• Spiegazione del limite di 10 DNS per la ricerca SPF (e come risolverlo)

Spiegazione del limite di 10 DNS per la ricerca SPF (e come risolverlo)

Blog

Scopri i limiti dei record SPF, tra cui il limite di 10 ricerche DNS, quali operazioni vengono conteggiate, perché si verifica l'errore PermError e come risolvere i limiti SPF tramite il flattening o l'Hosted SPF.

di Ahona Rudra

Ultimo aggiornamento:
15 15 minuti di lettura
Spiegazione del limite di 10 DNS per la ricerca SPF (e come risolverlo)
Indice dei contenuti-

I punti chiave da prendere in considerazione

  • Se il tuo record SPF genera più di 10 ricerche DNS, i server di posta in arrivo restituiscono il seguente messaggio: “SPF PermError: troppe ricerche DNS,” 
  • Un numero eccessivo di ricerche DNS su SPF comporta un errore irreversibile. Le tue e-mail potrebbero essere respinte, indirizzate nella cartella dello spam o semplicemente ignorate, anche se sono del tutto legittime 
  • Meccanismi come "ip4" e "ip6" non vengono conteggiati ai fini del limite, mentre "include" e "mx" possono consumare più ricerche ciascuno, specialmente con riferimenti nidificati.
  • Per rimanere entro il limite, rimuovere i servizi inutilizzati, evitare "ptr" e "mx" ove possibile, sostituire i meccanismi che richiedono molte ricerche con riferimenti IP diretti e prendere in considerazione l'appiattimento automatico dei record SPF.

Per comprendere i limiti dei record SPF occorre partire dal limite massimo di 10 ricerche DNS. Se il tuo record SPF genera più di 10 ricerche DNS, i server di posta in arrivo restituiscono un messaggio di errore del tipo «SPF PermError: troppe ricerche DNS» e DMARC lo considera un errore grave. Ciò comporta il rifiuto delle e-mail legittime o il loro invio nella cartella dello spam senza alcun preavviso.

Questo limite deriva dalla RFC 7208, che limita la valutazione SPF a 10 meccanismi di interrogazione DNS per ogni controllo. Il problema è che la maggior parte dei domini supera questo limite senza rendersene conto, spesso a causa di inclusioni annidate e servizi obsoleti.

In questa guida scoprirai quali elementi vengono conteggiati ai fini del limite, perché i record SPF smettono di funzionare senza dare alcun avviso e come risolvere e prevenire definitivamente gli errori di ricerca.

Verificatore SPF: controlla il numero attuale di query con il nostro verificatore SPF gratuito

Che cos'è il limite di ricerca DNS SPF 10?

La specifica SPF, definita nella RFC 7208, limita ogni verifica SPF a un massimo di 10 meccanismi di interrogazione DNS.

In parole povere, ogni volta che un server di posta in ricezione verifica il tuo record SPF e deve eseguire una query DNS aggiuntiva, tale operazione viene conteggiata ai fini di questo limite.

Queste query vengono attivate da meccanismi quali:

  • includere
  • a
  • mx
  • ptr
  • esiste
  • reindirizzare

Non appena si raggiunge l'undicesima ricerca, la valutazione SPF si interrompe immediatamente e restituisce:

Errore permanente SPF: troppe ricerche DNS

Ogni ricerca DNS richiede tempo e risorse, quali CPU, larghezza di banda e memoria, sul server ricevente. In assenza di un limite, un malintenzionato potrebbe creare un record SPF con inclusioni profondamente annidate, costringendo i server a eseguire centinaia di query DNS.

Ciò trasformerebbe di fatto la verifica dell'SPF in un vettore di attacco denial-of-service (DoS).

Applicando un limite rigoroso di 10 ricerche, la specifica SPF garantisce:

  • tempi di elaborazione delle e-mail prevedibili
  • protezione contro gli abusi del DNS
  • prestazioni costanti su tutti i sistemi di posta elettronica 

Cosa viene conteggiato ai fini del limite di 10 ricerche DNS per SPF? 

Non tutti i meccanismi presenti nel record SPF attivano una ricerca DNS. Capire cosa conta e cosa no è il modo più veloce per ridurre il numero di ricerche.

Meccanismi SPF che contano e quelli che non contano

Meccanismo / ModificatoreConta ai fini del limite?Perché
includono:Avvia una ricerca del record SPF del dominio indicato, oltre a eventuali ricerche nidificate
aRisolve i record A/AAAA per il dominio
mxRisolve i record MX, quindi i record A/AAAA per ciascun server di posta
ptrEsegue ricerche DNS inverse; poco affidabile e richiede molte operazioni di ricerca
esisteEsegue una query DNS per verificare se un dominio viene risolto
reindirizza a=Avvia una ricerca del record SPF di un altro dominio
ip4:NoIndirizzo IP diretto; non è necessaria la ricerca DNS
ip6:NoIndirizzo IPv6 diretto; non è necessaria la ricerca DNS
tuttiNoMeccanismo generico; non è necessaria alcuna ricerca
v=spf1NoTag di versione; non è un meccanismo di ricerca
Richiesta iniziale del record TXT SPFNoIl semplice recupero del record SPF non conta

Ecco perché includere: e i meccanismi sono i principali responsabili degli errori SPF, specialmente quando contengono ricerche annidate.

