Plesk supporta varie soluzioni anti-spam per la convalida dell’identità dei messaggi di posta:

  • DKIM (DomainKeys Identified Mail) è un metodo utilizzato per associare l’identità di un nome di dominio a un messaggio in uscita e per convalidare l’identità di un nome di dominio associata a un messaggio in arrivo tramite l’autenticazione crittografica.
  • SPF (Sender Policy Framework) è un metodo utilizzato per prevenire la contraffazione dell’indirizzo del mittente, ovvero l’uso di falsi indirizzi del mittente. Consente al server di posta di verificare che le e-mail in ingresso da un dominio provengano da un host autorizzato dall’amministratore di tale dominio. Inoltre, Plesk utilizza SRS (Sender Rewriting Scheme), in modo che i messaggi inoltrati possano superare la verifica SPF.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) è una tecnologia che estende le capacità dei metodi SPF e DKIM. Il criterio DMARC definisce come il destinatario deve gestire i messaggi e-mail a seconda dei risultati di verifica di DKIM e SPF.

I requisiti del server di posta per queste soluzioni sono i seguenti:

Server di posta DKIM SPF* SRS DMARC
Postfix (Linux)
Qmail (Linux)
MailEnable Professional (Windows)
MailEnable Standard (Windows) Versione 9.16 o successive
SmarterMail (Windows)
IceWarp (Windows)

In questa tabella, ‘+’ indica che la soluzione è supportata da tutte le versioni compatibili con Plesk Obsidian. ‘-‘ indica che la soluzione non è supportata.

Nota: *In the table above, SPF support means SPF for incoming mail. Linux mail servers are marked with ‘+’ because Plesk for Linux supports SPF for incoming and outgoing mail. Windows mail servers are marked with ‘-’ because Plesk for Windows supports SPF for outgoing mail only.

DKIM

Enabling DKIM for a domain attaches a special header to every email sent from the domain. This header contains a cryptographic private key. The recipient mail servers use a public key to verify that an email was indeed sent from the domain and no one tampered with the email content in transit. Emails that do not have the header will be detected as not authentic.

Per fornire il supporto DKIM, viene utilizzata la funzionalità di una libreria esterna (Linux) o del server di posta in dotazione con Plesk (Windows).

Enabling or Disabling DKIM on the Server

DKIM è abilitato in Plesk per impostazione predefinita. Per disattivare DKIM o per mantenerlo solo per la posta in uscita o in arrivo, vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta»), scorri fino alla sezione «Protezione da spam DKIM» e deseleziona una o entrambe le seguenti caselle di controllo:

  • Consenti di firmare la posta in uscita. Questa opzione permette ai clienti di attivare la firma DKIM per le posta in uscita, a livello del singolo dominio. Non abilita automaticamente la firma di tutti i messaggi e-mail in uscita. Per utilizzare DKIM, è necessario attivare tale funzionalità nei singoli domini.
  • Verificare la posta in arrivo (Plesk per Linux). Questa opzione attiva la verifica DKIM su tutte le posta in ingresso. Vengono verificati tutti i messaggi. Se la verifica non riesce, i messaggi vengono contrassegnati con un’intestazione speciale.

Nota: non è possibile disattivare la verifica DKIM per la posta in arrivo se è abilitato DMARC.

Enabling DKIM for a Domain

Se la firma DKIM è abilitata sul server (vedere la sezione Attivazione o disattivazione di DKIM sul server, sopra riportata), i clienti possono firmare la posta in uscita per i loro domini.

To enable DKIM signing of outgoing mail for a domain:

  1. Go to Websites & Domains > your domain > the «Mail» tab > Mail Settings.

  2. Select the «Use DKIM spam protection system to sign outgoing email messages» checkbox and then click Apply.

    If you use the Plesk DNS server, you have enabled DKIM for the domain. Plesk adds the following two records to the DNS zone of the domain (example.com stands for your domain name):

    • default._domainkey.example.com contains the public part of the generated key.
    • _ domainkey.example.com contains the DKIM policy. You can edit this policy.

    If you use an external DNS server, you have one more step left. Plesk cannot add the DNS records to the external DNS server. Add them yourself using a hint from Plesk.

