SPF maldestri e AntiSPAM ingannati

ATTENZIONE: questo articolo è stato scritto oltre un anno fa, ed i contenuti potrebbero non essere più validi o compatibili. Sei pregato di tenerne conto, e se hai informazioni in merito di segnalarmele, grazie.

Posta elettronica, server mail e AntiSPAMAbbiamo già parlato degli SPF come sistema per combattere lo SPAM, uno dei tanti (che in qualche modo funziona), abbiamo visto come spesso non viene preso in considerazione come meriterebbe.
Oggi invece vediamo chi il sistema SPF lo utilizza in modo maldestro, speriamo senza saperlo, e i danni che causa a chi lotta giornalmente per tenere le mailbox pulite da tanta spazzatura.
Ma facciamo un passo indietro, per capire come sono arrivato fin qui.

Controllando alcuni log dei server mail che amministro, per cercare di capire come mai da certi domini mi arrivava una discreta mole di SPAM, ho imparato una cosa davvero buffa. Magari buffa no, bizzarra di sicuro, magari torna pure utile a qualcun altro.

Controllando più a fondo, per certi domini notavo che c’era una anomalia, che poi tanto anomalia in realtà non era,  nella fase di controllo dell’SPF, dove si evidenziava che l’IP non faceva parte di quelli indicati nei DNS, ma nello stesso tempo non era nemmeno vietato, guadagnandosi così lo stato di SPF_neutral e permettendo di fatto, almeno per quel controllo, di passare indenne.

Received-SPF: neutral (servermail: xxx.xxx.xxx.xxx is neither permitted nor denied by domain of libero.it)

Incuriosito, sono andato a controllare gli SPF impostati per i domini in questione, verizon.net e libero.it per citarne un paio di quelli grossi.

Gli SPF configurati per libero.it:
libero.it. 63236 IN TXT “v=spf1 ip4:212.52.84.101/32 ip4:212.52.84.102/31 ip4:212.52.84.104/29 ip4:212.52.84.112/32 ip4:212.52.84.43/32 ?all”

Gli SPF configurati per verizon.net:
verizon.net text “v=spf1 ip4:206.46.232.0/24 ip4:206.46.170.0/24 ip4:206.46.252.0/24 ip4:206.46.128.33 ip4:206.46.128.101 ip4:209.84.13.21 ip4:209.84.13.20 ?all”

Avete già individuato il bandolo della matassa? Se la risposta è no, continuate a leggere.Come abbiamo già visto in un’altra occasione, il motivo dell’utilizzo degli SPF è palese, informare il mondo tramite i DNS che determinati server o IP sono autorizzati ad inviare posta elettronica per conto di un dato dominio, chiunque altro ci lo faccia non è autorizzato, quindi trattatelo pure di conseguenza.

Penso sia chiaro che se invece noi dichiariamo: “sì è vero che determinati server e IP sono autorizzati ad inviare posta elettronica per il nostro dominio, ma se ti arriva da un altro server o IP va bene lo stesso” stiamo dicendo tutto e il contrario di tutto!

Ma perché dovrebbero andar bene lo stesso? Semplice, verizon.net e libero.it, nei loro DNS, stanno dichiarando esattamente proprio questo, grazie all’istruzione “?all” che si legge al termine dei loro SPF, e sicuramente non sono gli unici.

L’istruzione  “?all” significa proprio “i server e gli IP che ti ho indicato sono i miei o comunque io li autorizzo, ma se per caso ti arriva una mail del mio dominio da altre fonti ignora tutto questo e autorizzala lo stesso“. Una vera e propria contraddizione, non trovate?

Il fatto grave è che, così facendo e considerando soprattutto le dimensioni dei provider, permettono il passaggio di montagne di SPAM.
Il nostro controllo SPF assegna alle mail con mittenti libero.it e verizon.net, ma provenienti da IP o server che non hanno assolutamente a che fare con i due provider, lo stato di “neutral”, non positivo ma nemmeno negativo, un bel zero, totalmente ininfluente nel punteggio complessivo che determina l’assegnazione del livello di SPAM.

Mi vien da domandarmi due cose:

  1. Perché gli ideatori dello standard SPF, che non devono essere certo gli ultimi arrivati, hanno deciso una variabile così dannosa? Immagino abbiano avuto i loro buoni motivi che io non riesco a capire, mi ci sforzo davvero ma non ci riesco.
  2. Possibile che i postmaster dei domini che settano i loro SPF in modo così maldestro non si accorgano dei problemi che creano? Ovviamente  a meno che non ci sia un valido motivo per farlo, che per ignoranza non percepisco, ma sinceramente per quanto mi ci sforzi non riesco proprio nemmeno ad immaginarlo.

Come risolvere il problema?

Purtroppo non è un problema di facile soluzione.
Per fortuna, buona parte dei messaggi di SPAM che riescono ad eludere il controllo SPF vengono fermati da altri controlli, Greylist in testa, ma il problema comunque rimane, visto che comunque della posta spazzatura riesce comunque a passare, ed in ogni caso credo che l’unica soluzione credo sia di intervenire con uno script che, a seconda dei domini noti con SPF settato in “?all”, assegni comunque un punteggio positivo, e ovviamente cercare di sensibilizzare i postmaster dei domini interessati a sistemare i loro SPF.

Se ne esistono altre sarei ben felice di conoscerle, se avete tempo e voglia di raccontarmele qui.

Nota bene: gli SPF dei domini citati sono stati rilevati al momento di scrivere questo articolo semplicemente interrogando i loro DNS con il comando “dig nomedominio TXT”.
Se nel frattempo i DNS cambiassero, si spera in meglio, sarò ben lieto di farlo notare e di correggere questo articolo

Tags: , , , ,

2 Risposte a “SPF maldestri e AntiSPAM ingannati”

  1. PAOLO B. 1 Ago 2014 at 11:53 #

    Rota, ma se io ho un client e come provider fastweb ed invio una mail con mittente pincopalla@libero.It grazie alla convenzione spf il server di posta ricevente mi rigetta la mail ! questa org spf e’ un disastro per tutti coloro che hanno un provider xx ed inviano mail con domini diversi da quallo del server smtp.Xx !!! (praticamente tutti i professionisti d’italia) come risolvere il preblema? se telefoni a libero tiscali fastweb chi ti risponde non sa neanche di che cosa parli…

    Grazie per ogni risposta.
    PB

    • Roberto Rota 1 Ago 2014 at 12:33 #

      Ciao Paolo,

      la tua domanda comprende alcune sfaccettature che secondo me andrebbero approfondite, e che volendo ti rispondono:

      1. Secondo me, usare un account @libero.it (e tanti altri servizi mail più o meno gratuiti) per un uso professionale è un controsenso in partenza. La mail per un professionista è uno strumento di lavoro, deve essere affidabile e fornire delle garanzie, caratteristiche che i servizi di cui sopra, per loro stessa natura, non possono fornire.
      2. Sempre secondo me, usare il server smtp della connessione è una pratica che andrebbe disincentivata, specie per indirizzi mail ad uso professionale. Aveva un senso tanti anni fa, quando le connessioni erano quello che erano, ora come ora porta più svantaggi che vantaggi.

      rob

Dubbi o suggerimenti? Lascia un commento!

I love Instagram