SPF Permerror: come risolvere un numero eccessivo di ricerche DNS
di
Ultimo aggiornamento: 8 Tempo di lettura: 8 minuti
I punti chiave da prendere in considerazione
- SPF Permerror indica la presenza di un problema fondamentale nel record SPF di un dominio, che impedisce una valutazione accurata.
- Il superamento del limite di 10 ricerche DNS può causare gravi problemi, come il rifiuto delle e-mail o la loro classificazione come spam.
- Gli errori di sintassi nel record SPF possono portare a Permerror, rendendo necessaria un'attenta formattazione e verifica.
- I record SPF di dimensioni eccessive possono superare i limiti di caratteri stabiliti, contribuendo a problemi di deliverability e a potenziali errori SPF.
- L'utilizzo di strumenti di appiattimento SPF può aiutare a ottimizzare i record per prevenire i permerrori e migliorare l'autenticazione delle e-mail.
Il Sender Policy Framework (SPF) è un metodo di autenticazione delle e-mail che consente ai proprietari dei domini di definire quali server di posta sono autorizzati a inviare messaggi utilizzando il loro nome di dominio. Quando arriva un messaggio, i server di posta riceventi controllano l'SPF per verificare se proviene da una delle fonti approvate prima di decidere come trattarlo.
Durante la convalida SPF, un PermError indica un problema permanente nel record SPF che ne impedisce la corretta valutazione. Ciò si verifica solitamente quando il record supera il limite di ricerca DNS o presenta problemi strutturali che compromettono l'elaborazione dell'SPF. Anziché fallire occasionalmente, l'autenticazione fallisce ogni volta.
Quando ciò accade, anche le e-mail legittime possono iniziare a sembrare sospette ai server di ricezione. I messaggi potrebbero essere rifiutati, indirizzati alla cartella spam o causare errori DMARC, tutto perché il record SPF stesso non può essere valutato in modo affidabile.
Se desideri risolvere l'errore SPF PermError, il primo passo è capire cosa lo provoca. In questo articolo analizziamo le cause più comuni dell'errore SPF PermError e spieghiamo alcuni metodi pratici per risolverlo, in modo che le tue e-mail vengano autenticate correttamente e raggiungano le caselle di posta destinatarie.
Cos'è SPF Permerror?
Un Permerrore SPF è un errore permanente nel vostro record SPF, il che significa che c'è qualcosa di sbagliato che impedisce il suo funzionamento.
Un risultato Permerror viene restituito dai server di posta in ricezione quando il record SPF presenta un problema critico che ne rende impossibile la valutazione, come una sintassi errata, un numero eccessivo di ricerche DNS (oltre il limite di 10) o meccanismi non validi. A differenza di un normale "fail" SPF (che significa che un'e-mail non ha superato l'autenticazione), un Permerror indica che il record SPF stesso è rotto o mal configurato. Questo non solo influisce sulla deliverability, ma può anche indebolire il vostro DMARC se SPF è l'unico meccanismo utilizzato per allineare le e-mail.
Perché l'SPF ha un limite di 10 ricerche DNS?
Si potrebbe pensare che il limite di 10 ricerche DNS nell'SPF sia restrittivo, ma è presente per un'ottima ragione.
Secondo RFC 7208questo limite esiste principalmente per motivi di sicurezza e di prestazioni. In particolare, aiuta a proteggere i server di posta in ricezione da attacchi di negazione del servizio (DoS) attacchi causati da un numero eccessivo di query DNS.
Ecco come si potrebbe abusarne:
Un attore malintenzionato potrebbe creare un record SPF dannoso che innesca centinaia di ricerche DNS facendo riferimento a più domini o include. Questo potrebbe essere legato a un dominio spoofato che finge di essere un'azienda affidabile. Ogni volta che un server ricevente tenta di convalidare un'e-mail di questo tipo, sarebbe costretto a risolvere tutte queste ricerche, rallentando il server o addirittura mandandolo in crash.
Limitando le ricerche DNS a 10, l'SPF aiuta:
- Mantenere le prestazioni di elaborazione delle e-mail
- Protezione dagli attacchi di esaurimento delle risorse
- Migliorare l'affidabilità anti-spoofing incoraggiando una migliore progettazione dei record SPF.
Che cosa provoca il permerrore dell'SPF?