  3. Click «How to configure external DNS» to open the hint. Copy two DNS records you see there and add them to the DNS server.

Nota: If you have domain aliases you use to send mail, add the DKIM DNS records for them as well. Use the same records as for the main domain but with the domain alias name.

image DKIM external DNS

SPF e SRS

SPF (Sender Policy Framework) è un metodo utilizzato per prevenire la contraffazione dell’indirizzo del mittente, ovvero l’uso di falsi indirizzi del mittente. SPF consente all’amministratore di un dominio di impostare un criterio che autorizzi host specifici a inviare mail dal dominio. Un server di posta ricevente verifica che la posta in arrivo da un dominio provenga da un host autorizzato dall’amministratore di tale dominio. SPF si basa sulle regole specificate dall’amministratore nella zona DNS del mittente.

In Plesk, è possibile impostare un criterio SPF per la posta in uscita specificando regole in un record DNS. In Plesk per Linux, SPF controlla anche la posta in attivo, per impostazione predefinita.

When SPF is set up, the mail server checks incoming mail using the following algorithm steps:

  1. Read local rules.

    Local rules are the rules used by the spam filter. An example local rule can be the following: a:test.plesk.com.

  2. Search for the sender’s DNS SPF record (if any).

    An example SPF record can be the following:example.com. TXT v=spf1 +a +mx -all

  3. Concatenate the local rules and the SPF record into the resulting policy.

    In our example, the resulting policy will be example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all.

    Nota: If the mail server detects no SPF record, the resulting policy will comprise the local rules only.

  4. Check mail against the policy resulting from the previous step.

  5. Read guess rules.

    Guess rules are the global rules that override the SPF record. An example guess rule can be the following: v=spf1 +a/24 +mx/24 +ptr ?all.

  6. Check mail against the guess rules only.

  7. Compare the results of the two checks: the one made against the resulting policy (step 4) and the one made against the guess rules only (the previous step). Apply the check whose result is more permissive.

See more information on SPF check statuses.

Per impostare una regola SPF per la posta in uscita:

Accedi a Strumenti e impostazioni > Modello DNS e modifica il record DNS TXT associato a SPF. Questo record DNS è sempre presente nel modello DNS per l’intero server. Ecco un esempio di record SPF creato da Plesk:

example.com.    TXT    v=spf1 +a +mx +a:test.plesk.com -all

Le parti di questo record presentano i seguenti significati:

Parte Descrizione
v=spf1 Il dominio utilizza la versione 1 di SPF.
+a Tutti gli host dei record «A» sono autorizzati all’invio della posta.
+mx Tutti gli host dai record «MX» sono autorizzati all’invio della posta.
+a:test.plesk.com Il dominio test.plesk.com è autorizzato all’invio della posta.
-all Tutti gli altri domini non sono autorizzati all’invio della posta.

Leggi maggiori informazioni sulla sintassi dei record DNS SPF. La notazione del criterio è disponibile in RFC7208.

(Plesk per Linux) Per configurare SPF per il controllo della posta in arrivo:

  1. Vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta») e scorri fino alla sezione «Protezione da spam SPF».

  2. Seleziona un’opzione dal menu a discesa della modalità di controllo SPF per specificare come gestire un’e-mail quando SPF applica regole locali e ipotetiche:

    1. Crea solo le intestazioni SPF ricevute, non bloccare mai - per accettare tutti i messaggi in arrivo, indipendentemente dai risultati di controllo SPF.
    2. Usa notifiche di errore temporanee quando hai problemi di ricerca DNS - per accettare tutti i messaggi in arrivo, indipendentemente dai risultati di controllo SPF, anche se il controllo SPF non riesce a causa di problemi di ricerca DNS.
    3. Rifiuta la posta se SPF risolve come «non è riuscito» (negare) - per rifiutare i messaggi da mittenti non autorizzati all’uso del dominio in questione.
    4. Rifiuta la posta se SPF risolve come «softfail» - per rifiutare i messaggi da mittenti che il sistema SPF non può identificare come autorizzati o che non sono autorizzati perché il dominio non include record SPF pubblicati.
    5. Rifiuta la posta se SPF risolve a «neutrale» - per rifiutare i messaggi da mittenti che il sistema SPF non può identificare come autorizzati o che non sono autorizzati perché il dominio non include record SPF pubblicati.
    6. Rifiuta la posta se SPF non risolve a «pass» - per rifiutare i messaggi che non superano il controllo SPF per qualsiasi motivo (ad esempio, quando il dominio del mittente non implementa SPF e il controllo SPF restituisce lo stato «sconosciuto»).
  3. Per specificare regole locali, digitare le norme necessarie nella casella Regole SPF locali.
    Ad esempio: include:spf.trusted-forwarder.org.

