Configure SPF fail all

From Carini MediaWiki
Jump to navigation Jump to search

Perché è meglio evitare l'uso del prefisso -all (hard fail)

Differenze tra -all e ~all

Implicazioni dell'utilizzo di -all

Solitamente i prefissi "-" e "~" vengono utilizzati con il termine "all" per definire come gestire i mittenti che non corrispondono a nessun altro meccanismo specificato nel record SPF.

Il prefisso "-", noto come hard fail, implica il rigetto assoluto dei mittenti non esplicitamente autorizzati, mentre "~", o soft fail, suggerisce un rifiuto meno severo, spesso integrato in un sistema di valutazione dello spam.

Tuttavia, l'hard fail può causare falsi positivi, ad esempio quando un'email transita attraverso relay interni o di terze parti. Inoltre, se un mittente viene bloccato da un meccanismo "-all", le verifiche successive basate su DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) non vengono eseguite.

Pertanto, dall'introduzione di DKIM e DMARC, l'utilizzo di -all alla fine di un record SPF NON è generalmente raccomandato.

Situazioni in cui -all è appropriato

L'utilizzo di -all è giustificato per i domini che non dovrebbero inviare email.

Ad esempio, l'ente finanziario bancarossa.ch potrebbe acquistare i domini bancarossa.com e bancarossa.net per prevenire l'uso fraudolento di nomi simili. Se questi domini aggiuntivi non dovessero inviare email, lasciarli senza un record SPF aumenterebbe il rischio di impersonificazione tramite un mailer non autorizzato. In questi casi, l'uso di un record SPF v=spf1 -all sarebbe appropriato per rifiutare qualsiasi email non proveniente dal dominio ufficiale.