Protocollo Sender Policy Framework (SPF)

GFI MailEssentials supporta il protocollo Sender Policy Framework (SPF). Il protocollo Sender Policy Framework consente di controllare se un determinato mittente email sia stato falsificato o meno. Molti spammer odierni utilizzano indirizzi email falsificati.

Il protocollo SPF è uno sforzo comune che sta rapidamente guadagnando terreno. SPF richiede che l'azienda del mittente abbia pubblicato il suo server di posta in un record SPF. Ad esempio, se un'email è inviata da xyz@CompanyABC.com, la società "companyABC.com" deve pubblicare un record SPF affinché il protocollo possa determinare se l'email sia stata davvero inviata dalla rete di "companyABC.com" o se sia stata falsificata. Se l'azienda CompanyABC.com non pubblica alcun record SPF, il risultato del protocollo SPF sarà "sconosciuto".

Come funziona il protocollo SPF

I domini utilizzano record pubblici (DNS) per smistare le richieste di servizi (web, email, ecc.) verso le macchine che eseguono tali servizi. Tutti i domini già pubblicano record (MX) di email per comunicare pubblicamente quali macchine ricevono la posta per il dominio.

SPF funziona grazie alla pubblicazione, da parte dei domini, di un record di testo nel DNS di quei domini, per comunicare pubblicamente quali macchine inviano la posta dal dominio. Quando si riceve un messaggio da un dominio, GFI MailEssentials può controllare quei record per accertarsi che l'email provenga dal mittente giusto.

GFI MailEssentials non richiede la pubblicazione di record SPF da parte dell'utente. Qualora si desideri effettuare la pubblicazione, è possibile utilizzare il programma guidato di SPF all'indirizzo web: http://spf.pobox.com/wizard.html.

Esempio

Si supponga che uno spammer falsifichi "CompanyABC.com" e cerchi di inviarvi dello spam.

Una volta che lo spammer ha inviato il messaggio, il destinatario vedrà "MAIL FROM: (POSTA DA:) <forged_address@CompanyABC.com>, ma non bisogna credergli sulla parola. Si può chiedere all'azienda CompanyABC se l'indirizzo IP proviene dalla loro rete.

In questo esempio, l'azienda CompanyABC pubblica un record SPF. Tale record indica a GFI MailEssentials come scoprire se alla macchina mittente è consentito inviare posta da CompanyABC.

Se l'azienda CompanyABC dice che riconosce la macchina mittente, è possibile presumere che il mittente sia chi dice di essere. Se il messaggio non supera i test SPF, si tratta di una contraffazione. Ecco perché si può dire che si tratta probabilmente di uno spammer.

Per ulteriori informazioni sul protocollo SPF e sul suo funzionamento, visitare il sito web di Sender Policy Framework all'indirizzo: http://spf.pobox.com.

SPF su un server SMTP perimetrale (gateway)

Il server perimetrale SMTP è la macchina che riceve le email direttamente da Internet. Se si è installato GFI MailEssentials su un server SMTP perimetrale, non è necessario configurare le opzioni del server SMTP perimetrale [gateway] nella scheda "Perimeter SMTP Servers (Server STMP perimetrali) delle proprietà dell'Anti-spam.

SPF su un server SMTP non perimetrale (gateway)

Se GFI MailEssentials NON è installato su un server SMTP perimetrale, deve essere configurata l'opzione "Perimeter SMTP Servers (Server STMP perimetrali) nel nodo delle proprietà dell'Anti-spam . Per impostare tale opzione, fare clic con il tasto destro del mouse sul nodo "Anti-spam", selezionare Properties (Proprietà) e fare clic sulla scheda "Perimeter SMTP Servers (Server STMP perimetrali)".

Se non si è sicuri di aver installato GFI MailEssentials sul proprio server SMTP perimetrale, servirsi del pulsante "Auto Discovery (Riconoscimento automatico)", presente nell'opzione d'impostazione "Perimeter SMTP (SMTP perimetrale)", per eseguire una ricerca MX DSN e definire automaticamente l'indirizzo IP del server SMTP perimetrale.

Per ulteriori dettagli sulla modalità di configurazione dell'opzione del server SMTP perimetrale, si rimanda alla sezione "Definizione delle impostazioni del server SMTP perimetrale (gateway)" del presente capitolo.

