La differenza tra SPF -all e ~all
di
Ultimo aggiornamento: Tempo di lettura: 8 min
Comprendere i meccanismi SPF -all e ~all è fondamentale per l'autenticazione delle e-mail. Scopri come queste terminazioni dei record SPF influiscono sulla consegna delle e-mail e quale scegliere per la sicurezza del tuo dominio.
Indice dei contenuti
- SPF -all vs ~all
- Spiegazione della sintassi e dei meccanismi dei record SPF
- Come funzionava il meccanismo SPF all (Softfail vs Fail) prima di DMARC?
- Come semplificare la gestione dei record SPF
- Come gestiscono ora i fornitori di servizi e-mail il meccanismo SPF -all vs ~all?
- Cosa raccomandiamo? SPF - tutto o SPF ~ tutto
- Errori comuni nei record SPF e risoluzione dei problemi
- Domande frequenti su SPF Tutto
I punti chiave da prendere in considerazione
- ~tutto e -all indicano entrambi un errore SPF per mittenti non autorizzati, ma -all segnala un intento di applicazione più rigoroso.
- I server di ricezione possono trattare -all in modo più aggressivo rispetto a ~all, a seconda delle politiche e dei segnali di reputazione.
- Inizia con ~all durante il monitoraggio per ridurre il rischio di rifiutare email legittime mentre si confermano tutte le fonti di invio.
- Uso -all solo dopo che le fonti SPF sono complete e i rapporti DMARC confermano che non ci sono lacune nell'autenticazione.
- DMARC definisce come gestire gli errori di autenticazione (monitoraggio, quarantena o rifiuto).
- Una corretta ottimizzazione dell'SPF aiuta a evitare il limite di 10 ricerche DNS man mano che la tua infrastruttura di posta elettronica cresce.
Comprendere l'SPF -all vs ~all è una parte importante dell'autenticazione delle e-mail, perché questi meccanismi indicano come i server di posta in ricezione devono trattare le e-mail inviate da fonti non autorizzate. Entrambi i meccanismi indicano un errore SPF, ma comunicano diversi livelli di intenzione di applicazione e possono influenzare il modo in cui la posta viene filtrata o rifiutata a seconda della politica del destinatario.
Il tutti i meccanismo appare alla fine di un record SPF ed è preceduto da un qualificatore come – (hardfail) o ~ (softfail). La scelta tra i due dipende dalla completezza del record SPF e dal fatto che si stia monitorando attivamente i risultati dell'autenticazione utilizzando DMARC.
Questo articolo spiega come SPF -all e ~all , come vengono interpretati oggi dai provider di caselle di posta elettronica e quando utilizzarli in modo sicuro senza compromettere la consegna delle e-mail legittime.
| Risposta rapida: Usa ~all durante la convalida dei mittenti e il monitoraggio con DMARC. Passa a -all solo quando SPF è completo e i rapporti DMARC non mostrano errori legittimi. |
Spiegazione della sintassi e dei meccanismi dei record SPF
Prima di approfondire le differenze tra SPF -all e ~all, è fondamentale comprendere la sintassi completa del record SPF e tutti i meccanismi disponibili.
Un record SPF segue un formato specifico che indica ai server di posta in arrivo quali indirizzi IP e domini sono autorizzati a inviare e-mail per conto del tuo dominio.
La sintassi di base del record SPF è: v=spf1 [meccanismi] [modificatori] [tutti]
Opzioni di tutti i meccanismi SPF
Il meccanismo "all" alla fine del record SPF determina cosa succede quando un'e-mail non corrisponde a nessuno dei mittenti autorizzati. Ecco tutte e quattro le opzioni:
| Meccanismo | Nome | Risultato | Azione |
|---|---|---|---|
| #NOME? | Passo | PASS | Accetta tutte le e-mail (sconsigliato) |
| ?tutti | Neutro | NEUTRO | Nessuna politica specificata |
| ~tutto | Softfail | SOFTFAIL | Contrassegna come sospetto ma consegna |
| -tutti | Hardfail | FALLIMENTO | Rifiutare le e-mail non autorizzate |
Esempi di record SPF
Ecco alcuni esempi pratici di record SPF che utilizzano meccanismi diversi:
- SPF di base con Softfail: v=spf1 include:_spf.google.com ~all
- Inclusioni multiple con Hardfail: v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com -all
- Indirizzi IP con Softfail: v=spf1 ip4:192.168.1.0/24 ip6:2001:db8::/32 ~all
- Meccanismi misti: v=spf1 a mx include:_spf.google.com ip4:203.0.113.0/24 -all
SPF -all vs ~all
Entrambi i meccanismi SPF -all e SPF ~all indicano un "NOT PASS" per l'autenticazione SPF. Negli ultimi tempi, i provider di posta elettronica utilizzano i risultati SPF come uno dei tanti input, con la politica DMARC e i segnali di reputazione che influenzano pesantemente le decisioni finali di consegna.