Sostituire i meccanismi che richiedono molte ricerche con l'accesso diretto ip4: o ip6: (ove possibile) è uno dei modi più efficaci per rimanere entro il limite.

Situazione comune: MSP che gestiscono più record SPF dei clienti

I fornitori di servizi gestiti ( MSP ) spesso si trovano in difficoltà a causa dei limiti SPF quando i clienti utilizzano più piattaforme di posta elettronica. Un tipico cliente MSP potrebbe utilizzare Office 365, Mailchimp, Salesforce e HubSpot, ciascuna delle quali richiede l'inserimento di istruzioni "include" che possono raggiungere rapidamente il limite di 10 ricerche.

Perché probabilmente stai raggiungendo il limite di SPF (inclusioni annidate)

Il tuo elenco potrebbe contenere solo tre o quattro includere: righe, ma stai comunque raggiungendo il limite. Ecco perché.

v=spf1 include:sendgrid.net include:_spf.google.com include:salesforce.com ~all

A prima vista, sembrano 3 ricerche DNS, ma la valutazione SPF non si ferma qui. Segue ogni inclusione in modo ricorsivo.

Ecco cosa succede in realtà:

  1. include:sendgrid.net → Il record SPF di SendGrid contiene 2 include: → 3 lookups in totale
  2. include:_spf.google.com → Il record SPF di Google contiene 3 meccanismi aggiuntivi → 4 ricerche in totale
  3. include:salesforce.com → Il record SPF di Salesforce contiene 3 meccanismi aggiuntivi → 4 lookups in totale

Totale: 11 ricerche DNS

Tra includere: che aggiungi non è solo una ricerca. È una ricerca più tutte quelle richieste dai record richiede. . Ecco perché il limite viene raggiunto molto più rapidamente di quanto si aspettino la maggior parte dei proprietari di domini, specialmente quando si utilizzano più provider di servizi di posta elettronica.

Ecco perché oltre 10.000 clienti si affidano alla piattaforma di PowerDMARC

  • Notevole riduzione dei tentativi di spoofing e delle e-mail non autorizzate grazie all'intelligence sulle minacce basata sull'intelligenza artificiale
  • Integrazione più rapida + gestione automatizzata delle autenticazioni che fa risparmiare ore di lavoro ai team IT
  • Informazioni sulle minacce in tempo reale e report crittografati con PGP su più domini
  • Migliori tassi di consegna delle e-mail grazie a rigorosi Applicazione del DMARC con la guida di esperti

I primi 15 giorni sono offerti da noi

Inizia la prova gratuita

Perché esiste il limite di ricerca SPF 10

Il limite di 10 ricerche DNS potrebbe sembrare restrittivo, soprattutto per le organizzazioni che utilizzano più fornitori di servizi di posta elettronica, ma è stato introdotto per importanti motivi di sicurezza e prestazioni che gli amministratori e i team di sicurezza dovrebbero comprendere.

Sintesi: Il limite di ricerca protegge l'infrastruttura DNS dagli abusi garantendo al contempo un'elaborazione tempestiva delle e-mail, ma richiede un'attenta gestione dei record SPF.

Prevenzione degli attacchi denial-of-service

Il limite di 10 ricerche aggiuntive è imposto per evitare un carico irragionevole sul DNS e per prevenire attacchi Denial-of-Service (DoS).

Senza questo limite, un malintenzionato potrebbe creare un record SPF con centinaia di inclusioni annidate, costringendo ogni server di posta in ricezione che elabora un'e-mail proveniente da quel dominio a eseguire un numero enorme di query DNS. Ciò potrebbe sovraccaricare i server DNS e compromettere le prestazioni su Internet.

Garantire l'elaborazione tempestiva delle e-mail

Ogni ricerca DNS effettuata durante un controllo SPF aumenta la latenza nel processo di consegna delle e-mail. Se ai record SPF fossero consentite ricerche illimitate, il tempo richiesto per la verifica SPF potrebbe aumentare in modo significativo, causando timeout delle query DNS e guasti temporanei dei server DNS.

Il limite di 10 ricerche garantisce che i controlli SPF possano essere completati in modo rapido e affidabile senza creare colli di bottiglia nella consegna delle e-mail.

Mantenimento della stabilità del DNS

L'infrastruttura DNS è una risorsa condivisa. Consentire ricerche illimitate durante l'autenticazione SPF metterebbe a dura prova i resolver ricorsivi e i server dei nomi autoritativi, in particolare per i mittenti con volumi elevati.

Il limite protegge l'ecosistema DNS più ampio mantenendo gestibile il volume delle query relative all'SPF.

Cosa succede quando si supera il limite di ricerca SPF

Il superamento del limite di ricerca SPF non comporta solo un semplice avviso. Provoca un errore grave che può influire direttamente sulla possibilità che le tue email raggiungano le caselle di posta dei destinatari.