Configurazione della caratteristica SPF

La configurazione della caratteristica SPF si effettua dal nodo Anti Spam > Sender Policy Framework. Fare clic con il tasto destro del mouse su questo nodo per aprire le proprietà di SPF.

Livello del blocco SPF

Schermata 27 - Configurazione del livello di blocco SPF

Il livello di rifiuto consente di impostare il tasso di completezza del test SPF. Si può scegliere tra 4 livelli:

Never (Mai): non bloccare mai eventuali messaggi. Quando si seleziona questa opzione, non vengono effettuati i test SPF sulle email in arrivo.

Low (Basso): bloccare unicamente messaggi che hanno un mittente falsificato. Questa opzione tratta come spam i messaggi con mittente falsificato.

Medium (Medio): bloccare messaggi che sembrano avere un mittente falsificato. Questa opzione tratta come spam i messaggi che sembrano provenire da un mittente falsificato. Si tratta dell'impostazione predefinita consigliata.

High (Alto): blocca messaggi la cui provenienza dal mittente non è stata accertata. Questa opzione tratta tutta la posta come spam, a meno che non ci si accerti che il mittente non è falsificato. Poiché la maggioranza dei server di posta non hanno ancora un record SPF, tale opzione non è ancora consigliata.

Schermata 28 - Impostazione dell'attuale server SMTP perimetrale

Dopo aver definito il tasso di completezza richiesto per il proprio test SPF, fare clic sul pulsante Apply (Applica) per salvare tale configurazione. Se in GFI MailEssentials si è già specificato che questo computer non è il server SMTP perimetrale (si rimanda alla sezione "Definizione del server SMTP perimetrale (gateway) del presente capitolo), compare una finestra di dialogo simile a quella mostrata nella figura sopra riportata. Tale finestra illustra le impostazioni del server SMTP perimetrale configurate in GFI MailEssentials dall'utente (ossia, gli indirizzi IP specificati per il proprio server SMTP perimetrale).

Se GFI MailEssentials è installato sul server SMTP perimetrale o se non si è ancora specificato che il server di posta su cui il prodotto è installato non è un server SMTP perimetrale (si rimanda alla sezione "Definizione del server SMTP perimetrale (gateway) del presente capitolo), compare una finestra di dialogo simile a quella mostrata nella figura sotto riportata.

Schermata 29 - Promemoria: SPF deve essere installato sul server SMTP perimetrale.

Tale finestra ricorda all'utente che se quel computer non è un server perimetrale, si deve configurare l'opzione "Perimeter SMTP Servers" ("Server SMTP perimetrali") nelle proprietà del nodo dell'Anti-spam [fare clic con il tasto destro del mouse sul nodo Anti Spam, selezionare "Properties" ("Proprietà") e fare clic sulla scheda Perimeter SMTP server (Server SMTP perimetrale)]. Per ulteriori informazioni sulla modalità di configurazione del server SMTP perimetrale, si rimanda alla sezione "Definizione del server SMTP perimetrale (gateway)" del presente capitolo.

Fare clic sul pulsante OK per chiudere la finestra di dialogo visualizzata. Se si desidera provare i propri servizi o le proprie impostazioni DNS, fare clic sul pulsante Test (Prova) situato sopra il pulsante Apply (Applica).

Configurazione delle eccezioni

Schermata 30 - Configurazione delle eccezioni SPF

Questa pagina consente di configurare gli indirizzi IP e i destinatari che devono essere esclusi dai controlli SPF.

IP exception list (Elenco eccezioni di IP): gli indirizzi IP di quest'elenco superano automaticamente i controlli SPF . Fare clic su "Add..." ("Aggiungi...") per aggiungere un nuovo indirizzo IP. Per rimuovere un indirizzo IP, selezionarlo dall'elenco e fare clic su Remove (Rimuovi). Per disabilitare l'elenco delle eccezioni di IP, deselezionare la casella di controllo "IP exception list" ("Elenco eccezioni di IP").