Tuttavia, qualche anno fa non era così.
Cosa significa v=spf1 -all?
Il record SPF che termina con "-all" (hardfail) indica ai server di posta in arrivo di rifiutare tutte le e-mail che non provengono dai mittenti autorizzati elencati nel record SPF. Si tratta della politica SPF più rigorosa, che offre la massima protezione contro lo spoofing delle e-mail.
Cosa significa ~all in SPF?
Il meccanismo "~all" (softfail) comunica ai server di ricezione che le e-mail provenienti da mittenti non autorizzati devono essere contrassegnate come sospette, ma comunque consegnate nella casella di posta del destinatario, spesso nella cartella dello spam.
Come funzionava il meccanismo SPF (Softfail vs Fail) prima dell'introduzione del DMARC?
Il DMARC è stato creato molto tempo dopo che SPF era già presente sul mercato come protocollo standard di autenticazione delle e-mail. A quel tempo il meccanismo SPF -all softfail funzionava nel modo seguente:
Supponiamo che il tuo record SPF sia:
v=spf1 include:spf.domain.com ~all (dove ~all indica SPF Softfail)
Il server di posta elettronica del destinatario avrebbe eseguito una ricerca DNS per interrogare il DNS del mittente in merito al suo record SPF. Se il dominio del percorso di ritorno dell'e-mail non fosse stato elencato nel record del mittente, il server di ricezione avrebbe restituito un risultato SPF "NOT PASS", ma avrebbe comunque consegnato l'e-mail nella casella di posta in arrivo del destinatario.
Ora supponiamo che il tuo record SPF sia:
v=spf1 include:spf.domain.com -all (dove -all indica SPF Fail)
Il server di posta elettronica del destinatario avrebbe eseguito una ricerca DNS per interrogare il DNS del mittente in merito al suo record SPF. Se il dominio del percorso di ritorno dell'e-mail non fosse stato elencato nel record del mittente, il server di ricezione avrebbe restituito un risultato SPF "NOT PASS", ma in questo caso l'e-mail sarebbe stata rifiutata e non consegnata alla casella di posta del destinatario.
Per saperne di più sulla storia del Sender Policy Framework.
Come semplificare la gestione dei record SPF
La gestione dei record SPF può diventare complessa man mano che le organizzazioni crescono e aggiungono ulteriori servizi di invio di e-mail. Il limite di 10 ricerche DNS è una sfida comune che causa errori di autenticazione SPF quando viene superato. La soluzione di gestione SPF automatizzata di PowerDMARC affronta queste sfide attraverso tecniche di ottimizzazione avanzate.
La tecnologia di appiattimento SPF di PowerDMARC ottimizza automaticamente i tuoi record SPF per rimanere entro i limiti di ricerca DNS, mantenendo al contempo una copertura completa dell'autenticazione e-mail. Ciò garantisce che le tue e-mail legittime continuino ad essere autenticate correttamente anche quando aggiungi nuovi servizi di posta elettronica e strumenti di marketing.
Semplificate l'SPF con PowerDMARC!
Come gestiscono attualmente i provider di servizi di posta elettronica il meccanismo SPF -all vs ~all?
I moderni provider di servizi di posta elettronica come Gmail, Outlook e Yahoo gestiscono i meccanismi SPF in modo diverso rispetto all'era pre-DMARC. La maggior parte dei principali provider ora si concentra sulle politiche DMARC piuttosto che sui singoli risultati SPF quando prende decisioni relative alla consegna.
