Errore di convalida SPF: Cause e soluzioni

Blog

Consultate la nostra guida completa sugli errori di convalida SPF e le loro cause principali. Scoprite come individuare e risolvere efficacemente i problemi SPF utilizzando PowerDMARC.

di YunesTarada

Tempo di lettura: 7 min
Errore di convalida SPF: Cause e soluzioni
Indice dei contenuti-

Un errore di convalida SPF è il risultato di una configurazione errata del Sender Policy Framework (SPF). Una situazione del genere può comportare tempi lunghi e costi elevati per l'azienda.

Questo articolo approfondisce i vari motivi per cui possono verificarsi errori di convalida SPF e come risolverli.

I punti chiave da prendere in considerazione

  1. Gli errori SPF si verificano spesso a causa di record DNS errati, errori di sintassi o superamento dei limiti di ricerca DNS, che possono portare a mancate consegne e interruzioni.
  2. Esistono diversi tipi di errori SPF, tra cui Temperror (problemi temporanei), Permerror (problemi di sintassi o di ricerca), Softfail (autorizzazione debole) e Fail (rifiuto esplicito di e-mail da mittenti non autorizzati).
  3. Le cause più comuni includono record DNS errati, più record SPF per lo stesso dominio, superamento del limite di 10 ricerche DNS e utilizzo di tipi di record SPF deprecati.
  4. I rapporti DMARC, i validatori SPF online e gli strumenti di ispezione delle intestazioni delle e-mail possono aiutare a identificare e risolvere rapidamente gli errori di convalida SPF.
  5. Per evitare errori, assicurate una sintassi accurata dei record SPF, limitate le ricerche DNS, consolidate i record SPF e aggiornate regolarmente i record quando cambiate provider di posta elettronica o impostazioni DNS.

Che cos'è un errore di convalida SPF?

La convalida SPF si riferisce al processo di verifica dell'autorizzazione di un mittente a inviare e-mail per conto del dominio. Gli errori di convalida SPF possono verificarsi quando il record TXT contenente le informazioni SPF presenta errori di sintassi o di configurazione. Il record SPF di un dominio è composto da diversi tag, tecnicamente noti come meccanismi e modificatori SPF. Cercare di creare manualmente un record SPF può spesso portare a errori di sintassi, che durante la valutazione SPF possono risultare in un errore di convalida. 

Durante gli errori di convalida SPF, i proprietari dei domini possono ricevere un messaggio 550 spf check failed come: 

"Errore 550 - Messaggio rifiutato a causa di un controllo SPF non riuscito".

Semplificate l'SPF con PowerDMARC!

Prova di 15 giorniPrenota una demo

 

Tipi di errori di convalida SPF

Di seguito sono riportati i principali tipi di errori di convalida SPF e le relative spiegazioni: 

  • Temperror: Potrebbe trattarsi di un errore di convalida causato da un problema momentaneo, come un timeout DNS o problemi simili durante la procedura di convalida SPF. Non implica che il record SPF non sia valido, non sia disponibile o non abbia superato la procedura di convalida del record SPF. Non ci si deve preoccupare se si riceve un record SPF solo da un server di posta. Tuttavia, è necessario ricontrollare il record SPF se si iniziano a ricevere regolarmente notifiche di questo tipo.
  • Permerrore: Quando i server di posta non riescono a controllare correttamente i record SPF, emettono questi errori SPF Permerror SPF Permerror. Questi problemi sono solitamente causati da errori di battitura o da problemi di sintassi SPF. I permerror si verificano anche quando i record SPF superano il limite di 10 ricerche DNS.
  • Softail: Il mittente è autorizzato o non autorizzato a inviare e-mail dal dominio. L'host può essere "probabilmente non approvato" se il dominio non ha stabilito una politica chiara e aggressiva che si traduce in un "fallimento". Funziona collegando un meccanismo "tutti" al record SPF. Qualsiasi indirizzo IP fornirà un risultato "SPF Softfail" alla valutazione. Il risultato SPF Soft fail è, di fatto, una dichiarazione debole. Il DMARC legge il risultato SPF Softfail come "Pass" o "Fail", a seconda delle impostazioni del server e-mail, proprio come il risultato SPF Neutral.
  • Fallito: La dichiarazione "SPF Fail", a differenza di "SPF Softfail", è un'affermazione esplicita o definitiva che l'host non è autorizzato a utilizzare il dominio. Questa condizione è implementata nel record SPF utilizzando la tecnica "-all". Se viene utilizzato un qualsiasi indirizzo IP, verrà prodotto un 'SPF Fail' quando viene eseguito il controllo di autenticazione SPF. Questa situazione viene trattata allo stesso modo da tutti i domini con DMARC implementato e viene interpretata come "Fail".

