Correggere il perturbatore SPF: Superare il limite di troppe ricerche DNS di SPF
di
Tempo di lettura: 7 min
Il Sender Policy Framework (SPF) è un metodo di autenticazione delle e-mail che aiuta a proteggere il vostro dominio dallo spoofing. A volte, però, si può incorrere in un errore chiamato SPF Permerror, noto anche come errore permanente SPF, solitamente causato da un numero eccessivo di ricerche DNS nel record SPF.
Perché è importante? Perché se il vostro record SPF si rompe, le vostre e-mail legittime potrebbero finire nelle cartelle di spam o essere rifiutate del tutto. Questo può anche causare DMARC non funzionacon ripercussioni sulla sicurezza e sulla deliverability complessiva del vostro dominio.
Avete raggiunto il limite di 10 ricerche? Ecco cosa fare. In questo blog spiegheremo quali sono le cause di questo errore e vi illustreremo i modi più semplici per risolverlo.
I punti chiave da prendere in considerazione
- SPF Permerror indica la presenza di un problema fondamentale nel record SPF di un dominio, che impedisce una valutazione accurata.
- Il superamento del limite di 10 ricerche DNS può causare gravi problemi, come il rifiuto delle e-mail o la loro classificazione come spam.
- Gli errori di sintassi nel record SPF possono portare a Permerror, rendendo necessaria un'attenta formattazione e verifica.
- I record SPF di dimensioni eccessive possono superare i limiti di caratteri stabiliti, contribuendo a problemi di deliverability e a potenziali errori SPF.
- L'utilizzo di strumenti di appiattimento SPF può aiutare a ottimizzare i record per prevenire i permerrori e migliorare l'autenticazione delle e-mail.
Cos'è SPF Permerror?
Un Permerrore SPF è un errore permanente nel vostro record SPF, il che significa che c'è qualcosa di sbagliato che impedisce il suo funzionamento.
Un risultato Permerror viene restituito dai server di posta in ricezione quando il record SPF presenta un problema critico che ne rende impossibile la valutazione, come una sintassi errata, un numero eccessivo di ricerche DNS (oltre il limite di 10) o meccanismi non validi. A differenza di un normale "fail" SPF (che significa che un'e-mail non ha superato l'autenticazione), un Permerror indica che il record SPF stesso è rotto o mal configurato. Questo non solo influisce sulla deliverability, ma può anche indebolire il vostro DMARC se SPF è l'unico meccanismo utilizzato per allineare le e-mail.
Differenze chiave: SPF Fail vs SPF Permerror
| SPF Fallito | SPF Permerror | |
|---|---|---|
| Cosa significa | Il record SPF è stato trovato e valutato, ma il mittente non è autorizzato. | Non è stato possibile valutare il record SPF a causa di un errore o di una configurazione errata. |
| Causa | IP del mittente non elencato nel record SPF del dominio | Sintassi SPF errata, troppe ricerche DNS o altri problemi critici. |
| Tipo di problema | Problema temporaneo (e-mail non autorizzata) | Errore permanente (il record SPF non è valido o è illeggibile) |
| Impatto | L'e-mail potrebbe essere rifiutata o contrassegnata come spam | Le e-mail possono essere rifiutate o passare senza la convalida SPF. |
| Allineamento DMARC | Può causare il fallimento di DMARC se SPF non è allineato | Può rompere il DMARC, soprattutto se l'SPF è l'unico meccanismo allineato. |
| Fissare | Esaminare l'elenco dei mittenti per autorizzare i mittenti legittimi. | Richiede la correzione del record SPF per ripristinare la funzionalità. |
Perché l'SPF ha un limite di 10 ricerche DNS?
Si potrebbe pensare che il limite di 10 ricerche DNS nell'SPF sia restrittivo, ma è presente per un'ottima ragione.
Secondo RFC 7208questo limite esiste principalmente per motivi di sicurezza e di prestazioni. In particolare, aiuta a proteggere i server di posta in ricezione da attacchi di negazione del servizio (DoS) attacchi causati da un numero eccessivo di query DNS.
Ecco come si potrebbe abusarne:
Un attore malintenzionato potrebbe creare un record SPF dannoso che innesca centinaia di ricerche DNS facendo riferimento a più domini o include. Questo potrebbe essere legato a un dominio spoofato che finge di essere un'azienda affidabile. Ogni volta che un server ricevente tenta di convalidare un'e-mail di questo tipo, sarebbe costretto a risolvere tutte queste ricerche, rallentando il server o addirittura mandandolo in crash.
Limitando le ricerche DNS a 10, l'SPF aiuta:
- Mantenere le prestazioni di elaborazione delle e-mail
- Protezione dagli attacchi di esaurimento delle risorse
- Migliorare l'affidabilità anti-spoofing incoraggiando una migliore progettazione dei record SPF.
Che cosa provoca il permerrore dell'SPF?
