Correggere il perturbatore SPF: Superare il limite di troppe ricerche DNS di SPF

SPF (Sender Policy Framework) è un protocollo di autenticazione delle e-mail che verifica i mittenti per confermarne la legittimità. Senza i record SPF, chiunque può inviare e-mail a nome del vostro dominio! Agisce come un punto di controllo della sicurezza, verificando se avete autorizzato un mittente a inviare e-mail dal vostro dominio o se un imitatore sta cercando di abusare del vostro nome di dominio. 

Tuttavia, l'SPF non è perfetto! L'SPF è dotato di una serie di regole e limitazioni, la cui osservanza può rendere il vostro protocollo SPF un successo o un fallimento! Una di queste è il limite di 10 ricerche DNS che limita il numero di ricerche SPF consentite a 10 per sessione di autenticazione. In caso contrario, si verificano errori permanenti SPF, più comunemente noti come SPF Permerror.

Cos'è SPF Permerror?

Un SPF PermError (errore permanente) si verifica quando il record Sender Policy Framework (SPF) presenta un problema critico che ne impedisce la corretta valutazione. Questo errore significa in genere che il record SPF non è valido o è mal configurato. A differenza dell'SPF 'fail' (un errore di autenticazione temporaneo), Permerror indica un'errata configurazione permanente.

Un errore SPF può avere un impatto negativo sulla deliverability delle e-mail, causando il rifiuto delle e-mail e lo spam. Può anche ridurre l'efficacia del DMARC se vi siete affidati esclusivamente all'SPF per la vostra configurazione DMARC.

Semplificate il Permerrore SPF con PowerDMARC!

Qual è la differenza tra SPF fail e Permerror?

La differenza tra SPF fail e Permerror sta negli errori riscontrati durante l'autenticazione SPF:

1. SPF Fail: Quando un server di posta elettronica controlla il record SPF del dominio di un mittente e determina che il server di invio non è autorizzato a inviare e-mail per conto di quel dominio, si verifica un SPF fallito.

Tipo di errore: Errore temporaneo

Causa: L'indirizzo IP o il dominio del mittente non sono elencati nel record SPF.

Scenario di esempio: Una terza parte non autorizzata sta cercando di inviare e-mail a nome del vostro dominio.

Possibili correzioni: Assicurarsi che l'IP del server di invio sia incluso nel record SPF.

2. Permerrore SPF: SPF Permerror, abbreviazione di SPF permanent error, si verifica quando si verifica un problema critico con il record SPF che ne impedisce la corretta valutazione. Un Permerror indica che il record SPF non può essere elaborato con precisione, rendendo impossibile determinare se il server di invio è autorizzato o meno.

Tipo di errore: Errore permanente

Causa: Errori di sintassi, troppe ricerche DNS, più record SPF.

Scenario di esempio: Superamento del limite di 10 ricerche DNS per SPF.

Possibili correzioni: Utilizzo di macro SPF nel record o di un servizio di appiattimento SPF.

Che cosa provoca il permerrore dell'SPF?

Il Permerrore SPF può essere causato da una serie di fattori, come un numero eccessivo di ricerche DNS che superano il limite SPF, errori di sintassi e problemi di configurazione. Vediamo quali sono: 

1. Errori di sintassi SPF

Una formattazione o una sintassi errata all'interno del record SPF può innescare un Permerror. I caratteri mancanti o fuori posto, come le virgolette o i punti, possono causare problemi di analisi. Questi errori possono essere dovuti a:

• Caratteri mancanti o fuori posto, come le virgolette (") e i due punti (:)
• Meccanismi o qualificatori non formattati correttamente
• Definizioni macro non valide

Esempi:

Coloni mancanti: v=spf1 include_spf.example.com -all

Qualificatori fuori luogo: v=spf1 +mx a:mail.example.com -all

2. Problemi di configurazione DNS

I problemi di configurazione DNS riguardano problemi legati alla configurazione del Domain Name System (DNS) per i record SPF. Questi problemi possono includere:

• Configurazione DNS errata o incompleta per il dominio o i record SPF associati.
• Posizioni non valide dei record SPF, come ad esempio il puntamento a voci DNS inesistenti o errate.

