Sintassi SPF
Il formato di un record SPF è il seguente:
v=spf1 [mechanisms] [qualifiers]Ciascuno dei meccanismi è discusso di seguito.
v=spf1
Il tag v=spf1 indica la versione e il protocollo del record SPF. Esiste solo una versione di SPF e il protocollo è sempre spf1.
Meccanismi
I meccanismi sono le regole che definiscono come abbinare l'indirizzo IP o l'host del mittente con la policy SPF. Esistono diversi tipi di meccanismi:
| Tag | Descrizione |
|---|---|
| a | Abbina l'indirizzo IP del mittente con i record A o AAAA del dominio. |
| mx | Abbina l'indirizzo IP del mittente con i record MX del dominio. |
| ip4 | Abbina l'indirizzo IPv4 del mittente con un intervallo specifico. |
| ip6 | Abbina l'indirizzo IPv6 del mittente con un intervallo specifico. |
| include | Include la policy SPF di un altro dominio. |
Qualificatori
I qualificatori sono le azioni che indicano come il destinatario dovrebbe gestire le email che corrispondono o non corrispondono ai meccanismi. Esistono quattro tipi di qualificatori:
| Tag | Descrizione |
|---|---|
| + | Pass, l'email è accettata (NON RACCOMANDATO). |
| ? | Neutral, l'email non è né accettata né rifiutata (NON RACCOMANDATO). |
| - | Fail, l'email è rifiutata. |
| ~ | Softfail, l'email è accettata ma contrassegnata come sospetta. |
Scelta del Giusto Qualificatore SPF
La scelta del qualificatore SPF dipende dalla preferenza del proprietario del dominio e dalla tolleranza al rischio. In generale, si raccomanda di utilizzare il qualificatore Hard Fail (-) per i domini che inviano email critiche o sensibili, come servizi finanziari o legali. In questo modo, il proprietario del dominio può garantire che solo i server autorizzati possano inviare email per conto loro e che qualsiasi email falsificata venga rifiutata dal server destinatario. Tuttavia, il proprietario del dominio dovrebbe anche assicurarsi che il proprio record SPF sia accurato e aggiornato e che includa tutte le fonti legittime di email per il proprio dominio, come web host, fornitori di email, servizi di terze parti, ecc. Altrimenti, potrebbe rischiare di perdere alcune email valide che non superano il controllo SPF.
D'altra parte, il qualificatore Soft Fail (~) può essere una buona opzione per i domini che inviano email meno critiche o meno sensibili, come newsletter, marketing o social media. In questo modo, il proprietario del dominio può ancora indicare la propria preferenza per i server autorizzati, ma anche consentire una certa flessibilità al server destinatario per decidere come gestire l'email. Questo può ridurre le possibilità di perdere email valide che non superano il controllo SPF, ma può anche aumentare le possibilità di ricevere email falsificate che superano il controllo SPF.
I qualificatori Neutral (?) e Allow all (+) non sono raccomandati per nessun dominio, poiché non forniscono alcun beneficio o protezione contro attacchi di spoofing e phishing. Essenzialmente disabilitano il meccanismo SPF e consentono a qualsiasi server di inviare email per conto del dominio. Questo può danneggiare la reputazione e la deliverability del dominio, oltre a esporre gli utenti del dominio a email dannose.
Esempio
Un esempio di un semplice record SPF è:
v=spf1 mx -allCiò significa che solo gli indirizzi IP che corrispondono ai record MX del dominio sono autorizzati a inviare email per conto del dominio e qualsiasi altro indirizzo IP è rifiutato.
Argomenti Correlati
- Cos'è SPF? - Introduzione a SPF e al suo scopo
- Come Funziona SPF? - Dettagli tecnici sul funzionamento di SPF
- Perché SPF è Importante? - Benefici e importanza di SPF
- Limitazioni di SPF - Vincoli e sfide attuali
- Redirect SPF - Utilizzo del modificatore di redirect
- Impostazioni SPF - Configurare le Impostazioni SPF