Errore di convalida SPF: Cause e soluzioni

Blog

Correggi l'errore di convalida SPF e il messaggio "Controllo SPF non riuscito" in Outlook/Office 365. Scopri le cause, il limite di 10 ricerche e le correzioni dettagliate dei record SPF.

di YunesTarada

Ultimo aggiornamento:
9 Tempo di lettura: 9 min
Errore di convalida SPF: Cause e soluzioni
Indice dei contenuti-

I punti chiave da prendere in considerazione

  • Gli errori di convalida SPF si verificano quando un server ricevente non è in grado di valutare correttamente il record TXT SPF, il più delle volte a causa di errori di sintassi, inclusioni mancanti/errate o superamento del limite di 10 ricerche DNS.
  • I controlli SPF restituiscono comunemente risultati come temperror, permerror, softfail (~all) e fail (-all). Questi risultati informano sul rischio, ma ogni sistema ricevente decide se consegnare, mettere in quarantena o rifiutare.
  • Le cause più frequenti sono una sintassi SPF non valida, record SPF multipli sul dominio, inclusioni nidificate che spingono le ricerche oltre 10 e la pubblicazione di SPF utilizzando tipi di record deprecati invece di TXT.
  • È possibile individuare più rapidamente i problemi SPF combinando i report DMARC, un verificatore/validatore SPF (per la sintassi + il conteggio delle ricerche) e l'ispezione dell'intestazione delle e-mail (Risultati di autenticazione / Received-SPF) per confermare il risultato SPF reale.
  • Per evitare ripetuti errori, mantieni un record SPF per dominio, mantieni le ricerche ≤10, utilizza il controllo delle modifiche quando aggiungi fornitori di posta elettronica e riconvalida l'SPF dopo migrazioni DNS/provider o nuovi servizi di invio.

Un errore di convalida SPF è il modo in cui il tuo dominio ti comunica: "La configurazione della mia posta elettronica non funziona correttamente". Se il tuo record SPF è configurato in modo errato, i provider di posta elettronica non sono in grado di verificare i mittenti legittimi e questo comporta un calo della deliverability, un aumento del rischio di spoofing e una perdita di tempo per la risoluzione dei problemi. Ecco come identificare gli errori SPF e risolverli rapidamente.

Che cos'è un errore di convalida SPF?

La convalida SPF si riferisce al processo di verifica dell'autorizzazione (permesso) di un mittente a inviare e-mail per conto del dominio. Gli errori di convalida SPF possono verificarsi quando il record TXT contenente le informazioni SPF presenta errori di sintassi o di configurazione. Il record SPF di un dominio è composto da diversi tag, tecnicamente noti come meccanismi e modificatori SPF. Il tentativo di creare manualmente un record SPF può spesso portare a errori di sintassi che, durante la valutazione SPF, possono causare un errore di convalida. 

Durante gli errori di convalida SPF, i proprietari dei domini potrebbero ricevere un 550 Controllo SPF non riuscito come: 

"Errore 550 - Messaggio rifiutato a causa di un controllo SPF non riuscito".

Banner SPF di PowerDMARC

L'SPF smette di funzionare senza dare alcun preavviso. Te ne accorgi solo quando le e-mail smettono di arrivare.

PowerDMARC ha aiutato oltre 10.000 clienti a:

Pannello di controllo unico per SPF, DMARC e DKIM
Monitoraggio automatizzato — senza dover setacciare i dati grezzi
Avvisi immediati in caso di configurazioni errate e lacune nelle politiche
Scalabilità su domini client multi-tenant

I primi 15 giorni sono a nostro carico

Iscriviti per una prova gratuita

Messaggi di errore comuni nella convalida SPF e loro significato

Comprendere i messaggi di errore SPF ti aiuta a diagnosticare rapidamente i problemi di configurazione e ad adottare le misure correttive adeguate. Sebbene la formulazione possa variare a seconda del provider di posta elettronica, i seguenti messaggi riflettono i risultati più comuni relativi all'SPF riscontrati durante i controlli di autenticazione delle e-mail.

