Macro SPF: tutto quello che c'è da sapere

Blog

Scopri come le macro SPF semplificano l'autenticazione delle e-mail per i responsabili IT, gli amministratori e i team di sicurezza. La guida di PowerDMARC illustra casi d'uso, esempi e best practice.

di Maitham Al Lawati

Ultimo aggiornamento:
7 Tempo di lettura: 7 minuti
Macro SPF: tutto quello che c'è da sapere
Indice dei contenuti-

Le macro SPF sono sequenze di caratteri che possono essere utilizzate per semplificare un record SPF sostituendo i meccanismi definiti all'interno di tale record DNS.

I punti chiave da prendere in considerazione

  1. Le macro SPF consentono di creare record SPF più dinamici e scalabili, facilitando l'autenticazione delle e-mail per i proprietari dei domini.
  2. Le macro in SPF riducono la lunghezza e la complessità dei record SPF, aiutando a non superare il limite di lunghezza del DNS.
  3. Le aziende con infrastrutture multidominio possono beneficiare della flessibilità e dell'ottimizzazione offerte dalle macro SPF.
  4. L'uso delle macro SPF può contribuire a mitigare i problemi legati ai DNS e alle ricerche nulle, migliorando i tassi di consegna delle e-mail.
  5. Ideale per organizzazioni che gestiscono più domini o infrastrutture di posta elettronica complesse.
  6. PowerSPF sfrutta le macro SPF per migliorare la flessibilità e l'efficienza nella gestione dei record SPF.

Le macro SPF sono una funzione efficace e importante del Sender Policy Framework, utilizzata quando i proprietari di domini richiedono un record SPF più dinamico e scalabile per l'autenticazione dei loro domini e-mail. La funzione macro SPF fa parte della sintassi del record SPF. sintassi del record SPFche definisce sequenze di caratteri che vengono sostituite dai metadati delle singole e-mail che richiedono la convalida SPF. Ciò contribuisce a creare record SPF semplificati, evitando la generazione di record SPF lunghi e complicati.

A differenza delle soluzioni tradizionali, PowerSPF offre supporto macro automatizzato, appiattimento SPF in tempo reale e assistenza dedicata da parte di esperti, ed è scelto da oltre 2000 organizzazioni in tutto il mondo.

Per saperne di più, è possibile visitare il documento ufficiale IETF.

Cosa sono le macro SPF?

Le macro SPF sono sequenze di caratteri che possono essere utilizzate per semplificare la configurazione del record SPF sostituendo i meccanismi definiti all'interno del suddetto record SPF record DNS TXT, come spiegato nella RFC 7208, sezione 7.

I record SPF sono per lo più semplici e le istruzioni per i server dei destinatari sul trattamento delle e-mail illegittime provenienti dal vostro dominio possono essere stabilite utilizzando i meccanismi SPF, i qualificatori e i modificatori. Tuttavia, ci sono alcune situazioni in cui i meccanismi SPF non sono sufficienti e bisogna ricorrere alle macro SPF. 

Le macro SPF sono rappresentate dal simbolo di percentuale (%) e includono una combinazione di due o più lettere, modificatori e delimitatori. Durante il processo di autenticazione SPF, le macro SPF vengono valutate e sostituite con i valori corrispondenti.

Ad esempio, i valori %s e %d indicano rispettivamente l'indirizzo del mittente e il nome del dominio collegato all'identità verificata. 

I modificatori come r, l o vengono applicati per estrarre elementi particolari dell'indirizzo o del dominio, mentre i delimitatori come - o . aiutano a separare i diversi elementi all'interno della macro.

Comprendere il ruolo dell'SMTP nelle macro SPF

Per comprendere appieno le macro SPF, è essenziale capire come interagiscono con SMTP (Simple Mail Transfer Protocol), il protocollo fondamentale per la trasmissione delle e-mail.

Variabili SMTP nelle macro SPF

  • Sender IP Address: Retrieved from the SMTP connection (%{i} macro)
  • HELO/EHLO Hostname: Captured during SMTP handshake (%{h} macro)
  • Envelope Sender: From the MAIL FROM command (%{s} macro)
  • Domain Information: Extracted from various SMTP headers (%{d} macro)

Questo approccio dinamico consente alle macro SPF di convalidare le fonti di invio in tempo reale sulla base dei dati effettivi delle transazioni SMTP, rendendole particolarmente preziose per le organizzazioni con infrastrutture di posta elettronica complesse.

Banner SPF di PowerDMARC

L'SPF smette di funzionare senza dare alcun preavviso. Te ne accorgi solo quando le e-mail smettono di arrivare.

