Reindirizzamento SPF

Blog

Scopri il reindirizzamento SPF: come consente a più domini di utilizzare un unico record SPF, perché può sembrare utile e perché spesso non è consigliabile.

di YunesTarada

Ultimo aggiornamento:
6 Tempo di lettura: 6 min
Reindirizzamento SPF
Indice dei contenuti-

Il SPF (Sender Policy Framework) redirect è un modificatore di record che punta a un nome di dominio separato contenente un record SPF. I proprietari di domini possono configurare più domini per fare uso di un singolo record SPF ospitato su un dominio utilizzando il redirect SPF. Anche se può sembrare vantaggioso in qualche modo, noi non lo raccomandiamo. Leggi di più per scoprire perché!

I punti chiave da prendere in considerazione

  1. Il reindirizzamento SPF consente a più domini di condividere un singolo record SPF, ma richiede un'attenta configurazione per evitare problemi di convalida.
  2. Il modificatore di reindirizzamento SPF può aumentare il numero di ricerche DNS, superando potenzialmente il massimo consentito e causando errori di autenticazione.
  3. L'utilizzo del meccanismo di inclusione SPF offre una maggiore flessibilità e riduce il rischio di cadere in stati di errore nella gestione dei record SPF.
  4. I record SPF non validi o mancanti nei domini reindirizzati possono portare a un risultato hard fail, complicando i processi di verifica delle e-mail.
  5. Per migliorare la sicurezza delle e-mail, le organizzazioni dovrebbero implementare SPF insieme a DKIM e DMARC per una solida protezione contro gli attacchi di spoofing e phishing.

Introduzione a SPF e al modificatore Redirect

SPF è lo standard di autenticazione della posta elettronica che protegge la vostra organizzazione contro l'impersonificazione e lo spam, mantenendo un registro delle parti autorizzate. 

Mentre il modificatore SPF redirect è opzionale e può essere usato solo una volta per record SPF. Ci sono alcuni prerequisiti per usare SPF redirect. Sono i seguenti:

  • Ha senso solo quando un'organizzazione lavora con più domini 
  • Tutti questi domini devono condividere la stessa infrastruttura e-mail
  • Il secondo dominio, che viene reindirizzato, deve avere un record SPF valido
  • Per utilizzare SPF redirect, il controllo su tutti i domini che partecipano alla catena di reindirizzamento deve essere del proprietario del dominio

Semplificate il reindirizzamento SPF con PowerDMARC!

Prova di 15 giorniPrenota una demo

Come funziona il modificatore SPF Redirect?

Per capire meglio la funzionalità del reindirizzamento SPF, diamo un'occhiata al seguente esempio: 

Se dominio_test.com ha un record SPF come:
v=spf1 redirect=dominio_test2.com

Questo indica che il record SPF per "domain_test2.com" dovrebbe essere usato al posto di "domain_test". Le mail da domain_test verrebbero quindi reindirizzate usando "domain_test2".

Quando puoi usare il modificatore di reindirizzamento SPF?

1. Quando un singolo record deve essere usato per più domini

Per esempio,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

In questo esempio, qualsiasi posta proveniente dai tre domini di cui sopra sarà descritta dallo stesso record, in questo caso, "_spf.example1.com", che fornisce agli utenti un vantaggio amministrativo.

2. Quando il nome del dominio deve essere modificato.

Per tutti i meccanismi, il valore "a", "mx" e "ptr" è opzionale. Se non vengono forniti valori specifici, sono impostati sul dominio corrente. Tuttavia, quando viene usato un "redirect", i meccanismi "a", "mx" e "ptr" puntano al dominio reindirizzato.

Considerate il seguente esempio:
powerdmarc.com "v=spf1 a -all"

Qui, il meccanismo "a" non ha un valore specificato, quindi punterà al record 'A' del DNS di "powerdmarc.com" perché è lì che il record SPF è ospitato come specificato nell'esempio.

Ora, considerate il seguente esempio:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

Nell'esempio precedente, il meccanismo "a" punta al record DNS 'A' di "_spf.powerdmarc.com", anche se il dominio radice "powerdmarc.com" lo reindirizza.

Questa è una delle cause più comuni dei problemi di convalida dell'SPF ed è difficile da risolvere. Se la tua organizzazione utilizza un "reindirizzamento" SPF, tieni presente che se nel record SPF reindirizzato è presente un meccanismo "a", "mx" o "ptr" senza un nome di dominio esplicitamente definito, esso punterà solo al dominio reindirizzato.

