Si possono avere più record SPF?

di

Ultimo aggiornamento:
9 Tempo di lettura: 9 min
Si possono avere più record SPF?

I punti chiave da prendere in considerazione

  1. La presenza di più record SPF può causare problemi di recapito delle e-mail e causare un SPF PermError.
  2. Un dominio dovrebbe avere un solo record SPF per evitare confusione durante l'autenticazione SPF.
  3. La combinazione di più record SPF in un unico record è essenziale per una corretta configurazione SPF.
  4. I record SPF devono essere controllati e ottimizzati regolarmente per mantenere un'autenticazione efficace delle e-mail.
  5. Si consiglia di implementare ulteriori metodi di autenticazione e-mail, come DKIM e DMARC, per una maggiore sicurezza.

Risposta rapida: No, non è possibile avere più record SPF su un unico dominio. La presenza di più di un record SPF causerà un errore SPF PermError e comprometterà l'autenticazione delle e-mail, causando errori di consegna.

È possibile avere più record SPF sul proprio dominio? Ecco cosa devi sapere per garantire la corretta consegna delle tue e-mail. I record SPF sono fondamentali per l'autenticazione delle email, ma averne più di uno può effettivamente compromettere la tua deliverability.

Avere più record SPF è uno degli errori SPF più comuni in cui si imbattono i proprietari di domini. Può invalidare completamente l'SPF e portare a un SPF PermError. Per capire perché questo accade, dobbiamo sapere come funziona SPF e perché avere più di un record SPF può causare problemi di autenticazione. 

*Consiglio dell'esperto: Esegui il controllo dei record di dominio oggi stesso per individuare eventuali errori nella configurazione del tuo record SPF.

Perché PowerDMARC?

  • Appiattimento automatico degli SPF per evitare errori di permutazione
  • Certificazione SOC 2 e ISO 27001 per la sicurezza aziendale
  • Scelto dai principali marchi mondiali
  • Assistenza specializzata 24 ore su 24, 7 giorni su 7

Come funzionano i record SPF

Sender Policy Framework o SPF è un popolare protocollo di autenticazione delle e-mail che funziona elencando tutte le fonti di invio autorizzate che possono inviare e-mail per conto del vostro dominio.

Durante un controllo SPF, gli MTA destinatari eseguono richieste di query DNS, o ricerche DNS, per convalidare l'indirizzo del percorso di ritorno (Return-path) della tua email confrontandolo con l'elenco di indirizzi IP menzionati nel tuo record SPF. Se viene trovata una corrispondenza, l'email supera il controllo SPF, altrimenti lo fallisce.

Pertanto, configurare l'SPF significa semplicemente pubblicare un record TXT DNS che inizi con la sintassi “v=spf1”.

Semplificate i record SPF con PowerDMARC!

Il mito dei record SPF multipli

Sebbene alcuni servizi suggeriscano di aggiungere record SPF separati, la verità è che un dominio può avere un solo record SPF. Questo perché lo standard SPF (RFC 4408) vieta tassativamente di averne più di uno.

Durante un controllo SPF, il riscontro di più record porta a un "PermError", confondendo essenzialmente il server ricevente.

Quando un MTA ricevente avvia l'autenticazione SPF su un'e-mail, recupera tutti i record TXT DNS che iniziano con «v=spf1». Se l'SPF non è configurato per il dominio mittente e non viene trovato alcun record SPF nel DNS, viene restituito un risultato None. Al contrario, se si riscontra l’esistenza di più record SPF che iniziano con “v=spf1” per lo stesso dominio, viene restituito un SPF PermError

Il problema dei record SPF multipli 

L'utilizzo di record SPF multipli o semplicemente la presenza di più record SPF per un dominio può avere gravi conseguenze, come ad esempio:

  • Le e-mail finiscono nelle cartelle di spam
  • Le e-mail vengono rifiutate completamente

Si tratta di un problema molto comune. Diversi rapporti di analisi dei domini di PowerDMARC hanno rivelato che uno degli errori più comuni commessi dai proprietari di domini è quello di avere più di un record SPF per dominio. Questo errore contribuisce a uno dei motivi principali per cui le configurazioni SPF sono errate.