Un Permerrore SPF può essere innescato da diversi problemi, tra cui un numero eccessivo di ricerche DNS, errori di sintassi, record non configurati correttamente o persino voci SPF troppo grandi. Vediamo le cause più comuni:
1. Errori di sintassi SPF
Una formattazione errata o una sintassi non valida nel record SPF possono causare un Permerror, impedendo una valutazione corretta.
Cause comuni:
- Caratteri mancanti o fuori posto (ad esempio, virgolette " o punti 🙂
- Meccanismi o qualificatori non validi o malformati (ad esempio, l'uso di include_spf.example.com invece di include:spf.example.com).
- Definizioni macro errate o macro non supportate
Esempi:
❌ v=spf1 include_spf.example.com -all → mancano i due punti in include
❌ v=spf1 +mx a:mail.example.com -all → il qualificatore + non è necessario e spesso viene usato in modo improprio
2. Problemi di configurazione DNS
Si tratta di problemi di configurazione DNS relativi al record SPF.
Problemi comuni:
- Record SPF che puntano a domini inesistenti o non configurati correttamente
- Record SPF mancanti sui domini di riferimento
- Tipi di record DNS non validi o deprecati (ad esempio, utilizzo di record di tipo SPF anziché TXT).
Esempio:
I riferimenti al dominio includono:spf.partner.com, ma spf.partner.com non esiste o manca di un record TXT, il che comporta un fallimento della valutazione SPF.
3. Troppe ricerche DNS
SPF consente solo 10 ricerche DNS durante la valutazione del record, come definito in RFC 7208, sezione 4.6.4. Questa è una misura di sicurezza per evitare abusi (ad esempio, attacchi Denial-of-Service) e mantenere la valutazione leggera. Si tratta di una misura di sicurezza per prevenire abusi (ad esempio, attacchi Denial-of-Service) e mantenere le valutazioni leggere.
Cosa conta come ricerca:
- includere
- a, mx, ptr
- esiste, reindirizzare
Le ricerche non valide (query che non restituiscono dati DNS) sono anch'esse limitate a 2.
Causa comune:
Un record SPF con molti meccanismi include: o include annidati che complessivamente superano il limite di 10 ricerche.
4. Circolare Include
Gli include circolari si verificano quando i record SPF rimandano l'uno all'altro in un ciclo, creando cicli di risoluzione infiniti.
Esempio:
- Dominio A: v=spf1 include:domainB.com -all
- Dominio B: v=spf1 include:domainA.com -all
Questo riferimento circolare fa sì che la valutazione dell'SPF fallisca, causando spesso un Permerror.
5. Meccanismi o qualificatori non validi
L'utilizzo di meccanismi non riconosciuti o deprecati nel record SPF può causare un errore.
Errori comuni:
- Errori di battitura come ip6v invece di ip6
- Meccanismi non supportati come all:, ptr: utilizzati in modo non corretto
- Utilizzare inutilmente o in modo errato i qualificatori + o ?
Esempio:
❌ v=spf1 ptr:mail.example.com -all → meccanismo scoraggiato
❌ v=spf1 ip4v:192.0.2.0/24 -all → meccanismo non valido (ip4v dovrebbe essere ip4)
6. Record SPF sovradimensionati
I record SPF devono rispettare i limiti di dimensione:
- Ogni stringa in un record TXT deve essere ≤ 255 caratteri.
- La lunghezza totale del record TXT non deve superare i 512 byte.
Cause dei record sovradimensionati:
- Troppi IP, include o meccanismi
- Voci duplicate o non necessarie
Esempio:
Un record come v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.0/24 include:spf1.example.com include:spf2.example.com include:spf3.example.com include:spf4.example.com -all può superare i limiti o le dimensioni del DNS.
In che modo il sovraccarico di ricerche SPF interrompe le vostre e-mail
Quando il vostro record SPF attiva più di 10 ricerche DNS, può disturbare seriamente la consegna delle vostre e-mail. Ecco cosa può succedere:
- Ritardi nella consegna: I server di posta elettronica possono rallentare l'elaborazione mentre cercano di valutare il record SPF, causando ritardi nella consegna.
- Errori di timeout: Un numero eccessivo di ricerche può portare a timeout durante la valutazione SPF, causando il fallimento silenzioso o l'abbandono dei messaggi.
- Email rifiutate: Alcuni server di ricezione possono rifiutare o segnalare le e-mail con SPF Permerror per proteggere la loro infrastruttura.
- DMARC fallisce: Se la vostra politica DMARC si basa sull'allineamento SPF, un controllo SPF fallito può interrompere il DMARC e ridurre l'affidabilità del vostro dominio.
Come risolvere il problema dell'SPF (passo dopo passo)
Correzioni manuali
- Rimuovere i meccanismi di inclusione non utilizzati
Esaminate ogni include: nel vostro record SPF e verificate se è ancora necessario. Se è collegato a un servizio che non utilizzate più, rimuovetelo.