- L'approccio di Gmail: Gmail tratta gli errori softfail SPF (~all) come un segnale di autenticazione più debole, mentre considera hardfail (-all) può aumentare il sospetto per i messaggi che non corrispondono alle fonti di invio autorizzate. Le decisioni finali sulla consegna dipendono dalla politica DMARC e da altri segnali di filtraggio.
- Gestione di Microsoft Outlook: Outlook.com e Microsoft 365 considerano i risultati SPF come parte della loro valutazione di filtraggio e autenticazione. Un hardfail (-all) può essere trattato in modo più rigoroso rispetto a un softfail (~all), ma la gestione finale dipende comunque dalla politica DMARC e da ulteriori segnali.
Sebbene al momento sia possibile utilizzare SPF -all o ~all per la maggior parte dei provider di caselle di posta elettronica senza doversi preoccupare di errori di consegna per le e-mail legittime, può verificarsi una situazione in cui un server rifiuta la tua e-mail in caso di attributo -all. Per maggiore sicurezza, è possibile evitare di utilizzare il meccanismo SPF hard fail -all durante la creazione del record SPF. Ecco come procedere:
- Apri il generatore di record PowerDMARC generatore di record SPF per iniziare a creare un record gratuitamente
- Dopo aver incluso gli indirizzi IP e i domini o i tuoi mittenti di posta elettronica, scorri fino all'ultima sezione designata per istruire i server di posta elettronica su quanto dovrebbero essere rigorosi durante la verifica delle tue e-mail
- Scegli l'opzione "Soft-fail" prima di premere il pulsante "Generate SPF Record".
Cosa consigliamo? SPF -all o SPF ~all
Utilizzare SPF ~all (softfail) se:
- Sei nuovo nell'autenticazione delle e-mail e desideri ridurre al minimo i rischi di consegna
- La tua organizzazione aggiunge spesso nuovi servizi di invio di e-mail
- Non hai ancora implementato il monitoraggio DMARC
- Ti trovi in una fase di test e desideri osservare i risultati dell'autenticazione
Utilizzare SPF -all (hardfail) se:
- DMARC è configurato e monitorato correttamente.
- Il tuo record SPF include tutte le fonti di invio legittime
- Desideri la massima protezione contro lo spoofing delle e-mail
- La tua infrastruttura di posta elettronica è stabile e ben documentata
I problemi di recapitabilità delle e-mail relativi al meccanismo SPF -all possono verificarsi in occasioni molto rare. Non è un problema ricorrente che si incontra spesso. Per assicurarti di non incorrere mai in questo problema, puoi prendere i seguenti provvedimenti:
- Configura DMARC per le tue e-mail e abilita reportistica DMARC
- Imposta la tua politica DMARC su monitoraggio e controlla attentamente i risultati dell'autenticazione SPF per individuare eventuali incongruenze nella consegna delle e-mail.
- Se tutto va bene, puoi usare il meccanismo -all nel tuo record SPF. Raccomandiamo di usare l'attributo hard fail poiché afferma che sei sicuro dell'autenticità delle tue email, il che può aumentare la reputazione del tuo dominio
Se attualmente non siete sicuri di usare SPF -all, potete seguire questi passi:
- Configurare un record SPF utilizzando il meccanismo ~all
- Configura DMARC per le tue e-mail e abilita la segnalazione DMARC
- Imposta la tua politica DMARC per rifiutare
Come risolvere gli errori comuni dei record SPF
Gli errori SPF rientrano solitamente in quattro categorie: record mancante, record duplicato, record non valido o ricerca DNS non riuscita. Utilizza l'etichetta di errore riportata di seguito per individuare rapidamente la soluzione.
Gli errori SPF più comuni includono:
- SPF PermError: Il tuo record SPF non è valido. Questo si verifica in genere a causa di errori di sintassi o perché il record supera il limite di 10 ricerche DNS (ad esempio, troppe meccanismi di inclusione ).
- SPF TempError: un problema temporaneo di risoluzione DNS (timeout, errori DNS transitori). Il problema potrebbe risolversi da solo, ma errori TempError ripetuti indicano solitamente problemi di instabilità del DNS o del server dei nomi.