4 motivi comuni per l'errore di convalida dell'SPF

I motivi più comuni degli errori di convalida SPF includono:

1. Record DNS errati

Un motivo comune per un errore di convalida SPF è un record DNS SPF non corretto. Spazi extra, formattazione errata e punteggiatura non corretta possono causare errori di convalida per SPF e invalidare il record. Inoltre, le vulnerabilità del DNS, come i record DNS pendenti, possono creare scappatoie che gli aggressori possono sfruttare, complicando ulteriormente la configurazione dell'autenticazione e-mail.

2. Record SPF multipli 

La convalida SPF può presentare errori se si configurano più record SPF per lo stesso dominio. Idealmente, dovrebbe esserci solo 1 record SPF per dominio.

3. Superamento del limite di ricerca DNS

Uno dei motivi più comuni degli errori di convalida SPF è il superamento del limite di ricerche DNS per SPF. Esiste un limite di 10 ricerche DNS durante la valutazione SPF; se il limite viene superato, la convalida SPF fallisce con un Permerror. 

4. Tipo di record SPF deprecato

Il record SPF di tipo 99 (SPF) è stato deprecato, come indicato nella RFC 7208, sezione 3.1, perché non era molto utile. Ha lo stesso formato del tipo RR TXT, che è il tipo di risorsa raccomandato per i record SPF. L'uso del tipo di record deprecato può causare errori SPF. 

Come trovare gli errori di convalida SPF?

È importante individuare gli errori SPF per iniziare a risolverli. Ecco alcuni modi per farlo: 

1. Utilizzare i rapporti DMARC

È possibile rilevare gli errori di convalida SPF monitorando i rapporti DMARC. I rapporti DMARC forniscono una serie di informazioni sul traffico e-mail, sul mittente e sui risultati dell'autenticazione SPF e DKIM. Se c'è un errore di convalida nel vostro record SPF, è probabile che venga evidenziato nel vostro rapporto DMARC. Utilizzando uno strumento di analisi dei rapporti DMARC può aiutarvi in questo processo, rendendo i complessi report XML molto più facili da leggere e comprendere.

2. Utilizzare gli strumenti di convalida SPF online

Solo gli strumenti di validazione SPF, come i checker SPF, possono aiutarvi a individuare facilmente e istantaneamente gli errori di validazione. Questi strumenti online sono solitamente gratuiti e possono ispezionare rapidamente il vostro record SPF per evidenziare gli errori di sintassi e di configurazione. Alcuni strumenti avanzati indicano anche se il vostro SPF sta superando il limite di 10 ricerche DNS. 

Provate lo strumento di controllo SPF strumento di controllo SPF gratuito.

3. Controllare le intestazioni delle e-mail

Infine, è sempre possibile verificare la presenza di errori di convalida SPF analizzando manualmente le intestazioni delle e-mail. Aprite semplicemente l'e-mail. Fare clic su "Altro" e selezionare "Mostra originale". Verrà visualizzata una nuova scheda che mostra il riepilogo del messaggio originale e una panoramica dettagliata dell'intestazione dell'e-mail. È inoltre possibile utilizzare un analizzatore di intestazioni e-mail che fornirà informazioni approfondite sull'intestazione delle e-mail, ma in un formato completo e leggibile.