PowerDMARC ha aiutato oltre 10.000 clienti a:

Pannello di controllo unico per SPF, DMARC e DKIM
Monitoraggio automatizzato — senza dover setacciare i dati grezzi
Avvisi immediati in caso di configurazioni errate e lacune nelle politiche
Scalabilità su domini client multi-tenant

I primi 15 giorni sono a nostro carico

Iscriviti per una prova gratuita

Tipi di macro SPF

Le macro SPF sono indicate da singoli alfabeti o caratteri diversi, racchiusi da parentesi graffe { } e preceduti da un segno di percentuale (%), che si riferiscono a meccanismi specifici all'interno del record SPF. Ecco le macro principali.

MacroSintassiSignificatoEsempio
%{s}%{s}Indirizzo e-mail del mittente[email protected]
%{l}%{l}Parte locale del mittentesegno
%{o}%{o}Dominio del mittenteesempio.com
%{d}%{d}Dominio di invio autorevoleesempio.com
%{i}%{i}Indirizzo IP del mittente192.168.1.100
%{h}%{h}Nome host HELO/EHLOmail.esempio.com

Esistono molte altre macro che possono essere specificate nel record, ma ne abbiamo elencate alcune comuni.

Come funzionano le macro SPF?

Con le macro SPF, i proprietari dei domini possono specificare i riferimenti a determinati meccanismi all'interno del proprio record SPF, sostituendo così tali meccanismi. Durante una query DNS da parte dell'MTA ricevente, i riferimenti vengono quindi utilizzati per estrarre i meccanismi ed espandere il record, contribuendo a creare record SPF più gestibili e adattabili.

Di seguito è riportato un esempio di macro utilizzate in un record SPF.

“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”

  • Qui, il file include: contiene le macro SPF.
  • Esistono due macro SPF, ciascuna rappresentata da una sequenza di caratteri composta da segno di percentuale, parentesi graffa sinistra, lettera macro e parentesi graffa destra. Nell'esempio precedente, %{i} indica l'indirizzo IP del mittente e %{d} rappresenta il dominio del mittente dal comando "MAIL FROM".
  • Considerando l'IP 192.168.1.100 come l'indirizzo IP del dominio di invio, quando viene inviata un'e-mail da questo IP il server di ricezione avvia una query DNS per cercare il record DNS SPF del dominio.
  • Una volta che il destinatario consulta il record SPF del dominio mittente, si imbatte nelle macro SPF che vengono successivamente sostituite con i valori corrispondenti.
  • Questo record SPF esteso viene quindi esaminato per determinare se l'e-mail riesce a passare la convalida SPF o se non supera il controllo. 

Quando si usano le macro nel record SPF?

Le macro SPF possono essere utilizzate in una serie di scenari diversi, a seconda delle esigenze dei proprietari dei domini. Possono essere utili se si vuole semplificare una complessa infrastruttura di autenticazione delle e-mail, se si utilizzano diversi servizi di gestione delle e-mail di terze parti o semplicemente se si vuole ridurre la dimensione del record SPF.

Di seguito sono riportati alcuni casi comuni in cui le macro SPF possono rivelarsi vantaggiose:

Organizzazioni con infrastruttura multidominio

Le organizzazioni di livello aziendale che gestiscono più domini sono gli utenti più adatti per le macro SPF, sebbene possano essere utilizzate da organizzazioni di tutte le dimensioni. Le macro offrono una flessibilità notevolmente maggiore e un'ottimizzazione più efficace dei record SPF rispetto ai metodi di appiattimento tradizionali, garantendo il funzionamento ottimale di SPF anche in ambienti multidominio. Ciò elimina anche la necessità di creare più record SPF.

Per un operatore sanitario che gestisce diversi domini per diverse cliniche, le macro semplificano la gestione SPF nell'intera rete.

Grandi infrastrutture di posta elettronica

Le aziende con infrastrutture di posta elettronica complesse possono avere bisogno di incorporare una serie di meccanismi SPF, ottimizzati al meglio utilizzando le macro SPF. Queste macro forniranno un modo per definire i riferimenti ai meccanismi, assicurando che il record non diventi troppo lungo e che rimanga al di sotto dei valori RFC specificato di 512 ottetti.

Servizi di terze parti

Le organizzazioni che utilizzano diversi fornitori di posta elettronica di terze parti possono ora stare tranquille sapendo che l'SPF non si romperà, grazie all'inclusione di macro SPF che facilitano l'ottimizzazione degli include di terze parti, garantendo al contempo che il record non superi i limiti consentiti per le ricerche DNS e void.

