Appiattimento SPF

Imposta automaticamente il limite di 10 ricerche

Trasforma il tuo record SPF complesso in un unico include. Aggiornamento automatico ogni volta che i tuoi provider di posta elettronica modificano i propri indirizzi IP. Approccio “zero-touch”. Nessuna modifica al DNS. Nessuna manutenzione.

Controlla il tuo record SPF in formato semplificato prima di intervenire sul tuo DNS

Non sai come apparirà il tuo record appiattito? Aggiungi i tuoi mittenti e-mail, osserva il conteggio delle ricerche DNS aumentare in tempo reale e visualizza in anteprima l'esatto risultato appiattito, prima di apportare qualsiasi modifica al tuo DNS attivo.

Cos'è l'appiattimento SPF?

L'appiattimento SPF è il processo che consiste nel convertire un record SPF complesso (che contiene più meccanismi include:, a, mx o redirect=) in una versione semplificata che elenca direttamente gli indirizzi IP risolti. Anziché indicare ai server di posta riceventi di cercare quali IP utilizzano i singoli fornitori di servizi di posta elettronica, un record appiattito risolve in anticipo tutte queste informazioni e inserisce la risposta direttamente nel DNS.

Confronto tra i record SPF
PRIMA DELL'APPIATTIMENTO
DOPO L'APPiattimento
Configurazione SPF

13 ricerche DNS, oltre il limite

v=spf1 include:u538675.wl176.sendgrid.net include:_spf.google.com include:spf.protection.outlook.com include:zoho.com include:amazonses.com include:spf.sendinblue.com ~all
Configurazione SPF

1 ricerca DNS, sempre entro il limite

v=spf1 include:kfho42w5d9.powerspf.com ~all

Come funziona il limite di 10 ricerche DNS

Ogni volta che un server di posta in ricezione valuta il tuo record SPF, segue ogni meccanismo "include:", "a" o "mx" per individuare gli indirizzi IP autorizzati. Ai sensi della RFC 7208 (la specifica formale dello SPF), questa catena di risoluzione è limitata a 10 ricerche DNS. Se si supera tale limite, lo SPF restituisce un PermError (errore permanente), il che in genere fa sì che le tue e-mail legittime non superino l'autenticazione e finiscano nella cartella dello spam o vengano respinte del tutto.

Cosa succede quando si supera il limite (PermError)

Quando per risolvere completamente il tuo record sono necessarie più di 10 ricerche, i server di posta smettono di effettuare verifiche alla decima ricerca, quindi i mittenti elencati dopo quel punto semplicemente non vengono controllati. SPF restituisce un PermError e, a seconda della tua politica DMARC, le e-mail provenienti da quei mittenti non controllati potrebbero essere messe in quarantena o respinte. L'errore di solito non viene segnalato: non ricevi alcun messaggio di errore. Le tue e-mail smettono semplicemente di arrivare.

Servizio
Meccanismo SPF
Ricerche
Microsoft 365
include:spf.protection.outlook.com
1 (+3 annidati)
Spazio di lavoro Google
include:_spf.google.com
1 (+3 annidati)
Mailchimp / Mandrill
include:spf.mandrillapp.com
1 (+1 annidato)
Salesforce
include:_spf.salesforce.com
1 (+1 annidato)
SendGrid
include:sendgrid.net
1 (+1 annidato)
Zendesk
include:mail.zendesk.com
1
Totale
~11 — oltre il limite ×

Il problema fondamentale del “flattening” statico dell’SPF

Il processo di "flattening" risolve tutti quei meccanismi di inclusione negli indirizzi IP sottostanti e li inserisce direttamente nel tuo record. In teoria, ciò elimina completamente le ricerche annidate. In pratica, un record appiattito staticamente ha una durata prevedibile: nel momento in cui uno qualsiasi dei tuoi fornitori di servizi di posta elettronica modifica i propri intervalli IP, il tuo record appiattito non è più corretto.

