Cosa imparerai in questo articolo
- L'allineamento SPF è un controllo DMARC che verifica se il dominio autenticato tramite SPF corrisponda al dominio presente nell'indirizzo "Da" visibile.
- L'SPF viene valutato in base al dominio "Mail From" definito nella RFC 5321, noto anche come percorso di ritorno o "envelope-from", e non al dominio "From" visibile che gli utenti vedono nella propria casella di posta in arrivo.
- In un allineamento flessibile, i sottodomini possono allinearsi al dominio organizzativo. Per garantire un allineamento rigoroso, i domini devono corrispondere esattamente. La modalità di allineamento SPF predefinita di DMARC è "relaxed".
- Un messaggio può superare il controllo SPF e tuttavia non superare il controllo di allineamento SPF se il dominio del percorso di ritorno autenticato non è allineato con il dominio visibile nel campo "Da".
- Per correggere l’allineamento SPF è solitamente necessario identificare il mittente disallineato, modificare il percorso di ritorno o la configurazione dell’ del mittente e verificare la validità della modifica tramite le intestazioni e i report DMARC. L'allineamento DKIM può inoltre rappresentare un'ulteriore via per superare il controllo DMARC.
L'SPF può superare il controllo e tuttavia lasciarvi con un problema DMARC. Ciò accade solitamente quando il dominio autenticato tramite SPF non corrisponde al dominio indicato nell'indirizzo "Da" visibile. La presente guida illustra cos’è l’allineamento SPF, perché si verifica un errore e come correggere le fonti di invio che continuano a compromettere l’affidabilità del dominio.
Che cos’è l’allineamento SPF?
Un messaggio può superare l'autenticazione e tuttavia non superare il controllo DMARC se il dominio autenticato non corrisponde all'indirizzo "Da" visibile . Per comprenderne il motivo, è utile distinguere il dominio oggetto dei controlli SPF dal dominio che il destinatario vede effettivamente.
In che modo l’allineamento SPF si integra con DMARC
L'allineamento SPF fa parte del DMARC. Verifica se il dominio autenticato tramite SPF corrisponda al dominio indicato nell'intestazione "From" visibile all'indirizzo . Se i domini sono conformi alla politica DMARC attiva, l'SPF può contribuire a far sì che il messaggio superi il controllo DMARC. In caso contrario, SPF potrebbe comunque autenticare il messaggio, ma non soddisferà l'allineamento DMARC di .
Quale dominio viene effettivamente verificato dall'SPF?
È proprio qui che spesso nasce la confusione. L'autenticazione SPF viene valutata in base al dominio "Mail From" definito nella RFC 5321, noto anche come percorso di ritorno o "envelope-from". Per impostazione predefinita, non viene verificata la conformità con il dominio "From" visibile previsto dalla RFC 5322. Il fatto che " " significhi che un messaggio può essere autenticato correttamente per un dominio, pur mostrando al destinatario un dominio diverso. In , in quel caso, l'autenticazione SPF funziona, ma l'allineamento SPF non va a buon fine.
Allineamento SPF flessibile vs rigido
DMARC supporta due modalità di allineamento SPF. In un allineamento flessibile, un sottodominio può comunque allinearsi al dominio dell’organizzazione. Ad esempio, mail.example.com può corrispondere a example.com.
Per garantire la piena conformità, il dominio autenticato tramite SPF deve corrispondere esattamente al dominio visibile nel campo “Da”, senza alcuna variazione relativa al sottodominio . La modalità di allineamento SPF predefinita di DMARC è "relaxed", a meno che il tag "aspf" non sia impostato su "strict".
SPF in allineamento vs. non in allineamento
La differenza risulta più evidente se si osserva come i messaggi allineati e quelli disallineati si presentano in scenari di invio reali.
- SPF in allineamento — Il dominio del percorso di ritorno autenticato dall’SPF corrisponde, oppure, in modalità semplificata, è opportunamente correlato a rispetto al dominio “From” visibile.
