina dei documenti del Sender Policy Framework. Ha risposte aggiuntive ad alcune domande e scenari comuni.

Come posso controllare il mio record SPF?

Non tutti usano l'autenticazione SPF, ma i ricevitori che rifiutano in base a un errore SPF rifiuteranno la consegna. Alcuni destinatari possono anche mettere in quarantena la posta che non supera l'SPF senza bloccarla.

Ogni record SPF sarà leggermente diverso, ma dovresti controllare per assicurarti di averlo fatto bene. Ecco tre strumenti che possono aiutarti a convalidare i tuoi record:

• Strumenti di test SPF di Scott Kitterman : controlla se esiste già un record SPF per il tuo dominio, verifica la sua validità o verifica le sue prestazioni.
• OpenSPF.org : esamina una serie di moduli e tester basati su e-mail.
• Controllo record SPF: Il controllo record SPF funge da ricerca e convalida di record SPF. Cercherà in un record SPF il nome di dominio richiesto ed eseguirà test diagnostici rispetto al record, evidenziando gli errori che potrebbero influenzare la consegna della posta elettronica.
• SPF Wizard : SPF Wizard è uno strumento di generazione di record SPF basato su browser. Compila il modulo e il sito genera per te un record SPF.

Rendi prioritario il Sender Policy Framework

In poche parole, i messaggi di posta elettronica dannosi danneggiano la tua attività e degradano il canale di posta elettronica. Quando i phisher vedono il tuo dominio protetto da Sender Policy Framework, è più probabile che passino a obiettivi più semplici. Sebbene SPF non prevenga lo spam, può fungere da deterrente e renderti meno vulnerabile agli attacchi. E chi non lo vuole, giusto? Ecco perché incoraggiamo tutti i client di posta elettronica a creare un record SPF.

Combinato con Sender ID, DKIM e DMARC, SPF fornisce un ulteriore livello di sicurezza della posta elettronica che supporterà meglio i tuoi utenti aiutando gli ISP a identificare correttamente la tua posta e, a loro volta, gli spammer.

Per saperne di più su SPF e altri protocolli di autenticazione, scarica la SendGrid Email Infrastructure Guide .