Si possono avere più record SPF?
di
Ultimo aggiornamento: 9 Tempo di lettura: 9 min
I punti chiave da prendere in considerazione
- La presenza di più record SPF può causare problemi di recapito delle e-mail e causare un SPF PermError.
- Un dominio dovrebbe avere un solo record SPF per evitare confusione durante l'autenticazione SPF.
- La combinazione di più record SPF in un unico record è essenziale per una corretta configurazione SPF.
- I record SPF devono essere controllati e ottimizzati regolarmente per mantenere un'autenticazione efficace delle e-mail.
- Si consiglia di implementare ulteriori metodi di autenticazione e-mail, come DKIM e DMARC, per una maggiore sicurezza.
Risposta rapida: No, non è possibile avere più record SPF su un unico dominio. La presenza di più di un record SPF causerà un errore SPF PermError e comprometterà l'autenticazione delle e-mail, causando errori di consegna.
È possibile avere più record SPF sul proprio dominio? Ecco cosa devi sapere per garantire la corretta consegna delle tue e-mail. I record SPF sono fondamentali per l'autenticazione delle email, ma averne più di uno può effettivamente compromettere la tua deliverability.
Avere più record SPF è uno degli errori SPF più comuni in cui si imbattono i proprietari di domini. Può invalidare completamente l'SPF e portare a un SPF PermError. Per capire perché questo accade, dobbiamo sapere come funziona SPF e perché avere più di un record SPF può causare problemi di autenticazione.
*Consiglio dell'esperto: Esegui il controllo dei record di dominio oggi stesso per individuare eventuali errori nella configurazione del tuo record SPF.
Perché PowerDMARC?
- Appiattimento automatico degli SPF per evitare errori di permutazione
- Certificazione SOC 2 e ISO 27001 per la sicurezza aziendale
- Scelto dai principali marchi mondiali
- Assistenza specializzata 24 ore su 24, 7 giorni su 7
Come funzionano i record SPF
Sender Policy Framework o SPF è un popolare protocollo di autenticazione delle e-mail che funziona elencando tutte le fonti di invio autorizzate che possono inviare e-mail per conto del vostro dominio.
Durante un controllo SPF, gli MTA destinatari eseguono richieste di query DNS, o ricerche DNS, per convalidare l'indirizzo del percorso di ritorno (Return-path) della tua email confrontandolo con l'elenco di indirizzi IP menzionati nel tuo record SPF. Se viene trovata una corrispondenza, l'email supera il controllo SPF, altrimenti lo fallisce.
Pertanto, configurare l'SPF significa semplicemente pubblicare un record TXT DNS che inizi con la sintassi “v=spf1”.
Semplificate i record SPF con PowerDMARC!
Il mito dei record SPF multipli
Sebbene alcuni servizi suggeriscano di aggiungere record SPF separati, la verità è che un dominio può avere un solo record SPF. Questo perché lo standard SPF (RFC 4408) vieta tassativamente di averne più di uno.
Durante un controllo SPF, il riscontro di più record porta a un "PermError", confondendo essenzialmente il server ricevente.
Quando un MTA ricevente avvia l'autenticazione SPF su un'e-mail, recupera tutti i record TXT DNS che iniziano con «v=spf1». Se l'SPF non è configurato per il dominio mittente e non viene trovato alcun record SPF nel DNS, viene restituito un risultato None. Al contrario, se si riscontra l’esistenza di più record SPF che iniziano con “v=spf1” per lo stesso dominio, viene restituito un SPF PermError .
Il problema dei record SPF multipli
L'utilizzo di record SPF multipli o semplicemente la presenza di più record SPF per un dominio può avere gravi conseguenze, come ad esempio:
- Le e-mail finiscono nelle cartelle di spam
- Le e-mail vengono rifiutate completamente
Si tratta di un problema molto comune. Diversi rapporti di analisi dei domini di PowerDMARC hanno rivelato che uno degli errori più comuni commessi dai proprietari di domini è quello di avere più di un record SPF per dominio. Questo errore contribuisce a uno dei motivi principali per cui le configurazioni SPF sono errate.
