Configurare SPF: è la risposta che forse hai letto più di frequente negli ultimi giorni, come soluzione alle stranezze delle icone utente in Gmail. Di recente su diversi domini di Google Workspace sono comparsi segnali anomali, come l’icona con punto interrogativo che sostituisce l’icona utente nel mittente delle email. Google ha rinforzato il controllo su alcuni parametri che irrobustiscono la sicurezza nelle comunicazioni via email per prevenire contraffazioni e problemi.
Configurare SPF, DKIM e DMARC con Google Workspace
Avrai sicuramente sentito parlare in queste occasioni di record SPF, DKIM e DMARC. Sono alcune zone su cui Google, come gli altri fornitori di servizi, chiede di intervenire per aumentare la sicurezza nella scambio di email. Servono a garantire la corretta identificazione dei mittenti, a prevenire spoofing e impostare misure di intervento verso i messaggi che non rispettano queste direttive.
Se nel tuo dominio di Workspace avevi già configurato correttamente almeno record SPF e DKIM, recentemente non dovresti aver visto nessun segnale anomalo. Se invece non lo avevi fatto in precedenza, sarebbe il caso di metterci mano con una certa urgenza. I punti interrogativi nelle icone degli utenti non rappresentano un problema di per sé (i messaggi continuano ad essere inviati e ricevuti). Sono però un segnale che ci invita ad intervenire. La corretta configurazione di quanto nominato sopra è una buona misura di protezione iniziale per le comunicazioni email nel loro complesso.
Google mette a disposizione una guida per configurare SPF, e i correlati DKIM e DMARC. Le operazioni lì descritte non sono banali, e le casistiche che si presentano potenzialmente molto varie. La guida è di conseguenza piuttosto articolata, e può scoraggiare chi non è esperto in quest’area. O anche solo far sorgere dei dubbi su quale tra le scelte a volte proposte si adatti alla propria situazione.
Perché questa guida
Qui di seguito trovi una guida semplificata adattata per lo scenario tipico di una scuola. Normalmente molte delle varianti indicati nella documentazione di Google non si incontrano nelle nostre scuole (e nemmeno nelle aziende più piccole o associazioni non profit). Le indicazioni sottostanti sono quindi sufficienti nella stragrande maggioranza dei casi. Se non dovessero esserlo, hai bisogno di un supporto di assistenza dedicato.
Queste guide prendono come esempio la situazione di Google Workspace for Education con provider di dominio Aruba. La scelta del provider è aleatoria, e serve solo come scusa per indicare procedura precisa e schermate dettagliate della configurazione dei record DNS. Essendo la parte più delicata della procedura, credo sia più utile essere precisi che esaustivi. Per altri provider dovrai adattare alcuni passaggi nella forma: nomi delle voci di menu, grafica e punti esatti su cui cliccare. Non cambia però la sostanza: i passaggi da effettuare e i contenuti dei record che trovi qui indicati restano gli stessi.
In questa guida trovi indicazioni specifiche per configurare SPF. È però consigliato procedere anche con la configurazione perlomeno di DKIM, seguendo questa guida specifica: Configurare DKIM con Google Workspace. Se vuoi, puoi completare il quadro impostando anche DMARC (operazione leggermente più complessa, e non indispensabile), seguendo l’ulteriore guida dedicata: Configurare DMARC con Google Workspace [guida in preparazione, a breve il link].
Se il dominio di Workspace è lo stesso utilizzato per il sito web della scuola, ciò non costituisce un problema per questa guida. Il sito web non utilizza i record di posta, ma un servizio parallelo che non influisce su quanto descritto in questa pagina. Se invece la scuola (o azienda) utilizza quel dominio per inviare comunicazioni di un altro servizio come Zendesk, Shopify… hai bisogno della guida completa di Google.