Messaggio di erroreCosa significaAzione raccomandata
"Convalida SPF non riuscita"Il server ricevente non è riuscito a valutare correttamente il record SPF.Controlla la sintassi del record SPF, la disponibilità DNS e i limiti di ricerca
"Avviso: convalida SPF non riuscita"Un risultato SPF debole (spesso softfail) che può comunque consentire la consegnaControllare i mittenti autorizzati e rafforzare la politica SPF
"Controllo SPF non riuscito (modalità: normale)"La valutazione SPF ha restituito un risultato negativo.Correggi il record SPF o autorizza la fonte di invio
"Messaggio rifiutato a causa di un controllo SPF non riuscito"Il messaggio è stato rifiutato perché il mittente non era autorizzato.Aggiorna il record SPF per includere l'IP o il servizio di invio

Importante: La formulazione esatta dell'errore non è standardizzata e può variare a seconda dei provider, dei server di posta e dei sistemi di registrazione. Questi esempi rappresentano modelli comunemente osservati piuttosto che messaggi garantiti.

Le piattaforme di posta elettronica segnalano gli errori di convalida SPF in modi diversi, a seconda delle loro politiche e dei formati di registrazione. Di seguito sono riportati alcuni esempi tipici, non stringhe fisse o universali.

  • Gmail
     Le notifiche di rimbalzo o di consegna possono indicare che un messaggio è stato bloccato o contrassegnato come sospetto a causa di problemi di valutazione della politica SPF.
  • Microsoft 365 / Outlook
     I rapporti di consegna fanno comunemente riferimento ai codici di stato SMTP 5.7.x (come 550 5.7.1) quando i controlli SPF falliscono o il mittente non è autorizzato.
  • Yahoo Mail
     I rifiuti potrebbero indicare che il messaggio non è stato accettato a causa di un errore nella convalida SPF o nell'autenticazione del mittente.
Come interpretare questi risultati:
SPF restituisce risultati standardizzati quali pass, fail, softfail, neutral, temperror o permerror. Ciascun sistema ricevente decide quindi se consegnare, mettere in quarantena o rifiutare il messaggio in base alla propria politica e al contesto di autenticazione complessivo.

Tipi di errori di convalida SPF

I controlli SPF possono restituire diversi tipi di risultati a seconda di ciò che il server ricevente rileva durante la valutazione. Ecco i risultati SPF più comuni che potrai vedere durante la convalida SPF: 

  • Temperror: Potrebbe trattarsi di un errore di convalida causato da un problema momentaneo, come un timeout DNS o problemi simili durante la procedura di convalida SPF. Ciò non implica che il record SPF non sia valido, non sia disponibile o non abbia superato la procedura di convalida del record SPF. Non dovresti preoccuparti se ricevi un temperror SPF solo da un server di posta. Tuttavia, dovresti ricontrollare il tuo record SPF se inizi a ricevere tali notifiche regolarmente. 

Esempio: Un server DNS è temporaneamente non disponibile durante la ricerca SPF, causando un timeout.

  • Permerror: Quando i server di posta non riescono a verificare correttamente i record SPF, emettono questi messaggi SPF Permerror . Questi problemi sono solitamente causati da errori di battitura o dalla problemi di sintassi SPF . Permerror si verifica anche quando i record SPF superano il limite di 10 ricerche DNS.  

Esempio: Un record SPF contiene "v=spf2" invece di "v=spf1" oppure include 12 ricerche DNS quando il limite è 10.

  • Softail: Il mittente è autorizzato o non autorizzato a inviare e-mail dal dominio. L'host potrebbe essere "probabilmente non approvato" se il dominio non ha stabilito una politica chiara e aggressiva che porta a un "fallimento". Funziona allegando un meccanismo "all" al record SPF. Qualsiasi indirizzo IP fornirà un "risultato SPF Softfail" alla valutazione. Il risultato SPF Soft fail è, in realtà, una dichiarazione debole. 

Il DMARC legge il risultato SPF Softfail come "Pass" o "Fail", a seconda delle impostazioni del server di posta elettronica, proprio come il risultato SPF Neutral. 

Esempio: Un record SPF termina con "~all" e un mittente non autorizzato tenta di inviare un'e-mail, causando un errore soft.

  • Fail: La dichiarazione "SPF Fail", a differenza di "SPF Softfail", è un'affermazione esplicita o definitiva che l'host non è autorizzato a utilizzare il dominio. Questa condizione è implementata nel record SPF utilizzando la tecnica "-all". 

Se viene utilizzato un indirizzo IP, verrà generato un errore "SPF Fail" quando viene eseguito il controllo di autenticazione SPF. Questa situazione viene trattata allo stesso modo da tutti i domini con DMARC implementato e viene interpretata come "Fail".  

