Supporto SPF

Scritto il .

Hosting Fattispazio!: implementato di Default
Implementare SPF per un dato dominio non è un compito puramente tecnico. I passi da compiere si localizzano in tre aree in qualche modo indipendenti una dall'altra:
  • Pubblicare i record SPF. Va pubblicato un record TXT per ogni record A o MX. Pubblicare la propria policy aumenta la diffusione di SPF. La modifica va effettuata sul name server. La policy dev'essere decisa dal responsabile del dominio.
  • Rifiutare i messaggi illeciti. Va installato e/o configurato il software che permette di rifiutare i messaggi che non passano il controllo SPF. La modifica va effettuata sui server di posta. Le decisioni da prendere sono piuttosto ovvie.
  • Rivedere il forwarding. Nel rispedire un messaggio, l'indirizzo sulla busta del mittente va riscritto (questo può richiedere maggiore potenza nel caso di un server di posta la cui attività prevalente sia supportare il rinvio per vanity e-mail addresses). Va effettuata sul server di posta. Potrebbe richiedere decisioni amministrative.
I dettagli del formato del record sono spiegati sul sito SPF dove c'è anche un wizard.
Nel record txt la locuzione finale  ~all, fornita di default andrà modificata al termine della configurazione, poichè di fatto vanifica lo sforzo di adozione di SPF. Si tratta infatti del caso softfail che può essere utile per periodi di breve durata (ore, non mesi). La policy deve terminare con -all per essere efficace.

SPF pone una relazione tra l'indirizzo IP da cui proviene un messaggio e-mail ed il nome a dominio di cui il mittente fa parte. Vale a dire, viene pubblicato l'insieme dei server di posta in uscita utilizzati da un dato dominio. Attualmente solo i server di exchange (MX) sono pubblicati, per cui si sa dove consegnare un messaggio ma non si sa se la sua provenienza è lecita.
Per esempio, il dominio fattispazio.it può pubblicare un'informazione del tipo "i miei utenti non spediscono e-mail dal Sud America e dalla Cina", così i server di posta che ricevano un messaggio con mittente  da un indirizzo IP sud-americano o cinese lo respingono in quanto è un abuso.

Il record ha questo formato:

fattispazio.it. 86400 IN TXT "v=spf1 +ip4:194.243.254.162/31 ?ip4:80.0.0.0/5 ?ip4:90.0.0.0/7 ?ip4:193.0.0.0/8 ?ip4:194.0.0.0/7 ?ip4:212.0.0.0/7 -all"
È quindi possibile utilizzare il formato CIDR per abbreviare la lunghezza del record. I primi IP (2) sono abbreviati con /31 grazie al fatto che sono consecutivi. Questi sono contrassegnati con + (pass) dato che sono intesi come server ufficiali . I rimanenti IP sono contrassegnati con ? (neutral) e coprono parte degli gli IP europei, una lista più estesa per i provider Italiani è qui.

SPF serve a proteggere il buon nome di un dominio dagli abusi. Questo è di immediata utilità contro il phishing, si consideri quest'altro esempio:

C:\>nslookup -type=TXT bancaintesa.it
Server: north.tana.it
Address: 194.243.254.162
Aliases: 162.254.243.194.in-addr.arpa
Non-authoritative answer: bancaintesa.it
text = "v=spf1 ip4:193.227.214.20 ip4:193.227.214.21 ip4:193.227.214.22 ip4:193.227.214.23 ip4:193.227.214.24 -all"
bancaintesa.it nameserver = gange.bci.it
bancaintesa.it nameserver = stige.bci.it
bancaintesa.it nameserver = venere.inet.it
Il record SPF è il testo mostrato tra virgolette. Che si tratti di SPF lo si evince dalla dichiarazione di versione v=spf1.
Il significato del record è intuitivo. La banca è molto stringente nella sua policy: fornisce esattamente 5 indirizzi IPv4, controllati, da cui possono provenire messaggi autorizzati.
I messaggi e-mail che arrivino da qualsiasi altra parte millantando un mittente interno alla banca, sono illeciti (-all).

La banca sta quindi obbligando gli utenti del proprio dominio e-mail a utilizzare uno dei server di posta in uscita da lei controllato: questo è un esempio di una politica che determina una perdita di flessibilità per una migliore sicurezza.
Nel primo esempio la perdita di flessibilità è minore, almeno finché i viaggi in Sud America o Cina restano infrequenti.

Nel secondo esempio il name server north presso cui è stato effettuato il look up, ha fornito l'informazione come non-autoritativa. Cioè non ha richiesto il dato a uno dei name server competenti in quanto se lo ricordava da una richiesta recente: probabilmente proprio a causa di un tentativo di phishing che è stato bloccato sul nascere.

SPF c'è e funziona. La sua efficienza è limitata dalla sua scarsa diffusione.
SPF è una lista bianca distribuita, dove ciascun dominio pubblica la parte che gli compete.
Pin It
WhatsApp
© 2019 Progetti&Eventi srl, All Rights Reserved