Come prevenire gli errori di convalida SPF

Per evitare errori di convalida SPF: 

  • Ricontrollate il vostro record SPF per assicurarvi di averlo aggiornato o di averlo disattivato se non è più utilizzato, inviando un'e-mail al proprietario del dominio. 
  • Supponiamo che di recente si sia passati a un altro provider di posta elettronica (ad esempio, Gmail) o che sia stato effettuato un cambiamento nei server dei nomi di dominio. In questo caso, l'SPF può interrompersi perché Google non riesce a confrontare l'indirizzo del mittente con i record esistenti. Se avete recentemente apportato una di queste modifiche al vostro dominio, assicuratevi che i vostri record SPF siano aggiornati contattando il vostro web host o il vostro provider di posta elettronica.
  • Assicuratevi che il vostro provider di hosting DNS sia affidabile e che disponga di buone opzioni di web hosting. In questo modo si può garantire che il record SPF sia sempre disponibile e facilmente accessibile ai server riceventi, riducendo le possibilità di errore di convalida SPF.
  • È importante scegliere un provider di hosting DNS affidabile e controllare regolarmente che il record SPF sia accurato e aggiornato per evitare potenziali problemi.

Passi per risolvere l'errore di convalida SPF

I proprietari dei domini possono risolvere gli errori adottando alcune semplici misure indicate di seguito:

1. Controllare la sintassi del record SPF

Verificare la sintassi sintassi SPF per verificare che sia priva di errori. Un record SPF privo di errori può avere un aspetto simile a questo: v=spf1 include:spf.domain.com ~all. Il tipo di versione (v) e il meccanismo SPF all sono campi obbligatori che devono essere inclusi nella sintassi del record. Inoltre, è necessario assicurarsi di non aggiungere spazi aggiuntivi, punti e virgola o altri caratteri speciali non supportati da SPF.

2. Limitare le ricerche DNS

Per prevenire gli errori di convalida SPF e gli errori permanenti, è fondamentale limitare le ricerche DNS per SPF a un massimo di 10. Sebbene esistano metodi tradizionali di appiattimento per raggiungere questo obiettivo, un modo più moderno ed efficace per risolvere questo problema è l'utilizzo di Macro SPF. Le macro aiutano a rispettare i limiti di ricerca DNS e di lunghezza.

3. Consolidare i record SPF

Per evitare la pubblicazione di più record per SPF che possono causare errori di convalida, unire i record SPF utilizzando il meccanismo include:. Gli "include" SPF possono aiutare a consolidare diversi record in uno solo, aggiungendo semplicemente il dominio autorizzato uno dopo l'altro, come mostrato di seguito:

v=spf1 include:spf.domain.com include:spf.example.com include:spf.company.com ~all

4. Includere le regolazioni del meccanismo

Trascurare le fonti di invio di terze parti e i fornitori di posta elettronica come Google, Microsoft Office 365, Zoho Mail, ecc. può portare a errori di convalida. Regolate il meccanismo SPF "include" per autorizzare tutti i fornitori terzi, assicurando una configurazione priva di errori. 

Per saperne di più configurazione dell'origine del fornitore.

Parole finali

L'autenticazione SPF è necessaria per l'integrità delle e-mail e la prevenzione dello spam. A e-mail falsa può entrare facilmente nella casella di posta elettronica di un destinatario a causa di un errore di convalida SPF. Può danneggiare la reputazione del legittimo proprietario del dominio facendo spam o phishing al destinatario.

Sebbene il metodo di autenticazione SPF abbia lo scopo di evitare che le e-mail indesiderate invadano la casella di posta, occasionalmente le e-mail reali possono essere registrate come un fallimento dell'autenticazione a causa di un errore di configurazione o di un record SPF difettoso. Di conseguenza, un amministratore di posta elettronica deve capire quali sono le cause dei fallimenti SPF e cosa può fare per migliorare la deliverability delle e-mail. 

Ultimi messaggi di Yunes Tarada (vedi tutti)
Come riconoscere un'e-mail universitaria falsae-mail universitarie falseVulnerabilità DKIMChe cos'è la vulnerabilità DKIM? Spiegazioni sulla limitazione del tag DKIM l=