• Limitazioni dei record SPF: Comprensione dei limiti SPF nell'autenticazione e-mail

Limitazioni dei record SPF: Comprensione dei limiti SPF nell'autenticazione e-mail

Blog

Scopri i limiti dell'SPF, compreso il limite di 10 ricerche DNS che causa errori nella posta elettronica. Scopri come rilevare, correggere e ottimizzare il tuo record SPF.

di Ahona Rudra

Ultimo aggiornamento:
11 11 minuti di lettura
Limitazioni dei record SPF: Comprensione dei limiti SPF nell'autenticazione e-mail
Indice dei contenuti-

I punti chiave da prendere in considerazione

  • SPF (Sender Policy Framework) specifica quali server di posta sono autorizzati a inviare e-mail per conto del tuo dominio, ma presenta alcune limitazioni integrate che possono causare problemi di consegna se non gestite correttamente.
  • La specifica SPF limita le ricerche DNS a 10 per ogni controllo SPF, comprese le ricerche causate dai meccanismi "include", "a", "mx", "ptr" e "redirect".
  • Il superamento del limite attiva un errore "SPF PermError: troppe ricerche DNS", che fa fallire la verifica SPF e viene interpretato da DMARC come un errore, bloccando potenzialmente le e-mail dalla casella di posta in arrivo.
  • Meccanismi come "ip4" e "ip6" non vengono conteggiati ai fini del limite, mentre "include" e "mx" possono consumare più ricerche ciascuno, specialmente con riferimenti nidificati.
  • Per rimanere entro il limite, rimuovere i servizi inutilizzati, evitare "ptr" e "mx" ove possibile, sostituire i meccanismi che richiedono molte ricerche con riferimenti IP diretti e prendere in considerazione l'appiattimento automatico dei record SPF.

Il tuo record SPF potrebbe compromettere silenziosamente la deliverability delle tue email, e non te ne accorgeresti mai semplicemente guardandolo.

SPF, o Sender Policy Framework, è uno dei protocolli fondamentali di autenticazione delle e-mail utilizzati per prevenire lo spoofing dei domini e gli attacchi di phishing. Tuttavia, ogni volta che si aggiunge un nuovo provider di servizi di posta elettronica, una piattaforma di marketing o uno strumento di terze parti, il record SPF cresce e con esso il numero di ricerche DNS necessarie per verificarlo.

Questa guida illustra i limiti SPF che è necessario conoscere, spiega perché esiste il limite di 10 ricerche DNS e illustra come individuare, risolvere e prevenire gli errori SPF prima che danneggino la reputazione del dominio.

Che cos'è l'SPF e come funziona?

SPF è un protocollo di autenticazione e-mail progettato per proteggere il tuo dominio dall'uso improprio per lo spoofing delle email. Funziona specificando quali server di posta sono autorizzati a inviare email per conto del tuo dominio e fornisce ai server di ricezione un modo per verificare se un messaggio in arrivo è legittimo.

Come funziona l'autenticazione SPF

Il record SPF è un record DNS TXT utilizzato per eseguire il processo di autenticazione delle e-mail.

Quando pubblichi un record SPF per il tuo dominio, stai essenzialmente comunicando al mondo quali indirizzi IP e server di posta sono autorizzati a inviare e-mail utilizzando il tuo nome di dominio. Ecco cosa succede quando viene inviata un'e-mail:

  • Il server ricevente controlla l'indirizzo del percorso di ritorno del mittente e cerca il record SPF per quel dominio.
  • Il server valuta il record SPF per determinare se l'indirizzo IP del mittente corrisponde agli indirizzi IP autorizzati elencati.
  • Se l'indirizzo IP del mittente corrisponde, l'e-mail supera il controllo SPF.
  • Se non corrisponde, l'e-mail non supera la verifica SPF e il server ricevente la gestisce in base alla politica SPF del dominio e alla configurazione DMARC

L'SPF consente al server del destinatario di verificare se l'e-mail proviene effettivamente dalla fonte che dichiara di essere. Ciò lo rende una prima linea di difesa fondamentale contro lo spoofing e un componente chiave per ottenere la conformità DMARC.