La valutazione dell'SPF si interrompe alla ricerca n. 11

L'SPF viene valutato da sinistra a destra. Quando il server ricevente incontra l'undicesimo meccanismo di interrogazione DNS o modificatore nel record SPF, interrompe immediatamente l'elaborazione del record e restituisce:

Errore permanente SPF: troppe ricerche DNS

Si tratta di un errore permanente di valutazione SPF, non di un errore non critico o di un risultato neutro. Il destinatario considera il record SPF non valido poiché non è in grado di completare l'autenticazione.

DMARC considera l'errore "PermError" di SPF come un errore di SPF

Quando SPF restituisce un PermError, DMARC lo interpreta come un errore SPF. Se per il superamento del controllo DMARC era richiesto l'allineamento SPF, il messaggio potrebbe non superare affatto l'autenticazione DMARC.

Il risultato dipende quindi da:

  • La tua politica DMARC (p=none, quarantenao rifiuta)
  • Le regole di filtraggio del server di destinazione
  • Se DKIM viene superato e l'allineamento va a buon fine

Le e-mail potrebbero essere respinte, messe in quarantena o inviate nella cartella dello spam

Quando SPF non funziona a causa di un PermError:

  • Alcuni provider potrebbero rifiutare l'e-mail senza esitazione
  • Altri potrebbero smistarlo nella cartella dello spam o in quarantena
  • I filtri di sicurezza potrebbero contrassegnare il messaggio come sospetto o non autenticato

Ciò diventa particolarmente dannoso con politiche DMARC più rigorose, come ad esempio p=quarantine o p=reject.

Gli ambienti Microsoft sono particolarmente sensibili a questo aspetto. Outlook ed Exchange Online applicano rigorosamente i controlli di autenticazione, pertanto gli errori permanenti SPF possono influire in modo significativo sulla deliverability per le organizzazioni che inviano messaggi a destinatari di Office 365.

Poiché l'SPF viene valutato da sinistra a destra, alcuni servizi di invio potrebbero autenticarsi correttamente prima che venga raggiunto il limite di ricerca, mentre altri potrebbero fallire in una fase successiva della catena.

Ciò significa che:

  • Alcune e-mail sembrano essere recapitate regolarmente
  • Altri falliscono l'autenticazione in modo imprevisto
  • Senza gli strumenti di segnalazione DMARC e di analisi SPF, il problema diventa difficile da diagnosticare

Ecco perché i problemi legati ai limiti di ricerca SPF spesso passano inosservati finché la deliverability non cala o i rapporti DMARC non rivelano errori intermittenti.

Altre cause dell'errore SPF PermError

Il superamento del limite di 10 ricerche DNS è la causa più comune dell'errore SPF PermError, ma non è l'unica. Gli errori PermError possono verificarsi anche quando:

  • Multiplo record SPF per lo stesso dominio
  • Il record SPF contiene errori di sintassi
  • Vengono utilizzati meccanismi obsoleti o non supportati
  • Circolare includere: le istruzioni creano cicli di ricerca infiniti

Qualsiasi di questi problemi può compromettere l'autenticazione SPF e influire negativamente sulla consegna delle e-mail.

Controlla la tua politica DMARC per capire il tuo livello di esposizione con un Verificatore di record DMARC

Qualsiasi di questi problemi può causare un errore SPF e alla mancata consegna delle email, quindi è importante verificare regolarmente l'intera configurazione SPF.

Il limite di ricerca dei valori nulli SPF: l'altro vincolo che potresti incontrare

La maggior parte delle guide SPF si limita al limite di 10 ricerche DNS, ma nella RFC 7208 è previsto un secondo vincolo che può causare lo stesso errore anche se il numero di ricerche è ben al di sotto di 10: il limite delle ricerche nulle.

Una ricerca a vuoto è una query DNS che non restituisce alcun risultato utilizzabile.

Questo accade quando una ricerca restituisce:

  • NXDOMAIN (il dominio non esiste)
  • NOERROR senza record (risposta vuota)

La RFC 7208 limita la valutazione SPF a un massimo di 2 ricerche nulle per ogni controllo.

Se si verifica una terza ricerca senza risultati, il server ricevente restituisce:

Errore permanente SPF

Ciò significa che:

È possibile generare un errore SPF PermError anche se il record presenta meno di 10 ricerche DNS.

È proprio questo che rende pericolose le ricerche in spazi vuoti, poiché sono più difficili da individuare e spesso vengono trascurate durante le verifiche SPF.

I risultati nulli nelle ricerche derivano solitamente da record SPF obsoleti o configurati in modo errato:

  • includere: punto a un dominio che non ha più un record SPF
  • un o mx meccanismi che fanno riferimento a domini senza record DNS validi
  • Fornitori di servizi di posta elettronica obsoleti o fuori servizio
  • Errori di battitura nei nomi di dominio all'interno dei meccanismi SPF

Basta un solo include obsoleto per generare silenziosamente una ricerca senza risultati ad ogni controllo SPF.