Esempio di record SPF multipli

Di seguito è riportato un esempio di più record SPF separati pubblicati per lo stesso dominio. 

Errori comuni da evitare nei record SPF:

TIPO DI REGISTRONOME DOMINIOVALORE DEL RECORDTTL
TXTexampledomain.comv=spf1 include:_spf.zoho.com -alldefault
TXTexampledomain.comv=spf1 include:_spf.google.com -alldefault

In questo esempio, per il dominio exampledomain.com, sono stati pubblicati nel DNS del dominio due record TXT SPF distinti. In questo caso, l'autenticazione SPF fallisce con un errore permanente restituito per il tuo dominio. Ciascuna di queste inclusioni viene trattata come un record separato, con il risultato di avere più record SPF sullo stesso dominio.

Come combinare correttamente i record SPF:

TIPO DI REGISTRONOME DOMINIOVALORE DEL RECORDTTL
TXTexampledomain.comv=spf1 include:_spf.zoho.com include:_spf.google.com -alldefault

In questo esempio, il dominio exampledomain.com ha un solo record SPF DNS TXT invece di più record SPF. Ciò si ottiene aggiungendo i meccanismi di inclusione multipla SPF in un unico record. Il record è valido e SPF non restituisce un risultato PermError in questo caso.

ScenarioRecord DNSRisultato atteso
Errato: più record SPFDue record TXT distinti con v=spf1SPF PermError - Autenticazione non riuscita
Corretto: un unico record SPFUn record TXT con più inclusioniSPF Pass - Autenticazione riuscita

*Consiglio dell'esperto: Scopri come migliori pratiche di ottimizzazione dei record SPF nel modo corretto per evitare errori nei record SPF in futuro.

Come individuare più record SPF nel DNS

Prima di correggere la presenza di più record SPF, è necessario verificare se il proprio dominio presenta questo problema. Di seguito sono riportati alcuni metodi per verificare la presenza di più record SPF:

Come utilizzare i verificatori SPF online

Il modo più semplice è utilizzare lo strumento gratuito di verifica SPF di PowerDMARC. Basta inserire il nome del proprio dominio e lo strumento rileverà immediatamente se sono presenti più record SPF.

Richieste DNS da riga di comando

Gli utenti esperti possono utilizzare gli strumenti da riga di comando:

  • Windows: nslookup -type=TXT yourdomain.com
  • Linux/Mac: dig TXT tuodominio.com

Console di gestione DNS

Accedi al tuo provider DNS (Cloudflare, GoDaddy, Namecheap, ecc.) e controlla la sezione dei record TXT. Cerca le voci che iniziano con “v=spf1”.

Come risolvere il problema dei record SPF multipli? 

Risolvere l'errore dei record SPF multipli è facile con PowerDMARC! Seguite i passaggi indicati di seguito per configurare correttamente gli include multipli SPF per il vostro dominio: 

Lista di controllo per la risoluzione dei problemi:

  • Verifica la propagazione del DNS (può richiedere 24-48 ore)
  • Verifica le modifiche con diversi strumenti di controllo DNS
  • Controlla la consegna delle e-mail per 48 ore dopo le modifiche
  • Documentare tutte le modifiche per riferimento futuro

Passo 1: Confermare l'errore di record multipli SPF 

Il primo passo è verificare la presenza di record multipli SPF. Registratevi gratuitamente su PowerDMARC e utilizzate il nostro strumento di generazione di record SPF per confermare la presenza di questo errore.

 

In alternativa, è possibile cercare manualmente il record nel proprio DNS. Se si utilizza un provider di hosting DNS come Cloudflare, CloudDNS, DNS Made Easy, Namecheap o altri, la procedura non sarà la stessa per ogni provider. Tuttavia, la procedura generale è la seguente: entrare nella console di gestione DNS, accedere all'editor di zone DNS e fare clic su Gestisci domini. Sarà possibile trovare i record DNS per SPF nella zona DNS del proprio dominio. 