Google, Microsoft, Mailchimp e SendGrid aggiornano tutti la propria infrastruttura di invio senza avvisare i proprietari dei domini che ne fanno uso.

Limiti di lunghezza dei record

I record TXT del DNS hanno limiti di dimensione pratici (255 byte per stringa). Un record completamente espanso con molti intervalli IP può superare tali limiti, causando errori di convalida.

Onere di manutenzione continua

Ogni volta che si aggiunge un nuovo servizio di posta elettronica, si esegue un nuovo “flattening”. Ogni volta che se ne rimuove uno, si esegue un nuovo “flattening”. Man mano che l’infrastruttura cresce, questa procedura diventa insostenibile.

Modifiche silenziose dell'IP

Lo standard SPF non prevede alcun meccanismo di notifica. Quando un fornitore sposta gli indirizzi IP, te ne accorgi solo quando la deliverability è già diminuita.

Come funziona il nostro sistema automatico di appiattimento SPF

Lo strumento di "flattening" SPF di PowerDMARC fa parte del servizio SPF in hosting PowerSPF e gestisce l'intero processo in modo automatico, mantenendo aggiornato il tuo record man mano che la tua infrastruttura di posta elettronica subisce modifiche.

1
Aggiungi il tuo dominio

Registrati e aggiungi il tuo dominio. PowerDMARC rileva automaticamente e all’istante il tuo attuale record SPF, senza bisogno di alcun intervento manuale.

2
Analizza le tue ricerche

Scopri esattamente quante ricerche DNS utilizza il tuo record, quali servizi contribuiscono maggiormente e se sei a rischio di PermError.

3
Appiattisci con un clic

Tutti i meccanismi di inclusione vengono risolti ai rispettivi indirizzi IP attuali e compressi in un unico file di inclusione ottimizzato. Il conteggio scende a 1.

4
Implementa e rimani aggiornato

Pubblica il nuovo record. PowerDMARC monitora i tuoi fornitori e aggiorna automaticamente il record quando gli indirizzi IP cambiano, in modo che non diventi mai obsoleto.

Appiattimento manuale vs. appiattimento SPF automatizzato

Appiattimento manuale

Colli di bottiglia operativi e attriti nascosti derivanti dal monitoraggio manuale.

I limiti di ricerca vengono superati frequentemente

L'aggiunta manuale di servizi di terze parti fa superare rapidamente il limite di 10 ricerche del DNS, compromettendo la consegna delle e-mail senza alcun preavviso.

Errori silenziosi dell'SPF

Quando i fornitori aggiornano i propri indirizzi IP sottostanti, il tuo record statico inserito manualmente diventa obsoleto senza che te ne accorga, finché non noti che le consegne non vanno a buon fine.

Crescita illimitata del personaggio

L'espansione manuale dei sotto-record fa sì che le stringhe si allunghino rapidamente, superando facilmente il rigido limite di 255 caratteri previsto per le singole stringhe DNS.

Incline all'errore umano

Errori di battitura, una sintassi di formattazione errata o la trascrizione errata di lunghi blocchi di intervalli IP comportano gravi problemi di sicurezza e di deliverability.

Difficile da gestire e monitorare

Richiede verifiche manuali continue, monitoraggio tramite fogli di calcolo e tempo da parte degli sviluppatori solo per tenere traccia delle normali applicazioni aziendali.

VS
Flattening dinamico dell'SPF di PowerDMARC

Un'infrastruttura di sicurezza automatizzata ed efficiente all'interno del tuo ambiente nativo.

Rimane automaticamente entro i limiti

La mappatura dinamica avanzata raggruppa automaticamente numerose ricerche, garantendo che il numero totale rimanga al di sotto della soglia massima prevista dal protocollo (10 ricerche).

Si aggiorna automaticamente quando cambiano gli indirizzi IP

Gli script di controllo automatizzato in background rilevano immediatamente le modifiche apportate dai fornitori di sistema, aggiornando automaticamente e senza interruzioni la rete nel giro di pochi minuti.