- Esempio: l'indirizzo "Da" visibile utilizza example.com, e il percorso di ritorno utilizza mail.example.com. In un allineamento informale , tale allineamento è comunque possibile poiché entrambi appartengono allo stesso ambito organizzativo.
- SPF non allineato — L'SPF è valido per il dominio del percorso di ritorno, ma tale dominio non corrisponde in misura sufficiente al dominio visibile nel campo "From" per la modalità di allineamento DMARC selezionata.
- Esempio: l'indirizzo "Da" visibile utilizza example.com, ma l'indirizzo di risposta utilizza vendor-mail.com. L'SPF potrebbe essere interpretato come vendor-mail.com, Tuttavia, l'allineamento non va a buon fine poiché il dominio autenticato non corrisponde al dominio del mittente.
Quali sono le cause del malfunzionamento dell’allineamento SPF?
L'allineamento SPF fallisce solitamente per uno dei due motivi seguenti: la configurazione del mittente non è correttamente allineata oppure il messaggio non è, in primo luogo, legittimo . I casi riportati di seguito illustrano le cause più comuni e spiegano perché si verifica il guasto.
Caso 1: la modalità di allineamento SPF è impostata su “rigorosa”
L'allineamento rigoroso richiede una corrispondenza esatta dei domini. Ciò può compromettere l'allineamento quando si utilizzano sottodomini nel percorso di ritorno . Ad esempio, se l'indirizzo "Da" visibile utilizza example.com ma il percorso di ritorno utilizza mail.example.com, SPF potrebbe superare il test , mentre l'allineamento rigoroso continua a non superarlo.
Ecco perché la modalità rigorosa tende a funzionare al meglio in ambienti sottoposti a un controllo più rigoroso. Può contribuire a rafforzare la sicurezza , ma richiede anche un controllo più rigoroso su domini, sottodomini e flussi di posta di terze parti. Una configurazione del mittente di tipo “ ” che funziona in modalità “relaxed alignment” può fallire rapidamente in modalità “strict”.
Caso 2: Il dominio è stato falsificato
Le e-mail con indirizzo falsificato rappresentano un’altra causa comune di errore nell’allineamento SPF. Un malintenzionato potrebbe inserire un dominio legittimo nel campo "Da" visibile , utilizzando al contempo un dominio di percorso di ritorno non autorizzato e un indirizzo IP di invio non autorizzato.
In molti casi, tali messaggi non superano affatto l'autenticazione SPF. Anche qualora un mittente alterasse altre parti del messaggio , il DMARC verifica comunque se il dominio autenticato tramite SPF corrisponda al dominio "Da" visibile.
Ciò significa che gli errori di allineamento SPF non sono sempre dovuti a un errore di configurazione. A volte rappresentano proprio il segnale che si desidera vedere su , poiché contribuiscono a smascherare i messaggi contraffatti e forniscono a DMARC un elemento concreto su cui intervenire.
In pratica, l’elemento fondamentale è stabilire se l’errore sia dovuto a un problema di configurazione del mittente o al corretto funzionamento di un segnale di “ ” relativo all’autenticazione. Tale distinzione rende più semplice decidere se la correzione debba essere inserita nel flusso di posta o nella strategia di applicazione delle regole di .
Come risolvere l'errore “Allineamento SPF non riuscito”
Per risolvere i problemi di allineamento SPF è solitamente necessario individuare il mittente specifico all’origine della discrepanza, per poi correggere le modalità di autenticazione del flusso di posta . I passaggi riportati di seguito rendono il processo più gestibile e facilitano l'individuazione dei problemi.
