Invio email da form ed autenticazione spf e dkim

[luigi1989]

Salve a tutti.

Premetto che non sono un tecnico e quindi mi scuso in anticipo per qualche inesattezza che certamente dirò =P

Ho un sito che utilizza Joomla 3.1.5 e su cui è implementato un form di richiesta preventivo (funzionante) con ChronoForms5.

In generale, per inviare email con l'unico indirizzo del dominio (info@miodominio) viene usata la piattaforma Google APPS per le email "ordinarie" e la piattaforma MailUp per le newsletter. In riferimento ad entrambe, nel dominio sono stati correttamente implementati i record SPF e le autenticazioni DKIM; non è invece presente un record DMARC.

Ora, per quanto riguarda le email che partono in automatico dal form, è necessario implementare un record SPF e un'autenticazione DKIM?
Se sì, come bisogna procedere? (nel senso, effettivamente i riferimenti da scrivere nei record quali sono, o meglio da dove li ricavo?).

Allo stato attuale, quando un utente compila il form, si verificano i seguenti eventi automatici:
1) l'utente riceve un'email da info@miodominio.it (Tramite PHPMailer 5.2.7 (https://github.com/PHPMailer/PHPMailer/))
SPF: SOFTFAIL (google.com: domain of transitioning info@miodominio.it does not designate xxx.xxx.xxx.xx as permitted sender)
DKIM: 'PASS' con il dominio miodominio.it

2) l'admin del sito del sito riceve (nella casella info@miodominio.it) un'email con la richiesta da: info@miodominio.it (Tramite PHPMailer 5.2.7 (https://github.com/PHPMailer/PHPMailer/)); rispondi a: utente@email.it
spf=softfail (google.com: domain of transitioning info@miodominio.it does not designate yy.yyy.yyy.y as permitted sender)
dkim=pass

Grazie a tutti per l'attenzione.

[vales]

Chronoform5 ha tutti gli strumenti per inviare le email senza necessità di altri supporti.

Nel form va configurata in modo opportuno l'action email che trovi nel form nella finestra Submit. E' tutto molto semplice i campi che trovi nella action e le istruzioni pur essendo in inglese sono abbastanza esplicativi.

[tomtomeight]

Il record spf si implementa a livello di gestione dns fattibile da pannello hosting. Joomla non c'entra nulla.

[Alex21]

Ciao,
Joomla non c'entra nulla, come dice Tomtomeight, però è un argomento di interesse generale e magari l'off topic passa lo stesso.


DMARC è appunto un record dns da aggiungere al file di zona, generalmente usando un apposito pannello dns. Suggerisce al destinatario della mail cosa fare se ritiene di ricevere una mail falsificata. Anche se DMARK non c'è importa poco, è più che altro una chicca, direi.


Il record DKIM ce l'hai impostato giusto.


Il record SPF sembra assente, invece: SPF: SOFTFAIL (google.com: domain of transitioning info@miodominio.it does not designate xxx.xxx.xxx.xx as permitted sender)

Questo è un record molto importante perché indica a chi riceve la posta quali sono i server abilitati a inviarla legittimamente. E' molto più difficile da falsificare del DKIM. A questo proposito c'è da notare che ultimamente Google mette anche una firma ARC alle sue mail; dev'essere abbastanza sperimentale perché l'adopera solo lui che io sappia.
Un esempio di record SPF per un sito che invia posta da più server distinti:

Codice: [Seleziona]

Scrivere il seguente testo in un campo dns di tipo TXT
v=spf1 include:_spf.th.seeweb.it a mx include:_spf.google.com ~all

Ovvero il dominio invia mail da Google (Google Apps), da  ******  e  in proprio.
Ciao!


PS. Potrebbe esistere la possibiltà di impostare un record tipo SPF invece che TXT. Lascia perdere, il TXT va benissimo, lo leggono tutti contrariamente all' altro.

[tomtomeight]

Ciao Alex
Sì intendevo per 'joomla non c'entra' per l'implementazione e non che non si poteva trattare l'argomento. Grazie per la tua interessante spiegazione che sicuramente sarà di aiuto alle tante richieste circa le problematiche di invio email.

[luigi1989]

Grazie a tutti per le risposte e scusate se il tema non riguarda direttamente Joomla.