Esempio: Un record SPF termina con "-all" e un IP completamente non autorizzato tenta di inviare un'e-mail, causando un errore irreversibile e il rifiuto dell'e-mail.

Cause comuni degli errori di convalida SPF

Gli errori di convalida SPF derivano solitamente da una serie di piccoli problemi di configurazione. Comprendere queste cause alla radice ti aiuta a correggere rapidamente gli errori e a prevenirne il ripetersi.

1. Errato Sintassi del record DNS SPF

Un motivo comune per un errore di convalida SPF è un record DNS SPF errato. Spazi extra, formattazione errata e punteggiatura errata possono causare errori di convalida per SPF e invalidare il record. Inoltre, vulnerabilità DNS, come il record DNS , possono creare falle che gli hacker possono sfruttare, complicando ulteriormente la configurazione dell'autenticazione e-mail.

I problemi sintattici più comuni includono:

  • Utilizzo di una versione non valida (ad esempio, v=spf2 anziché v=spf1)
  • Mancanza dell'obbligo tutti i (~tutti o -all)
  • Aggiunta di separatori non supportati o errori di formattazione

Esempio:

Record SPF non validoProblemaVersione corretta
v=spf2 include:_spf.google.com ~allVersione SPF non validav=spf1 include:_spf.google.com ~all
v=spf1 include:_spf.google.comMancanza di qualsiasi meccanismov=spf1 include:_spf.google.com ~all

2. Record SPF multipli per lo stesso dominio

Un dominio deve avere un solo record SPF. La pubblicazione di più record TXT SPF causa il fallimento della valutazione SPF perché i server riceventi non sono in grado di determinare quale record applicare.

Questo accade comunemente quando:

  • Sono stati aggiunti più servizi di posta elettronica in modo indipendente.
  • I record SPF vengono creati da diversi team o fornitori
  • I vecchi record SPF non vengono rimossi durante le migrazioni

Risultato: la valutazione SPF potrebbe restituire un errore permanente, causando il fallimento dell'autenticazione delle e-mail legittime.

3) Superamento del limite di ricerca DNS SPF

SPF consente un massimo di 10 ricerche DNS durante la valutazione. Se questo limite viene superato, la convalida SPF fallisce con un errore permanente.

Le ricerche DNS vengono attivate da meccanismi quali:

  • includere
  • a
  • mx
  • ptr
  • esiste
  • reindirizzare

Scenario reale: Un'azienda SaaS utilizza Google Workspace, Microsoft 365, una piattaforma di marketing e un servizio di posta elettronica transazionale. Ciascuno di essi aggiunge più include e gli include nidificati spingono silenziosamente la valutazione SPF oltre il limite di 10 lookup, causando errori di posta elettronica nonostante i record "apparentemente corretti".

4. Utilizzo di tipi di record SPF obsoleti

Il record SPF di tipo 99 (SPF) è stato deprecato, come indicato nella RFC 7208, sezione 3.1, perché non era molto utile. Ha lo stesso formato del tipo RR TXT, che è il tipo di risorsa raccomandato per i record SPF. L'uso del tipo di record deprecato può causare errori SPF. 

Punto chiave: La maggior parte degli errori di convalida SPF è causata da errori di sintassi, record SPF multipli o superamento del limite di 10 ricerche DNS, non da interruzioni del server di posta o problemi lato destinatario.

Come trovare gli errori di convalida SPF?

Prima di correggere gli errori di convalida SPF, è necessario identificare dove si verificano: nel record DNS, durante la valutazione SPF (ricerche/sintassi) o nei tentativi di consegna reali.

Lista di controllo dettagliata per il rilevamento degli errori SPF

  1. Controlla i report DMARC → cerca errori SPF e modelli di errore
  2. Convalida il tuo record SPF → conferma la sintassi e il conteggio delle ricerche DNS
  3. Controlla le intestazioni delle e-mail → conferma il risultato SPF restituito dal destinatario
  4. Esamina i messaggi di rimbalzo → identifica i codici di rifiuto associati a SPF
  5. Verifica la pubblicazione DNS → conferma che ci sia esattamente un record SPF TXT per il dominio

1. Utilizzare i rapporti DMARC

È possibile rilevare gli errori di convalida SPF monitorando i report DMARC. I report DMARC forniscono una grande quantità di informazioni sul traffico e-mail, sul mittente e su autenticazione SPF e DKIM . Se c'è un errore di convalida nel tuo record SPF, è probabile che venga evidenziato nel tuo rapporto DMARC. Utilizzando uno strumento di analisi dei rapporti DMARC può aiutarti in questo processo, rendendo i complessi report XML molto più facili da leggere e comprendere. 