Esempio:

Una configurazione DNS errata o incompleta, una posizione non valida del record SPF o un'associazione non corretta con il dominio corrispondente possono causare errori di valutazione.

3. Troppe ricerche DNS

I limiti di ricerca DNS sono vincoli imposti dalle specifiche SPF per evitare query DNS eccessive durante la valutazione SPF. Questi limiti includono:

• Durante la valutazione SPF è consentito un massimo di 10 ricerche DNS.
• Durante la valutazione SPF sono consentiti al massimo 2 lookup "nulli".

Il superamento di questi limiti provoca un Permerror.

Esempio:

Un record SPF che include più meccanismi di inclusione che portano a più di 10 ricerche DNS.

Registri SPF sovradimensionati

I record SPF sovradimensionati si verificano quando le dimensioni del record SPF superano i limiti stabiliti dall'IETF, come indicato nei documenti RFC. I record SPF sono limitati a 255 caratteri per stringa, mentre i record TXT consentono un massimo di 512 byte. Le cause di record SPF sovradimensionati includono:

• Includere numerosi meccanismi, qualificatori o modificatori che portano a un numero eccessivo di caratteri.
• Voci ridondanti o non necessarie nel record SPF, che ne gonfiano le dimensioni.

Esempio:

Un singolo record SPF con inclusione estesa di indirizzi IP, reti o servizi di terzi.

Qual è il limite di 10 ricerche DNS?

Il limite di 10 ricerche DNS è una restrizione imposta ai record SPF (Sender Policy Framework), il che significa che quando un server di posta elettronica riceve un messaggio in arrivo, può eseguire solo fino a 10 ricerche DNS per recuperare i record SPF associati al dominio di invio.

Questa limitazione aiuta a prevenire eccessive query DNS e potenziali problemi di prestazioni durante la consegna delle e-mail. Se il record SPF di un dominio supera il limite di 10 ricerche DNS, alcuni server di posta elettronica potrebbero trattare l'SPF come non valido o rifiutare del tutto l'e-mail. Pertanto, è fondamentale gestire e ottimizzare con attenzione il numero di ricerche DNS all'interno di un record SPF per garantire la corretta consegna delle e-mail e la convalida SPF.

Perché l'RFC specifica questo severo limite di ricerca SPF DNS per i domini?

Sebbene il limite dei record SPF possa sembrare una limitazione indesiderata, non è necessariamente così. Il limite di ricerca SPF DNS è stato introdotto per bloccare gli attacchi Denial-of-Service (come indicato in RFC 7208).

Ad esempio, un attore malintenzionato crea un record SPF su un dominio falso con riferimento a un dominio aziendale legittimo per inviare e-mail in massa a vari server di ricezione. Il limite di 10 ricerche impedisce agli aggressori di sovraccaricare i ricevitori con query DNS ricorsive (ad esempio, un record SPF dannoso che costringe a più di 100 ricerche per e-mail).

Che impatto hanno troppe ricerche DNS sulle vostre e-mail?

Se il record SPF comporta un numero eccessivo di ricerche DNS, può avere un impatto senza precedenti sulle vostre e-mail. Troppi DNS lookup possono causare incongruenze nella deliverability e innescare SPF Permerror. 

1. Può causare ritardi nella consegna

Un numero eccessivo di ricerche DNS può aumentare il tempo necessario per elaborare i record SPF. Ciò può causare ritardi nella consegna delle e-mail, poiché il server ricevente deve attendere le risposte da più server DNS.

2. Può provocare errori di timeout 

Le ricerche DNS comportano una comunicazione tra il server ricevente e i server DNS. Un numero eccessivo di ricerche DNS aumenta la probabilità di errori di timeout, con conseguenti errori di valutazione SPF o tempi di consegna prolungati.

3. Può aumentare il rischio di permerrore della SPF

Se il record SPF supera questi limiti di ricerca, può attivare un Permerror, indicando che il record SPF non può essere elaborato con precisione. L'e-mail può essere contrassegnata come sospetta o potenzialmente rifiutata.