In realtà l'implementazione  sul sito del form con chronoform era stata a suo tempo eseguita da autodidatta grazie alle nozioni lette su questo preziosissimo forum e nell'entusiasmo di proseguire mi sono fatto un po' trascinare


@Alex21
tutto chiarissimo, grazie.
Mi sfugge solo un dettaglio, in termini estremamente pratici.
Al momento il record spf è il seguente:
v=spf1 include:_spf.google.com include:musvc.com ~all
che credo "autorizzi" sia google che mailup, ossia le due piattaforme utilizzate.
Per "autorizzare" anche le email inviate in automatico dalla compilazione del form, i valori da inserire nel record da dove li ricavo?

[danielecr]

Riprendo questa discussione in quanto ho implementato anche io il record DMARC per il mio dominio:

DMARC è appunto un record dns da aggiungere al file di zona, generalmente usando un apposito pannello dns. Suggerisce al destinatario della mail cosa fare se ritiene di ricevere una mail falsificata. Anche se DMARK non c'è importa poco, è più che altro una chicca, direi.

Più che altro secondo me serve a proteggere il mittente se qualcun altro invia mail falsificate con il dominio del mittente originale: a seconda del record DMARC, se spf o DKIM fallisce, si può scegliere se respingerla (reject), metterla in quarantena (quarantine) o non fare nulla (none): inizialmente per non fare casini è meglio impostare a "none".
A seconda di come è impostato il record DMARC ci si può fare mandare una mail, il cui indirizzo è specificato nel record DMARC, riepilogativo, con cadenza specificata sempre nel record, in modo da valutare se e chi (ip) sta inviando mail falsificate.

Mi sfugge solo un dettaglio, in termini estremamente pratici.
Al momento il record spf è il seguente:
v=spf1 include:_spf.google.com include:musvc.com ~all
che credo "autorizzi" sia google che mailup, ossia le due piattaforme utilizzate.
Per "autorizzare" anche le email inviate in automatico dalla compilazione del form, i valori da inserire nel record da dove li ricavo?

Il tuo record spf, così com'è scritto, autorizza i domini _spf.google.com e musvc.com, e in caso di "failed" del record la mail sarà accettata lo stesso, ma contrassegnata (softfail)-->questo lo dice "~all".
Forse le mail inviate dalla compilazione del form partono dal tuo server, in questo caso ti basterà aggiungere al record l'indirizzo ip del server stesso e il record diventerà qualcosa del genere:

v=spf1 mx a ip4:indirizzoipdelserver include:_spf.google.com include:musvc.com ~all

Dove indirizzoipdelserver è l'indirizzo ipv4 del server nel formato xx:xx:xx:xx

O forse basta solo:

v=spf1 mx a include:_spf.google.com include:musvc.com ~all

dove il "a" autorizza l'ip corrispondente al dominio a mandare mail, e "mx" autorizza i server designati mx per il tuo dominio.

[luigi1989]

Gentilissimo!!


Grazie per la riposta dettagliatissima e dritta al cuore del problema! Scusami se ti rispondo solo ora ma inavvertitamente mi ero perso la notifica della tua risposta...


Cmq verifico, provo ad implementare e ti farò sapere.


Grazie ancora!

[luigi1989]

Allora, dopo un confronto con l'assistenza del mio servizio host, per "autorizzare" anche il server del sito (oltre a google e mailup) il record va modificato in questo modo:
v=spf1 ip4:XX.XXX.XXX.XX include:_spf.google.com include:musvc.com ~all

dove ovviamente le x vanno sostituite con l'ip del server/sito.

Il problema è che dopo l'implementazione del record ho avuto la conferma (in quanto ancora contrassegnate come soft fail) che le email che partono in automatico dopo la compilazione del form presente sul sito non sono inviate dal server del sito, bensì sono gestite tramite PHPMailer 5.2.7 (per lo meno così si evince dalla sorgente delle email), che ipotizzo sia direttamente integrato in chronoforms.

Ora la cosa, sulla base delle mie competenze/conoscenze si complica notevolmente, in quanto ignoro del tutto il meccanismo di funzionamento di PHPMailer 5.2.7.

