Le macro SPF sono una funzione efficace e importante del Sender Policy Framework, utilizzata quando i proprietari di domini richiedono un record SPF più dinamico e scalabile per l'autenticazione dei loro domini e-mail. La funzione macro SPF fa parte della sintassi del record SPF. sintassi del record SPFche definisce sequenze di caratteri che vengono sostituite dai metadati delle singole e-mail che richiedono la convalida SPF. Ciò contribuisce a creare record SPF semplificati, evitando la generazione di record SPF lunghi e complicati.
Noi di PowerDMARC abbiamo progettato la nostra acclamata soluzione di gestione SPF PowerSPF in modo da utilizzare le tecnologie SPF Flattening e SPF Macros per offrire un'ampia flessibilità nell'autenticazione SPF e nell'ottimizzazione dei record. Nel corso degli anni PowerSPF è diventato uno dei prodotti preferiti dai clienti grazie alla sua semplicità d'uso e alla sua efficacia.
Per saperne di più, è possibile visitare il documento ufficiale IETF.
Spiegazione delle macro SPF
Le macro SPF sono sequenze di caratteri che possono essere utilizzate per semplificare la configurazione del record SPF, sostituendo i meccanismi definiti all'interno del record SPF DNS TXT, come spiegato nella sezione 7 della RFC 7208.
I record SPF sono per lo più semplici e le istruzioni per i server dei destinatari sul trattamento delle e-mail illegittime provenienti dal vostro dominio possono essere stabilite utilizzando i meccanismi SPF, i qualificatori e i modificatori. Tuttavia, ci sono alcune situazioni in cui i meccanismi SPF non sono sufficienti e bisogna ricorrere alle macro SPF.
Le macro SPF sono rappresentate da un segno di percentuale (%) e comprendono una combinazione di due o più lettere, modificatori e delimitatori. Durante il processo di autenticazione SPF, le macro SPF vengono valutate e sostituite con i valori corrispondenti, come spiegato in
Ad esempio, i valori %s e %d indicano rispettivamente l'indirizzo del mittente e il nome del dominio collegato all'identità verificata.
I modificatori come r, l o vengono applicati per estrarre elementi particolari dell'indirizzo o del dominio, mentre i delimitatori come - o . aiutano a separare i diversi elementi all'interno della macro.
Tipi di macro SPF
Le macro SPF sono indicate da singoli alfabeti o caratteri diversi, racchiusi da parentesi graffe { } e preceduti da un segno di percentuale (%), che si riferiscono a meccanismi specifici all'interno del record SPF. Ecco le macro principali.
- %{s}: The “s” Macro represents the sender’s email address. Example- Mark@domain.com.
- %{l}: It’s used to denote the local part of the sender. Example- Mark.
- %{o}: This highlights the sender’s domain. Example: domain.com.
- %{d}: Similar to “o”, this Macro represents the authoritative sending domain. In most cases it is the same as the sender’s domain however, it may differ in some cases.
- %{i}: It’s used to extract the IP address of the sender of the message, e.g. 192.168.1.100
- %{h}: The hostname specified by the HELO or EHLO command used during the SMTP connection when the message is being sent is referred to by the %{h} macro.
Esistono molte altre macro che possono essere specificate nel record, ma ne abbiamo elencate alcune comuni.
Come funzionano le macro SPF?
Con le macro SPF, i proprietari dei domini possono specificare i riferimenti a determinati meccanismi all'interno del proprio record SPF, sostituendo così tali meccanismi. Durante una query DNS da parte dell'MTA ricevente, i riferimenti vengono quindi utilizzati per estrarre i meccanismi ed espandere il record, contribuendo a creare record SPF più gestibili e adattabili.
Di seguito è riportato un esempio di macro utilizzate in un record SPF.
“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”
- Qui, il file include: contiene le macro SPF.
- Esistono due macro SPF, ciascuna rappresentata da una sequenza di caratteri composta da segno di percentuale, parentesi graffa sinistra, lettera macro e parentesi graffa destra. Nell'esempio precedente, %{i} indica l'indirizzo IP del mittente e %{d} rappresenta il dominio del mittente dal comando "MAIL FROM".
- Considerando l'IP 192.168.1.100 come l'indirizzo IP del dominio di invio, quando viene inviata un'e-mail da questo IP il server di ricezione avvia una query DNS per cercare il record DNS SPF del dominio.
- Una volta che il destinatario consulta il record SPF del dominio mittente, si imbatte nelle macro SPF che vengono successivamente sostituite con i valori corrispondenti.
- Questo record SPF esteso viene quindi esaminato per determinare se l'e-mail riesce a passare la convalida SPF o se non supera il controllo.
Quando si usano le macro nel record SPF?
Le macro SPF possono essere utilizzate in una serie di scenari diversi, a seconda delle esigenze dei proprietari dei domini. Possono essere utili se si vuole semplificare una complessa infrastruttura di autenticazione delle e-mail, se si utilizzano diversi servizi di gestione delle e-mail di terze parti o semplicemente se si vuole ridurre la dimensione del record SPF.
Di seguito sono riportati alcuni casi comuni in cui le macro SPF possono rivelarsi vantaggiose:
Organizzazioni con infrastruttura multidominio
Le organizzazioni di livello aziendale che gestiscono più domini sono gli utenti più adatti per le macro SPF, anche se possono essere utilizzate da organizzazioni di tutte le dimensioni. Le macro offrono una flessibilità sostanzialmente maggiore e un'ottimizzazione efficace dei record SPF rispetto ai metodi di appiattimento tradizionali, per garantire che l'SPF funzioni senza problemi anche in ambienti con più domini. Questo elimina anche la necessità di creare più record SPF.