Che cos'è il limite di ricerca DNS SPF 10?

La specifica SPF impone un limite rigoroso al numero di ricerche DNS che possono essere effettuate durante un singolo controllo.

Una politica SPF non può richiedere più di 10 termini che necessitano di ulteriori ricerche DNS per essere valutati. Ciò include qualsiasi ricerca attivata da meccanismi quali "include", "a", "mx", "ptr" e il modificatore "redirect".

Cosa conta ai fini del limite

I record SPF utilizzano una combinazione di meccanismi e modificatori per definire quali server sono autorizzati a inviare e-mail per il tuo dominio.

Alcuni di questi richiedono che il server di posta ricevente esegua ulteriori query DNS per risolverli, e ogni query conta ai fini del limite di 10 ricerche DNS. I meccanismi e i modificatori che richiedono ricerche DNS includono:

  • include — avvia una ricerca del record SPF di un altro dominio, oltre a eventuali ricerche annidate al suo interno
  • a — richiede una query DNS per risolvere i record A o AAAA per il dominio specificato
  • mx — richiede una query DNS per risolvere il record MX, seguita da ulteriori query per risolvere gli indirizzi IP di ciascun server di posta elencato
  • ptr — richiede una query DNS ptr per eseguire una ricerca inversa ed è fortemente sconsigliato a causa della sua inaffidabilità e della possibilità di causare molteplici ricerche aggiuntive.
  • redirect — avvia una ricerca del record SPF del dominio reindirizzato
  • esiste — richiede una query DNS per verificare se un dominio specifico viene risolto

Se il record SPF contiene molti meccanismi, in particolare inclusioni nidificate, può superare rapidamente il limite di 10 ricerche DNS.

Cosa non conta ai fini del limite

I seguenti meccanismi ed elementi non vengono conteggiati nel limite di 10 ricerche:

  • ip4 e ip6 : specificano direttamente gli indirizzi IP autorizzati, senza richiedere alcuna risoluzione DNS aggiuntiva.
  • tutti — il meccanismo catch-all alla fine del record non richiede una ricerca
  • La query DNS iniziale per il record della politica SPF stesso , ovvero la query DNS per recuperare il record TXT SPF dal DNS del dominio, non viene conteggiata ai fini del limite.
  • v=spf1 — il tag di versione che identifica il record come SPF

L'utilizzo dei meccanismi ip4 o ip6 nei record SPF non richiede ulteriori ricerche e può aiutare a rimanere entro il limite. Ecco perché sostituire i meccanismi che richiedono molte ricerche con riferimenti IP diretti è una delle strategie di ottimizzazione più efficaci.

Banner SPF di PowerDMARC

L'SPF smette di funzionare senza dare alcun preavviso. Te ne accorgi solo quando le e-mail smettono di arrivare.

PowerDMARC ha aiutato oltre 10.000 clienti a:

Pannello di controllo unico per SPF, DMARC e DKIM
Monitoraggio automatizzato — senza dover setacciare i dati grezzi
Avvisi immediati in caso di configurazioni errate e lacune nelle politiche
Scalabilità su domini client multi-tenant

I primi 15 giorni sono a nostro carico

Iscriviti per una prova gratuita

Perché esiste il limite di ricerca SPF 10

Il limite di 10 ricerche DNS può sembrare restrittivo, soprattutto per le organizzazioni che utilizzano più provider di servizi di posta elettronica, ma esiste per importanti motivi di sicurezza e prestazioni.

Prevenzione degli attacchi denial-of-service

Il limite di 10 ricerche aggiuntive è imposto per evitare un carico irragionevole sul DNS e per prevenire attacchi Denial-of-Service (DoS).

Senza questo limite, un hacker potrebbe creare un record SPF con centinaia di inclusioni nidificate, costringendo ogni server di posta in arrivo che elabora un'e-mail proveniente da quel dominio a eseguire un numero enorme di query DNS. Ciò potrebbe sovraccaricare i server DNS e compromettere le prestazioni di Internet.