Recipient exception list (Elenco eccezioni di destinatari): questa opzione permette ad alcuni destinatari di ricevere sempre le loro email, anche se i messaggi andrebbero rifiutati. Per inserire un'eccezione di destinatario esistono tre modi:

parte locale: "abuse" (abuso) (rileva "abuse@abc.com", "abuse@xyz.com", ecc...)

dominio: "@abc.com" (rileva "john@abc.com", "jill@abc.com", ecc...)

completa: "joe@abc.com" (rileva solo "joe@abc.com")

Per disabilitare l'elenco delle eccezioni di destinatari, deselezionare la casella di controllo "Recipient exception list" ("Elenco di eccezioni di destinatari").

White list generale di Trusted Forwarder: la white list generale di Trusted Forwarder (www.trusted-forwarder.org) dota gli utenti SPF di una white list generale. Offre un modo per evitare che email legittime inviate da mittenti email conosciuti e fidati vengano bloccate dai controlli SPF perché i mittenti non si avvalgono di sistemi "envelope-from rewriting". Tale impostazione è abilitata per impostazione predefinita. Si consiglia di lasciare sempre abilitata questa opzione.

Scheda Actions (Azioni)

Dopo aver configurato la caratteristica SPF, fare clic sulla scheda Actions (Azioni) per specificare i provvedimenti che si desidera adottare nei confronti dei messaggi segnati come spam dal filtro SPF. Per maggiori informazioni sulle azioni possibili, consultare la sezione "Azioni: cosa fare della posta spam" del presente capitolo.

Scheda Altro

Definizione del server SMTP perimetrale (gateway)

Il server perimetrale SMTP è il gateway del server di posta che elabora le email ricevute direttamente da Internet.

Figura 2 - Una tipica impostazione di server di ritrasmissione SMTP perimetrale

Generalmente, questi server SMTP gateway sono specificati e configurati nei record MX DNS di un dominio e spesso impostati su una zona demilitarizzata (DMZ). La zona demilitarizzata (si veda la figura sopra riportata) consiste in una rete intera pubblica di norma utilizzata esclusivamente per server cui accedono client esterni di Internet, quali server web, FTP e di posta.

Se le email in entrata che giungono al server su cui è installato GFI MailEssentials sono ritrasmesse da un altro server gateway, si dovranno specificare i dati del proprio server SMTP gateway avvalendosi della scheda "Perimeter SMTP Servers (Server SMTP perimetrali)" delle proprietà dell'anti-spam, ai fini del corretto funzionamento del filtro SPF (ad esempio, si consideri un'azienda in Inghilterra che riceve tutte le sue email su un server SMTP ubicato negli Stati Uniti. Dato che il server SMTP negli Stati Uniti ritrasmetterà successivamente tutte le email ricevute al server SMTP locale in Inghilterra, per l'azienda inglese il server statunitense rappresenta il server gateway perimetrale, vale a dire, quando l'azienda inglese installa GFI MailEssentials sul proprio server SMTP locale, deve accertarsi di abilitare l'opzione della pagina dei server SMTP perimetrali e specificare i dati del server SMTP statunitense perché il filtro SPF funzioni correttamente).

Schermata 31 - Impostazione del server SMTP perimetrale

Quando GFI MailEssentials non è installato sul server SMTP perimetrale, è necessario:

1. Fare clic con il tasto destro del mouse sul nodo "Anti-Spam (Anti-spam)" e selezionare Properties (Proprietà).

2. Fare clic sulla scheda "Perimeter SMTP Servers" ("Server SMTP perimetrali") e abilitare l'opzione "This machine is not a perimeter SMTP server" ("Questa macchina non è un server SMTP perimetrale").

3. Fare clic con il tasto destro del mouse sul pulsante Add (Aggiungi) e specificare l'indirizzo IP del proprio server SMTP perimetrale (gateway). Ripetere lo stesso processo se si desiderano indicare eventuali server SMTP alternativi disponibili. Accertarsi di specificare i propri server SMTP perimetrali in ordine di preferenza, mettendo il vero server perimetrale in cima all'elenco, seguito dai server alternativi.

NOTA: è possibile fare clic sul pulsante "Automatic discovery..." ("Riconoscimento automatico...") per eseguire una ricerca MX DNS che ricerchi e acquisisca automaticamente l'indirizzo IP dei server SMTP perimetrali configurati sui domini locali.