Ho ricevuto diverse segnalazioni, in questo ultimo periodo, di persone che si vedono rifiutare i loro messaggi di posta elettronica da taluni provider, e nel messaggio di errore si parla di problemi con gli SPF.
Per i non addetti ai lavori, [W:Sender Policy Framework] (SPF) è un progetto destinato a qualificare gli invii di posta elettronica tramite informazioni trasmesse con i DNS. In sostanza una protocollo per rendersi amici i servizi antispam, con cui si informa il mondo che il tal server mail, indirizzo ip o nome host è autorizzato ad inviare posta elettronica per il tal dominio.
Allo stesso tempo è una valida misura antiSPAM, il server mail che si vede recapitare un messaggio di posta può scoprire immediatamente, tramite una query DNS, se il server che lo ha inviato è tra quelli autorizzati per il dominio del mittente.
Chiaro che non basta questo a decidere se una mail è SPAM o meno, ma è di sicuro un buon attestato nel punteggio finale.
Non è ancora stato adottato da tutti, ma la percentuale comincia ad essere interessante e sempre in crescita, e soprattutto viene utilizzato dagli antiSPAM più noti come uno dei tanti test a disposizione per la valutazione di un messaggio. Anche il servizio mail di Google lo ha adottato, tutto dire…
Adesso cerchiamo di conoscere meglio gli SPF, e possibilmente un’infarinatura sul perché e come utilizzarli, anche per evitare questo fastidioso problema delle mail rifiutate per colpa loro, o meglio per colpa del loro mancato utilizzo.
SPF: chi non li usa e chi li usa male
Io caldeggio il suo utilizzo, per me è una buona regola definire dei corretti valori SPF nei DNS di un dominio che fa uso di posta elettronica, ed è altrettanto una buona regola far sì che tra le misure antisSPAM, utilizzate nei server mail, ne tengano conto.
Purché sia uno dei tanti test a disposizione, ossia non non significa per forza rifiutare le mail dei domini che non hanno ancora implementato il SPF, magari marcarle come possibili SPAM e farle finire nella omonima casella, ma rifiutarle mi sembra decisamente eccessivo.
Se poi vogliamo andare ad aprire una piccola polemica, è ancor più strano che ad adottare questa politica di blocco siano soprattutto i grandi provider italiani, che prima di falcidiare la posta in entrata con misure così restrittive dovrebbero preoccuparsi di tutti i loro IP, interi range talvolta, che sono perennemente nelle principali RBL (le famigerate blacklist antispam per i non addetti), cosa di cui non si curano minimamente causando problemi a non finire ai malcapitati clienti delle loro connettività.
SPF, breve panoramica
Con gli SPF, come abbiamo già accennato, si dichiara al mondo tramite i DNS quali sono i server autorizzati all’invio della posta elettronica per il nostro dominio. Solo il titolare del dominio può modificare i DNS, quindi i server dichiarati sono sicuramente quelli giusti.
Nei DNS viene creato un record di tipo TXT contenente tutte le indicazioni del caso, e tutto facilmente individuabile tramite una semplice interrogazione dei DNS con il comando dig, sostituendo nomedominio.tld con il dominio interessato:
dig nomedominio.tld txt
Se gli SPF sono impostati dovremmo ottenere una risposta del genere:
nomedominio.tld. 86400 IN TXT "v=spf1 a mx ptr -all"
Naturalmente ci sono anche diversi tools a disposizione per l’interrogazione dei DNS senza scomodare il terminale.
La parte che ci interessa è quella racchiusa tra virgolette e che inizia con “v=spf…”. Qui sono racchiuse tutte le informazioni che ci servono, per la sintassi, per nulla complicata, vi rimando al sito del progetto SPF.
Nel caso non ci sia nulla del genere nella risposta al comando dig, significa che gli SPF per quel dominio non sono stati configurati.
Chi deve configurare gli SPF?
Il provider che mantiene i DNS del dominio, oppure il proprietario del dominio stesso se i DNS sono configurabili tramite pannello di controllo via web, come ad esempio avviene per Register.it e Aruba.it.
Come si devono configurare gli SPF?
Come sopra, non voglio tediare nessuno con la struttura e la sintassi SPF, chi volesse approfondire può andare direttamente al sito del progetto, dove tra l’altro è possibile utilizzare un comodo modulo per scoprire se e come gli SPF sono configurati per il nostro dominio, o per realizzarli senza alcuna fatica.
Bisogna però essere in possesso di alcune informazioni fondamentali, di facile reperimento se conoscete la vostra struttura, ossia tutti i server che per qualche motivo possono aver bisogno di inviare posta per il vostro dominio.
I server mail in testa, ovviamente, ma anche altri possono essere coinvolti, come i server web, i gestionali on line ed altri servizi..
Una volta reperite tutte queste informazioni, deve essere creata la stringa di testo da inserire nei DNS.
Come suggerivo poco sopra, un buon sistema relativamente facile soprattutto per chi non conosce la sintassi, è l’utilizzo dei questo modulo sul sito del progetto SPF.
Una volta configurati correttamente i DNS, occorre attendere la loro propagazione in rete, ovvero affinché le modifiche siano effettive può essere necessario dover aspettare diverse ore.
Usate gli SPF!
Verificate che per il vostro dominio gli SPF siano presenti, e se non ci sono metteteli!
Se non avete il controllo diretto del vostro DNS, contattate il provider che ve li gestisce.
Non solo SPF…
Dato che ci siamo, ma ne parleremo dettagliatamente in altre occasioni, ci sono altri due protocolli che possono tornare utili assieme agli SPF, il Sender ID promosso da Microsoft e che viaggia parallelo con gli SPF, e i DomainKeys.
Dateci un occhio, ne vale la pena specie per il secondo, anche questo in uso da Google per i suoi servizi mail.
9 risposte
Grazie dell’articolo
Grazie a te! 🙂
Ciao, interessantissimi i tuoi articoli….
Ho notato nel cpanel del mio dominio tra i DNS la voce TXT nella forma senza virgolette
v=spf1 +a +mx +ip4:indirizzoIP ~all
hanno commesso un errore di configurazione per essere senza virgolette?
E soprattutto l’indirizzo IP che hanno inserito non è quello del server hosting, differisce per l’ultima cifra. Puo essere dovuto a questo che le email mi finiscono sempre nello spam?