Garantire l'elaborazione tempestiva delle e-mail

Ogni ricerca DNS durante un controllo SPF aggiunge latenza al processo di consegna delle e-mail. Se ai record SPF fossero consentite ricerche illimitate, il tempo necessario per la verifica SPF potrebbe aumentare in modo significativo, causando timeout delle query DNS e problemi temporanei al server DNS.

Il limite di 10 ricerche garantisce che i controlli SPF possano essere completati in modo rapido e affidabile senza creare colli di bottiglia nella consegna delle e-mail.

Mantenimento della stabilità del DNS

L'infrastruttura DNS è una risorsa condivisa. Consentire ricerche illimitate durante l'autenticazione SPF comporterebbe un carico eccessivo sui resolver ricorsivi e sui server dei nomi autoritativi, in particolare per i mittenti con volumi elevati.

Il limite protegge l'ecosistema DNS più ampio mantenendo gestibile il volume delle query relative all'SPF.

Cosa succede quando si supera il limite di ricerca SPF

Il superamento del limite di ricerca SPF non comporta solo un avviso minore. Provoca un grave errore che può influire direttamente sulla consegna delle e-mail nelle caselle di posta dei destinatari.

SPF PermError e errore di verifica

Quando l'implementazione SPF sul server di posta elettronica ricevente rileva più di 10 meccanismi di interrogazione DNS o modificatori nel record SPF del dominio del mittente, restituisce il messaggio "SPF PermError: troppe ricerche DNS".

Secondo le specifiche SPF, se un destinatario supera il limite di ricerca DNS durante la valutazione della politica SPF, deve fallire la verifica SPF per quel messaggio con un errore permanente.

Ciò significa che l'e-mail non ottiene semplicemente un risultato "soft" negativo o neutro. Riceve un errore permanente che comunica al server ricevente che il record SPF non può essere valutato affatto.

Impatto su DMARC e sulla deliverability delle e-mail

Se la tua politica DMARC è impostata su quarantena o rifiuto, le e-mail che attivano un errore SPF PermError potrebbero essere inviate allo spam o bloccate completamente.

Il superamento del limite di ricerca SPF influisce sulla deliverability delle email, riducendo la probabilità che queste vengano recapitate nella casella di posta principale dei destinatari previsti. Nel tempo, ripetuti errori SPF possono anche danneggiare la reputazione del tuo dominio, rendendo più difficile la consegna anche delle email legittime.

Altre cause di SPF PermError

Sebbene il superamento del limite di 10 ricerche DNS sia la causa più comune di SPF PermError, non è l'unica. Un SPF PermError può verificarsi anche quando:

  • Il record SPF contiene errori di sintassi che ne impediscono la corretta interpretazione
  • Per un singolo dominio vengono pubblicati più record SPF, il che viola le specifiche SPF.
  • Il record utilizza meccanismi obsoleti o non supportati.
  • Circular include crea un ciclo infinito nella catena di ricerca

Qualsiasi di questi problemi può causare il malfunzionamento dell'SPF e la mancata consegna delle e-mail, quindi è importante verificare regolarmente l'intera configurazione dell'SPF.

Come verificare se il tuo record SPF supera il limite

Identificare se il tuo record SPF supera il limite di 10 ricerche DNS è il primo passo per risolvere i problemi di consegna. Esistono diversi modi per eseguire un controllo del record SPF e verificare il tuo conteggio attuale delle ricerche.

Utilizzare uno strumento diagnostico SPF

L'utilizzo di uno strumento diagnostico SPF può aiutare a verificare che un record SPF sia valido e funzioni correttamente. Questi strumenti analizzano il record SPF, contano ogni ricerca DNS, comprese quelle nidificate, e segnalano eventuali errori o avvisi.

Il verificatore gratuito dei record SPF di PowerDMARC ti consente di visualizzare immediatamente il numero totale di ricerche, identificare quali meccanismi consumano il maggior numero di query e individuare le configurazioni errate prima che causino problemi di consegna.

Traccia manualmente il tuo record SPF

Se preferisci controllare tu stesso il tuo record SPF, puoi contare manualmente le ricerche DNS esaminando ogni meccanismo presente nel record.

