Messaggi

Il SPF (Sender Policy Framework) redirect è un modificatore di record che punta a un nome di dominio separato contenente un record SPF. I proprietari di domini possono configurare più domini per fare uso di un singolo record SPF ospitato su un dominio utilizzando il redirect SPF. Anche se può sembrare vantaggioso in qualche modo, noi non lo raccomandiamo. Leggi di più per scoprire perché!

Introduzione a SPF e al modificatore Redirect

SPF è lo standard di autenticazione della posta elettronica che protegge la vostra organizzazione contro l'impersonificazione e lo spam, mantenendo un registro delle parti autorizzate. 

Mentre il modificatore SPF redirect è opzionale e può essere usato solo una volta per record SPF. Ci sono alcuni prerequisiti per usare SPF redirect. Sono i seguenti:

  • Ha senso solo quando un'organizzazione lavora con più domini 
  • Tutti questi domini devono condividere la stessa infrastruttura e-mail
  • Il secondo dominio, che viene reindirizzato, deve avere un record SPF valido
  • Per utilizzare SPF redirect, il controllo su tutti i domini che partecipano alla catena di reindirizzamento deve essere del proprietario del dominio

Come funziona il modificatore SPF Redirect?

Per capire meglio la funzionalità del reindirizzamento SPF, diamo un'occhiata al seguente esempio: 

Se dominio_test.com ha un record SPF come:
v=spf1 redirect=dominio_test2.com

Questo indica che il record SPF per "domain_test2.com" dovrebbe essere usato al posto di "domain_test". Le mail da domain_test verrebbero quindi reindirizzate usando "domain_test2".

Quando puoi usare il modificatore di reindirizzamento SPF?

1. Quando un singolo record deve essere usato per più domini

Per esempio,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

In questo esempio, qualsiasi posta proveniente dai tre domini di cui sopra sarà descritta dallo stesso record, in questo caso, "_spf.example1.com", che fornisce agli utenti un vantaggio amministrativo.

2. Quando il nome del dominio deve essere modificato.

Per tutti i meccanismi, il valore "a", "mx" e "ptr" è opzionale. Se non vengono forniti valori specifici, sono impostati sul dominio corrente. Tuttavia, quando viene usato un "redirect", i meccanismi "a", "mx" e "ptr" puntano al dominio reindirizzato.

Considerate il seguente esempio:
powerdmarc.com "v=spf1 a -all"

Qui, il meccanismo "a" non ha un valore specificato, quindi punterà al record 'A' del DNS di "powerdmarc.com" perché è lì che il record SPF è ospitato come specificato nell'esempio.

Ora, considerate il seguente esempio:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

Nell'esempio precedente, il meccanismo "a" punta al record DNS 'A' di "_spf.powerdmarc.com", anche se il dominio radice "powerdmarc.com" lo reindirizza.

Questa è una delle cause comuni dei problemi di convalida di SPF ed è difficile da debuggare. Se la vostra organizzazione usa un "redirect" SPF, notate che se esiste un meccanismo "a", "mx", o "ptr" senza un nome di dominio esplicitamente definito nel vostro record SPF reindirizzato, esso punterà solo al dominio reindirizzato.

Svantaggi dell'uso di SPF Redirect

1. Il modificatore "redirect" si aggiunge al numero di ricerche DNS

Quando si usa l'autenticazione SPF delle email, ogni volta che un'email viene inviata da un dominio al dominio del destinatario, il server email del destinatario esegue richieste di query DNS, note anche come DNS lookup, per controllare gli indirizzi IP autorizzati esistenti nel vostro DNS e confrontarli con l'indirizzo IP nell'intestazione return-path dell'email ricevuta. SPF RFC7208 limita il numero massimo per queste ricerche a 10. 

Un modificatore "redirect", se usato, aumenta anche questo conteggio. Quindi, la vostra organizzazione deve fare attenzione quando usa un modificatore "redirect", poiché il limite di 10 ricerche DNS può essere superato. Questo può causare la rottura di SPF e portare a fallimenti di autenticazione.

In PowerDMARC, i nostri utenti configurano PowerSPF che è un efficace strumento di appiattimento SPF per limitare il numero di ricerche e godere di SPF senza errori.

2. Il risultato di Permerror viene restituito per nessuna politica SPF definita nei domini che utilizzano "redirect".

Nel caso in cui stai includendo un dominio che non contiene un record SPF o ne ha uno non valido, viene restituito un risultato softfail (nessuno) che non influenza il processo di verifica. 

Tuttavia, mentre si usa il modificatore di reindirizzamento SPF, se il dominio reindirizzato contiene un record non valido o mancante per SPF, viene restituito un risultato SPF Permerror che è un hard fail e può causare la rottura di SPF.