Compresso fino alle dimensioni minime

Il sistema algoritmico intelligente di avvolgimento dei blocchi di testo elimina gli spazi sintattici ridondanti, comprimendo i record per ridurre al minimo i percorsi dei caratteri.

Completamente automatizzato, senza modifiche manuali

Elimina le operazioni strutturali manuali personalizzate e rischiose, affidando alle regole del software il compito di supervisionare sistematicamente le configurazioni della piattaforma senza errori.

Configurato una volta, attivo per sempre

Implementare un unico identificatore permanente per la configurazione statica del motore e proteggere in modo continuativo i parametri di autenticazione del dominio digitale a lungo termine.

Rischi legati alla livellazione dell'SPF e migliori pratiche

L'appiattimento SPF è una tecnica valida, ma comporta dei rischi che è bene comprendere prima di ricorrervi, soprattutto se si intende gestire il record manualmente.

Rischi da conoscere prima di iniziare

Modifiche agli indirizzi IP — I principali provider modificano regolarmente gli intervalli di indirizzi IP in uscita; quando ciò accade, le e-mail provenienti dai nuovi indirizzi IP falliscono immediatamente il controllo SPF, e te ne accorgi solo quando cala il tasso di consegna.

Ingombro dei record e limiti DNS — Un record appiattito relativo a un’organizzazione con numerosi servizi può espandersi fino a comprendere centinaia di voci IP, superando i limiti di dimensione pratici e causando un errore permanente (Permerror).

Onere di manutenzione — Una registrazione manuale non è una soluzione definitiva. Se si aggiunge un servizio, se ne rimuove uno o si richiede a un fornitore di aggiornare l’infrastruttura, è necessario riorganizzare e ripubblicare il tutto.

Migliori pratiche

Autorizza solo mittenti attivi e legittimi — Prima di semplificare il database, controlla i tuoi dati ed elimina i riferimenti ai servizi che non utilizzi più. Ogni voce superflua aumenta il numero di ricerche e la superficie di attacco.

Monitorare le percentuali di superamento/fallimento dell'SPF nei report DMARC — I report aggregati mostrano esattamente quali fonti superano il test e quali no. I fallimenti inspiegabili dopo l'appiattimento indicano solitamente un intervallo di indirizzi IP non aggiornato.

Utilizza SPF insieme a DKIM e DMARC: SPF da solo non basta a impedire lo spoofing. Per un'autenticazione corretta sono necessari tutti e tre: SPF e DKIM per l'allineamento, DMARC per definire cosa succede quando i primi falliscono.

Riconfermare la validità dopo ogni modifica all'infrastruttura — Ogni volta che si aggiunge o si rimuove un servizio di posta elettronica, verificare il proprio record con uno strumento di verifica SPF prima di dare per scontato che sia ancora valido.

Per casi d'uso avanzati: macro SPF

Per configurazioni complesse con più domini di invio, infrastrutture ad alto volume e indirizzi IP dei fornitori soggetti a frequenti cambiamenti, le macro SPF utilizzano variabili dinamiche che vengono risolte al momento della valutazione, aggirando il limite di 10 ricerche senza dover mai aggiornare il DNS. PowerSPF supporta sia il “flattening” che le macro: il “flattening” automatizzato è adatto alla maggior parte delle organizzazioni; le macro rappresentano invece la scelta più duratura per le grandi aziende.

Affidati da migliaia di persone in tutto il mondo

Jennifer Heisel

Jennifer Heisel

Amministratore di sistema

★★★★★

«PowerDMARC elimina il limite di ricerca SPF sui nostri domini grazie al servizio SPF in hosting; ci basta pubblicare un solo record SPF sul nostro DNS.»

David Spigelman

David Spigelman

Presidente

★★★★★

"PowerDMARC ci aiuta molto con gli errori SPF, in particolare semplificando la "piegatura SPF", spesso necessaria per i clienti che hanno bisogno di un numero di inclusioni SPF superiore a quello tecnicamente consentito".