Ecco in cosa differiscono il limite di 10 ricerche e il limite di ricerche nulle:

LimiteCosa misuraSogliaCondizione di errore
Limite di ricerca DNSNumero totale di meccanismi di interrogazione DNS1011ª ricerca
Limite di ricerca nulloRisposte DNS non riuscite/vuote23° tentativo di ricerca non riuscito

Entrambe le operazioni portano allo stesso risultato: SPF PermError.

Per evitare errori di ricerca in spazi vuoti:

  • Controlla regolarmente il tuo record SPF per verificare la presenza di voci obsolete includere: dichiarazioni
  • Elimina i servizi che non utilizzi più
  • Verificare che tutti i domini a cui si fa riferimento restituiscano record DNS validi
  • Utilizza un strumento di verifica SPF che segnali le ricerche non valide, non solo il numero totale di ricerche

Lo strumento di verifica SPF di PowerDMARC rileva sia le ricerche totali che quelle nulle, consentendoti così di individuare questi errori nascosti prima che compromettano la deliverability.

Come verificare se il tuo record SPF supera il limite

Verificare se il tuo record SPF supera il limite di 10 ricerche DNS è il primo passo per risolvere i problemi di consegna. Esistono diversi modi per eseguire un controllo del record SPF e verificare il numero attuale di ricerche.

Sintesi: Un monitoraggio regolare dell'SPF tramite strumenti diagnostici e la convalida manuale aiuta a prevenire le violazioni dei limiti di ricerca prima che abbiano un impatto sulla consegna delle e-mail.

Utilizzare uno strumento diagnostico SPF

L'uso di uno strumento di diagnostica SPF può aiutare a verificare che un record SPF sia valido e funzioni correttamente. Questi strumenti analizzano il record SPF, contano ogni ricerca DNS, incluse le inclusioni annidate, e segnalano eventuali errori o avvisi.

Lo strumento gratuito di PowerDMARC per il controllo dei record SPF ti permette di visualizzare immediatamente il numero totale di ricerche, individuare quali meccanismi generano il maggior numero di query e individuare eventuali configurazioni errate prima che causino problemi di consegna.

Traccia manualmente il tuo record SPF

Se preferisci controllare tu stesso il tuo record SPF, puoi contare manualmente le ricerche DNS esaminando ogni meccanismo presente nel record.

Inizia dal record TXT SPF del tuo dominio e conta tutti i meccanismi “include”, “a”, “mx”, “ptr”, “redirect” ed “exists”. Quindi, per ogni "include", cerca il record SPF del dominio di riferimento e conta anche i suoi meccanismi che causano la ricerca.

Gli elementi nidificati si sommano rapidamente, motivo per cui le organizzazioni che utilizzano più provider di servizi di posta elettronica spesso superano il limite senza rendersene conto.

Monitorare la convalida SPF nel tempo

I record SPF non sono statici. Man mano che si aggiungono o si rimuovono provider di servizi di posta elettronica, si cambiano gli ambienti di hosting o si aggiorna l'infrastruttura di posta elettronica, anche il record SPF cambia. Si consiglia di convalidare i record SPF dopo aver apportato modifiche per garantire il rispetto del limite di 10 lookup.

L'impostazione di un monitoraggio continuo tramite la piattaforma PowerDMARC ti offre una visibilità costante sulla tua configurazione SPF e ti avvisa quando le modifiche superano il limite del tuo record.

Come correggere e ottimizzare il tuo record SPF

Se il tuo record SPF supera o si avvicina al limite di 10 ricerche DNS, puoi adottare diverse misure pratiche per ridurre il numero di ricerche senza compromettere la copertura dell'autenticazione e-mail.

Sintesi: L'ottimizzazione dell'SPF comporta la rimozione dei servizi inutilizzati, la sostituzione dei meccanismi che richiedono un'elevata attività di ricerca con indirizzi IP diretti e l'implementazione di una gestione automatizzata per infrastrutture complesse.

Verifica il tuo attuale record SPF e conta le ricerche

Inizia con analizzare il tuo record SPF utilizzando uno strumento di verifica SPF affidabile. Questo ti aiuta a identificare il numero totale di ricerche DNS, inclusi gli include annidati, e segnala problemi come ricerche nulle o configurazioni errate. Inoltre evidenzia quali meccanismi stanno consumando il maggior numero di query.

È possibile effettuare un conteggio manuale, ma spesso risulta impreciso a causa della ricorsione all'interno dei domini inclusi; pertanto, si consiglia di utilizzare uno strumento ogni volta che sia possibile.

Rimuovere i servizi inutilizzati o non necessari

L'ottimizzazione più semplice consiste nel controllare il proprio record SPF e rimuovere tutti i meccanismi che fanno riferimento a servizi che non si utilizzano più.

Nel corso del tempo, le organizzazioni aggiungono provider di servizi di posta elettronica, piattaforme di marketing e strumenti di terze parti al proprio record SPF, ma dimenticano di rimuoverli quando non sono più attivi.