Fase 1: Verificare se il problema è legato all’allineamento o all’autorizzazione SPF
Iniziate verificando se il problema sia effettivamente legato all'allineamento o se si tratti di una questione più ampia relativa all'SPF. Se SPF non ha funzionato, il problema potrebbe risiedere nel record SPF, nei record DNS, negli indirizzi IP autorizzati all’invio o nella sintassi del Sender Policy Framework. Se l'SPF è risultato positivo ma il DMARC continua a dare esito negativo, ciò indica in modo più diretto una discrepanza tra il percorso di ritorno e il dominio "From" visibile all'indirizzo .
Fase 2: Identificare la fonte di invio all’origine della discrepanza
Successivamente, identifichi quale flusso di posta sia responsabile. In pratica, il problema è spesso legato a un mittente specifico, ad esempio:
- Piattaforma di marketing
- Sistema di emissione dei biglietti
- Servizio cloud che utilizza un canale di ritorno di proprietà del fornitore
Esamini l’intestazione dell’e-mail e i dati del rapporto DMARC per individuare la fonte interessata, anziché presumere che l’intero dominio presenti un disallineamento dell’ .
Fase 3: Modificare la configurazione del mittente o il flusso di posta
Una volta individuata la fonte, modifichi la configurazione in modo che il dominio autenticato tramite SPF corrisponda al dominio visibile nel campo “Da” . Ciò comporta spesso la configurazione di un percorso di ritorno personalizzato o di un dominio di rimbalzo personalizzato, in modo che il servizio effettui l'autenticazione tramite il vostro dominio anziché il dominio predefinito del provider. Il flusso di lavoro esatto varia a seconda della piattaforma, ma l’obiettivo rimane lo stesso: allineare il dominio “Mail From” definito dalla RFC 5321 con il dominio “From” visibile, in base alla modalità di allineamento scelta.
Fase 4: Utilizzare l’allineamento DKIM quando l’allineamento SPF è difficile da mantenere
Qualora fosse difficile mantenere l’allineamento SPF per un determinato mittente, l’allineamento DKIM può rappresentare un’alternativa per ottenere il superamento del test DMARC. DMARC non richiede che SPF e DKIM siano allineati. È sufficiente un unico risultato di allineamento dell’autenticazione ; pertanto, una firma DKIM correttamente configurata e associata al dominio corretto può comunque supportare il DMARC anche quando l’allineamento SPF è più difficile da controllare.
Fase 5: Verifica della correzione
Infine, convalidi la modifica. Verifichi le intestazioni dei messaggi per confermare il risultato dell'SPF e il comportamento del percorso di ritorno, quindi utilizzi e il sistema di segnalazione DMARC per verificare se l'allineamento migliora nei flussi di posta interessati. Strumenti quali i flussi di lavoro di verifica di Mimecast, disponibili all’indirizzo , consentono ai team di analizzare i problemi di allineamento SPF, confermare le modifiche e ridurre gli errori di configurazione su più fonti di invio .
Una volta individuata la causa principale, l’allineamento SPF è solitamente più facile da risolvere di quanto possa sembrare a prima vista. La chiave sta nel correggere il flusso di posta specifico che causa l'incongruenza, prima che si trasformi in una configurazione DMARC errata più estesa .
Rafforzare l’allineamento dell’SPF con maggiore fiducia
L'allineamento SPF è importante perché DMARC non si limita a verificare se SPF autentica un messaggio. Si sta verificando se il dominio autenticato corrisponda all’identità indicata al destinatario. Quando tale relazione viene interrotta, ne risentono sia i tassi di superamento del test DMARC sia l’affidabilità delle e-mail.
La soluzione più affidabile consiste nell’identificare la fonte di invio disallineata, correggere il percorso di ritorno o la configurazione del mittente, e verificare il risultato tramite le intestazioni e i report. Per i team che necessitano di una maggiore visibilità su SPF, DKIM e DMARC di su tutte le fonti di invio, gli strumenti di sicurezza e autenticazione della posta elettronica di Mimecast possono contribuire a ridurre le configurazioni errate di e a rafforzare la protezione nell’intero ambiente di posta elettronica.