2. Utilizzare gli strumenti di convalida SPF online

Solo strumenti di convalida SPF come SPF checker possono aiutarti a individuare facilmente e immediatamente gli errori di convalida. Questi strumenti online sono solitamente gratuiti e possono ispezionare rapidamente il tuo record SPF per evidenziare errori di sintassi e configurazione. Alcuni strumenti avanzati ti indicano anche se il tuo SPF sta superando il limite di 10 ricerche DNS. 

Provate lo strumento di controllo SPF strumento di controllo SPF gratuito.

3. Controllare le intestazioni delle e-mail

Infine, puoi sempre verificare la presenza di errori di convalida SPF esaminando manualmente le intestazioni delle tue e-mail. Basta aprire l'e-mail. Clicca su "Altro" e seleziona "Mostra originale". Apparirà una nuova scheda che mostra il riepilogo del tuo messaggio originale e una panoramica dettagliata dell'intestazione della tua e-mail. Puoi anche utilizzare un strumento di analisi dell'intestazione dell'e-mail che fornirà informazioni approfondite sulle informazioni dell'intestazione dell'e-mail, ma in un formato completo e leggibile.

Analisi dettagliata dell'intestazione: Cerca le righe che iniziano con "Received-SPF:" o "Authentication-Results:" per trovare i risultati della convalida SPF. I risultati più comuni includono "pass", "fail", "softfail", "neutral", "temperror" o "permerror".

Come prevenire gli errori di convalida SPF

Per evitare errori di convalida SPF: 

  • Ricontrollate il vostro record SPF per assicurarvi di averlo aggiornato o di averlo disattivato se non è più utilizzato, inviando un'e-mail al proprietario del dominio. 
  • Supponiamo che di recente si sia passati a un altro provider di posta elettronica (ad esempio, Gmail) o che sia stato effettuato un cambiamento nei server dei nomi di dominio. In questo caso, l'SPF può interrompersi perché Google non riesce a confrontare l'indirizzo del mittente con i record esistenti. Se avete recentemente apportato una di queste modifiche al vostro dominio, assicuratevi che i vostri record SPF siano aggiornati contattando il vostro web host o il vostro provider di posta elettronica.
  • Assicuratevi che il vostro provider di hosting DNS sia affidabile e che disponga di buone opzioni di web hosting. In questo modo si può garantire che il record SPF sia sempre disponibile e facilmente accessibile ai server riceventi, riducendo le possibilità di errore di convalida SPF.
  • È importante scegliere un provider di hosting DNS affidabile e controllare regolarmente che il record SPF sia accurato e aggiornato per evitare potenziali problemi.

Per MSP e aziende: Implementare il monitoraggio SPF automatizzato e stabilire processi di gestione delle modifiche per prevenire lo scostamento della configurazione su più domini e client.

Come correggere gli errori di convalida SPF

I proprietari dei domini possono risolvere gli errori adottando alcune semplici misure indicate di seguito:

1. Controllare la sintassi del record SPF

Verifica la tua sintassi SPF per assicurarti che non contenga errori. Un record SPF privo di errori potrebbe essere simile al seguente: v=spf1 include:spf.domain.com ~all. Il tipo di versione (v) e l' meccanismo SPF all sono campi obbligatori che devono essere inclusi nella sintassi del record. Inoltre, è necessario assicurarsi di non aggiungere spazi aggiuntivi, punti e virgola o altri caratteri speciali non supportati da SPF. 

Per le aziende SaaS: Quando si integrano più servizi di posta elettronica (automazione del marketing, e-mail transazionali, sistemi di assistenza), assicurarsi che i requisiti SPF di ciascun servizio siano correttamente inclusi senza superare i limiti di ricerca.

2. Limitare le ricerche DNS

Per evitare errori di convalida SPF ed errori permanenti, è fondamentale limitare le per SPF a un massimo di 10. Sebbene esistano metodi tradizionali di appiattimento per ottenere questo risultato, un modo più moderno ed efficace per risolvere questo problema è l'utilizzo delle macro SPF. Le macro consentono di rimanere al di sotto dei limiti sia di ricerca DNS che di lunghezza. 