Dylan Bouterse

Dylan Bouterse

Consulente in sicurezza informatica

★★★★★

"Con l'appiattimento dell'SPF, siamo stati in grado di espandere facilmente l'SPF comprende per ispezionare le specifiche del record".

Domande frequenti

Cosa succede se il mio record SPF supera le 10 ricerche?
I provider di posta elettronica hanno difficoltà a verificare il tuo record SPF dopo la decima ricerca; pertanto, se il tuo record SPF supera tale limite, solitamente si verifica un errore "PermError" e le tue e-mail legittime potrebbero iniziare a essere respinte o inviate nella cartella dello spam.
L'appiattimento SPF aumenta la sicurezza?
L'appiattimento non rende SPF più sicuro, ma aiuta semplicemente a rimanere entro il limite di 10 ricerche, migliorando l'accuratezza della configurazione SPF. La protezione reale deriva ancora dalla combinazione di SPF + DKIM + DMARC.
Devo appiattire i record forniti da Google/Microsoft?
I principali provider di posta elettronica come Google e Microsoft aggiornano spesso i propri IP, quindi un record appiattito manualmente può diventare rapidamente obsoleto se non lo si aggiorna costantemente. Una soluzione dinamica come PowerDMARC risolve questo problema.
Come faccio a sapere quando è il momento di appiattire nuovamente?
Con l'appiattimento manuale, ogni volta che aggiungi o rimuovi un servizio di posta elettronica, o quando il tuo provider aggiorna i propri intervalli IP, è un buon momento per appiattire nuovamente il tuo record. Se nei rapporti noti improvvisi errori SPF, è un altro segnale che è giunto il momento. Con il nostro strumento di appiattimento SPF, questa operazione è automatica e senza problemi.
Il livellamento è ancora consigliato nel 2026?
L'appiattimento tradizionale è ancora utile in alcuni casi, ma non rappresenta una soluzione a lungo termine. Con i fornitori che cambiano gli IP più frequentemente e l'automazione che diventa la norma, le soluzioni SPF dinamiche come PowerSPF stanno rapidamente diventando l'approccio più affidabile.
Qual è la differenza tra l'appiattimento SPF e le macro SPF?
L'appiattimento SPF risolve tutti i meccanismi "include:" in indirizzi IP diretti e li inserisce nel record. Riduce le operazioni di ricerca, ma produce un'istantanea statica che deve essere aggiornata ogni volta che cambiano gli IP dei fornitori. Le macro SPF utilizzano variabili dinamiche che vengono risolte al momento della valutazione, quindi il record non necessita mai di aggiornamenti, anche quando l'infrastruttura dei fornitori cambia. Le macro sono tecnicamente superiori, ma richiedono un servizio SPF in hosting per essere implementate correttamente. Per la maggior parte delle organizzazioni, l’appiattimento automatizzato è sufficiente; per gli ambienti aziendali con configurazioni complesse a più domini, le macro rappresentano la soluzione più duratura nel lungo termine.
È possibile avere due record SPF sullo stesso dominio?
No. La RFC 7208 vieta esplicitamente la presenza di più record SPF sullo stesso dominio. Se un server ricevente rileva più di un record TXT SPF, restituisce un PermError ed entrambi i record vengono ignorati. È necessario disporre di un solo record SPF, configurato correttamente e che rientri nel limite di 10 ricerche.

Sei pronto a correggere il tuo record SPF?

L'appiattimento SPF non deve necessariamente essere un problema ricorrente. Il nostro strumento lo rende semplicissimo!

  • Risolvi immediatamente l'errore SPF PermError
  • Aggiornamenti automatici in caso di modifica degli indirizzi IP dei fornitori
  • Uno solo, per sempre
  • Integrazione con il monitoraggio DMARC
  • Non è richiesta alcuna competenza tecnica
  • Gratis per 15 giorni, senza carta di credito