Proverò quindi a cercare su internet se è noto il record spf da implementare in riferimento a PHPMailer 5.2.7, ma se nel frattempo qualche utente abbia idee/conoscenze al riguardo ogni suggerimento sarebbe più che ben accetto

[danielecr]

Phpmailer gira su un server, quindi l'ip di origine sarà quello del server.
Direi che o non hai implementato correttamente il record, o non hai atteso abbastanza che il record si propagasse.
Qual è l'ip che è contrassegnato come "not permitted sender"?

[luigi1989]

Phpmailer gira su un server, quindi l'ip di origine sarà quello del server.
Direi che o non hai implementato correttamente il record, o non hai atteso abbastanza che il record si propagasse.
Qual è l'ip che è contrassegnato come "not permitted sender"?

come tempi per la propagazione credo che ci siamo, perchè ho fatto alcuni test da vari siti e tutti già lo riconoscevano.

L'ip del sito su cui sono implementati i form, per intenderci quello che ho inserito nel record spf, è 77.104.189.60

Invece l'ip contrassegnato come "not permitted sender" in riferimento alle email che partono in automatico dopo la compilazione del form non è sempre lo stesso, ma varia... Ad esempio oggi è 107.6.149.10, ieri era 108.163.220.52, il 28 marzo era 96.127.176.251

[danielecr]

Ciao Luigi,
Se faccio un whois su quegli ip vedo che tutti appartengono alla rete singlehop, con cui siteground ha una partnership.
Inoltre, se faccio un reverse ip lookup sugli ip che non hanno il permesso, vedo che appartengono a una sorta di filtro antispam, il dominio infatti di quegli ip è:
se12.mailspamprotection.com
delivery.mailspamprotection.com
delivery.mailspamprotection.com

Farei un tentativo modificando il record spf in questo modo:

Codice: [Seleziona]

v=spf1 mx a ip4:77.104.189.60 include:_spf.google.com include:musvc.com include:_spf.mailspamprotection.com ~all

Attendi la propagazione e facci sapere! 

[Alex21]

come tempi per la propagazione credo che ci siamo, perchè ho fatto alcuni test da vari siti e tutti già lo riconoscevano.

L'ip del sito su cui sono implementati i form, per intenderci quello che ho inserito nel record spf, è 77.104.189.60

Invece l'ip contrassegnato come "not permitted sender" in riferimento alle email che partono in automatico dopo la compilazione del form non è sempre lo stesso, ma varia... Ad esempio oggi è 107.6.149.10, ieri era 108.163.220.52, il 28 marzo era 96.127.176.251

Ciao Luigi,
Mi sembra che dipenda da sitegroud.com che fa fare un giro alle mail in uscita per mailspamprotection.com  di proprietà dello stesso siteground.com.
Guardando gli ip ottengo gli stessi risultati di danielecr:

IP: 77.104.189.60
Host: ip-77-104-189-60.siteground.com


IP: 107.6.149.10
Host: se12.mailspamprotection.com         (Organization   siteground.com Inc)


IP: 108.163.220.52
Host: delivery.mailspamprotection.com      (decine di record A e ip corrispondenti)


Oltre a _spf.mailspamprotection.com  credo sia oppurtuno includere anche

Codice: [Seleziona]

include:delivery.mailspamprotection.com

[luigi1989]

Grazie ad entrambi.


Seguendo i vostri suggerimenti ho appena modificato il record inserendo quindi il seguente:
v=spf1 mx a ip4:77.104.189.60 include:_spf.google.com include:musvc.com include:_spf.mailspamprotection.com include:delivery.mailspamprotection.com ~all


Attendo propagazione, verifico e vi faccio sapere.


Grazie mille!!!!!!!!

[luigi1989]

Credo però che ci sia qualche problema.


Dallo strumento di verifica del record spf di google ottengo i seguenti risultati:

[Alex21]

Eh già, il test spf è diventato troppo laborioso e viene interrotto. Qualcosa o qualcuno degli include bisognerà toglierlo. Inizia togliendo ip4:77.104.189.60  perché dovrebbe essere già compreso negli ip di  mx  oppure a. Per il resto dovrai scegliere cosa tenere e scartare il resto. Comunque c'è una mailing list dedicata a spf, piuttosto attiva, in inglese però.  Ci si può iscrivere da qui:     http://www.openspf.net
Se togli tutti i riferimenti al tuo server puoi inviare lo stesso istruendo joomla a fare il relay con MailUp anche per le comuni mail transazionali, non newsletter.
Ciao!