- SPF Nessuno: non è stato trovato alcun record SPF per il dominio controllato. Ciò significa spesso che SPF non è pubblicato, è pubblicato sul dominio sbagliato o che il DNS non è stato propagato.
- Record SPF multipli: esiste più di un record TXT SPF per lo stesso dominio, il che compromette la valutazione SPF e spesso causa errori di autenticazione.
Se visualizzi spesso "Nessun record SPF trovato", significa che il server ricevente ha restituito un risultato nullo durante la ricerca del record TXT SPF nel DNS. Ciò può essere causato da un record mancante, da un dominio errato controllato (Return-Path vs From) o da problemi di pubblicazione/propagazione del DNS. (Link all'articolo "Nessun record SPF trovato" qui.)
Se hai configurato DMARC insieme a SPF, i server di ricezione valuteranno anche la tua politica DMARC per decidere come trattare i messaggi che non superano l'autenticazione. In base alla tua politica, i messaggi non autenticati possono essere consegnati, messi in quarantena o rifiutati. Una politica di rifiuto DMARC può ridurre significativamente gli attacchi di impersonificazione come lo spoofing e il phishing, indicando ai destinatari di bloccare la posta non autenticata.
Il monitoraggio SPF di PowerDMARC ti aiuta a individuare tempestivamente questi errori segnalando i problemi di autenticazione, individuando la causa principale e guidandoti nella risoluzione dei problemi prima che la deliverability ne risenta.
Domande frequenti
Cosa significa v=spf1 -all?
Il record SPF "v=spf1 -all" significa che solo gli indirizzi IP e i domini esplicitamente elencati nel record SPF sono autorizzati a inviare e-mail per il tuo dominio. Qualsiasi e-mail proveniente da fonti non autorizzate verrà rifiutata (hardfail). Si tratta della politica SPF più rigorosa e fornisce la massima protezione contro lo spoofing delle e-mail.
Qual è la differenza tra SPF e DKIM?
SPF (Sender Policy Framework) verifica che le e-mail provengano da indirizzi IP autorizzati, mentre DKIM (DomainKeys Identified Mail) utilizza firme crittografiche per verificare l'integrità e l'autenticità delle e-mail. SPF controlla il server di invio, mentre DKIM verifica che il contenuto dell'e-mail non sia stato manomesso durante il transito.
L'SPF è uguale per tutti i diversi provider di posta elettronica?
No, diversi provider di posta elettronica possono interpretare i risultati SPF in modo diverso. Sebbene la maggior parte dei provider moderni segua standard simili, alcuni possono essere più indulgenti con i risultati softfail (~all), mentre altri applicano rigorosamente politiche hardfail (-all). DMARC aiuta a standardizzare questi comportamenti tra i vari provider.
Cosa fa +all in SPF?
Il meccanismo "+all" in SPF significa "pass all" (consenti tutto): consente a qualsiasi indirizzo IP di inviare e-mail per conto del tuo dominio. Si sconsiglia vivamente di utilizzarlo, poiché non fornisce alcuna protezione contro lo spoofing delle e-mail e rende sostanzialmente inefficace il tuo record SPF.
Devo usare SPF -all o ~all per il mio dominio?
Inizia con ~all (softfail) mentre stai ancora confermando tutte le fonti di invio legittime o la tua configurazione è in fase di modifica. Passa a -all (hardfail) solo dopo che il tuo record SPF è completo e i rapporti DMARC mostrano che le e-mail legittime non falliscono l'autenticazione, in modo da poter applicare una protezione più rigorosa con un rischio minore.
Come posso risolvere gli errori di autenticazione SPF?
Le soluzioni più comuni includono: aggiungere indirizzi IP o domini mancanti al record SPF, ridurre le ricerche DNS per rimanere al di sotto del limite di 10 ricerche, rimuovere i record SPF duplicati e garantire una sintassi corretta dei record SPF. La gestione automatizzata SPF di PowerDMARC può aiutare a risolvere automaticamente questi problemi.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.
Ultimi messaggi di Yunes Tarada (vedi tutti)