Grandi infrastrutture di posta elettronica
Le aziende con infrastrutture di posta elettronica complesse possono avere bisogno di incorporare una serie di meccanismi SPF, ottimizzati al meglio utilizzando le macro SPF. Queste macro forniranno un modo per definire i riferimenti ai meccanismi, assicurando che il record non diventi troppo lungo e che rimanga al di sotto dei valori RFC specificato di 512 ottetti.
Servizi di terze parti
Le organizzazioni che utilizzano diversi fornitori di posta elettronica di terze parti possono ora stare tranquille sapendo che l'SPF non si romperà, grazie all'inclusione di macro SPF che facilitano l'ottimizzazione degli include di terze parti, garantendo al contempo che il record non superi i limiti consentiti per le ricerche DNS e void.
Le organizzazioni risolvono i problemi SPF con le macro SPF
È possibile includere più macro SPF in un record e sbarazzarsi dei problemi comuni evidenziati durante le ispezioni SPF eseguite manualmente o con l'ausilio di un controllore SPF. Ecco cosa si può fare potenzialmente:
1. Impedire i record SPF lunghi che causano un errore di temporizzazione
Quando il record SPF ha più include: può evitare che il record diventi troppo lungo. Tuttavia, questa non è una soluzione permanente. Utilizzando le macro SPF nella configurazione SPF del dominio, si eliminano le possibilità che il record superi il limite di lunghezza specificato dalla RFC per i record TXT del DNS (512 caratteri).
2. Limitare le ricerche DNS e Void e mitigare i permerrori
Le organizzazioni che utilizzano più fonti di invio e fornitori di posta elettronica di terze parti sono inclini a superare i limiti di ricerca specificati da RFC per le query DNS. Questo perché ogni fornitore aggiunge almeno uno o più lookup. Questo può causare l'interruzione del record SPF, con il risultato di SPF permerror.
Utilizzando le macro SPF per aggiungere i riferimenti agli indirizzi IP o ai domini di questi fornitori esterni, è possibile limitare le fonti non autorizzate, garantendo al contempo di rimanere al di sotto dei limiti di ricerca.
Sfruttare le macro nella configurazione SPF con PowerSPF
Le macro SPF sono state ampiamente supportate dagli MTA per consentire dinamismo e scalabilità in termini di autenticazione SPF, creazione di record e gestione. PowerSPF integra perfettamente le macro SPF in modo che i nostri clienti possano generare record SPF con maggiore flessibilità.
Perché appiattire il record SPF non è sufficiente?
Il metodo tradizionale di appiattimento dell'SPF si rivela efficace nella maggior parte dei casi in cui si tratta di organizzazioni di piccole e medie dimensioni con configurazioni più semplici e un numero inferiore di meccanismi SPF. Tuttavia, le cose possono diventare progressivamente più difficili quando i meccanismi aumentano, portando alle seguenti situazioni sfavorevoli:
- Il numero di ricerche DNS può arrivare fino a 10.
- La lunghezza dell'ultimo record DNS potrebbe superare i 512 caratteri (dimensione massima consentita per i record DNS TXT).
- Gli IP autorizzati e le fonti di invio sono visibili pubblicamente, con conseguenti problemi di privacy.
Macro SPF: un approccio migliore
Realizzate tenendo conto delle aziende con configurazioni SPF complesse, ma ugualmente efficaci anche per le piccole e medie imprese, le macro in SPF consentono di ottimizzare e gestire i record in modo più efficiente rispetto al tipico approccio di appiattimento. Ecco come:
- Le macro in SPF limitano le ricerche DNS e void per rimanere sotto i limiti massimi di 10 e 2 rispettivamente.
- Mantiene la lunghezza dei caratteri del record, assicurandosi che non si superi il limite di 512 caratteri
- Gli IP autorizzati e le fonti di invio sono sostituiti da riferimenti caratteriali, che li nascondono al pubblico.
Appiattimento SPF vs macro SPF
| Record SPF iniziale (5 ricerche) | Macro SPF (1 ricerca) | Appiattimento SPF (2 ricerche) |
| v=spf1 include:_spf.google.com include:zcsend.net -all | v=spf1 exists:%{i}.abcde12345.macrospf.powerspf.com -all | abcde12345.powerspf.com:
v=spf1 ip6:2c0f:fb50:4000::/36 ip6:2a00:1450:4000::/36 ip6:2800:3f0:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2404:6800:4000::/36 ip6:2001:4860:4000::/36 ip4:74.125.0.0/16 ip4:35.191.0.0/16 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:72.14.192.0/18 ip4:64.233.160.0/19 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ip4:172.217.192.0/19 ip4:172.217.128.0/19 ip4:172.217.0.0/19 ip4:108.177.96.0/19 ip4:66.249.80.0/20 ip4:66.102.0.0/20 ip4:172.253.112.0/20 ip4:172.217.32.0/20 include:_s1.abcde12345.powerspf.com -all _s1.abcde12345.powerspf.com: v=spf1 ip4:172.217.160.0/20 ip4:172.253.56.0/21 ip4:108.177.8.0/21 ip4:130.211.0.0/22 ip4:136.143.160.0/23 ip4:135.84.82.0/23 ip4:35.190.247.0/24 ip4:165.173.128.0/24 ip4:135.84.81.0/24 -all |
Provate oggi le nostre soluzioni SPF - contattateci per una dimostrazione individuale con un esperto di sicurezza dei domini e delle e-mail!
- Correggere il perturbatore SPF: Superare il limite di troppe ricerche DNS di SPF - 26 aprile 2024
- Come pubblicare un record DMARC in 3 passi? - 2 aprile 2024
- Perché il DMARC non funziona? Risolvere il fallimento del DMARC nel 2024 - 2 aprile 2024