Le organizzazioni risolvono i problemi SPF con le macro SPF

È possibile includere più macro SPF in un record e sbarazzarsi dei problemi comuni evidenziati durante le ispezioni SPF eseguite manualmente o con l'ausilio di un controllore SPF. Ecco cosa si può fare potenzialmente:

1. Impedire i record SPF lunghi che causano un errore di temporizzazione

Quando il tuo record SPF ha più include: , è possibile evitare che il record diventi troppo lungo. Tuttavia, questa non è una soluzione permanente. Utilizzando le macro SPF nella configurazione SPF del tuo dominio configurazione SPF, si elimina la possibilità che il record superi il limite di lunghezza specificato da RFC per i record DNS TXT (512 caratteri).

2. Limitare le ricerche DNS e Void e mitigare i permerrori

Le organizzazioni che utilizzano più fonti di invio di terze parti e fornitori di posta elettronica tendono a superare i limiti di ricerca specificati dall'RFC per le query DNS. Questo perché ogni fornitore aggiunge almeno una o più ricerche. Ciò può accumularsi e causare la rottura del record SPF, con conseguente errore SPF permerror.

Utilizzando le macro SPF per aggiungere i riferimenti agli indirizzi IP o ai domini di questi fornitori esterni, è possibile limitare le fonti non autorizzate, garantendo al contempo di rimanere al di sotto dei limiti di ricerca.

Come testare e risolvere i problemi delle macro SPF

Testare le macro SPF è fondamentale per garantire che funzionino correttamente nella tua infrastruttura di posta elettronica. Ecco un approccio graduale per convalidare e risolvere i problemi relativi all'implementazione delle macro SPF.

Lista di controllo per i test passo dopo passo

  1. Utilizza i validatori SPF online: verifica il tuo record SPF con la sintassi macro utilizzando strumenti come il controllo SPF di PowerDMARC.
  2. Test di ricerca DNS: utilizzare strumenti da riga di comando come nslookup o dig per verificare l'espansione delle macro.
  3. Invia e-mail di prova: invia e-mail da diverse fonti e controlla le intestazioni di autenticazione
  4. Monitorare i rapporti DMARC: esaminare i rapporti relativi agli errori di autenticazione SPF
  5. Controlla le intestazioni delle e-mail: esamina le intestazioni dei risultati di autenticazione per i risultati SPF

Problemi comuni di risoluzione dei problemi

  1. Errori di sintassi: formattazione macro errata o parentesi graffe mancanti
  2. Risoluzione DNS: espansione macro che porta a domini inesistenti
  3. Limiti di ricerca: superamento del limite di 10 ricerche DNS anche con le macro
  4. Limiti dei caratteri: macro espanse che creano record DNS eccessivamente lunghi
  • PowerDMARC SPF Checker – Convalida SPF completa
  • Strumenti da riga di comando: dig, nslookup, host
  • Analizzatori di intestazioni e-mail per la verifica dei risultati dell'autenticazione

Sfruttare le macro nella configurazione SPF con PowerSPF

Le macro SPF sono state ampiamente supportate dagli MTA per consentire dinamismo e scalabilità in termini di autenticazione SPF, creazione di record e gestione. PowerSPF integra perfettamente le macro SPF in modo che i nostri clienti possano generare record SPF con maggiore flessibilità. 

Perché appiattire il record SPF non è sufficiente?

Il tradizionale metodo di appiattimento SPF si rivela efficace nella maggior parte dei casi che coinvolgono organizzazioni di piccole e medie dimensioni con configurazioni più semplici e un numero inferiore di meccanismi SPF. Tuttavia, la situazione può diventare progressivamente più difficile quando i meccanismi aumentano, portando alle seguenti situazioni sfavorevoli: 

  • Il numero di ricerche DNS può arrivare fino a 10.
  • La lunghezza dell'ultimo record DNS potrebbe superare i 512 caratteri (dimensione massima consentita per i record DNS TXT).
  • Gli IP autorizzati e le fonti di invio sono visibili pubblicamente, con conseguenti problemi di privacy.

Macro SPF: un approccio migliore

Realizzate tenendo conto delle aziende con configurazioni SPF complesse, ma ugualmente efficaci anche per le piccole e medie imprese, le macro in SPF consentono di ottimizzare e gestire i record in modo più efficiente rispetto al tipico approccio di appiattimento. Ecco come: 

  • Le macro in SPF limitano le ricerche DNS e void per rimanere sotto i limiti massimi di 10 e 2 rispettivamente. 
  • Mantiene la lunghezza dei caratteri del tuo record, assicurando che non superi il limite di 512 caratteri.
  • Gli IP autorizzati e le fonti di invio sono sostituiti da riferimenti caratteriali, che li nascondono al pubblico. 