Inizia con il record SPF TXT del tuo dominio e conta tutti i meccanismi "include", "a", "mx", "ptr", "redirect" ed "exists". Quindi, per ogni "include", cerca il record SPF del dominio di riferimento e conta anche i suoi meccanismi che causano la ricerca.

Gli elementi nidificati si sommano rapidamente, motivo per cui le organizzazioni che utilizzano più provider di servizi di posta elettronica spesso superano il limite senza rendersene conto.

Monitorare la convalida SPF nel tempo

I record SPF non sono statici. Quando aggiungi o rimuovi provider di servizi di posta elettronica, modifichi gli ambienti di hosting o aggiorni la tua infrastruttura di posta elettronica, anche il tuo record SPF cambia. Si consiglia di convalidare i record SPF dopo aver apportato modifiche per garantire la conformità al limite di 10 ricerche.

L'impostazione di un monitoraggio continuo tramite la piattaforma PowerDMARC ti offre una visibilità costante sulla tua configurazione SPF e ti avvisa quando le modifiche superano il limite del tuo record.

Come correggere e ottimizzare il tuo record SPF

Se il tuo record SPF supera o si avvicina al limite di 10 ricerche DNS, puoi adottare diverse misure pratiche per ridurre il numero di ricerche senza compromettere la copertura dell'autenticazione e-mail.

Rimuovere i servizi inutilizzati o non necessari

L'ottimizzazione più semplice consiste nel controllare il proprio record SPF e rimuovere tutti i meccanismi che fanno riferimento a servizi che non si utilizzano più.

Nel corso del tempo, le organizzazioni aggiungono provider di servizi di posta elettronica, piattaforme di marketing e strumenti di terze parti al proprio record SPF, ma dimenticano di rimuoverli quando non sono più attivi.

Per ridurre il numero di ricerche necessarie, le organizzazioni dovrebbero rimuovere i servizi inutilizzati dal proprio record SPF. Ciò significa anche rimuovere i valori SPF predefiniti che sono stati aggiunti durante la configurazione iniziale ma che attualmente non hanno alcuna utilità.

Sostituire i meccanismi che richiedono molte ricerche con ip4 o ip6

Ogni meccanismo "include", "a" e "mx" richiede almeno una ricerca DNS. Ove possibile, sostituirli con meccanismi ip4 o ip6 che specificano direttamente gli indirizzi IP autorizzati. L'utilizzo dei meccanismi ip4 o ip6 nei record SPF non richiede ricerche aggiuntive e può aiutare a mantenere la conformità con il limite di ricerca.

Ad esempio, se il record SPF di un provider di servizi di posta elettronica risolve un insieme noto di indirizzi IP statici, è possibile elencare direttamente tali IP anziché utilizzare un "include" che attiva più ricerche DNS.

Evitare il meccanismo ptr

L'uso del meccanismo ptr è fortemente sconsigliato in quanto può causare un aumento delle ricerche richieste, portando a problemi di errore permanente.

Il meccanismo ptr esegue una ricerca DNS inversa per ogni IP che si connette, il che è lento e inaffidabile. La specifica SPF stessa ne sconsiglia l'uso. Se il tuo record SPF include attualmente un meccanismo ptr, rimuovilo e sostituiscilo con riferimenti IP diretti.

Ridurre al minimo l'uso del meccanismo mx

Evitare il meccanismo mx nei record SPF può aiutare a rimanere entro il limite di 10 ricerche DNS. Il meccanismo mx risolve prima il record MX del dominio e poi esegue ulteriori ricerche per risolvere l'indirizzo IP di ciascun server di posta elencato.

Se il tuo dominio ha più record MX, un singolo meccanismo "mx" può consumare diverse ricerche. Sostituiscilo con voci ip4 o ip6 per i tuoi server di posta, ove possibile.

Consolidare le dichiarazioni incluse

Se il tuo record SPF ha più meccanismi "include" che puntano a servizi correlati, verifica se è possibile consolidarli.

Alcuni provider di servizi di posta elettronica condividono infrastrutture sovrapposte, il che significa che potresti eseguire ricerche ridondanti. Esamina ogni inclusione per determinare se è ancora necessaria e se è possibile fare riferimento direttamente agli indirizzi IP sottostanti.