Configurare SPF: preparazione
Per configurare SPF, così come per DKIM e DMARC, devi avere accesso alla console di amministrazione di Workspace e alla gestione dei DNS del dominio. La gestione dei DNS viene fatta da un pannello di controllo del dominio diverso da quello, per intenderci, da cui gestisci il sito web. Se la tua scuola ha affidato la creazione/gestione del sito ad un ente esterno, probabilmente non puoi configurare i record DNS in autonomia. In questo caso dovrai chiedere all’assistenza che faccia per te i passaggi descritti qui sotto.
Il contenuto del record SPF per autenticare le email di Google Workspace è il seguente:
v=spf1 include:_spf.google.com ~all
Come detto sopra, questo andrà bene per la maggioranza delle situazioni, non invece per configurazioni particolari, per le quali dovrai fare qualche adattamento. Copia e incolla questo contenuto nel pannello di controllo dei DNS, come indicato sotto (per Aruba, o in pagina simile per gli altri provider).
Gestione dei DNS con Aruba
Se hai la gestione dei DNS con Aruba, devi prima di tutto accedere al Pannello di controllo di Aruba con le credenziali fornite dal provider. Dal loro sito web vai in Area clienti > Hosting e domini > Pannello di controllo, o direttamente su questo link: Pannello di controllo. Inserisci le credenziali e accedi.
La pagina che si apre sarà diversa a seconda della quantità e configurazione dei servizi che hai su Aruba. Cerca nel menu a sinistra la Gestione DNS e Name server:
Nella nuova pagina, scendi fino alla sezione Record TXT, e clicca in basso su Gestisci:
Ora compila i campi in alto:
- lascia vuoto il campo Host
- incolla nel campo Valore il contenuto del record SPF indicato sopra, nella sezione Configurare SPF: preparazione
- clicca su Aggiungi
Verifica ora che nella lista in basso sia presente la linea del record che hai appena aggiunto, quindi clicca su Prosegui:
Salvare le modifiche ai DNS?
La procedura per configurare SPF è quasi al termine, per completare non devi fare altro che salvare le modifiche ai record DNS. Tieni presente che per essere applicata occorrono diverse ore, normalmente circa 48, eccezionalmente anche di più. E questo vale per ogni successiva modifica ai DNS.
Per questo motivo, è consigliabile salvare ora solo se non devi fare altre modifiche ai DNS. Se invece devi impostare anche DKIM, passa direttamente alla sua configurazione senza salvare ora. Si tratta infatti, anche in quel caso, di mettere mano ai DNS: è molto più conveniente fare tutte le modifiche necessarie, e solo alla fine salvare la configurazione. In questo modo dovrai attendere una sola volta per la propagazione delle modifiche, e non ripetere l’attesa più lunga per ognuna di esse.
Puoi configurare DKIM seguendo la guida dedicata: Configurare DKIM su Google Workspace. Al termine dell’ultima operazione che farai, clicca su Salva configurazione. Se invece non devi procedere con ulteriori modifiche, puoi salvare subito. Quindi attendi circa 48 ore prima di vedere il risultato delle modifiche in azione (ed eventualmente fare verifiche o correzioni).
Devo impostare anche DMARC?
Puoi infine Configurare DMARC su Google Workspace [guida in preparazione, a breve il link], operazione consigliata anche se non indispensabile per ‘risolvere’ la questione dei segnali anomali in Gmail. In ogni caso, come indicato nella guida dedicata, non procedere immediatamente alla configurazione di DMARC: è necessario infatti attendere almeno 48 ore (personalmente consiglio 72), dopo la configurazione effettiva sia di SPF che di DKIM. Concludi prima queste due operazioni, salva e attendi senza fretta. Quindi potrai andare alla guida di DMARC e completare anche la terza modifica ai DNS.
Vuoi rimanere aggiornato sui contenuti di questo blog?
Iscriviti alla Newsletter, riceverai un’email alla pubblicazione di ogni nuovo contenuto. Puoi iscriverti con un click, inserendo la tua email nel banner in fondo ad ogni pagina o nella sezione dedicata.
Grazie 1000. Fantastico