Appiattimento SPF vs macro SPF

Record SPF iniziale (5 ricerche)Macro SPF (1 ricerca)Appiattimento SPF (2 ricerche)
v=spf1 include:_spf.google.com include:zcsend.net -allv=spf1 exists:%{i}.abcde12345.macrospf.powerspf.com -allabcde12345.powerspf.com:
v=spf1 ip6:2c0f:fb50:4000::/36 ip6:2a00:1450:4000::/36 ip6:2800:3f0:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2404:6800:4000::/36 ip6:2001:4860:4000::/36 ip4:74.125.0.0/16 ip4:35.191.0.0/16 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:72.14.192.0/18 ip4:64.233.160.0/19 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ip4:172.217.192.0/19 ip4:172.217.128.0/19 ip4:172.217.0.0/19 ip4:108.177.96.0/19 ip4:66.249.80.0/20 ip4:66.102.0.0/20 ip4:172.253.112.0/20 ip4:172.217.32.0/20 include:_s1.abcde12345.powerspf.com -all
_s1.abcde12345.powerspf.com:
v=spf1 ip4:172.217.160.0/20 ip4:172.253.56.0/21 ip4:108.177.8.0/21 ip4:130.211.0.0/22 ip4:136.143.160.0/23 ip4:135.84.82.0/23 ip4:35.190.247.0/24 ip4:165.173.128.0/24 ip4:135.84.81.0/24 -all

Quando utilizzare le macro SPF rispetto all'appiattimento SPF

  • Utilizza le macro SPF quando: disponi di infrastrutture di posta elettronica complesse e dinamiche o hai bisogno di privacy per fonti autorizzate.
  • Utilizza SPF Flattening quando: hai configurazioni più semplici con intervalli IP statici e meno servizi di terze parti.
  • Approccio ibrido: combinare entrambi i metodi per ottenere risultati ottimali negli ambienti aziendali

Sintesi e prossimi passi

Le macro SPF offrono una soluzione potente per le organizzazioni con infrastrutture di posta elettronica complesse, fornendo un'autenticazione dinamica che si adatta alle esigenze aziendali.

Azioni chiave:

  • Valuta la complessità e i limiti di ricerca della tua attuale configurazione SPF.
  • Verifica i tuoi record SPF utilizzando gli strumenti di convalida di PowerDMARC
  • Considerare l'implementazione delle macro SPF per ambienti multi-dominio
  • Monitorare i report DMARC per tracciare le prestazioni dell'autenticazione SPF
  • Inizia la tua prova gratuita per provare la gestione automatizzata delle macro SPF

Scopri la differenza di PowerDMARC: contattaci per una demo individuale con un esperto di sicurezza dei domini e delle e-mail

Domande frequenti

1. Che cos'è una macro SPF?

Una macro SPF è una sequenza di caratteri in un record SPF che viene sostituita dinamicamente con valori effettivi durante l'autenticazione dell'e-mail. Le macro utilizzano variabili come %{i} per l'indirizzo IP o %{d} per il dominio per creare record SPF flessibili e scalabili che si adattano a diversi scenari di invio.

2. TXT è uguale a SPF?

No, TXT è un tipo di record DNS, mentre SPF è un protocollo di autenticazione e-mail. I record SPF vengono pubblicati come record TXT nel DNS, ma non tutti i record TXT contengono informazioni SPF. I record SPF iniziano sempre con "v=spf1" per identificarli come politiche SPF.

3. Come posso verificare se le mie macro SPF funzionano?

È possibile testare le macro SPF utilizzando validatori SPF online, inviando e-mail di prova e controllando le intestazioni di autenticazione, monitorando i rapporti DMARC per i risultati SPF e utilizzando strumenti di ricerca DNS per verificare l'espansione delle macro. Lo strumento di controllo SPF di PowerDMARC è in grado di convalidare la sintassi e la funzionalità delle macro.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)
Ultimo aggiornamento:
7 buone pratiche per proteggere il MacBookLe migliori pratiche per proteggere il vostro macbookL'influenza dell'intelligenza artificiale e dell'apprendimento automatico nella sicurezza informatica dell'istruzioneL'influenza dell'IA e dell'apprendimento automatico nella cybersicurezza educativa