Usare il meccanismo SPF include invece del modificatore di reindirizzamento SPF

Si consiglia di utilizzare il meccanismo SPF include invece del modificatore di reindirizzamento per eludere alcune complicazioni comuni, che sono le seguenti:

  • Quando si usa un meccanismo di reindirizzamento, esso denota la fine del record e non si possono fare altre modifiche. D'altra parte, se usate un SPF include, potete fare delle modifiche al vostro record e aggiungere più record include, a o mx secondo la vostra volontà, offrendo così più flessibilità.
  • Il meccanismo di inclusione può aiutare ad accorciare il vostro record SPF in modo che sia sotto il limite di lunghezza dei caratteri SPF. Puoi creare un record SPF TXT ciascuno su spfrecord1.xyz.com e spfrecord2.abc.com dividendo il singolo e lungo record SPF originale e includere entrambi i domini nel record TXT per uno dei domini (ad esempio: xyz.com).
  • Nel caso in cui ci sia nessun record SPF trovato in un dominio reindirizzato, il mantenimento dello stato di errore (valore permerror) per il reindirizzamento come menzionato sopra può anche essere eluso utilizzando il meccanismo include che restituirà invece un risultato softfail con le vostre e-mail ancora consegnate.
  • A differenza di SPF include che non ha effetto sul meccanismo all, il modificatore di reindirizzamento SPF istruisce il server a rendere il SPF ~tutto per il dominio principale usando il redirect come nel caso seguente:
    domain1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
    Questo perché per ogni record che usa il reindirizzamento, il meccanismo "all" è assente in primo luogo, che può coesistere durante l'uso dei meccanismi di inclusione. Quindi il "~all" impostato per il sottodominio reindirizzato è imposto anche al dominio principale.

Conclusione

Ci sono molte cose di cui essere cauti quando si usa un modificatore "redirect" come il limite di 10 DNS Lookup, quindi, la vostra organizzazione deve fare attenzione quando si imposta il vostro record SPF. La vostra organizzazione deve ottimizzare i record SPF di volta in volta assicurandosi che le ricerche DNS siano entro il limite. Per tutte le query relative a SPF della vostra organizzazione, controllate PowerSPF. Esegue l'appiattimento automatico e aggiorna automaticamente i netblock per garantire che gli IP autorizzati siano sempre aggiornati e sicuri. Inoltre, non dovete preoccuparvi di perdervi o superare i limiti di ricerca del DNS.

Il modo migliore per proteggere le vostre e-mail con SPF è quello di implementarlo con DKIM e DMARC gratuito. Questo aiuterà a proteggere la vostra organizzazione contro la posta spam e possibili tentativi di spear-phishing. Date un'occhiata a PowerDMARC e assicuratevi che la vostra organizzazione stia usando un fornitore di servizi attivo di tecnologia DMARC anti-spoofing.

In questo articolo, esploreremo come ottimizzare il record SPF facilmente per il vostro dominio. Per le imprese e le piccole imprese che sono in possesso di un dominio di posta elettronica per inviare e ricevere messaggi tra i loro clienti, partner e dipendenti, è molto probabile che esista un record SPF di default, che è stato impostato dal vostro fornitore di servizi di posta elettronica. Non importa se avete un record SPF preesistente o dovete crearne uno nuovo, è necessario ottimizzare correttamente il record SPF per il vostro dominio, al fine di garantire che non causi problemi di consegna delle e-mail.

Alcuni destinatari di e-mail richiedono rigorosamente SPF, il che indica che se non hai un record SPF pubblicato per il tuo dominio le tue e-mail possono essere contrassegnate come spam nella casella di posta del tuo destinatario. Inoltre, SPF aiuta a rilevare fonti non autorizzate che inviano e-mail per conto del tuo dominio.

Cerchiamo prima di tutto di capire cos'è l'SPF e perché ne avete bisogno?

Struttura dei criteri del mittente (SPF)

SPF è essenzialmente un protocollo standard di autenticazione e-mail che specifica gli indirizzi IP che sono autorizzati a inviare e-mail dal tuo dominio. Funziona confrontando gli indirizzi dei mittenti con l'elenco degli host e degli indirizzi IP autorizzati all'invio per un dominio specifico che è pubblicato nel DNS per quel dominio.

SPF, insieme a DMARC (Domain-based Message Authentication, Reporting and Conformance) è progettato per rilevare indirizzi mittenti falsificati durante la consegna delle e-mail e prevenire attacchi di spoofing, phishing e truffe via e-mail.

È importante sapere che anche se l'SPF predefinito integrato nel tuo dominio dal tuo provider di hosting assicura che le email inviate dal tuo dominio siano autenticate contro l'SPF, se hai più fornitori di terze parti per inviare email dal tuo dominio, questo record SPF preesistente deve essere adattato e modificato per soddisfare le tue esigenze. Come potete farlo? Esploriamo due dei modi più comuni:

  • Creare un nuovo record SPF
  • Ottimizzare un record SPF esistente

Istruzioni su come ottimizzare il record SPF

Creare un nuovo record SPF

Creare un record SPF significa semplicemente pubblicare un record TXT nel DNS del vostro dominio per configurare SPF per il vostro dominio. Questo è un passo obbligatorio che viene prima di iniziare su come ottimizzare il record SPF. Se hai appena iniziato con l'autenticazione e non sei sicuro della sintassi, puoi usare il nostro generatore di record SPF online gratuito per creare un record SPF per il tuo dominio.