Convalidare dopo ogni modifica

La convalida dei record SPF dopo aver apportato modifiche è essenziale per garantire la conformità al limite di 10 ricerche.

Anche una piccola modifica, come l'aggiunta di un singolo nuovo "include" per una piattaforma di marketing, può far superare il limite al tuo record se attiva ricerche nidificate. Esegui una verifica del tuo record tramite uno strumento diagnostico SPF dopo ogni aggiornamento per confermare che rimanga valido.

Appiattimento dei record SPF: cos'è e quando utilizzarlo

L'appiattimento dei record SPF è una tecnica utilizzata per ottimizzare i record SPF al fine di superare il limite di 10 ricerche DNS per SPF. Si tratta di una delle soluzioni più discusse per le organizzazioni con infrastrutture di posta elettronica complesse, ma presenta alcuni compromessi che è importante comprendere.

Come funziona l'appiattimento dei record SPF

L'appiattimento dei record SPF sostituisce i meccanismi che causano la ricerca in un record SPF con i relativi indirizzi IP o intervalli CIDR, riducendo il numero di query DNS necessarie per verificare il record SPF.

Invece di includere un riferimento come "include:emailprovider.com" che attiva una o più ricerche DNS, risolvi quel riferimento ai suoi indirizzi IP sottostanti e li elenchi direttamente nel tuo record utilizzando meccanismi ip4 o ip6.

Ad esempio, se "include:emailprovider.com" risolve tre indirizzi IP, l'appiattimento sostituisce l'istruzione include con quelle tre voci ip4. Il controllo SPF ora restituisce lo stesso risultato senza richiedere ulteriori query DNS per quel provider.

Quando appiattire aiuta

Appiattire un record SPF può ridurre il numero di meccanismi e modificatori di query DNS in modo che sia inferiore a 10. Ciò è particolarmente utile quando:

  • Il tuo dominio invia e-mail tramite molti servizi di terze parti e il solo conteggio delle inclusioni supera i 10.
  • Hai già eliminato i servizi inutilizzati e consolidato dove possibile, ma sei ancora oltre il limite.
  • Hai bisogno di un modo rapido per rendere i tuoi registri conformi mentre pianifichi una strategia di ottimizzazione a lungo termine.

I rischi dell'appiattimento manuale

Sebbene l'appiattimento dei record SPF risolva il problema del limite di ricerca, introduce una sfida in termini di manutenzione. Gli indirizzi IP sottostanti dei fornitori di servizi di posta elettronica possono cambiare senza preavviso.

Se un provider aggiunge, rimuove o ruota gli indirizzi IP e il tuo record appiattito fa ancora riferimento a quelli vecchi, le email legittime inviate dai nuovi IP non supereranno l'ispezione SPF.

La gestione manuale di un record SPF appiattito richiede un monitoraggio costante per garantire che gli indirizzi IP elencati rimangano aggiornati. Questo è il motivo per cui l'appiattimento manuale non è generalmente consigliato come soluzione a lungo termine per le organizzazioni con infrastrutture di posta elettronica dinamiche.

Altre limitazioni dei record SPF da conoscere

Il limite di 10 ricerche DNS è la limitazione SPF più nota, ma non è l'unica. I proprietari di domini devono essere consapevoli di queste ulteriori limitazioni dei record SPF per evitare errori di autenticazione imprevisti.

Solo un record SPF per dominio

La specifica SPF richiede che ogni dominio pubblichi un solo record TXT SPF.

Se il record SPF contiene più record SPF per un dominio, può verificarsi un errore SPF PermError e il server ricevente potrebbe rifiutare o gestire in modo errato l'e-mail. Se è necessario autorizzare altri mittenti, aggiungerli al record SPF esistente anziché crearne uno nuovo.

SPF controlla il percorso di ritorno, non l'indirizzo del mittente.

SPF autentica il dominio nell'indirizzo del percorso di ritorno, non nel campo "Da" leggibile dall'utente che vede il destinatario. Ciò significa che un malintenzionato può falsificare l'indirizzo "Da" superando l'autenticazione SPF utilizzando un dominio di ritorno diverso.