3. Consolidare i record SPF

Per evitare la pubblicazione di più record per SPF che possono causare errori di convalida, unire i record SPF utilizzando il meccanismo include:. Gli "include" SPF possono aiutare a consolidare diversi record in uno solo, aggiungendo semplicemente il dominio autorizzato uno dopo l'altro, come mostrato di seguito:

v=spf1 include:spf.domain.com include:spf.example.com include:spf.company.com ~all

4. Includere le regolazioni del meccanismo

Trascurare le fonti di invio di terze parti e i fornitori di posta elettronica come Google, Microsoft Office 365, Zoho Mail, ecc. può portare a errori di convalida. Regolate il meccanismo SPF "include" per autorizzare tutti i fornitori terzi, assicurando una configurazione priva di errori. 

Per saperne di più configurazione dell'origine del fornitore.

Assumi il controllo della sicurezza del tuo dominio

L'autenticazione SPF è necessaria per l'integrità delle e-mail e la prevenzione dello spam. A e-mail falsa può entrare facilmente nella casella di posta elettronica di un destinatario a causa di un errore di convalida SPF. Può danneggiare la reputazione del legittimo proprietario del dominio facendo spam o phishing al destinatario.

Sebbene il metodo di autenticazione SPF abbia lo scopo di impedire le e-mail indesiderate inondino la propria casella di posta, a volte le email vere potrebbero essere registrate come errore di autenticazione a causa di un errore di configurazione o di un record SPF difettoso. Di conseguenza, un amministratore di posta elettronica deve capire cosa causa gli errori SPF e cosa può fare per migliorare la consegna delle email. 

Noi di PowerDMARC comprendiamo l'importanza fondamentale della sicurezza delle e-mail per le aziende di tutte le dimensioni. Che tu stia proteggendo una piattaforma SaaS in crescita, gestendo la conformità per un settore regolamentato o supervisionando la sicurezza delle e-mail per più clienti come MSP, siamo qui per aiutarti ad avere successo.

Passi successivi

Sei pronto a eliminare gli errori di convalida SPF e a proteggere la tua infrastruttura di posta elettronica? Ecco cosa puoi fare:

Domande frequenti

1. Quali sono le cause di un errore SPF?

Gli errori SPF sono in genere causati da record DNS errati, errori di sintassi, superamento del limite di 10 ricerche DNS, record SPF multipli per lo stesso dominio o utilizzo di tipi di record SPF obsoleti. Anche problemi DNS temporanei possono causare errori SPF.

2. Come posso correggere gli errori di convalida SPF?

Per correggere gli errori di convalida SPF: 1) Controllare e correggere la sintassi del record SPF, 2) Assicurarsi che esista un solo record SPF per dominio, 3) Limitare le ricerche DNS a 10 o meno, 4) Includere tutte le fonti di posta elettronica autorizzate e 5) Utilizzare il tipo di record TXT invece del tipo di record SPF deprecato.

3. Cosa significa "rifiutato a causa della convalida SPF"?

"Rifiutato a causa della convalida SPF" significa che il server di posta elettronica ricevente ha controllato il record SPF del tuo dominio e ha stabilito che il server mittente non è autorizzato a inviare e-mail per conto del tuo dominio. Di conseguenza, l'e-mail viene rifiutata o contrassegnata come spam.

4. Quanto tempo occorre affinché le modifiche al record SPF abbiano effetto?

Le modifiche ai record SPF diventano effettive in genere entro pochi minuti o 48 ore, a seconda delle impostazioni TTL (Time To Live) del proprio provider DNS. La maggior parte delle modifiche viene propagata a livello globale entro 1-4 ore.

5. Posso avere più record SPF per i sottodomini?

Sì, è possibile avere record SPF separati per diversi sottodomini, ma ogni singolo dominio o sottodominio dovrebbe avere un solo record SPF. Ad esempio, è possibile avere un record SPF per example.com e uno diverso per mail.example.com.

Ultimi messaggi di Yunes Tarada (vedi tutti)
Ultimo aggiornamento:
Come riconoscere un'e-mail universitaria falsae-mail universitarie falseVulnerabilità DKIMChe cos'è la vulnerabilità DKIM? Spiegazioni sulla limitazione del tag DKIM l=