Plesk supporta varie soluzioni anti-spam per la convalida dell’identità dei messaggi di posta:

  • DKIM (DomainKeys Identified Mail) è un metodo utilizzato per associare l’identità di un nome di dominio a un messaggio in uscita e per convalidare l’identità di un nome di dominio associata a un messaggio in arrivo tramite l’autenticazione crittografica.
  • SPF (Sender Policy Framework) è un metodo utilizzato per prevenire la contraffazione dell’indirizzo del mittente, ovvero l’uso di falsi indirizzi del mittente. Consente al server di posta di verificare che le e-mail in ingresso da un dominio provengano da un host autorizzato dall’amministratore di tale dominio. Inoltre, Plesk utilizza SRS (Sender Rewriting Scheme), in modo che i messaggi inoltrati possano superare la verifica SPF.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) è una tecnologia che estende le capacità dei metodi SPF e DKIM. Il criterio DMARC definisce come il destinatario deve gestire i messaggi e-mail a seconda dei risultati di verifica di DKIM e SPF.

I requisiti del server di posta per queste soluzioni sono i seguenti:

Server di posta DKIM SPF SRS DMARC
Postfix (Linux)
QMail
MailEnable Professional
MailEnable Standard Versione 9.16 o successive
SmarterMail
IceWarp

In questa tabella, ‘+’ indica che la soluzione è supportata da tutte le versioni compatibili con Plesk Obsidian. ‘-‘ indica che la soluzione non è supportata.

DKIM

DKIM (DomainKeys Identified Mail) fornisce un metodo utile per convalidare l’identità di un nome di dominio associata a un messaggio. DKIM consente a un’organizzazione di assumersi la responsabilità per un messaggio inviato allegando a quest’ultimo una firma digitale generata automaticamente. Al fine di convalidare l’autorizzazione per la presenza della firma, questo metodo utilizza tecniche di crittografia.

Per fornire il supporto DKIM, viene utilizzata la funzionalità di una libreria esterna (Linux) o del server di posta in dotazione con Plesk (Windows).

Avvertimento: se utilizzi un servizio DNS esterno, la firma di DKIM funziona per i messaggi in uscita, ma il server di posta ricevente non sarà in grado di convalidare tali messaggi. Come soluzione, puoi disattivare il server DNS di Plesk e aggiungere al servizio DNS esterno un record DNS corrispondente, correlato a DKIM. In questo caso, il server di ricezione sarà in grado di convalidare i messaggi. Ulteriori informazioni su come abilitare la firma e-mail DKIM per i domini che utilizzano un server DNS esterno.

Attivazione o disattivazione di DKIM sul server

DKIM è abilitato in Plesk per impostazione predefinita. Per disattivare DKIM o per mantenerlo solo per la posta in uscita o in arrivo, vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta»), scorri fino alla sezione «Protezione da spam DKIM» e deseleziona una o entrambe le seguenti caselle di controllo:

  • Consenti di firmare la posta in uscita. Questa opzione permette ai clienti di attivare la firma DKIM per le posta in uscita, a livello del singolo dominio. Non abilita automaticamente la firma di tutti i messaggi e-mail in uscita. Per utilizzare DKIM, è necessario attivare tale funzionalità nei singoli domini.
  • Verificare la posta in arrivo (Plesk per Linux). Questa opzione attiva la verifica DKIM su tutte le posta in ingresso. Vengono verificati tutti i messaggi. Se la verifica non riesce, i messaggi vengono contrassegnati con un’intestazione speciale.

Nota: non è possibile disattivare la verifica DKIM per la posta in arrivo se è abilitato DMARC.

Abilitare la firma DKIM delle e-mail per un dominio

Se la firma DKIM è abilitata sul server (vedere la sezione Attivazione o disattivazione di DKIM sul server, sopra riportata), i clienti possono firmare la posta in uscita per i loro domini.

Per abilitare la firma DKIM della posta in uscita per un dominio singolo:

  1. Apri l’abbonamento corrispondente per gestirlo.
  2. Vai alla scheda Posta > Impostazioni posta.
  3. Seleziona il dominio e fai clic su Abilita/Disabilita servizi.
  4. Seleziona Abilita per il sistema di protezione dallo spam DKIM per firmare i messaggi e-mail in uscita e fai clic su OK.