Passo 2: eliminare i record SPF multipli per un singolo dominio

Se il vostro dominio contiene più record SPF, è il momento di modificare i record DNS ed eliminare tutti i record tranne uno. Assicurarsi che rimanga un solo record SPF per dominio.

Passo 3: combinare i record SPF 

Infine, modificare il singolo record SPF rimanente per combinare più inclusioni. Questo è un modo semplice per correggere l'errore, consentendo al contempo di includere più record SPF in un singolo record. 

  1. Accedere alla console di gestione DNS 
  2. Fare clic su Modifica del record SPF 
  3. Nella sintassi, utilizzare il meccanismo SPF "include" per includere più domini che si desidera autorizzare. Di seguito è riportato un esempio di combinazione di record SPF in 1:

È possibile continuare ad aggiungere altri "include" allo stesso record SPF per autorizzare tutti i servizi di terze parti. Una volta terminato, assicuratevi di salvare il record nel DNS. 

Nota: Al posto del criterio di applicazione (-all) è possibile configurare (~all) per un approccio più indulgente e flessibile durante il fallimento dell'SPF

Come autorizzare correttamente più mittenti di posta elettronica in un unico record SPF

Se si utilizzano più provider di posta elettronica per un unico dominio, configurare più record SPF separati non è il modo corretto di configurare l'SPF per essi. Ecco invece cosa devi fare:

1. PowerDMARC può aiutarvi ad aggiungere facilmente più record SPF per il vostro dominio. Utilizzate il nostro strumento di generazione di record SPF per creare un record gratuito.

 

2. Nel campo denominato «Autorizza domini o servizi di terze parti che inviano e-mail per conto di questo dominio», inserisci tutti i fornitori di terze parti che desideri autorizzare. Questo è un passaggio importante per unire i record SPF.

3. Copiate e incollate nel vostro DNS il singolo record SPF generato, che contiene più record SPF per i mittenti autorizzati. Salvare il record. 

Limiti e rischi dell'uso di più file SPF

Avendo SPF include più volte non è sempre l'approccio corretto. Sebbene combinare i record SPF in questo modo aiuti a eliminare l'errore di record SPF multipli, può portare ad altri errori. Ogni provider di servizi di posta elettronica aggiunge una ricerca DNS durante l'autenticazione SPF. Avere più inclusioni nel proprio record SPF equivale a altrettante ricerche. Tuttavia, l'RFC specifica che il limite massimo di ricerche per l'SPF è 10. 

Superare il limite di ricerca di SPF 10 può anche restituire SPF PermError e interrompere SPF.

Per rimanere sotto il limite di 10 ricerche DNS per SPF: 

  1. È possibile appiattire manualmente il record SPF. Tuttavia, l'appiattimento manuale di tutti gli indirizzi IP dietro il meccanismo di inclusione può portare a un record lungo che può superare il limite di stringhe di caratteri per SPF. 
  2. Oppure, è possibile scegliere Macro SPF. Le macro aiutano a rispettare i limiti di ricerca e di lunghezza dei caratteri.

Per evitare la presenza di più record SPF e altri errori comuni, utilizza il servizio di PowerDMARC soluzione SPF di PowerDMARC. Integriamo delle macro nel tuo record SPF per assicurarti un SPF privo di errori, ottimizzato e aggiornato. 