Un Permerrore SPF può essere innescato da diversi problemi, tra cui un numero eccessivo di ricerche DNS, errori di sintassi, record non configurati correttamente o persino voci SPF troppo grandi. Vediamo le cause più comuni:
1. Errori di sintassi SPF
Una formattazione errata o una sintassi non valida nel record SPF possono causare un Permerror, impedendo una valutazione corretta.
Cause comuni:
- Caratteri mancanti o fuori posto (ad esempio, virgolette " o punti 🙂
- Meccanismi o qualificatori non validi o malformati (ad esempio, l'uso di include_spf.example.com invece di include:spf.example.com).
- Definizioni macro errate o macro non supportate
Esempi:
❌ v=spf1 include_spf.example.com -all → mancano i due punti in include
❌ v=spf1 +mx a:mail.example.com -all → il qualificatore + non è necessario e spesso viene usato in modo improprio
2. Problemi di configurazione DNS
Si tratta di problemi di configurazione DNS relativi al record SPF.
Problemi comuni:
- Record SPF che puntano a domini inesistenti o non configurati correttamente
- Record SPF mancanti sui domini di riferimento
- Tipi di record DNS non validi o deprecati (ad esempio, utilizzo di record di tipo SPF anziché TXT).
Esempio:
I riferimenti al dominio includono:spf.partner.com, ma spf.partner.com non esiste o manca di un record TXT, il che comporta un fallimento della valutazione SPF.
3. Troppe ricerche DNS
SPF consente solo 10 ricerche DNS durante la valutazione del record, come definito in RFC 7208, sezione 4.6.4. Questa è una misura di sicurezza per evitare abusi (ad esempio, attacchi Denial-of-Service) e mantenere la valutazione leggera. Si tratta di una misura di sicurezza per prevenire abusi (ad esempio, attacchi Denial-of-Service) e mantenere le valutazioni leggere.
Cosa conta come ricerca:
- includere
- a, mx, ptr
- esiste, reindirizzare
Le ricerche non valide (query che non restituiscono dati DNS) sono anch'esse limitate a 2.
Causa comune:
Un record SPF con molti meccanismi include: o include annidati che complessivamente superano il limite di 10 ricerche.
4. La circolare include
Gli include circolari si verificano quando i record SPF rimandano l'uno all'altro in un ciclo, creando cicli di risoluzione infiniti.
Esempio:
- Dominio A: v=spf1 include:domainB.com -all
- Dominio B: v=spf1 include:domainA.com -all
Questo riferimento circolare fa sì che la valutazione dell'SPF fallisca, causando spesso un Permerror.
5. Meccanismi o qualificatori non validi
L'utilizzo di meccanismi non riconosciuti o deprecati nel record SPF può causare un errore.
Errori comuni:
- Errori di battitura come ip6v invece di ip6
- Meccanismi non supportati come all:, ptr: utilizzati in modo non corretto
- Utilizzare inutilmente o in modo errato i qualificatori + o ?
Esempio:
❌ v=spf1 ptr:mail.example.com -all → meccanismo scoraggiato
❌ v=spf1 ip4v:192.0.2.0/24 -all → meccanismo non valido (ip4v dovrebbe essere ip4)
6. Record SPF sovradimensionati
I record SPF devono rispettare i limiti di dimensione:
- Ogni stringa in un record TXT deve essere ≤ 255 caratteri.
- La lunghezza totale del record TXT non deve superare i 512 byte.
Cause dei record sovradimensionati:
- Troppi IP, include o meccanismi
- Voci duplicate o non necessarie
Esempio:
Un record come v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.0/24 include:spf1.example.com include:spf2.example.com include:spf3.example.com include:spf4.example.com -all può superare i limiti o le dimensioni del DNS.
Come un numero eccessivo di ricerche DNS compromette le tue e-mail
Quando il vostro record SPF attiva più di 10 ricerche DNS, può disturbare seriamente la consegna delle vostre e-mail. Ecco cosa può succedere:
- Ritardi nella consegna: I server di posta elettronica possono rallentare l'elaborazione mentre cercano di valutare il record SPF, causando ritardi nella consegna.
- Errori di timeout: Un numero eccessivo di ricerche può portare a timeout durante la valutazione SPF, causando il fallimento silenzioso o l'abbandono dei messaggi.
