Violazione SPF

Le e-mail inviate dai marketer possono essere respinte per una serie di motivi. Hanno avuto problemi di consegna delle e-mail per gli aggiornamenti dei casi e i commenti fatti.

Nella maggior parte dei casi, gli utenti ricevono una notifica di fallimento, come ad esempio: "Violazione SPF"..

Motivo principale: Non hanno incluso un record SPF.

Che cos'è un record SPF?

Un record SPF (sender policy framework) è un record DNS TXT che identifica tutti i server autorizzati a inviare e-mail da un dominio specifico.

L'amministratore di un dominio può utilizzare un record DNS TXT ("testo") per aggiungere qualsiasi testo al Domain Name System (DNS). I record TXT sono stati concepiti per contenere avvisi importanti sul dominio, ma si sono evoluti per svolgere diverse funzioni.

L'SPF viene verificato interrogando il valore Return-Path del dominio nelle intestazioni delle e-mail da parte dei server che ricevono i messaggi. Quando viene utilizzato questo Return-Path, il server del destinatario cerca un record TXT nel server DNS. Nel caso in cui SPF sia abilitato, viene visualizzato un elenco di tutti i server accettati da cui è possibile inviare la posta. Se l'indirizzo IP non è presente nell'elenco, il controllo SPF fallisce e genera un messaggio di errore con la dicitura "SPF Violation".

Perché è importante recuperare una violazione SPF?

Il Sender Policy Framework (SPF) è un metodo di convalida delle e-mail semplice ma efficace per rilevare le e-mail contraffatte.

Per prevenire lo spam e le e-mail contraffatte, è necessario un record SPF. Sebbene il Simple Mail Transfer Protocol (SMTP) non sia in grado di bloccare completamente le e-mail falsificate, l'intestazione SPF indica se l'e-mail è autentica o meno. Se si dispone di un record SPF, i server di posta possono verificare se gli indirizzi IP elencati nel record SPF sono autorizzati a inviare un'e-mail per conto del vostro dominio. In caso contrario, rifiuteranno i messaggi ricevuti da tali indirizzi IP.

Per recuperare la violazione SPF, il record deve essere valido e aggiornato. Per verificare la sintassi e i server MTA, assicuratevi che il record DNS SPF sia configurato correttamente effettuando controlli di routine con il nostro strumento di verifica del record SPF. Se viene rilevato un errore, è necessario accedere al pannello di controllo DNS del dominio per modificare il record e risolvere il problema della violazione SPF. Se utilizzate un servizio di hosting DNS, il processo è abbastanza semplice, poiché l'aggiornamento viene gestito da loro.

Inoltre, fornite un record SPF difensivo per qualsiasi dominio della vostra organizzazione che non consegna le e-mail, come ad esempio un dominio parcheggiato. Questo è consigliato anche dal Messaging, Malware, and Mobile Anti-Abuse Working Group (M3AAWG). I malintenzionati possono inviare e-mail di spoofing imitando qualsiasi dominio (anche quelli inattivi).

Siete pronti a creare il vostro record SPF per mitigare le violazioni SPF?

L'host DNS determina il modo in cui viene fornito un record SPF. Se si utilizza il server DNS della società di registrazione del dominio, si dovrebbe essere in grado di aggiungere ed eliminare voci DNS dal cruscotto della società di registrazione. Questa è la schermata in cui è possibile creare un record SPF.

  • Iniziare con l'opzione v=spf1 (versione 1) quindi aggiungere gli indirizzi IP autorizzati a inviare la posta. v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 è un esempio.
  • Se utilizzate una terza parte per inviare un'e-mail a vostro nome, dovete scrivere una dichiarazione "include" nel vostro record SPF (ad esempio, include:thirdparty.com) per designare la terza parte come un vero mittente.
  • Aggiungere il tag all o -all una volta aggiunti tutti gli indirizzi IP approvati e le dichiarazioni di inclusione.
  • Un fallimento SPF soft è indicato da un tag all, mentre un fallimento SPF hard è indicato da un tag -all. Secondo i principali provider di caselle postali, sia all che -all comportano un fallimento SPF. Il tag -all è il più sicuro.
  • I record SPF non possono essere più lunghi di 255 caratteri e non possono avere più di 10 dichiarazioni di inclusione (note anche come "lookup"). Ecco un esempio di come potrebbe apparire il vostro record:

v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

  • Il record SPF escluderà qualsiasi modifica tranne -all per i domini che non inviano e-mail. Per un dominio che non spedisce, ecco un esempio di record:

v=spf1 -all

È inoltre possibile utilizzare Generatore di record SPF di PowerDMARC per generare un record istantaneo privo di errori.

Scoprire le violazioni SPF con SPF Record Checker

Con il Controllo dei record SPF di PowerDMARC, è possibile conoscere i seguenti dati:

  • Se si dispone o meno di un record SPF nel proprio DNS
  • Se il vostro record è stato dichiarato non valido a causa di problemi SPF frequenti, come il superamento del limite di 10 ricerche DNS, la pubblicazione di più record SPF per lo stesso dominio o una sintassi non corretta.

Se il vostro dominio ha abilitato l'SPF, dovreste eseguire regolarmente i controlli dei record SPF per rimanere al corrente di eventuali aggiornamenti DNS.

  • Iniziate digitando il nome del vostro dominio nella casella corrispondente. (Ad esempio, se l'URL del vostro dominio è, il nome di dominio successivo è company.com, che non ha prefisso).
  • Il gioco è fatto quando si fa clic sul pulsante "Cerca".

Esempio di dettagli del criterio SPF:

Indirizzo IP: 13.108.238.141

SPF Record: v=spf1 ip4:13.108.238.141/26 ip4:87.222.138.192/26 ip4:80.43.144.0/20 ip4:126.146.128.64/27 ip4:116.146.208.0/21 ip4:136.147.32.0/19 ip4:112.50.78.64/28 exists:%{i}._spf.mta.dummyvalue.com -all

Indirizzo per HELO/EHLO: [email protected]

Esempio di uscita

Posta inviata da questo indirizzo IP: 13.108.238.141

Identità del server di posta HELO/EHLO: [email protected]

Risultati HELO/EHLO - mittente PASS SPF autorizzato

Parole finali

La violazione dell'SPF è un rischio importante che impedisce l'invio di e-mail importanti. È possibile adottare un approccio più semplice, non scegliendo i tag di applicazione e optando per una politica più rilassata che consenta la consegna di tutte le e-mail (anche quelle che non superano l'autenticazione). Questa è una buona mossa per i principianti che vogliono solo monitorare il flusso di e-mail attraverso il reporting DMARC. Tuttavia, per la protezione contro lo spam e le frodi via e-mail, questo problema deve essere risolto in via prioritaria.

PowerDMARC, con i suoi strumenti più recenti, semplifica l'impostazione dei record DNS TXT corretti per bloccare le violazioni SPF. Create un account PowerDMARC gratuito e fate una prova di DMARC per accedere a una serie di strumenti di autenticazione e convalida!

Ultimi messaggi di Ahona Rudra (vedi tutti)