4. Può risultare in una valutazione SPF incompleta.

Se il server ricevente incontra un limite di ricerca DNS o un errore di timeout dovuto al numero eccessivo di ricerche DNS dell'SPF, può terminare prematuramente la valutazione dell'SPF. 

Come risolvere il problema SPF e superare il limite di 10 ricerche DNS?

Per risolvere il Permerrore SPF, assicurate un utilizzo efficiente delle ricerche attraverso l'appiattimento SPF, in modo da ottimizzare il vostro record SPF per rimanere sotto il limite di 10 ricerche DNS durante i controlli.

1. Correggere Permerror riducendo manualmente le ricerche

È possibile sostituire i meccanismi di "inclusione" e/o "reindirizzamento" di SPF con indirizzi IP. Anche se questo risolve il problema dell'SPF Permerror, non è una soluzione ideale. Infatti, la lunghezza del record dopo l'aggiunta del lungo elenco di IP potrebbe superare il limite di caratteri e causare altri errori. 

Ad esempio, si consideri il seguente record SPF con più meccanismi di "include":

v=spf1 include:_spf.example.com include:_spf.anotherexample.com -all

Per ridurre le ricerche DNS, è possibile sostituire i meccanismi di "include" con indirizzi IP:

v=spf1 ip4:192.0.2.1 ip4:203.0.113.5 -all

In questo esempio, i domini _spf.example.com e _spf.anotherexample.com sono stati sostituiti con gli indirizzi IP corrispondenti (rispettivamente 192.0.2.1 e 203.0.113.5).

Sebbene questa riduzione manuale delle ricerche DNS possa mitigare il Permerrore SPF, è essenziale considerare le potenziali limitazioni. Un problema significativo è il limite di caratteri dei record SPF. L'aggiunta di un lungo elenco di indirizzi IP può superare questo limite, causando ulteriori errori. Pertanto, è necessaria un'attenta pianificazione e ottimizzazione per garantire che il record SPF rimanga entro il numero di caratteri consentito.

Attenzione: La sostituzione manuale di 'include' con gli IP è fragile: gli IP di terze parti cambiano spesso!

2. Correggere Permerror utilizzando uno strumento di ottimizzazione automatica dell'SPF

Un modo più efficace per evitare gli errori SPF è quello di implementare un sistema di SPF flattening o, meglio ancora, Macro SPF. Una soluzione che racchiude entrambi in un servizio in hosting automatico e senza problemi è PowerSPF. Questo non solo vi assicura di rimanere entro il limite di 10 ricerche DNS, ma vi tiene anche aggiornati su qualsiasi modifica apportata dai vostri provider di servizi e-mail e dai fornitori che spesso aggiungono o cambiano i loro indirizzi IP.

La cosa migliore è che bastano pochi clic! Di seguito sono illustrati i passaggi per l'utilizzo dello strumento: 

1. Iscriversi su PowerDMARC gratuitamente

2. Andare a Servizi in hosting > PowerSPF

3. Creare il record SPF seguendo le istruzioni fornite dallo strumento.

4. Fare clic per abilitare il pulsante PowerSPF

5. Pubblicare il record SPF personalizzato di PowerSPF sul proprio DNS, dopodiché lo stato "in attesa" verrà convertito in uno stato "abilitato".

E il gioco è fatto! Questo è il modo più rapido, semplice ed efficace per prevenire i permerror SPF. PowerSPF automatizza l'appiattimento, garantendo la conformità e gli aggiornamenti automatici quando i fornitori cambiano IP.

Strategie avanzate per l'ottimizzazione della SPF

L'appiattimento SPF è il processo di conversione di più dichiarazioni "include" e altre ricerche basate sul DNS in un elenco semplificato di indirizzi IP. Questo approccio riduce il numero di interrogazioni DNS durante la valutazione SPF.

Vantaggi e svantaggi dell'appiattimento della SPF

1. Rimozione dei riferimenti di dominio non validi o non utilizzati

Ogni dichiarazione di inclusione in un record SPF attiva una ricerca DNS separata. Se un dominio non è più rilevante (ad esempio, un vecchio provider di posta elettronica non più in uso), mantenere la sua dichiarazione di inclusione consuma inutilmente le ricerche, causando potenzialmente errori di convalida SPF. La rimozione di queste dichiarazioni ottimizza il record e migliora l'efficienza.