- Email rifiutate: Alcuni server di ricezione possono rifiutare o segnalare le e-mail con SPF Permerror per proteggere la loro infrastruttura.
- DMARC fallisce: Se la vostra politica DMARC si basa sull'allineamento SPF, un controllo SPF fallito può interrompere il DMARC e ridurre l'affidabilità del vostro dominio.
Come risolvere il problema dell'SPF (passo dopo passo)
Correzioni manuali
- Rimuovere i meccanismi di inclusione inutilizzati
Esaminate ogni include: nel vostro record SPF e verificate se è ancora necessario. Se è collegato a un servizio che non utilizzate più, rimuovetelo.
- Sostituisci include con indirizzi IP (se statici)
Se un include: punta solo a un IP statico o a un piccolo intervallo di IP, sostituirlo direttamente con un meccanismo ip4: o ip6: per evitare una ricerca DNS.
- Eliminare i meccanismi PTR
Il PTR è sconsigliato dalla RFC 7208 per problemi di prestazioni e affidabilità. Rimuoverlo completamente per ridurre le ricerche ed evitare errori.
- Consolidare includere domini
Alcuni servizi (ad esempio, piattaforme o provider di posta elettronica) offrono più voci SPF. Controllate la loro documentazione, perché spesso forniscono un'unica voce consolidata da utilizzare al posto di più voci.
- Utilizzare ip4 / ip6 ove possibile
Se conoscete gli IP dei vostri server di invio, aggiungeteli direttamente usando ip4: o ip6: invece di affidarvi a meccanismi come MX o A che consumano lookup.
Best practice: utilizzare uno strumento automatico di appiattimento SPF
L'appiattimento automatico dell'SPF è il processo di conversione dinamica di più dichiarazioni "include" e di altre ricerche basate sul DNS in un elenco semplificato di indirizzi IP. Questo approccio riduce il numero di ricerche DNS durante i controlli SPF.
L'appiattimento manuale dell'SPF può sembrare una soluzione rapida, ma comporta rischi seri. Se il tuo provider di servizi di posta elettronica cambia i propri IP di invio, il tuo record SPF non rifletterà la modifica a meno che non lo aggiorni manualmente. Pertanto, richiede un monitoraggio costante e modifiche manuali per rimanere conforme. Un IP obsoleto nel tuo record appiattito può causare il fallimento dell'SPF, compromettendo la deliverability delle email e l'allineamento DMARC.
PowerSPF è il nostro strumento di ottimizzazione e appiattimento SPF in hosting che automatizza l'intero processo, in modo che non dobbiate più preoccuparvi dei limiti di ricerca o dei cambiamenti di IP.
- Aggiornamenti automatici quando i fornitori cambiano gli indirizzi IP: manteniamo aggiornato il tuo record SPF in tempo reale.
- Configurazione una tantum: Impostalo una volta e non pensarci più. Nessuna manutenzione continua.
- Il numero di ricerche rimane basso: il tuo record SPF rimane snello e conforme alle linee guida e alle restrizioni RFC.
Differenze fondamentali tra SPF Fail e SPF Permerror
| SPF Fallito | SPF Permerror | |
|---|---|---|
| Cosa significa | Il record SPF è stato trovato e valutato, ma il mittente non è autorizzato. | Non è stato possibile valutare il record SPF a causa di un errore o di una configurazione errata. |
| Causa | IP del mittente non elencato nel record SPF del dominio | Sintassi SPF errata, troppe ricerche DNS o altri problemi critici. |
| Tipo di problema | Problema temporaneo (e-mail non autorizzata) | Errore permanente (il record SPF non è valido o è illeggibile) |
| Impatto | L'e-mail potrebbe essere rifiutata o contrassegnata come spam | Le e-mail possono essere rifiutate o passare senza la convalida SPF. |
| Allineamento DMARC | Può causare il fallimento di DMARC se SPF non è allineato | Può rompere il DMARC, soprattutto se l'SPF è l'unico meccanismo allineato. |
| Fissare | Esaminare l'elenco dei mittenti per autorizzare i mittenti legittimi. | Richiede la correzione del record SPF per ripristinare la funzionalità. |
Prevenire un numero eccessivo di lookup DNS e altri errori SPF
Prevenire gli errori SPF richiede un'attenzione costante, soprattutto quando l'infrastruttura di posta elettronica cambia e nel tempo vengono aggiunti nuovi servizi di terze parti. Alcune pratiche coerenti aiutano a mantenere i record SPF validi e al sicuro entro i limiti del protocollo (anche se la configurazione continua ad evolversi).
