Spesso molti domini internet non vengono usati per inviare e ricevere posta.
In questi casi mancano all’interno della zona DNS dei record tipici dei domini che invece devono inviare e ricevere posta.
Un dominio che non viene usato per inviare posta è molto allettante per chi cerca di inviare mail di spoofing perchè trovano un dominio vero che non ha vincoli su chi può usarlo per spedire posta.
Inoltre non avendo delle caselle su quel dominio sarà difficile accorgersi di mail di lamentele o bounce…
Perchè succede questo ?
Principalmente per la mancanza del record DNS – di tipo TXT – chiamato SPF*. Questo record istruisce i vari server di posta su chi può effettivamente spedire a nome di quel dominio e come comportarsi se qualcuno lo fa in modo non autorizzato. Se non è presente questo record, o è mal configurato, chiunque potrà spedire email a nome nostro; i filtri SPAM reputeranno questi messaggi come buoni perchè nessuno gli comunica (tramite il record SPF) come comportarsi.
Quindi se vogliamo limitare l’uso non autorizzato di un nostro dominio internet che non è usato per la posta procediamo cosi:
Mi raccomando, queste operazioni sono da eseguire solo su domini che non inviano posta (e non ricevono posta) - quello che trovate scritto qui sono indicazioni generiche e potrebbero non essere applicabili a tutti!
Creare un record SPF
tipo: TXT
host o nome: @ (se richiesto, oppure vuoto)
valore: v=spf1 -all
Creare un record DMARC
tipo: TXT
host o nome: _dmarc
valore: v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s;fo=1;rua=mailto:[email protected]
Sostituire [email protected] con un vostro indirizzo a cui verranno inviati i report di abuso del dominio interessato.
Creare un record DKIM
tipo: TXT
host o nome: *._domainkey
valore: v=DKIM1; p=
Creare un record MX fasullo se il vostro dominio sicuramente non deve ricevere posta
type: MX
host o nome: vuoto
priorità: 0
valore: .
Se non vi fa creare un record MX vuoto potete tranquillamente saltare questo passaggio.
Rimuovere o sostituire tutti i record esistenti dello stesso tipo di quelli appena creati.
Applicando questi consigli eviteremo il proliferare di phishing, spam ecc ecc e soprattutto che usino un nostro dominio per inviare quel tipo di email!
* Maggiori informazioni:
SPF: https://it.wikipedia.org/wiki/Sender_Policy_Framework
DMARC: https://it.wikipedia.org/wiki/DMARC
DKIM: https://it.wikipedia.org/wiki/DomainKeys_Identified_Mail
Ispirato da :
https://www.gov.uk/guidance/protect-domains-that-dont-send-email