Esempio di record SPF multipli
Di seguito è riportato un esempio di più record SPF separati pubblicati per lo stesso dominio.
Errori comuni da evitare nei record SPF:
| TIPO DI REGISTRO | NOME DOMINIO | VALORE DEL RECORD | TTL |
|---|---|---|---|
| TXT | exampledomain.com | v=spf1 include:_spf.zoho.com -all | default |
| TXT | exampledomain.com | v=spf1 include:_spf.google.com -all | default |
In questo esempio, per il dominio exampledomain.com, sono stati pubblicati nel DNS del dominio due record TXT SPF distinti. In questo caso, l'autenticazione SPF fallisce con un errore permanente restituito per il tuo dominio. Ciascuna di queste inclusioni viene trattata come un record separato, con il risultato di avere più record SPF sullo stesso dominio.
Come combinare correttamente i record SPF:
| TIPO DI REGISTRO | NOME DOMINIO | VALORE DEL RECORD | TTL |
|---|---|---|---|
| TXT | exampledomain.com | v=spf1 include:_spf.zoho.com include:_spf.google.com -all | default |
In questo esempio, il dominio exampledomain.com ha un solo record SPF DNS TXT invece di più record SPF. Ciò si ottiene aggiungendo i meccanismi di inclusione multipla SPF in un unico record. Il record è valido e SPF non restituisce un risultato PermError in questo caso.
| Scenario | Record DNS | Risultato atteso |
|---|---|---|
| Errato: più record SPF | Due record TXT distinti con v=spf1 | SPF PermError - Autenticazione non riuscita |
| Corretto: un unico record SPF | Un record TXT con più inclusioni | SPF Pass - Autenticazione riuscita |
*Consiglio dell'esperto: Scopri come migliori pratiche di ottimizzazione dei record SPF nel modo corretto per evitare errori nei record SPF in futuro.
Come individuare più record SPF nel DNS
Prima di correggere la presenza di più record SPF, è necessario verificare se il proprio dominio presenta questo problema. Di seguito sono riportati alcuni metodi per verificare la presenza di più record SPF:
Come utilizzare i verificatori SPF online
Il modo più semplice è utilizzare lo strumento gratuito di verifica SPF di PowerDMARC. Basta inserire il nome del proprio dominio e lo strumento rileverà immediatamente se sono presenti più record SPF.
Richieste DNS da riga di comando
Gli utenti esperti possono utilizzare gli strumenti da riga di comando:
- Windows: nslookup -type=TXT yourdomain.com
- Linux/Mac: dig TXT tuodominio.com
Console di gestione DNS
Accedi al tuo provider DNS (Cloudflare, GoDaddy, Namecheap, ecc.) e controlla la sezione dei record TXT. Cerca le voci che iniziano con “v=spf1”.
Come risolvere il problema dei record SPF multipli?
Risolvere l'errore dei record SPF multipli è facile con PowerDMARC! Seguite i passaggi indicati di seguito per configurare correttamente gli include multipli SPF per il vostro dominio:
Lista di controllo per la risoluzione dei problemi:
- Verifica la propagazione del DNS (può richiedere 24-48 ore)
- Verifica le modifiche con diversi strumenti di controllo DNS
- Controlla la consegna delle e-mail per 48 ore dopo le modifiche
- Documentare tutte le modifiche per riferimento futuro
Passo 1: Confermare l'errore di record multipli SPF
Il primo passo è verificare la presenza di record multipli SPF. Registratevi gratuitamente su PowerDMARC e utilizzate il nostro strumento di generazione di record SPF per confermare la presenza di questo errore.
In alternativa, è possibile cercare manualmente il record nel proprio DNS. Se si utilizza un provider di hosting DNS come Cloudflare, CloudDNS, DNS Made Easy, Namecheap o altri, la procedura non sarà la stessa per ogni provider. Tuttavia, la procedura generale è la seguente: entrare nella console di gestione DNS, accedere all'editor di zone DNS e fare clic su Gestisci domini. Sarà possibile trovare i record DNS per SPF nella zona DNS del proprio dominio.
