Configurazione di SPF per evitare lo spoofing

  • Articolo

Questo articolo descrive come aggiornare un record DNS (Domain Name Service) in modo da poter usare l'autenticazione tramite posta elettronica SPF (Sender Policy Framework) con il dominio personalizzato in Office 365.

SPF consente di convalidare la posta elettronica in uscita inviata dal dominio personalizzato (proviene da chi dice di essere). Si tratta di un primo passaggio per configurare i metodi di autenticazione della posta elettronica consigliati completi di SPF, DKIM e DMARC.

Prerequisiti

Importante

Se si è una piccola azienda o non si ha familiarità con gli indirizzi IP o la configurazione DNS, chiamare il registrar di dominio Internet (ad esempio GoDaddy, Bluehost, web.com) & chiedere assistenza per la configurazione DNS di SPF (e qualsiasi altro metodo di autenticazione della posta elettronica).

Se non si usa un URL personalizzato (e l'URL usato per Office 365 termina con onmicrosoft.com), SPF è già stato configurato nel servizio Office 365.

Iniziamo.

Il record TXT SPF per Office 365 verrà creato nel DNS esterno per qualsiasi dominio o sottodominio personalizzato. Sono necessarie alcune informazioni per creare il record. Raccogliere le seguenti informazioni:

  • Il record TXT SPF per il proprio dominio personalizzato, se disponibile. Per le istruzioni, vedere Raccogliere le informazioni necessarie per creare record DNS di Office 365.

  • Passare ai server di messaggistica e individuare gli indirizzi IP esterni (necessari per tutti i server locali di messaggistica). Ad esempio, 131.107.2.200.

  • Nomi di dominio da utilizzare per tutti i domini di terze parti che è necessario includere nel record TXT SPF. In alcuni provider di posta inviata in massa sono impostati sottodomini da utilizzare per i clienti. Ad esempio, la società MailChimp ha configurato servers.mcsv.net.

  • Stabilire quale regola di imposizione utilizzare per il record TXT SPF. La regola -all è raccomandata. Per informazioni dettagliate sulle altre opzioni di sintassi, vedere Sintassi del record TXT SPF per Office 365.

Importante

Per utilizzare un dominio personalizzato, Office 365 richiede l'aggiunta di un record TXT Sender Policy Framework (SPF) al record DNS per prevenire spoofing.

Creare o aggiornare il record TXT SPF

  1. Assicurarsi di avere familiarità con la sintassi SFP nella tabella seguente.

    Elemento Se si sta utilizzando... Comune per i clienti? Aggiungere...
    1 Qualsiasi sistema di posta elettronica (obbligatorio) Comune. Tutti i record TXT SPF devono iniziare con questo valore v=spf1
    2 Exchange Online Comune include:spf.protection.outlook.com
    3 Solo per Exchange Online Non comune ip4:23.103.224.0/19
    ip4:206.191.224.0/19
    ip4:40.103.0.0/16
    include:spf.protection.outlook.com
    4 Office 365 Germania, solo Microsoft Cloud Germania Non comune include:spf.protection.outlook.de
    5 Un sistema di posta elettronica di terze parti Non comune include:<domain_name>

    <> domain_name è il dominio del sistema di posta elettronica di terze parti.
    6 Sistema di posta elettronica locale. Ad esempio, Exchange Online Protection più un altro sistema di posta elettronica Non comune Utilizzarne uno per ogni sistema di posta elettronica aggiuntivo:

    ip4:<IP_address>
    ip6:<IP_address>
    include:<domain_name>

    <> IP_address e <domain_name> sono l'indirizzo IP e il dominio dell'altro sistema di posta elettronica che invia posta per conto del dominio.
    7 Qualsiasi sistema di posta elettronica (obbligatorio) Comune. Tutti i record TXT SPF finiscono con questo valore <enforcement rule>

    Può trattarsi di uno dei vari valori. Consigliamo il valore -all.

  2. Se non è già stato fatto, costituire il record TXT SPF utilizzando la sintassi della tabella.

    Ad esempio, se l'utente è completamente ospitato in Office 365, che significa che non sono presenti server di posta elettronica locali, il record TXT SPF includerà le righe 1, 2 e 7 e si otterrà un risultato simile al seguente:

    v=spf1 include:spf.protection.outlook.com -all

    L'esempio precedente è il record TXT SPF più comune. Questo record funziona praticamente per tutti, indipendentemente dal fatto che il datacenter di Microsoft si trovi negli Stati Uniti, in Europa (Germania inclusa) o in un'altra area geografica.

    Tuttavia, se è stato acquistato Office 365 Germania, parte di Microsoft Cloud Germania, è consigliabile usare l'istruzione di inclusione dalla riga 4 anziché dalla riga 2. Ad esempio, se si è ospitati interamente in Office 365 Germania, ovvero non si dispone di server di posta elettronica locali, il record TXT SPF includerà le righe 1, 4 e 7 e avrà un aspetto simile al seguente:

    v=spf1 include:spf.protection.outlook.de -all

    Se l'utente è già distribuito in Office 365, dispone di record TXT SPF configurati per il dominio personalizzato e sta eseguendo la migrazione a Office 365 Germania, è necessario aggiornare il record TXT SPF. Per farlo, cambiare include:spf.protection.outlook.com in include:spf.protection.outlook.de.