Nota: È infatti necessario che nel dominio sia attivo il servizio DNS.

Dopo l’attivazione di DKIM per un dominio, Plesk aggiunge i seguenti due record alla zona DNS del dominio:

  • default._domainkey.<esempio.com> - contiene la parte pubblica della chiave generata.
  • _ domainkey.<esempio.com> - contiene il criterio DKIM.

SPF e SRS

SPF (Sender Policy Framework) è un metodo utilizzato per prevenire la contraffazione dell’indirizzo del mittente, ovvero l’uso di falsi indirizzi del mittente. SPF consente all’amministratore di un dominio di impostare un criterio che autorizzi host specifici a inviare mail dal dominio. Un server di posta ricevente verifica che la posta in arrivo da un dominio provenga da un host autorizzato dall’amministratore di tale dominio. SPF si basa sulle regole specificate dall’amministratore nella zona DNS del mittente.

In Plesk, è possibile impostare un criterio SPF per la posta in uscita specificando regole in un record DNS. In Plesk per Linux, SPF controlla anche la posta in attivo, per impostazione predefinita.

Quando è abilitato SPF per il controllo della posta in arrivo, il server di posta esegue la ricerca del DNS nell’host del mittente, al fine di individuare un record DNS associato a SPF. È possibile definire i seguenti set di regole:

  • Regole locali - le regole utilizzate dal filtro antispam prima che il server di posta esegua la verifica SPF.

    Nota: queste regole sono concatenate a quelle specificate nel record DNS associato a SPF o dal mittente. Ad esempio, se il mittente ha impostato il seguente criterio SPF: esempio.com. TXT v=spf1 +a +mx -all e la regola locale è a:test.plesk.com, quindi il criterio risultante sarà esempio.com. TXT v=spf1 +a +mx +a:test.plesk.com -all.

  • Regole ipotetiche - le regole applicate ai domini che non pubblicano record SPF.

Le informazioni sugli stati della verifica SPF sono disponibili qui.

Per impostare una regola SPF per la posta in uscita:

Accedi a Strumenti e impostazioni > Modello DNS e modifica il record DNS TXT associato a SPF. Questo record DNS è sempre presente nel modello DNS per l’intero server. Ecco un esempio di record SPF creato da Plesk:

example.com.    TXT    v=spf1 +a +mx +a:test.plesk.com -all

Le parti di questo record presentano i seguenti significati:

Parte Descrizione
v=spf1 Il dominio utilizza la versione 1 di SPF.
+a Tutti gli host dei record «A» sono autorizzati all’invio della posta.
+mx Tutti gli host dai record «MX» sono autorizzati all’invio della posta.
+a:test.plesk.com Il dominio test.plesk.com è autorizzato all’invio della posta.
-all Tutti gli altri domini non sono autorizzati all’invio della posta.

Leggi maggiori informazioni sulla sintassi dei record DNS SPF. La notazione del criterio è disponibile in RFC7208.

(Plesk per Linux) Per configurare SPF per il controllo della posta in arrivo:

  1. Vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta») e scorri fino alla sezione «Protezione da spam SPF».

  2. Seleziona un’opzione dal menu a discesa della modalità di controllo SPF per specificare come gestire un’e-mail quando SPF applica regole locali e ipotetiche:

    1. Crea solo le intestazioni SPF ricevute, non bloccare mai - per accettare tutti i messaggi in arrivo, indipendentemente dai risultati di controllo SPF.
    2. Usa notifiche di errore temporanee quando hai problemi di ricerca DNS - per accettare tutti i messaggi in arrivo, indipendentemente dai risultati di controllo SPF, anche se il controllo SPF non riesce a causa di problemi di ricerca DNS.
    3. Rifiuta la posta se SPF risolve come «non è riuscito» (negare) - per rifiutare i messaggi da mittenti non autorizzati all’uso del dominio in questione.
    4. Rifiuta la posta se SPF risolve come «softfail» - per rifiutare i messaggi da mittenti che il sistema SPF non può identificare come autorizzati o che non sono autorizzati perché il dominio non include record SPF pubblicati.
    5. Rifiuta la posta se SPF risolve a «neutrale» - per rifiutare i messaggi da mittenti che il sistema SPF non può identificare come autorizzati o che non sono autorizzati perché il dominio non include record SPF pubblicati.
    6. Rifiuta la posta se SPF non risolve a «pass» - per rifiutare i messaggi che non superano il controllo SPF per qualsiasi motivo (ad esempio, quando il dominio del mittente non implementa SPF e il controllo SPF restituisce lo stato «sconosciuto»).
  3. Per specificare regole locali, digitare le norme necessarie nella casella Regole SPF locali.
    Ad esempio: include:spf.trusted-forwarder.org.