Passo 2: eliminare i record SPF multipli per un singolo dominio
Se il vostro dominio contiene più record SPF, è il momento di modificare i record DNS ed eliminare tutti i record tranne uno. Assicurarsi che rimanga un solo record SPF per dominio.
Passo 3: combinare i record SPF
Infine, modificare il singolo record SPF rimanente per combinare più inclusioni. Questo è un modo semplice per correggere l'errore, consentendo al contempo di includere più record SPF in un singolo record.
- Accedere alla console di gestione DNS
- Fare clic su Modifica del record SPF
- Nella sintassi, utilizzare il meccanismo SPF "include" per includere più domini che si desidera autorizzare. Di seguito è riportato un esempio di combinazione di record SPF in 1:
È possibile continuare ad aggiungere altri "include" allo stesso record SPF per autorizzare tutti i servizi di terze parti. Una volta terminato, assicuratevi di salvare il record nel DNS.
Nota: Al posto del criterio di applicazione (-all) è possibile configurare (~all) per un approccio più indulgente e flessibile durante il fallimento dell'SPF.
Come autorizzare correttamente più mittenti di posta elettronica in un unico record SPF
Se si utilizzano più provider di posta elettronica per un unico dominio, configurare più record SPF separati non è il modo corretto di configurare l'SPF per essi. Ecco invece cosa devi fare:
1. PowerDMARC può aiutarvi ad aggiungere facilmente più record SPF per il vostro dominio. Utilizzate il nostro strumento di generazione di record SPF per creare un record gratuito.
2. Nel campo denominato «Autorizza domini o servizi di terze parti che inviano e-mail per conto di questo dominio», inserisci tutti i fornitori di terze parti che desideri autorizzare. Questo è un passaggio importante per unire i record SPF.
3. Copiate e incollate nel vostro DNS il singolo record SPF generato, che contiene più record SPF per i mittenti autorizzati. Salvare il record.
Limiti e rischi dell'uso di più file SPF
Avendo SPF include più volte non è sempre l'approccio corretto. Sebbene combinare i record SPF in questo modo aiuti a eliminare l'errore di record SPF multipli, può portare ad altri errori. Ogni provider di servizi di posta elettronica aggiunge una ricerca DNS durante l'autenticazione SPF. Avere più inclusioni nel proprio record SPF equivale a altrettante ricerche. Tuttavia, l'RFC specifica che il limite massimo di ricerche per l'SPF è 10.
Superare il limite di ricerca di SPF 10 può anche restituire SPF PermError e interrompere SPF.
Per rimanere sotto il limite di 10 ricerche DNS per SPF:
- È possibile appiattire manualmente il record SPF. Tuttavia, l'appiattimento manuale di tutti gli indirizzi IP dietro il meccanismo di inclusione può portare a un record lungo che può superare il limite di stringhe di caratteri per SPF.
- Oppure, è possibile scegliere Macro SPF. Le macro aiutano a rispettare i limiti di ricerca e di lunghezza dei caratteri.
Per evitare la presenza di più record SPF e altri errori comuni, utilizza il servizio di PowerDMARC soluzione SPF di PowerDMARC. Integriamo delle macro nel tuo record SPF per assicurarti un SPF privo di errori, ottimizzato e aggiornato.
Inoltre, puoi configurare il nostro Analizzatore DMARC per configurare DMARC per i tuoi domini. DMARC ti aiuta a proteggerti da attacchi di phishing, spoofing e abuso dei domini.