- Sostituire include con Indirizzi IP (se statici)
Se un include: punta solo a un IP statico o a un piccolo intervallo di IP, sostituirlo direttamente con un meccanismo ip4: o ip6: per evitare una ricerca DNS.
- Eliminare i meccanismi PTR
Il PTR è sconsigliato dalla RFC 7208 per problemi di prestazioni e affidabilità. Rimuoverlo completamente per ridurre le ricerche ed evitare errori.
- Consolidare i domini
Alcuni servizi (ad esempio, piattaforme o provider di posta elettronica) offrono più voci SPF. Controllate la loro documentazione, perché spesso forniscono un'unica voce consolidata da utilizzare al posto di più voci.
- Utilizzare ip4 / ip6 dove possibile
Se conoscete gli IP dei vostri server di invio, aggiungeteli direttamente usando ip4: o ip6: invece di affidarvi a meccanismi come MX o A che consumano lookup.
Migliori pratiche: Utilizzare uno strumento di appiattimento automatico dell'SPF
L'appiattimento automatico dell'SPF è il processo di conversione dinamica di più dichiarazioni "include" e di altre ricerche basate sul DNS in un elenco semplificato di indirizzi IP. Questo approccio riduce il numero di ricerche DNS durante i controlli SPF.
L'appiattimento manuale dell'SPF può sembrare una soluzione rapida, ma comporta seri rischi. Se il vostro provider di servizi e-mail cambia gli IP di invio, il vostro record SPF non rifletterà la modifica a meno che non lo aggiorniate manualmente. Per questo motivo è necessario un monitoraggio costante e modifiche manuali per rimanere conformi. Un IP non aggiornato nel record appiattito può far fallire l'SPF, compromettendo la deliverability delle e-mail e l'allineamento DMARC.
PowerSPF è il nostro strumento di ottimizzazione e appiattimento SPF in hosting che automatizza l'intero processo, in modo che non dobbiate più preoccuparvi dei limiti di ricerca o dei cambiamenti di IP.
- Aggiornamenti automatici quando i fornitori cambiano IP: Manteniamo il vostro record SPF aggiornato in tempo reale.
- Impostazione una tantum: Impostato una volta e dimenticato. Nessuna manutenzione continua.
- Il numero di ricerche rimane basso: Il record SPF rimane snello e conforme alle linee guida e alle restrizioni RFC.
Domande frequenti
- L'SPF può superare i 10 lookup se necessario?
No, l'SPF è strettamente limitato a 10 ricerche DNS durante la valutazione, come definito nella RFC 7208. Il superamento di questo limite provoca un Permerror e i messaggi di posta elettronica potrebbero essere rifiutati o contrassegnati come spam.
- Posso avere più record SPF?
No. È necessario impostare un solo record SPF per dominio che autorizzi tutte le fonti di invio per quel dominio. Più record possono invalidarli tutti, causando errori.
- Qual è il modo più sicuro per riparare Permerror?
Il modo più sicuro per risolvere Permerror è quello di utilizzare una soluzione SPF in hosting come PowerSPF per ottimizzare dinamicamente l'SPF, con un supporto di esperti disponibile 24 ore su 24, 7 giorni su 7.
- L'appiattimento è sicuro per gli IP dinamici?
Se il vostro provider utilizza IP dinamici, l'appiattimento manuale può diventare rapidamente obsoleto, causando fallimenti SPF. In caso di IP dinamici o che cambiano frequentemente, l'opzione più sicura è quella di utilizzare una soluzione in hosting che recupera e aggiorna automaticamente gli IP per conto dell'utente.
"Ottimo prodotto e ottimo team"
Hakob Sharabkhanyan (CEO di Hacktech)
"Azienda, prodotto e fornitore MSP fantastici".
Bill Barnett (fondatore e presidente di Clearview IT)
Pensieri finali
SPF Permerror può avere un impatto sulla deliverability, sulla salute del dominio e sulla sicurezza. Semplici sforzi come la rimozione dei meccanismi ridondanti, la sostituzione dei meccanismi con intervalli di IP e il monitoraggio della deliverability possono essere molto utili.
E per le organizzazioni che desiderano evitare la fatica e risparmiare tempo, esistono soluzioni in hosting come PowerSPF. Siete interessati a scoprire come funziona e come può trasformare la vostra postura di autenticazione? Programmate una demo gratuita oggi stesso con uno dei nostri esperti interni!
Esperto di sicurezza informatica, CEO di PowerDMARC
Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.
Ultimi messaggi di Maitham Al Lawati (vedi tutti)
- Cos'è il DMARC? Come funziona, politiche e suggerimenti per la configurazione - 28 novembre 2025
- Che cos'è un criterio DMARC? Nessuno, quarantena e rifiuto - 27 novembre 2025
- Come impostare DMARC: guida alla configurazione passo dopo passo - 25 novembre 2025