    Per maggiori informazioni sulle regole SPF, consultare.

  4. Inoltre è possibile specificare le regole ipotetiche nella casella Regole ipotetiche per SPF.

    Ad esempio: v=spf1 +a/24 +mx/24 +ptr ?all

  5. Per specificare una notifica di errore personalizzata, da restituire al mittente SMTP quando un messaggio viene rifiutato, digita il testo desiderato nella casella Testo di spiegazione di SPF.

    Se non viene specificato nessun valore, il testo predefinito sarà usato come notifica.

  6. Per completare la configurazione, fai clic su OK.

(Plesk per Linux) Per disattivare SPF per il controllo della posta in arrivo:

  1. Vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta»).
  2. Nella sezione «DMARC», deseleziona la casella di controllo «Abilita DMARC per la verifica della posta in arrivo», se è selezionata.
  3. Nella sezione «Protezione da spam SPF», deseleziona la casella di controllo «Abilita protezione da spam SPF per la verifica della posta in arrivo»», quindi fai clic su OK.

Utilizzare SRS

Oltre a SPF, alcuni server di posta in Plesk supportano SRS (Sender Rewriting Scheme), un meccanismo che consente di riscrivere gli indirizzi dei mittenti quando si inoltra un’e-mail in modo da mantenerla conforme a SPF. SRS contribuisce ad assicurare la consegna dei messaggi, se si utilizza SPF.

SRS si attiva automaticamente quando i messaggi vengono inoltrati da caselle di posta ospitate in Plesk.

Per fornire la funzionalità SRS, Plesk utilizza le capacità di una libreria esterna (Linux) o del software per server di posta (Windows).

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) è una tecnologia che estende le capacità dei criteri dei mittenti SPF e DKIM. Il criterio DMARC definisce come il destinatario deve gestire i messaggi e-mail a seconda dei risultati di verifica di DKIM e SPF. Questa tecnologia si basa sulle regole specificate nella zona DNS del mittente.

In Plesk, è possibile impostare un criterio DMARC per la posta in uscita specificando regole in un record DNS. In Plesk per Linux e Plesk per Windows dotato di SmarterMail, per impostazione predefinita DMARC controlla anche la posta in arrivo.

Per impostare un criterio DMARC personalizzato per la posta in uscita:

Vai a Strumenti e impostazioni > Modello DNS e modifica i record DNS associati al criterio DMARC. Questi record DNS sono sempre presenti nel modello DNS per l’intero server. (Per contro, i record DNS associati a DKIM vengono aggiunti alle zone DNS di singoli domini all’attivazione di DKIM nel dominio.)

Ad esempio, il criterio DMARC predefinito di Plesk è specificato nel seguente record:

_dmarc.<domain>.    TXT    v=DMARC1; p=none

Questo criterio consiglia che il server di posta ricevente non elimini i messaggi anche se non hanno superato il controllo. È possibile specificare un criterio più rigoroso. Tuttavia, il server ricevente è libero di applicare il proprio criterio alla posta in arrivo.

I clienti di hosting possono modificare i criteri per domini singoli.

Per informazioni su DMARC, incluse le notifiche dei criteri, consultare https://datatracker.ietf.org/doc/rfc7489/.

Per disattivare DMARC per il controllo della posta in arrivo:

  1. Vai a Strumenti e impostazioni > Impostazioni del server di posta (in «Posta»).
  2. Nella sezione DMARC, deseleziona la casella di controllo «Abilita DMARC per la verifica della posta in arrivo», quindi fai clic su OK.

image 78142