Svantaggi dell'uso di SPF Redirect

1. Il modificatore "redirect" si aggiunge al numero di ricerche DNS

Quando si usa l'autenticazione SPF delle email, ogni volta che un'email viene inviata da un dominio al dominio del destinatario, il server email del destinatario esegue richieste di query DNS, note anche come DNS lookup, per controllare gli indirizzi IP autorizzati esistenti nel vostro DNS e confrontarli con l'indirizzo IP nell'intestazione return-path dell'email ricevuta. SPF RFC7208 limita il numero massimo per queste ricerche a 10. 

Un modificatore "redirect", se usato, aumenta anche questo conteggio. Quindi, la vostra organizzazione deve fare attenzione quando usa un modificatore "redirect", poiché il limite di 10 ricerche DNS può essere superato. Questo può causare la rottura di SPF e portare a fallimenti di autenticazione.

In PowerDMARC, i nostri utenti configurano PowerSPF, un efficace strumento di appiattimento SPFper limitare il numero di lookup e godere di un SPF privo di errori.

2. Il risultato di Permerror viene restituito per nessuna politica SPF definita nei domini che utilizzano "redirect".

Nel caso in cui stai includendo un dominio che non contiene un record SPF o ne ha uno non valido, viene restituito un risultato softfail (nessuno) che non influenza il processo di verifica. 

Tuttavia, mentre si usa il modificatore di reindirizzamento SPF, se il dominio reindirizzato contiene un record non valido o mancante per SPF, viene restituito un risultato SPF Permerror che è un hard fail e può causare la rottura di SPF.

Usare il meccanismo SPF include invece del modificatore di reindirizzamento SPF

Si consiglia di utilizzare il meccanismo SPF include invece del modificatore di reindirizzamento per eludere alcune complicazioni comuni, che sono le seguenti:

  • Quando si usa un meccanismo di reindirizzamento, esso denota la fine del record e non si possono fare altre modifiche. D'altra parte, se usate un SPF include, potete fare delle modifiche al vostro record e aggiungere più record include, a o mx secondo la vostra volontà, offrendo così più flessibilità.
  • Il meccanismo di inclusione può aiutare ad accorciare il vostro record SPF in modo che sia sotto il limite di lunghezza dei caratteri SPF. Puoi creare un record SPF TXT ciascuno su spfrecord1.xyz.com e spfrecord2.abc.com dividendo il singolo e lungo record SPF originale e includere entrambi i domini nel record TXT per uno dei domini (ad esempio: xyz.com).
  • Nel caso in cui ci sia nessun record SPF trovato in un dominio reindirizzato, il mantenimento dello stato di errore (valore permerror) per il reindirizzamento come menzionato sopra può anche essere eluso utilizzando il meccanismo include che restituirà invece un risultato softfail con le vostre e-mail ancora consegnate.
  • A differenza di SPF include che non ha effetto sul meccanismo all, il modificatore di reindirizzamento SPF istruisce il server a rendere il SPF ~tutto per il dominio principale usando il redirect come nel caso seguente:
    domain1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
    Questo perché per ogni record che usa il reindirizzamento, il meccanismo "all" è assente in primo luogo, che può coesistere durante l'uso dei meccanismi di inclusione. Quindi il "~all" impostato per il sottodominio reindirizzato è imposto anche al dominio principale.

Conclusione

Ci sono molte cose di cui essere cauti quando si usa un modificatore "redirect" come il limite di 10 DNS Lookup, quindi, la vostra organizzazione deve fare attenzione quando si imposta il vostro record SPF. La vostra organizzazione deve ottimizzare i record SPF di volta in volta assicurandosi che le ricerche DNS siano entro il limite. Per tutte le query relative a SPF della vostra organizzazione, controllate PowerSPF. Esegue l'appiattimento automatico e aggiorna automaticamente i netblock per garantire che gli IP autorizzati siano sempre aggiornati e sicuri. Inoltre, non dovete preoccuparvi di perdervi o superare i limiti di ricerca del DNS.

Il modo migliore per proteggere le e-mail con SPF è implementarlo con DKIM e DMARC gratuito. DMARC gratuito. Questo aiuterà a proteggere la vostra organizzazione da messaggi di spam e da possibili tentativi di spear-phishing. Verificate PowerDMARC e assicuratevi che la vostra organizzazione utilizzi un fornitore di servizi di tecnologia DMARC anti-spoofing attivo.

Ultimi messaggi di Yunes Tarada (vedi tutti)
Ultimo aggiornamento:
Resilienza informatica e DMARCResilienza informatica e DMARCCifrario PowerDMARCPowerDMARC collabora con Cipher per l'Arabia Saudita