Perchè non usare SPF

In questi giorni nel forum di Hostingtalk ho avuto una accesa discussione sul disastroso rapporto costo/benefici di SPF (Sender Policy Framework)

Dove sta l’equivoco? Molti sono convinti che per attivare SPF basti solo inserire un record nel DNS. In realtà questo serve solo a chi poi userà effettivamente SPF per confrontare l’indirizzo ip del mittente con quelli consentiti.

SPF è nato nel 2003 e non è mai decollato a causa dei troppi problemi di implementazione (che si traducono in falsi positivi), ad oggi l’unica entità rilevante che spinge SPF è Microsoft (con Hotmail)

I principali 4 punti deboli di SPF sono:

  1. Il forwarding *NON* funziona, viene bloccato.
  2. Ci sono hoster che per ragioni varie *NON* offrono smtp per invio.
  3. Iniziano ad esserci provider (in Italia Tele2 e H3G) che bloccano la porta 25 in uscita, consentendo l’invio delle email *SOLO* tramite proprio smtp.
  4. Gli utenti medi, non sono educati per usare un smtp diverso per ogni account

Detto questo, se sei un grosso ESP che ha seri problemi di spam (vedi hotmail), te ne freghi di tutto e lo usi (per la serie: il cane ha le pulci? Diamogli fuoco e risolviamo il problema). Se invece sei un sistemista di un piccolo/medio provider, isp, o simile, analizzi la situazione e capisci che SPF è assolutamente da scartare.

Online si trovano parecchie persone che, probabilmente per la approssimativa conoscenza tecnica di SPF, fanno una promozione quasi ideologica di SPF, presentandolo quasi come il Salvatore dello spam, e attribuendo la poca diffusione allo scarso impegno dei provider nel combattere lo spam. In realtà la poca diffusione di SPF è dovuta semplicemente al fatto che non funziona.

Microsoft fa bene ad usarlo? Mah… da un certo punto di vista forse sì (di sicuro non è una questione ideologica), hanno grossi problemi di spam, e tutto sommato l’enorme  quantità di falsi positivi che SPF genera può andare bene.