Passi per identificare e rimuovere i domini non validi o non utilizzati

1. Esaminate il vostro record SPF ed elencate tutte le dichiarazioni di inclusione insieme ai riferimenti del dominio.
2. Ora controllate l'utilizzo attivo, identificando quali domini sono ancora utilizzati per le e-mail in uscita.
3. Utilizzo di strumenti di ricerca SPF come PowerDMARC SPF checker possono aiutare a verificare se un dominio incluso è ancora valido.
4. Consultate il vostro fornitore di posta elettronica per verificare quali meccanismi di inclusione sono richiesti per gli attuali servizi di posta elettronica.
5. Infine, rimuovete le dichiarazioni di inclusione non utilizzate e controllate nuovamente il vostro record SPF per assicurarvi che sia corretto.

2. Evitare il meccanismo "ptr" di SPF

Il meccanismo ptr di SPF verifica se un indirizzo IP si risolve in un nome di dominio che corrisponde al dominio del mittente. Tuttavia, questo approccio presenta diversi svantaggi. Innanzitutto, l'inclusione del tag PTR può rallentare il processo di autenticazione SPF, poiché le ricerche DNS inverse (interrogazioni PTR) richiedono molto tempo. Inoltre, è piuttosto inaffidabile, poiché non tutti i mittenti di e-mail hanno configurato correttamente i record PTR. Soprattutto, l'IETF ha deprecato questo meccanismo, scoraggiandone l'uso a causa dei rischi per la sicurezza e dell'inefficienza.

3. Eliminazione dei meccanismi ridondanti

Molti record SPF contengono meccanismi duplicati o sovrapposti, come più dichiarazioni di inclusione per lo stesso dominio. Questa ridondanza aumenta la complessità dell'SPF e spreca preziose ricerche DNS. Un modo per ovviare a questo problema è quello di: 

• Identificare i duplicati e rimuovere i meccanismi ridondanti.
• Consolidare e unire gli include se diversi puntano allo stesso dominio.
• Evitare l'uso eccessivo dei meccanismi "a" e "mx" e usarli solo quando necessario.
• Infine, verificate sempre la validità del vostro record SPF e assicuratevi che le vostre fonti di invio siano aggiornate. 

4. Utilizzare i meccanismi ip4 e ip6 

A differenza dei meccanismi include, che richiedono ulteriori ricerche DNS, i meccanismi ip4 e ip6 elencano gli indirizzi IP direttamente nel record SPF. Questo elimina le query DNS non necessarie e garantisce un'autenticazione più rapida.

Correggere gli errori SPF per migliorare la deliverability delle e-mail

La correzione degli errori SPF è estremamente importante per diversi motivi. Ha un impatto significativo sulla deliverability delle e-mail, in quanto gli errori SPF possono far sì che le e-mail legittime vengano contrassegnate come spam o rifiutate dai server di posta in arrivo, con conseguente riduzione delle possibilità di raggiungere le caselle di posta dei destinatari. Inoltre, l'SPF funge da meccanismo di autenticazione del mittente, consentendo ai destinatari delle e-mail di verificare la legittimità del dominio del mittente. 

Risolvendo gli errori SPF, vi assicurate che le vostre e-mail legittime siano autenticate correttamente, riducendo il rischio che il vostro dominio venga sfruttato per attacchi di spoofing o phishing. La risoluzione degli errori SPF contribuisce a salvaguardare la reputazione del vostro marchio, in quanto i continui errori di consegna e i contrassegni di spam possono danneggiare la percezione dell'affidabilità e della credibilità del vostro marchio.

• Informazioni su
• Ultimi messaggi

Maitham Al Lawati

Esperto di sicurezza informatica, CEO di PowerDMARC

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

• Come creare e pubblicare un record DMARC - 3 marzo 2025
• Come risolvere il problema "Nessun record SPF trovato" nel 2025 - 21 gennaio 2025
• Come leggere un rapporto DMARC - 19 gennaio 2025