Mantenere aggiornate le impostazioni del provider di servizi di posta elettronica garantisce che le fonti di invio autorizzate rimangano allineate con il record SPF. Quando i provider aggiornano la loro infrastruttura di invio o raccomandano modifiche per includere domini, la mancata applicazione di tali aggiornamenti può causare errori di autenticazione.
È altrettanto importante verificare la configurazione SPF ogni volta che vengono aggiunti, rimossi o sostituiti dei fornitori. Le piattaforme di marketing, i sistemi di fatturazione, gli strumenti di assistenza e i servizi di automazione spesso inviano e-mail per conto del tuo dominio e ogni modifica dovrebbe attivare un controllo per confermare che il tuo record SPF rifletta ancora tutti i mittenti attivi.
Mantenere un programma di audit periodico aiuta a evitare che i record diventino troppo complessi. Le revisioni regolari facilitano la rimozione delle istruzioni include inutilizzate, il monitoraggio delle ricerche DNS e garantiscono che il record rimanga entro il limite di ricerca SPF prima che si verifichino errori.
Documentare tutti i servizi che inviano e-mail per conto del tuo dominio fornisce un chiaro punto di riferimento per futuri aggiornamenti. Un semplice inventario dei mittenti approvati riduce le congetture, accelera la risoluzione dei problemi e aiuta a mantenere una configurazione SPF pulita e affidabile nel tempo.
Conclusione
SPF Permerror può avere un impatto sulla deliverability, sulla salute del dominio e sulla sicurezza. Semplici sforzi come la rimozione dei meccanismi ridondanti, la sostituzione dei meccanismi con intervalli di IP e il monitoraggio della deliverability possono essere molto utili.
E per le organizzazioni che desiderano evitare seccature e risparmiare tempo, esistono soluzioni in hosting come PowerSPF. Ti interessa scoprire come funziona e come può trasformare il tuo approccio all'autenticazione?Prenotaoggi stessouna demo gratuitacon uno dei nostri esperti interni!
Domande frequenti (FAQ)
SPF può superare le 10 ricerche se necessario?
No, l'SPF è strettamente limitato a 10 ricerche DNS durante la valutazione, come definito nella RFC 7208. Il superamento di questo limite provoca un Permerror e i messaggi di posta elettronica potrebbero essere rifiutati o contrassegnati come spam.
Posso avere più record SPF?
No. È necessario impostare un solo record SPF per dominio che autorizzi tutte le fonti di invio per quel dominio. Più record possono invalidarli tutti, causando errori.
Qual è il modo più sicuro per riparare Permerror?
Il modo più sicuro per risolvere Permerror è quello di utilizzare una soluzione SPF in hosting come PowerSPF per ottimizzare dinamicamente l'SPF, con un supporto di esperti disponibile 24 ore su 24, 7 giorni su 7.
L'appiattimento è sicuro per gli IP dinamici?
Se il tuo provider utilizza IP dinamici, l'appiattimento manuale può diventare rapidamente obsoleto, causando errori SPF. Per gli IP dinamici o che cambiano frequentemente, l'opzione più sicura è quella di utilizzare una soluzione ospitata che recupera e aggiorna automaticamente gli IP per tuo conto.
"Ottimo prodotto e ottimo team"
Hakob Sharabkhanyan (CEO di Hacktech)
"Azienda, prodotto e fornitore MSP fantastici".
Bill Barnett (fondatore e presidente di Clearview IT)
Esperto di sicurezza informatica, CEO di PowerDMARC
Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.
Ultimi messaggi di Maitham Al Lawati (vedi tutti)
- Statistiche relative al phishing via e-mail e al DMARC: tendenze 2026 in materia di sicurezza delle e-mail - 6 gennaio 2026
- Come risolvere il problema "Nessun record SPF trovato" nel 2026 - 3 gennaio 2026
- SPF Permerror: come risolvere il problema di un numero eccessivo di ricerche DNS - 24 dicembre 2025