Per ridurre il numero di ricerche necessarie, le organizzazioni dovrebbero rimuovere i servizi inutilizzati dal proprio record SPF. Ciò significa anche rimuovere i valori SPF predefiniti che sono stati aggiunti durante la configurazione iniziale ma che attualmente non hanno alcuna utilità.

Evita ptr e ridurre al minimo l'uso non necessario di mx inutile

Il meccanismo è fortemente sconsigliato dagli standard SPF. Esegue ricerche DNS inverse per ogni IP mittente, rendendolo lento, inaffidabile e gravoso in termini di ricerche. Se presente, rimuovilo e sostituiscilo con riferimenti diretti all'IP.

Il meccanismo può anche aumentare il numero di ricerche. Prima risolve i record MX e poi esegue ulteriori ricerche per ogni server di posta associato. Se la tua infrastruttura è stabile, sostituisci mx con ip4: o ip6: per una maggiore efficienza.

Sostituire i meccanismi che richiedono molte ricerche con ip4 o ip6

Ogni meccanismo "include", "a" e "mx" richiede almeno una ricerca DNS. Ove possibile, sostituiscili con meccanismi ip4 o ip6 che specificano direttamente gli indirizzi IP autorizzati. L'uso di meccanismi ip4 o ip6 nei record SPF non richiede ricerche aggiuntive e può aiutare a mantenere la conformità al limite di ricerca.

Ad esempio, se il record SPF di un provider di servizi di posta elettronica risolve un insieme noto di indirizzi IP statici, è possibile elencare direttamente tali IP anziché utilizzare un "include" che attiva più ricerche DNS.

Utilizzare l'appiattimento SPF (soluzione temporanea)

L'appiattimento SPF sostituisce includere: i meccanismi con i loro indirizzi IP risolti, riducendo quasi a zero le ricerche DNS. Per riportare rapidamente il tuo record al di sotto del limite, usa l'appiattimento SPF automatizzato, quindi convalida il record aggiornato prima di pubblicarlo.

Tuttavia, ciò comporta alcuni svantaggi. Se un provider modifica i propri indirizzi IP e il tuo record non viene aggiornato, anche le e-mail legittime potrebbero non superare il controllo SPF. L'appiattimento manuale richiede un monitoraggio e una manutenzione costanti.

Utilizza SPF in hosting o le macro SPF (soluzione definitiva)

Per garantire la stabilità a lungo termine, prendi in considerazione una soluzione SPF in hosting come PowerDMARC. Questi sistemi gestiscono in modo dinamico il tuo record SPF utilizzando macro o risoluzione esterna, assicurandoti di rimanere automaticamente entro i limiti di ricerca.

Questo approccio elimina:

  • Aggiornamenti manuali in caso di modifica degli indirizzi IP dei fornitori
  • Rischi derivanti da registrazioni obsolete e semplificate
  • Costi generali di manutenzione ordinaria

È particolarmente utile per le organizzazioni che utilizzano diversi servizi di terze parti o che gestiscono infrastrutture di posta elettronica complesse.

Evitare il meccanismo ptr

Si sconsiglia vivamente l'uso del meccanismo ptr, poiché può comportare un aumento delle ricerche necessarie, causando problemi di Permerror.

Il meccanismo ptr esegue una ricerca DNS inversa per ogni indirizzo IP in connessione, il che risulta lento e inaffidabile. La stessa specifica SPF ne sconsiglia l'uso. Se il tuo record SPF include attualmente un meccanismo ptr, rimuovilo e sostituiscilo con riferimenti IP diretti.

Ridurre al minimo l'uso del meccanismo mx

Evitare il meccanismo MX nei record SPF può aiutare a non superare il limite di 10 ricerche DNS. Il meccanismo MX risolve innanzitutto il record MX del dominio e poi esegue ulteriori ricerche per risolvere l'indirizzo IP di ciascun server di posta elencato.

Se il tuo dominio presenta più record MX, un singolo meccanismo "mx" può richiedere diverse ricerche. Sostituiscilo con voci ip4 o ip6 per i tuoi server di posta, ove possibile.

Consolidare le dichiarazioni incluse

Se il tuo record SPF ha più meccanismi "include" che puntano a servizi correlati, verifica se è possibile consolidarli.

Alcuni provider di servizi di posta elettronica condividono infrastrutture sovrapposte, il che significa che potresti eseguire ricerche ridondanti. Esamina ogni inclusione per determinare se è ancora necessaria e se è possibile fare riferimento direttamente agli indirizzi IP sottostanti.

Convalidare dopo ogni modifica

La convalida dei record SPF dopo aver apportato modifiche è essenziale per garantire la conformità al limite di 10 ricerche.

Anche una piccola modifica, come l'aggiunta di un singolo nuovo "include" per una piattaforma di marketing, può far superare il limite al tuo record se innesca ricerche annidate. Esegui un controllo del tuo record tramite uno strumento di diagnostica SPF dopo ogni aggiornamento per confermare che rimanga valido.