    Per maggiori informazioni sulle regole SPF, consultare.

  4. Inoltre è possibile specificare le regole ipotetiche nella casella Regole ipotetiche per SPF.

    Ad esempio: v=spf1 +a/24 +mx/24 +ptr ?all

  5. Per specificare una notifica di errore personalizzata, da restituire al mittente SMTP quando un messaggio viene rifiutato, digita il testo desiderato nella casella Testo di spiegazione di SPF.

    Se non viene specificato nessun valore, il testo predefinito sarà usato come notifica.

  6. Per completare la configurazione, fai clic su OK.

(Plesk per Linux) Per disattivare SPF per il controllo della posta in arrivo:

  1. Vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta»).
  2. Nella sezione «DMARC», deseleziona la casella di controllo «Abilita DMARC per la verifica della posta in arrivo», se è selezionata.
  3. Nella sezione «Protezione da spam SPF», deseleziona la casella di controllo «Abilita protezione da spam SPF per la verifica della posta in arrivo»», quindi fai clic su OK.

Utilizzare SRS

Oltre a SPF, alcuni server di posta in Plesk supportano SRS (Sender Rewriting Scheme), un meccanismo che consente di riscrivere gli indirizzi dei mittenti quando si inoltra un’e-mail in modo da mantenerla conforme a SPF. SRS contribuisce ad assicurare la consegna dei messaggi, se si utilizza SPF.

SRS si attiva automaticamente quando i messaggi vengono inoltrati da caselle di posta ospitate in Plesk.

Per fornire la funzionalità SRS, Plesk utilizza le capacità di una libreria esterna (Linux) o del software per server di posta (Windows).

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) è una tecnologia che estende le capacità dei criteri dei mittenti SPF e DKIM. Il criterio DMARC definisce come il destinatario deve gestire i messaggi e-mail a seconda dei risultati di verifica di DKIM e SPF. Questa tecnologia si basa sulle regole specificate nella zona DNS del mittente.

In Plesk, è possibile impostare un criterio DMARC per la posta in uscita specificando regole in un record DNS. In Plesk per Linux e Plesk per Windows dotato di SmarterMail, per impostazione predefinita DMARC controlla anche la posta in arrivo.

Per impostare un criterio DMARC personalizzato per la posta in uscita:

Vai a Strumenti e impostazioni > Modello DNS e modifica i record DNS associati al criterio DMARC. Questi record DNS sono sempre presenti nel modello DNS per l’intero server. (Per contro, i record DNS associati a DKIM vengono aggiunti alle zone DNS di singoli domini all’attivazione di DKIM nel dominio.)

Ad esempio, il criterio DMARC predefinito di Plesk è specificato nel seguente record:

_dmarc.<domain>.    TXT    v=DMARC1; p=none

Questo criterio consiglia che il server di posta ricevente non elimini i messaggi anche se non hanno superato il controllo. È possibile specificare un criterio più rigoroso. Tuttavia, il server ricevente è libero di applicare il proprio criterio alla posta in arrivo.

I clienti di hosting possono modificare i criteri per domini singoli.

Per informazioni su DMARC, incluse le notifiche dei criteri, consultare https://datatracker.ietf.org/doc/rfc7489/.

Per disattivare DMARC per il controllo della posta in arrivo:

  1. Vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta»).
  2. Nella sezione DMARC, deseleziona la casella di controllo «Abilita DMARC per la verifica della posta in arrivo», quindi fai clic su OK.

image 78142