• User Attivo

    l'SPF controlla l'host presente nel return-path delle email inviate: per lui un host è tutto quello che c'è dopo la @, non c'è un concetto di dominio o sottodominio.

    Se non vuoi che una email che ha come return-path "[email protected]" venga verificata dall'SPF è sufficiente che tu non metta un record SPF (TXT) su pippo.dominio.com.
    Se metti il record solo su "dominio.com" solo le email che hanno return-path [email][email protected][/email] verranno verificate.

    Per questo, se vuoi che una serie di sottodomini abbiano lo stesso record SPF del dominio principale puoi operare così:
    dominio.com IN TXT *"v=spf1 mx ~all"
    sottodominio1.dominio.com IN TXT "v=spf1 include:dominio.com ~all"
    sottodominio2.dominio.com IN TXT "v=spf1 include:dominio.com ~all"

    Oppure io faccio spesso così (proprio per evidenziare che dominio.com non è speciale rispetto a sottodominio.com😞
    _spf.dominio.com IN TXT *"v=spf1 mx ~all"
    *dominio.com IN TXT "v=spf1 include:_spf.dominio.com ~all"
    *sottodominio.dominio.com IN TXT "v=spf1 include:_spf.dominio.com ~all"


    Questo ovviamente vale nel caso in cui questi host condividano effettivamente i server di invio. Altrimenti per ogni gruppo di server di invio si può fare una regola SPF diversa e poi includerla solo dai domini interessati.

    L'importante è comunque il primo punto: quello che conta è il return-path delle email inviate, ovvero quello che viene mandato come "MAIL FROM:" nella transazione SMTP. Il modo più semplice per verificarlo è guardare appunto al Return-Path di una email ricevuta da un destinatario e partita da uno di quei domini.


  • User Newbie

    Buongiorno e grazie della risposta.
    Se invece utilizzassi, cosa cambierebbe? (a parte -/~)

    www .example. com. IN TXT "v=spf1 -all"
    web01 .example. com. IN TXT "v=spf1 a -all"
    web02 .example. com. IN TXT "v=spf1 a -all"


  • User Attivo

    Così dichiari che:

    1. non possono esistere email con return path @www.example.com
    2. Le email con return-path @web01.example.com possono partire solo dall'ip risolto da web01.example.com
    3. Le email con return-path @web02.example.com possono partire solo dall'ip risolto da web02.example.com

    Per quelle con return-path @example.com non dichiari nulla.


  • User Newbie

    Salve ragazzi,
    volevo sapere dove salvare e aggiornare il famoso record SPF.
    Ho un indirizzo di posta elettronica del tipo fabio_rossi @ hotmail . com e spedisco mail anche dal mio sito tipo fabiorossi . altervista . org tramite PHPMailer.
    Per evitare che le mail vadano a finire nella cartella spam dei destinatari vorrei implementare la riga SPF.
    Ma dove deve essere copiata?
    Vi ringrazio per un'eventuale risposta.


  • User Attivo

    Il record SPF va messo nel DNS, ma lo devi mettere nel DNS del dominio che viene usato nel "MAIL FROM" (anche noto come Envelope Sender o Return-Path) delle email che invi. Se questo è "@hotmail.com" chiaramente non puoi farlo.

    SPF non è un meccanismo per evitare di finire in spam: è un meccanismo per rendersi più RICONOSCIBILI, collegando in maniera più forte le proprie email al proprio dominio. Se questo migliori o peggiori la classificazione come spam dipende da ciò che si fa!

    In ogni caso se non hai un tuo dominio e non spedisci con quel dominio, non puoi usare SPF.


  • User Newbie

    Per tuo dominio cosa intendi? Quello che su altervista chiamano di secondo livello? tipo fabiorossi . org ? Attualmente sull'indirizzo del mio sito compare anche la dicitura altervista


  • User Attivo

    Esatto, fabiorossi.org.
    Ma non è tanto questa la cosa importante: se altervista ti desse la possibilità di modificare il DNS di pincopallino . altervista . org potresti attivare SPF su quel dominio, ma non credo te lo faccia fare e comunque dovresti poi poter agire sullo strumento di invio email per assicurarti che quel dominio di terzo livello sia usato come envelope sender.
    Qual è il return-path (envelope sender) delle tue email lo vedi se ti fai mandare una email dal tuo servizio e controlli le intestazioni sulla tua casella dove l'hai ricevuta: c'è una intestazione "Return-Path", incollacela.