Appiattimento dei record SPF: cos'è e quando utilizzarlo

L'appiattimento dei record SPF è una tecnica utilizzata per ottimizzare i record SPF al fine di superare il limite di 10 ricerche DNS previsto per l'SPF. È una delle soluzioni più discusse per le organizzazioni con infrastrutture di posta elettronica complesse, ma comporta dei compromessi che è importante comprendere.

Per una guida completa all'ottimizzazione su come ottimizzare il tuo record SPF, leggi il nostro blog dedicato alla guida all'ottimizzazione SPF

Come funziona l'appiattimento dei record SPF

L'appiattimento dei record SPF sostituisce i meccanismi che causano la ricerca in un record SPF con i relativi indirizzi IP o intervalli CIDR, riducendo il numero di query DNS necessarie per verificare il record SPF.

Invece di includere un riferimento come "include:emailprovider.com" che attiva una o più ricerche DNS, risolvi quel riferimento ai suoi indirizzi IP sottostanti e li elenchi direttamente nel tuo record utilizzando meccanismi ip4 o ip6.

Ad esempio, se "include:emailprovider.com" viene risolto in tre indirizzi IP, l'appiattimento sostituisce l'istruzione "include" con quelle tre voci IPv4. Il controllo SPF ora restituisce lo stesso risultato senza richiedere ulteriori query DNS per quel provider.

Quando appiattire aiuta

Appiattire un record SPF può ridurre il numero di meccanismi e modificatori di query DNS in modo che sia inferiore a 10. Ciò è particolarmente utile quando:

  • Il tuo dominio invia e-mail tramite molti servizi di terze parti e il solo conteggio delle inclusioni supera i 10.
  • Hai già eliminato i servizi inutilizzati e consolidato dove possibile, ma sei ancora oltre il limite.
  • Hai bisogno di un modo rapido per rendere i tuoi registri conformi mentre pianifichi una strategia di ottimizzazione a lungo termine.

Perché l'appiattimento manuale dell'SPF è una soluzione temporanea

L'appiattimento dell'SPF può portare rapidamente il tuo record al di sotto del limite di 10 ricerche, ma appiattire manualmente il tuo record SPF non è una soluzione a lungo termine perché comporta una serie di rischi diversi che possono compromettere la consegna delle e-mail con la stessa facilità.

Rischio 1: Modifica degli indirizzi IP dei fornitori

La maggior parte dei provider di servizi di posta elettronica modifica o amplia i propri intervalli di indirizzi IP di invio senza preavviso.

Quando si appiattisce manualmente il record SPF:

  • se inserisci quegli indirizzi IP in modo statico nel tuo DNS
  • ma il tuo provider continua a evolversi dietro le quinte

Non appena la loro lista di indirizzi IP cambia, il tuo record SPF diventa obsoleto e le e-mail legittime iniziano a non superare l'autenticazione.

Rischio 2: Dimensione del record SPF (255 caratteri + limiti DNS)

L'appiattimento sostituisce gli "include" con indirizzi IP multipli, il che può ingrossare rapidamente il record SPF.

Ciò comporta due problemi:

  • I record TXT del DNS hanno un limite di 255 caratteri per stringa
  • I record SPF eccessivamente lunghi possono compromettere l'analisi o superare i limiti del DNS

Cercare di "modificare" i limiti di ricerca può causare involontariamente errori di sintassi o problemi di troncamento dei record.

Rischio 3: Mancanza di monitoraggio o visibilità

L'appiattimento manuale è statico. Non esiste un metodo integrato per:

  • rilevare quando cambiano gli intervalli di indirizzi IP
  • conteggio delle ricerche nel tempo
  • avvisarti in caso di errori di autenticazione

Ciò significa che spesso i problemi passano inosservati finché la deliverability non cala.

Rischio 4: Onere di manutenzione continua

Ogni volta che:

  • aggiungi un nuovo servizio di posta elettronica
  • modificare l'infrastruttura
  • oppure il tuo provider aggiorna gli indirizzi IP

È necessario ricreare e convalidare manualmente il proprio record SPF.

Per i team che gestiscono più domini o clienti, questa situazione diventa ben presto insostenibile.

Manuale L'appiattimento SPF risolve il sintomo (limite di ricerca), non la complessità di fondo (infrastruttura dinamica).

È qui che entrano in gioco le soluzioni SPF in hosting.

Invece di inserire indirizzi IP fissi, piattaforme come PowerDMARC gestiscono dinamicamente il tuo record SPF tramite macro e aggiornamenti automatici, consentendoti di rispettare il limite di query senza dover intervenire manualmente di continuo.

Altre limitazioni dei record SPF da conoscere

Il limite di 10 ricerche DNS è la restrizione SPF più nota, ma non è l'unica. I proprietari dei domini dovrebbero essere a conoscenza di queste ulteriori limitazioni dei record SPF per evitare errori di autenticazione imprevisti.

Sintesi: Oltre al limite di 10 ricerche, l'SPF presenta vincoli relativi al numero di record, ai limiti di caratteri, alle ricerche nulle e agli scenari di inoltro che influiscono sull'autenticazione delle e-mail.