  3. Dopo aver creato il record TXT SPF, è necessario aggiornare il record in DNS. È possibile avere un solo record TXT SPF per un dominio. Se esiste un record TXT SPF, anziché aggiungere un nuovo record, è necessario aggiornare quello esistente. Passare a Creare record DNS per Office 365 e quindi selezionare il collegamento relativo al proprio host DNS.

  4. Verificare il record TXT SPF.

Come gestire i sottodomini

È importante tenere presente che è necessario creare un record distinto per ogni sottodominio, in quanto i sottodomini non ereditano il record SPF del dominio di primo livello.

Per tutti i domini e sottodomini è necessario un record SPF jolly (*.) per impedire agli utenti malintenzionati di inviare messaggi di posta elettronica che provengano da sottodomini inesistenti. Ad esempio:

*.subdomain.contoso.com. IN TXT "v=spf1 -all"

Risoluzione dei problemi relativi a SPF

Ci sono problemi con il record SPF TXT? Leggere Risoluzione dei problemi: procedure consigliate per SPF in Office 365.

Cosa fa effettivamente l'autenticazione SPF della posta elettronica?

SPF identifica quali server di posta elettronica sono autorizzati a inviare posta elettronica per conto dell'utente. In sostanza SPF, insieme a DKIM, DMARC e altre tecnologie supportate da Office 365, aiuta a prevenire spoofing e phishing. SPF viene aggiunto come un record TXT che viene utilizzato da DNS per identificare i server di posta elettronica che possono inviare posta elettronica per conto del dominio personalizzato. I sistemi di posta elettronica del destinatario fanno riferimento al record TXT SPF per stabilire se un messaggio di un dominio personalizzato proviene da un server di messaggistica autorizzato.

Ad esempio, si supponga che il dominio personalizzato contoso.com utilizzi Office 365. Si aggiunge un record TXT SPF che elenca i server di messaggistica di Office 365 come server di posta elettronica legittimi per il dominio. Quando il server di messaggistica di destinazione riceve un messaggio da joe@contoso.com, il server cerca nel record TXT SPF di contoso.com e rileva se il messaggio è valido. Se il server di destinazione rileva che il messaggio proviene da un server di messaggistica di Office 365 diverso da quelli elencati nel record SPF, il server di posta di destinazione può scegliere di rifiutare il messaggio come posta indesiderata.

Inoltre, se nel dominio personalizzato non è presente un record TXT SPF, alcuni server di destinazione possono rifiutare il messaggio immediatamente. Ciò avviene perché il server di destinazione non può convalidare che il messaggio provenga da un server di messaggistica autorizzato.

Se la posta di Office 365 è già stata sincronizzata, i server di messaggistica Microsoft sono già stati inclusi nel sistema DNS come record TXT SPF. Tuttavia, esistono alcuni casi in cui è necessario aggiornare il record TXT SPF nel sistema DNS. Ad esempio:

  • In precedenza, era necessario aggiungere un record SPF o TXT diverso al dominio personalizzato se si utilizzava SharePoint Online. Ciò non è più necessario. Questa modifica dovrebbe ridurre il rischio che i messaggi di notifica di SharePoint Online finiscano nella cartella Posta indesiderata. Aggiornare il record SPF o TXT se si sta raggiungendo il limite di 10 ricerche e si stanno visualizzando errori del tipo "limite di ricerche superato" e "troppi hop".

  • Se si dispone di un ambiente ibrido con Office 365 ed Exchange in locale.

  • Si intende configurare DKIM e DMARC (scelta consigliata).

Per ulteriori informazioni su SPF

Per esempi avanzati e una descrizione dettagliata della sintassi SPF supportata, dello spoofing, della risoluzione dei problemi e di come Office 365 supporta SPF, vedere Come funziona SPF per impedire spoofing e phishing in Office 365.

Passaggi successivi: DKIM e DMARC

SPF è progettato per prevenire spoofing, ma esistono tecniche di spoofing che SPF non è in grado di evitare. Per difendersi da queste minacce, dopo aver configurato SPF è consigliabile configurare anche DKIM e DMARC per Office 365.

L'obiettivo dell'autenticazione DKIM della posta elettronica è dimostrare che il contenuto del messaggio non è stato manomesso.

L'obiettivo dell'autenticazione DMARC della posta elettronica è assicurare che le informazioni SPF e DKIM corrispondano all'indirizzo Da.

Per esempi avanzati e una descrizione dettagliata della sintassi SPF supportata, vedere Funzionamento di SPF per prevenire spoofing e phishing in Office 365.

Usare mittenti ARC attendibili per flussi di posta legittimi

Selezionare 'Questa pagina' in 'Feedback' se si ha un feedback su questa documentazione.