  • User Newbie

    Return-Path:
    apache @ ns268 . altervista . org

    Questo è quello che risulta nell'intestazione di una mail che ho inviato dal mio sito attraverso un form di richiesta lavoro


  • User Attivo

    Ecco, allora se tu volessi inserire l'SPF dovresti aver accesso alla zona DNS del dominio ns268 . altervista . org , cosa che non credo proprio altervista ti permetta di modificare, come dicevo qualche post fa.


  • User Newbie

    Non centrano niente secondo te le "connessioni server to server" ?
    Nel pannello di controllo altervista c'è la possibilità di modificare questa parte (della sorgente .htaccess) che ti riporto di seguito:

    Ogni applicativo installato nel tuo spazio web ha la possibilità di instaurare connessioni http verso l'esterno usando la funzione fsockopen() di php o le librerie cURL.

    						 							 **Attenzione:**  per ragioni di sicurezza e per prevenire eventuali abusi di servizio,  ogni connessione server to server è soggetta a logging, inoltre sia  l'indirizzo ip del client che esegue lo script, come il sito web che lo  ospita sono trasmessi e quindi visibili al server di destinazione.
    						 							[/HR] 													 						 							 							 								In questo momento puoi instaurare connessioni verso **una serie limitata di indirizzi**.  Al fine di prevenire abusi del servizio, per rimuovere la whitelist è  necessario che completi la procedura di identificazione mandandoci un  sms.
    

    [h=5]Indirizzi accessibili senza limitazione (whitelist):

    • http : // * . api . twitter . com
    • http : // *.phpbb.com
    • https : // * . rest . akismet . com
    • http : // * . recaptcha . net
    • http : // rpc . pingomatic . com
    • http : // * . wordpress . org
    • etc....

  • User Attivo

    No, tutta un'altra cosa.


  • User

    Buongiorno.
    Mi accodo anche io alla discussione per chiedervi un parere sulla mia situazione.
    L'associazione della quale faccio parte possiede un dominio presso un fornitore ed uno shared hosting presso un altro.
    Poiché stiamo riscontrando che alcune email, inviate dal gestore delle mailing list mailman, stanno finendo nella cartella spam (ho notizie di Gmail, Yahoo, Protonmail) ho pensato di abilitare il record SPF che vedo mancare.
    Oltre alle mailing list vengono utilizzate una decina di caselle caselle di posta, un paio direttamente tramite la webmail dell'hosting, le restanti associate a normali caselle GMail che prelevano la posta dal server e permettono l'invio con il dominio dell'associazione.

    Dato 1.2.3.4 l'IP dello shared hosting questo record è corretto?

    v=spf1 ip4:1.2.3.4 include:_spf.google.com ~all
    

    Spero inoltre che il riferimento a Google sia corretto... è quello di riferimento per la GSuite.

    Grazie per l'attenzione.


  • User Attivo

    @zetadi sì, il record è corretto. Dubito risolverete il problema "spam" implementando SPF, ma sicuramente è una cosa giusta da fare. Che cosa scrive Google nel box giallo in cui spiega perchè l'email è in spam?


  • User

    Gmail scrive

    Perché questo messaggio si trova nella cartella Spam? Perché è simile a messaggi che sono stati rilevati dai nostri filtri antispam.

    ProtonMail con mittente esterno

    Questa email ha fallito i requisiti d'autenticazione del suo dominio. Potrebbe essere stata falsificata o inoltrata scorrettamente!

    ProtonMail con mittente ProtonMail

    Questa email sembra provenire da un indirizzo ProtonMail, ma arriva dall'esterno del nostro sistema e ha fallito i nostri requisiti d'autenticazione. Potrebbe essere falsificata o inoltrata scorrettamente!

    Grazie :wink3:


  • User Attivo

    Non ho idea di che tecniche antispam usi protonmail. Per Gmail sembra strano che quell'errore che ti da lo risolverai con SPF.
    Dici che le tue email le spedisci o tramite Gmail o tramite lo shared hosting: arrivano in spam in entrambi i casi? O solo quelle dello shared hosting?