Solo un record SPF per dominio

La specifica SPF richiede che ogni dominio pubblichi un solo record TXT SPF.

Se il record SPF contiene più record SPF per un dominio, ciò può causare un errore SPF PermError e il server di destinazione potrebbe rifiutare o gestire in modo errato l'e-mail. Se devi autorizzare altri mittenti, aggiungili al record SPF esistente anziché crearne uno nuovo.

SPF controlla il percorso di ritorno, non l'indirizzo del mittente.

SPF autentica il dominio nell'indirizzo del percorso di ritorno, non nel campo "Da" leggibile dall'utente che vede il destinatario. Ciò significa che un malintenzionato può falsificare l'indirizzo "Da" superando l'autenticazione SPF utilizzando un dominio di ritorno diverso.

DMARC colma questa lacuna richiedendo una corrispondenza o un allineamento tra il campo "Da" leggibile dall'utente e il dominio autenticato da SPF.

Il limite di 255 caratteri per le stringhe

Sebbene un record SPF possa contenere più di 255 caratteri in totale, un singolo record DNS TXT è limitato a 255 caratteri. I record SPF più lunghi devono essere suddivisi in più stringhe all'interno dello stesso record TXT.

La maggior parte dei provider DNS gestisce questa operazione automaticamente, ma configurazioni errate possono causare errori di analisi.

Limite di ricerca nullo

Oltre al limite di 10 ricerche DNS, la specifica SPF limita anche il numero di "ricerche nulle", ovvero query DNS che non restituiscono alcun record (risposta vuota o risposta NXDOMAIN).

Il superamento di questo limite, che in genere è di due ricerche non valide, può anche attivare un errore SPF PermError.

Nessuna protezione per le e-mail inoltrate

Quando un'e-mail viene inoltrata, l'indirizzo IP del mittente viene sostituito da quello del server di inoltro, che difficilmente è presente nel record SPF del mittente originale. Ciò può far sì che l'e-mail inoltrata non superi i controlli SPF, anche se il messaggio originale era legittimo.

Migliori pratiche per non superare il limite di ricerca SPF

Rimanere entro il limite di 10 ricerche DNS imposto dall'SPF richiede una disciplina costante. Segui queste best practice per mantenere il tuo record ottimizzato ed evitare errori imprevisti:

  • Controlla il tuo record SPF ogni volta che aggiungi o rimuovi una piattaforma di invio
  • Non pubblicare mai più di un record SPF per dominio
  • Evita il ptr , rimuovilo se è presente nel tuo record
  • Usa ip4: e ip6: ovunque gli intervalli IP siano stabili e noti
  • Configurare i report DMARC per individuare tempestivamente gli errori SPF intermittenti
  • Utilizza un sistema di monitoraggio automatico (come PowerDMARC) per ricevere avvisi quando il numero di ricerche cambia
  • Se gestisci più di tre o quattro servizi di invio di posta di terze parti, valuta l'utilizzo di un servizio SPF in hosting

In che modo il servizio SPF in hosting di PowerDMARC aiuta a prevenire gli errori di verifica SPF 

La gestione manuale dell'SPF diventa presto ingestibile negli attuali ambienti di posta elettronica. Ogni nuova piattaforma di posta elettronica, strumento di marketing, CRM, servizio di assistenza o servizio cloud può comportare l'aggiunta di inclusioni SPF, ricerche annidate e un aumento dei costi di manutenzione.

L'appiattimento manuale degli SPF può ridurre temporaneamente il numero di ricerche, ma crea un altro problema: mantenere aggiornati gli indirizzi IP hardcoded man mano che i fornitori aggiornano la propria infrastruttura di invio.

L'Hosted SPF di PowerDMARC, o PowerSPF, risolve il problema di gestione sottostante mantenendo aggiornati i record SPF man mano che l’infrastruttura di invio cambia. A differenza del flattening statico degli SPF, l’Hosted SPF gestisce dinamicamente la configurazione SPF dietro le quinte, aiutando le organizzazioni a rimanere conformi alla RFC 7208 senza una manutenzione costante del DNS.

Grazie a PowerSPF, le organizzazioni possono:

  • Aggiornare automaticamente i record SPF quando cambiano gli indirizzi IP dei fornitori
  • Utilizza le macro SPF per rispettare il limite di 10 ricerche DNS e i limiti di lunghezza dei caratteri DNS
  • Effettua una modifica una tantum al DNS invece di modificare manualmente i record SPF più volte
  • Gestire configurazioni SPF complesse che coinvolgono più fornitori, inclusioni annidate, infrastrutture regionali e domini aziendali
  • Monitorare gli errori SPF, le ricerche non valide e i problemi di autenticazione prima che compromettano la consegna

Ciò risulta particolarmente utile per le organizzazioni che utilizzano contemporaneamente piattaforme come Microsoft 365, Salesforce, HubSpot, SendGrid, Mailchimp e altri servizi di invio di posta di terze parti, dove gli include annidati possono far superare silenziosamente i limiti RFC dei record SPF.