Inoltre, puoi configurare il nostro Analizzatore DMARC per configurare DMARC per i tuoi domini. DMARC ti aiuta a proteggerti da attacchi di phishing, spoofing e abuso dei domini

Migliori pratiche per la gestione dei record SPF

Segui queste best practice concrete per garantire una gestione efficace dei record SPF:

  • Verifiche periodiche: Controlla i tuoi record SPF ogni tre mesi per assicurarti che siano aggiornati
  • Monitoraggio delle ricerche DNS: Tieni traccia del numero di ricerche DNS per rimanere al di sotto del limite di 10 ricerche
  • Modifiche ai documenti: Tenere un registro di tutte le modifiche ai record SPF con date e motivazioni
  • Verifica prima dell'implementazione: Verifica sempre i record SPF utilizzando strumenti di controllo online prima della messa in produzione
  • Evitare le inclusioni annidate: Ridurre al minimo le catene di include complesse che possono superare i limiti di ricerca
  • Utilizza l'automazione: Valuta l'utilizzo di strumenti di gestione automatizzata degli SPF per ambienti complessi

Le insidie più comuni e come evitarle

Evita questi errori comuni relativi all'SPF che possono compromettere l'autenticazione delle e-mail:

Errori comuni relativi all'SPF e relative soluzioni

  • Superamento del limite di 10 ricerche DNS: Utilizzare l'appiattimento SPF o le macro per ridurre il numero di ricerche
  • Utilizzo di più record TXT: Raggruppare tutti gli SPF in un unico record
  • Sintassi errata: Inizia sempre con “v=spf1” e termina con un meccanismo “all”
  • Limite di caratteri superato: Mantenere i record SPF al di sotto dei 255 caratteri per stringa
  • Fornitori di servizi di posta elettronica da escludere: Includere tutti i servizi di invio email legittimi
  • Utilizzo di tipi di record obsoleti: Utilizzare sempre i record TXT, non il tipo di record SPF

Sintesi e prossimi passi

Disporre di un unico record SPF ben configurato è fondamentale per garantire una consegna ottimale delle e-mail. In questa guida abbiamo spiegato come unire più record SPF in uno solo per ottenere una configurazione SPF priva di errori. Sebbene l'SPF rappresenti un ottimo primo passo, ti consigliamo di valutare altri metodi di autenticazione delle e-mail, come DKIM e DMARC, per una protezione ancora maggiore. 

Sei pronto a proteggere la tua infrastruttura di posta elettronica? Ecco cosa fare ora:

«Abbiamo risolto i nostri problemi relativi all'SPF in un solo giorno grazie agli strumenti automatizzati di PowerDMARC.» – Direttore IT, FinTech Corp.

Per scoprire altre soluzioni di sicurezza dei domini che semplificano la protezione delle tue e-mail – contattaci oggi stesso!

Domande frequenti

È possibile avere più record SPF su un unico dominio?

No, non è possibile avere più record SPF su un unico dominio. La presenza di più di un record SPF causerà un errore SPF PermError e comprometterà l'autenticazione delle e-mail. È invece consigliabile raggruppare tutti i mittenti autorizzati in un unico record SPF utilizzando più meccanismi di inclusione.

Quanti record SPF è possibile inserire nel DNS di un dominio?

Nel DNS di un dominio deve essere presente un solo record SPF. Lo standard SPF (RFC 4408) vieta espressamente la presenza di più record SPF. Se vengono rilevati più record, i server di ricezione restituiranno un errore permanente (PermError) e respingeranno l'e-mail.

Cosa succede se si hanno più record SPF?

Se sono presenti più record SPF, i server di posta in arrivo rileveranno un errore permanente (PermError) durante la convalida SPF. Ciò comporta il fallimento dell'autenticazione delle e-mail, con il rischio che queste vengano contrassegnate come spam o rifiutate del tutto dai server di posta in arrivo.

Come posso combinare più servizi di posta elettronica in un unico record SPF?

Utilizza il meccanismo "include:" per combinare più servizi di posta elettronica in un unico record SPF. Ad esempio: "v=spf1 include:_spf.google.com include:mailgun.org include:_spf.salesforce.com ~all". In questo modo si autorizzano tutti e tre i servizi in un unico record.

Qual è il numero massimo di ricerche DNS consentite in SPF?

Il numero massimo di ricerche DNS consentite in SPF è 10. Ogni meccanismo "include:" conta come una ricerca. Il superamento di questo limite comporterà un errore SPF PermError. Utilizza l'appiattimento SPF o le macro per rimanere entro questo limite.