DMARC colma questa lacuna richiedendo una corrispondenza o un allineamento tra il campo "Da" leggibile dall'utente e il dominio autenticato da SPF.

Il limite di 255 caratteri per le stringhe

Sebbene un record SPF possa contenere più di 255 caratteri in totale, un singolo record DNS TXT è limitata a 255 caratteri. I record SPF più lunghi devono essere suddivisi in più stringhe all'interno dello stesso record TXT.

La maggior parte dei provider DNS gestisce questa operazione automaticamente, ma configurazioni errate possono causare errori di analisi.

Limite di ricerca nullo

Oltre al limite di 10 ricerche DNS, la specifica SPF limita anche il numero di "ricerche nulle", ovvero query DNS che non restituiscono alcun record (risposta vuota o risposta NXDOMAIN).

Il superamento di questo limite, che in genere è di due ricerche non valide, può anche attivare un errore SPF PermError.

Nessuna protezione per le e-mail inoltrate

Quando un'e-mail viene inoltrata, l'IP di invio cambia nell'IP del server di inoltro, che difficilmente è elencato nel record SPF del mittente originale. Ciò fa sì che l'e-mail inoltrata non superi i controlli SPF anche se in origine era legittima.

Ottimizza il tuo record SPF con PowerDMARC

L'SPF è essenziale per l'autenticazione delle e-mail, ma le sue limitazioni intrinseche possono compromettere silenziosamente la deliverability delle e-mail se non vengono controllate. Un singolo "include" in più o un meccanismo obsoleto trascurato può spingere il tuo record oltre il limite di 10 ricerche DNS, causando errori SPF che impediscono alle e-mail legittime di raggiungere i destinatari.

PowerDMARC semplifica la gestione SPF.

Con l'appiattimento automatico SPF, il monitoraggio delle ricerche in tempo reale, gli avvisi di errore istantanei e una suite completa di strumenti per SPF, DKIM, DMARCe BIMI, PowerDMARC ti aiuta a rimanere entro il limite di ricerca e a mantenere una configurazione di autenticazione pulita in ogni momento.

Non lasciare che i limiti dell'SPF compromettano silenziosamente la deliverability delle tue e-mail. Contattaci oggi stesso!

Domande frequenti

1. Cosa succede se il mio record SPF supera il limite di 10 ricerche DNS?

Quando il tuo record SPF supera il limite di 10 ricerche DNS, il server di posta ricevente restituirà un risultato "Permerror". Ciò causa il fallimento dell'autenticazione SPF, che può portare al rifiuto delle tue e-mail legittime, alla loro marcatura come spam o alla loro consegna con una reputazione ridotta.

2. Come posso verificare quante ricerche DNS utilizza il mio record SPF?

È possibile utilizzare strumenti di convalida SPF online come il verificatore SPF gratuito di PowerDMARC per analizzare il proprio record e contare le ricerche DNS. Questi strumenti mostrano esattamente quali meccanismi causano le ricerche e aiutano a identificare le opportunità di ottimizzazione. È anche possibile tracciare manualmente il proprio record SPF, contando ogni meccanismo "include", "a", "mx" e "ptr".

3. Quali sono le migliori pratiche per mantenere un record SPF entro il limite di ricerca?

Le migliori pratiche includono: controllare regolarmente il proprio record SPF per rimuovere i servizi inutilizzati, utilizzare indirizzi IP invece di inclusioni ove possibile, evitare i meccanismi "a" e "mx" se non necessario, consolidare più servizi di posta elettronica, implementare l'appiattimento SPF per configurazioni complesse e monitorare il proprio record SPF che avvisa in caso di modifiche nel conteggio delle ricerche.

Ultimi messaggi di Ahona Rudra (vedi tutti)
Ultimo aggiornamento:
Studio di caso DMARC MSP: Come QIT Solutions ha semplificato la sicurezza delle e-mail per i clienti...PowerDMARC è tra le 100 aziende software a più rapida crescita di G2 20...