Come spiega un cliente di PowerDMARC:

«PowerDMARC è di grande aiuto per risolvere gli errori SPF, soprattutto semplificando il processo di "SPF folding" per i clienti che necessitano di un numero di inclusioni SPF superiore a quello tecnicamente consentito.»

Con l'automatizzazione appiattimento SPF, il monitoraggio delle ricerche in tempo reale, gli avvisi di errore e gli strumenti per SPF, DKIM, DMARC e BIMI, PowerDMARC aiuta le organizzazioni a mantenere i record SPF entro il limite di ricerca e a garantire una configurazione di autenticazione più pulita.

Per cominciare, controlla il numero di ricerche SPF effettuate con SPF Checker di PowerDMARC e individua eventuali problemi prima che compromettano l'autenticazione delle email.


Domande frequenti

1. Qual è il limite di 10 ricerche DNS per SPF?

La specifica SPF, definita nella RFC 7208, limita ogni verifica SPF a un massimo di 10 meccanismi di interrogazione DNS.

Se il record SPF richiede più di 10 consultazioni durante la verifica, il server ricevente restituisce un errore SPF PermError, che viene interpretato come un errore da DMARC. Ciò può comportare il rifiuto di email legittime o il loro invio nella cartella dello spam.

2. Quali meccanismi SPF vengono conteggiati ai fini del limite di 10 ricerche?

I seguenti meccanismi attivano le ricerche DNS e vengono conteggiati ai fini del limite:

  • includere
  • a
  • mx
  • ptr
  • esiste
  • reindirizza a=

Questi non contano:

  • ip4, ip6 (IP diretti)
  • tutto (generico)
  • v=spf1 (tag versione)
  • La query DNS iniziale per recuperare il tuo record SPF

3. Che cos'è un errore PermError di SPF?

Si verifica un errore SPF PermError (errore permanente) quando un server ricevente non è in grado di valutare correttamente il record SPF.

La causa più comune è il superamento del limite di 10 ricerche DNS, ma può verificarsi anche a causa di:

  • errori di sintassi
  • record SPF multipli
  • violazioni del limite di ricerca
  • la circolare comprende

In tal caso, l'SPF non funziona affatto e ciò potrebbe compromettere la consegna delle e-mail.

4. Qual è il limite per la ricerca degli spazi vuoti SPF?

Oltre al limite di 10 ricerche, la RFC 7208 limita anche le ricerche nulle, ovvero le query DNS che non restituiscono alcun risultato (NXDOMAIN o risposte vuote).

Il limite è di 2 ricerche non valide per ogni controllo SPF.

Se il tuo record SPF genera una terza ricerca non valida, il server ricevente restituisce un PermError anche se il numero totale di ricerche è inferiore a 10.

5. L'appiattimento SPF risolve il problema del limite di 10 ricerche?

Sì, ma solo per un po'.

La compressione SPF sostituisce include con indirizzi IP diretti, riducendo le ricerche DNS. Tuttavia, richiede una manutenzione costante poiché i provider di servizi di posta elettronica aggiornano frequentemente i propri intervalli di indirizzi IP.

Se il tuo record appiattito non è più aggiornato, anche le e-mail legittime potrebbero non superare i controlli SPF.

6. Come posso verificare quante ricerche DNS effettua il mio record SPF?

Puoi utilizzare uno strumento di verifica SPF per analizzare il tuo record e contare le ricerche DNS, comprese quelle annidate.

Il verificatore SPF di PowerDMARC mostra:

  • numero totale di ricerche
  • conteggio delle ricerche
  • quali meccanismi stanno consumando le operazioni di ricerca

Questo ti aiuta a individuare i problemi prima che compromettano la consegna dei messaggi.

7. Qual è la differenza tra l'appiattimento delle immagini in SPF e le macro in SPF?

La funzione di appiattimento SPF sostituisce in modo statico i file inclusi con indirizzi IP, riducendo il numero di ricerche ma richiedendo aggiornamenti manuali.

Le macro SPF (utilizzate nelle soluzioni SPF in hosting) risolvono dinamicamente i record SPF durante la valutazione, consentendo di rispettare i limiti di ricerca senza dover gestire manualmente gli elenchi di indirizzi IP.

Le macro sono più scalabili e più adatte a configurazioni di posta elettronica complesse o che coinvolgono più fornitori.

8. Con quale frequenza dovrei controllare il mio record SPF?

Ti consigliamo di controllare il tuo record SPF:

  • ogni volta che aggiungi o rimuovi un servizio di posta elettronica
  • a seguito di modifiche alle infrastrutture
  • almeno una volta al mese

In caso di configurazioni complesse, si consiglia un monitoraggio costante per individuare tempestivamente eventuali problemi legati ai limiti di ricerca e garantire una deliverability costante.

Ultimi messaggi di Ahona Rudra (vedi tutti)
Ultimo aggiornamento:
Studio di caso DMARC MSP: Come QIT Solutions ha semplificato la sicurezza delle e-mail per i clienti...PowerDMARC è tra le 100 aziende software a più rapida crescita di G2 20...