    Quelle dello sharedhosting sono solo quelle di mailman? Puoi firmarle con DKIM prima che escano? Di quante email giornaliere parliamo? Parli di shared hosting quindi suppongo che da quell'IP escano email anche di tanti altri clienti/domini di cui non sai niente, giusto?

    Ci dici l'IP?


  • User

    @bago said:

    Dici che le tue email le spedisci o tramite Gmail o tramite lo shared hosting: arrivano in spam in entrambi i casi? O solo quelle dello shared hosting?

    Aggiornamento dopo aver fatto diverse prove ad una lista di test con 5/6 indirizzi.
    Le mail che finiscono nello spam di google sono quelle che partono dal mio client di posta nel quale ho configurato un account del server; utilizzando la webmail, con il medesimo indirizzo ed anche con altro che ho la possibilità di utilizzare, non rilevo problemi. Immagino sia dovuto al fatto che si tratta di un semplice smtp su porta 25; e non posso utilizzare altro.
    Purtroppo non posso verificare cosa accade inviando alle liste dalle caselle GMail che utilizzano l'indirizzo legato al dominio perché non le ho io in uso.

    Comunque si tratta di 4 liste da 20/30 persone ciascuna, con una cinquantina di messaggi scambiati all'anno complessivamente, più un'altra utilizzata a mo di newsletter con circa 300 indirizzi e 5/6 invii annui.
    Nelle 4 liste gli utenti utilizzano il loro personale indirizzo, mentre per la lista più numerosa provvedevo io inviando dal mio client (cosa che ora non farò più).

    @bago said:

    Quelle dello sharedhosting sono solo quelle di mailman?
    Sono quasi esclusivamente quelle di mailman.

    @bago said:

    Puoi firmarle con DKIM prima che escano?
    Dovrei informarmi presso il provider, e dovrei anche capire di che si tratta visto che non ci ho mai avuto a che fare.

    @bago said:

    Parli di shared hosting quindi suppongo che da quell'IP escano email anche di tanti altri clienti/domini di cui non sai niente, giusto? Ci dici l'IP?
    Dovrebbe essere un IP condiviso: 82.211.12.102.

    Se può interessare nel sorgente delle mail, compresa quella in spam su Gmail, è presente il valore spf=neutral.


  • User Attivo

    Allora, se ho capito bene la stessa email con lo stesso mittente se la mandi via webmail arriva in inbox mentre se la mandi col tuo client arriva in spam: fai questi due invii e poi riporta qui le intestazioni complete che ti da Gmail per entrambe le email ricevute.


  • User

    Esattamente, proprio così. Ecco a te i sorgenti della 2 mail inviate alla mia casella Gmail:

    dropbox.com/s/tst9207nhkf8aja/mailman_gmail.txt?dl=0

    Anche se ho camuffato i nomi di indirizzi e server, visto che sto rendendo pubblico il file, penso si capisca ugualmente...


  • User Attivo

    In quella inviata dal client hai questo header:
    From: "[email protected]" [email protected]

    Se come "Nome" del mittente hai messo nuovamente il tuo indirizzo email questo potrebbe essere considerato un tentativo di phishing da Gmail. Prova a mettere un nome vero e non un indirizzo email anche come nome.

    L'unica altra differenza "sostanziale" è che in quella inviata da client compare l'IP dinamico della tua ADSL: in questo caso la mancanza di SPF e DKIM sicuramente potrebbe essere la causa per cui Gmail si vede costretto a guardare anche gli IP per cui è transitata l'email.

    Quindi, sistema il nome nel tuo client e metti spf.


  • User

    SPF impostato, e google lo vede, mittente modificato, ma niente, finiscono in spam.
    E più di prima: avevo aggiunto anche un altro indirizzo del dominio per i test i cui messaggi, esclusivamente inviati dalla webmail, venivano sempre consegnati. Ora anche quelli finiscono in spam. Sarà perché nel frattempo se ne sono accumulati diversi ed il sistema vede che non li ho marcati come non-spam?

    Edit: per prova ho marcato come non-spam le mail del secondo indirizzo del dominio utilizzato per i test, ed ora anche quelle del primo, anche inviate dal client, non vengono bloccate.

    Grazie per l'aiuto 🙂