Migliori pratiche per la gestione dei record SPF
Segui queste best practice concrete per garantire una gestione efficace dei record SPF:
- Verifiche periodiche: Controlla i tuoi record SPF ogni tre mesi per assicurarti che siano aggiornati
- Monitoraggio delle ricerche DNS: Tieni traccia del numero di ricerche DNS per rimanere al di sotto del limite di 10 ricerche
- Modifiche ai documenti: Tenere un registro di tutte le modifiche ai record SPF con date e motivazioni
- Verifica prima dell'implementazione: Verifica sempre i record SPF utilizzando strumenti di controllo online prima della messa in produzione
- Evitare le inclusioni annidate: Ridurre al minimo le catene di include complesse che possono superare i limiti di ricerca
- Utilizza l'automazione: Valuta l'utilizzo di strumenti di gestione automatizzata degli SPF per ambienti complessi
Le insidie più comuni e come evitarle
Evita questi errori comuni relativi all'SPF che possono compromettere l'autenticazione delle e-mail:
Errori comuni relativi all'SPF e relative soluzioni
- Superamento del limite di 10 ricerche DNS: Utilizzare l'appiattimento SPF o le macro per ridurre il numero di ricerche
- Utilizzo di più record TXT: Raggruppare tutti gli SPF in un unico record
- Sintassi errata: Inizia sempre con “v=spf1” e termina con un meccanismo “all”
- Limite di caratteri superato: Mantenere i record SPF al di sotto dei 255 caratteri per stringa
- Fornitori di servizi di posta elettronica da escludere: Includere tutti i servizi di invio email legittimi
- Utilizzo di tipi di record obsoleti: Utilizzare sempre i record TXT, non il tipo di record SPF
Sintesi e prossimi passi
Disporre di un unico record SPF ben configurato è fondamentale per garantire una consegna ottimale delle e-mail. In questa guida abbiamo spiegato come unire più record SPF in uno solo per ottenere una configurazione SPF priva di errori. Sebbene l'SPF rappresenti un ottimo primo passo, ti consigliamo di valutare altri metodi di autenticazione delle e-mail, come DKIM e DMARC, per una protezione ancora maggiore.
Sei pronto a proteggere la tua infrastruttura di posta elettronica? Ecco cosa fare ora:
- Verifica il tuo attuale record SPF con il nostro strumento di verifica SPF gratuito
- Genera un record SPF ottimizzato utilizzando il nostro generatore di record SPF
- Implementa una sicurezza completa della posta elettronica con protezione DMARC
«Abbiamo risolto i nostri problemi relativi all'SPF in un solo giorno grazie agli strumenti automatizzati di PowerDMARC.» – Direttore IT, FinTech Corp.
Per scoprire altre soluzioni di sicurezza dei domini che semplificano la protezione delle tue e-mail – contattaci oggi stesso!
Domande frequenti
È possibile avere più record SPF su un unico dominio?
No, non è possibile avere più record SPF su un unico dominio. La presenza di più di un record SPF causerà un errore SPF PermError e comprometterà l'autenticazione delle e-mail. È invece consigliabile raggruppare tutti i mittenti autorizzati in un unico record SPF utilizzando più meccanismi di inclusione.
Quanti record SPF è possibile inserire nel DNS di un dominio?
Nel DNS di un dominio deve essere presente un solo record SPF. Lo standard SPF (RFC 4408) vieta espressamente la presenza di più record SPF. Se vengono rilevati più record, i server di ricezione restituiranno un errore permanente (PermError) e respingeranno l'e-mail.
Cosa succede se si hanno più record SPF?
Se sono presenti più record SPF, i server di posta in arrivo rileveranno un errore permanente (PermError) durante la convalida SPF. Ciò comporta il fallimento dell'autenticazione delle e-mail, con il rischio che queste vengano contrassegnate come spam o rifiutate del tutto dai server di posta in arrivo.
Come posso combinare più servizi di posta elettronica in un unico record SPF?
Utilizza il meccanismo "include:" per combinare più servizi di posta elettronica in un unico record SPF. Ad esempio: "v=spf1 include:_spf.google.com include:mailgun.org include:_spf.salesforce.com ~all". In questo modo si autorizzano tutti e tre i servizi in un unico record.
Qual è il numero massimo di ricerche DNS consentite in SPF?
Il numero massimo di ricerche DNS consentite in SPF è 10. Ogni meccanismo "include:" conta come una ricerca. Il superamento di questo limite comporterà un errore SPF PermError. Utilizza l'appiattimento SPF o le macro per rimanere entro questo limite.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.
Ultimi messaggi di Ahona Rudra (vedi tutti)
