Cos'è un record SPF? Come funziona il Sender Policy Framework per bloccare le e-mail di phishing?

I dettagli e la spiegazione di come un record SPF i lavori sono dettagliati sotto il builder SPF Record.

Generatore di record SPF

Ecco un modulo che puoi utilizzare per creare il tuo record TXT da aggiungere al tuo dominio o sottodominio da cui invii le email.

È stato un vero sollievo quando abbiamo spostato l'e-mail della nostra azienda a Google dal servizio IT gestito che abbiamo utilizzato. Prima di essere su Google, dovevamo inserire richieste per qualsiasi modifica, aggiunta di elenchi, ecc. Ora possiamo gestire tutto tramite la semplice interfaccia di Google.

Una battuta d'arresto che abbiamo notato quando abbiamo iniziato a inviare era che alcune e-mail dal nostro sistema non arrivavano alla posta in arrivo... nemmeno alla nostra casella di posta. Ho letto un po' i consigli di Google per Mittenti di posta elettronica in blocco e si mise subito al lavoro. Abbiamo e-mail che escono da 2 applicazioni che ospitiamo, un'altra applicazione ospitata da qualcun altro oltre a un provider di servizi di posta elettronica. Il nostro problema era che non avevamo un record SPF per informare gli ISP che le email inviate da Google erano nostre.

Che cos'è il Sender Policy Framework?

Sender Policy Framework è un protocollo di autenticazione della posta elettronica e parte della sicurezza informatica della posta elettronica utilizzato dagli ISP per bloccare la consegna delle e-mail di phishing ai propri utenti. Un SPF record è un record di dominio che elenca tutti i tuoi domini, indirizzi IP, ecc. da cui stai inviando email. Ciò consente a qualsiasi ISP di cercare il tuo record e convalidare che l'e-mail provenga da una fonte appropriata.

Il phishing è un tipo di frode online in cui i criminali utilizzano tecniche di ingegneria sociale per indurre le persone a rivelare informazioni sensibili, come password, numeri di carte di credito o altre informazioni personali. Gli aggressori in genere utilizzano la posta elettronica per indurre le persone a fornire informazioni personali camuffandosi come un'attività legittima... come la tua o la mia.

SPF è un'ottima idea - e non sono sicuro del motivo per cui non è un metodo mainstream per e-mail di massa e sistemi di blocco dello spam. Penseresti che ogni registrar di domini si preoccuperebbe di creare una procedura guidata per consentire a chiunque di elencare le fonti di posta elettronica che invieranno.

Come funziona un record SPF?

An ISP controlla un record SPF eseguendo una query DNS per recuperare il record SPF associato al dominio dell'indirizzo e-mail del mittente. L'ISP quindi valuta il record SPF, un elenco di indirizzi IP o nomi host autorizzati a inviare un'e-mail per conto del dominio rispetto all'indirizzo IP del server che ha inviato l'e-mail. Se l'indirizzo IP del server non è incluso nel record SPF, l'ISP può contrassegnare l'e-mail come potenzialmente fraudolenta o rifiutare completamente l'e-mail.

L'ordine del processo è il seguente:

1. L'ISP esegue una query DNS per recuperare il record SPF associato al dominio dell'indirizzo e-mail del mittente.
2. L'ISP valuta il record SPF rispetto all'indirizzo IP del server di posta elettronica. Questo può essere indicato in CIDR formato per includere un intervallo di indirizzi IP.
3. L'ISP valuta l'indirizzo IP e si assicura che non sia su a DNSBL server come spammer noto.
4. ISP valuta anche DMARC e BIM Records.
5. L'ISP quindi consente la consegna della posta elettronica, la rifiuta o la inserisce nella cartella della posta indesiderata in base alle sue regole interne di consegna.

Come creare un record SPF

Il record SPF è un record TXT che devi aggiungere al dominio con cui invii le email. I record SPF non possono superare i 255 caratteri di lunghezza e non possono includere più di dieci istruzioni di inclusione.

• Inizia con v=spf1 tagga e seguilo con gli indirizzi IP autorizzati a inviare la tua email. Per esempio, v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 .
• Se utilizzi una terza parte per inviare email per conto del dominio in questione, devi aggiungere includere al tuo record SPF (ad esempio, include:domain.com) per designare quella terza parte come mittente legittimo 
• Dopo aver aggiunto tutti gli indirizzi IP autorizzati e includere le dichiarazioni, terminare il record con un ~all or -all etichetta. Un tag ~all indica a soft SPF fallito mentre un tag -all indica a errore SPF rigido. Agli occhi dei principali provider di cassette postali, ~all and -all risulterà entrambi in un errore SPF.

Dopo aver scritto il tuo record SPF, ti consigliamo di aggiungere il record al tuo registrar di domini.

Esempi di record SPF

v=spf1 a mx ip4:192.0.2.0/24 -all

Questo record SPF indica che qualsiasi server con i record A o MX del dominio, o qualsiasi indirizzo IP nell'intervallo 192.0.2.0/24, è autorizzato a inviare un'e-mail per conto del dominio. Il -tutti alla fine indica che qualsiasi altra fonte dovrebbe fallire il controllo SPF:

v=spf1 a mx include:_spf.google.com -all

Questo record SPF indica che qualsiasi server con i record A o MX del dominio o qualsiasi server incluso nel record SPF per il dominio "_spf.google.com" è autorizzato a inviare un'email per conto del dominio. Il -tutti alla fine indica che qualsiasi altra fonte dovrebbe fallire il controllo SPF.

v=spf1 ip4:192.168.0.0/24 ip4:192.168.1.100 include:otherdomain.com -all

Questo record SPF specifica che tutte le email inviate da questo dominio devono provenire da indirizzi IP compresi nell'intervallo di rete 192.168.0.0/24, dal singolo indirizzo IP 192.168.1.100 o da qualsiasi indirizzo IP autorizzato dal record SPF del altrodominio.com dominio. Il -all alla fine del record specifica che tutti gli altri indirizzi IP devono essere trattati come controlli SPF non riusciti.