Un record SPF con una sintassi corretta sarà simile a questo:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Specifica la versione di SPF in uso
ip4/ip6Questo meccanismo specifica gli indirizzi IP validi che sono autorizzati a inviare e-mail dal tuo dominio.
includereQuesto meccanismo dice ai server riceventi di includere i valori del record SPF del dominio specificato.
-tuttiQuesto meccanismo specifica che le email che non sono conformi a SPF saranno rifiutate. Questo è il tag raccomandato che puoi usare quando pubblichi il tuo record SPF. Tuttavia può essere sostituito con ~ per SPF Soft Fail (le email non conformi sarebbero marcate come soft fail ma sarebbero comunque accettate) o + che specifica che ogni server sarebbe autorizzato a inviare email per conto del tuo dominio, il che è fortemente sconsigliato.

Se hai già configurato SPF per il tuo dominio, puoi anche usare il nostro SPF record checker gratuito per cercare e validare il tuo record SPF e rilevare i problemi.

Sfide ed errori comuni durante la configurazione di SPF

1) Limite di 10 ricerche DNS 

La sfida più comune affrontata dai proprietari di domini durante la configurazione e l'adozione del protocollo di autenticazione SPF per il loro dominio, è che SPF viene fornito con un limite sul numero di lookup DNS, che non può superare 10. Per i domini che si affidano a più fornitori terzi, il limite di 10 lookup DNS si supera facilmente, il che a sua volta rompe SPF e restituisce un SPF PermError. Il server ricevente in questi casi invalida automaticamente il vostro record SPF e lo blocca.

Meccanismi che avviano le ricerche DNS: MX, A, INCLUDE, modificatore REDIRECT

2) Ricerca SPF Void 

Le ricerche nulle si riferiscono alle ricerche DNS che restituiscono una risposta NOERROR o una risposta NXDOMAIN (risposta nulla). Durante l'implementazione di SPF si raccomanda di assicurarsi che le ricerche DNS non restituiscano una risposta nulla in primo luogo.

3) Ciclo ricorsivo SPF

Questo errore indica che il record SPF per il dominio specificato contiene problemi ricorsivi con uno o più meccanismi INCLUDE. Questo avviene quando uno dei domini specificati nel tag INCLUDE contiene un dominio il cui record SPF contiene il tag INCLUDE del dominio originale. Questo porta ad un ciclo infinito che porta i server di posta elettronica ad eseguire continuamente ricerche DNS per i record SPF. Questo alla fine porta a superare il limite di 10 ricerche DNS, con conseguente fallimento dell'SPF nelle email.

4) Errori di sintassi 

Un record SPF può esistere nel DNS del vostro dominio, ma è inutile se contiene errori di sintassi. Se il vostro record SPF TXT contiene spazi bianchi non necessari mentre digitate il nome del dominio o il nome del meccanismo, la stringa che precede lo spazio extra verrebbe completamente ignorata dal server ricevente mentre esegue un lookup, invalidando così il record SPF.

5) Record SPF multipli per lo stesso dominio

Un singolo dominio può avere solo una voce SPF TXT nel DNS. Se il tuo dominio contiene più di un record SPF, il server ricevente li invalida tutti, facendo fallire l'SPF alle email.

6) Lunghezza del record SPF 

La lunghezza massima di un record SPF nel DNS è limitata a 255 caratteri. Tuttavia, questo limite può essere superato e un record TXT per SPF può contenere più stringhe concatenate insieme, ma non oltre un limite di 512 caratteri, per adattarsi alla risposta della query DNS (secondo RFC 4408). Anche se questo è stato successivamente rivisto, i destinatari che si affidano a vecchie versioni del DNS non sarebbero in grado di convalidare le e-mail inviate da domini contenenti un record SPF lungo.

Ottimizzare il tuo record SPF

Per modificare prontamente il vostro record SPF potete usare le seguenti best practices SPF:

  • Prova a scrivere le tue fonti di posta elettronica in ordine decrescente di importanza da sinistra a destra nel tuo record SPF
  • Rimuovere le fonti di posta elettronica obsolete dal tuo DNS
  • Utilizzare i meccanismi IP4/IP6 invece di A e MX
  • Mantenere il numero di meccanismi INCLUDE il più basso possibile ed evitare gli include annidati
  • Non pubblicare più di un record SPF per lo stesso dominio nel tuo DNS
  • Assicurati che il tuo record SPF non contenga spazi bianchi ridondanti o errori di sintassi

Nota: l'appiattimento SPF non è raccomandato in quanto non è un affare una tantum. Se il tuo fornitore di servizi e-mail cambia la sua infrastruttura, dovrai cambiare i tuoi record SPF di conseguenza, ogni volta.

Ottimizzare il tuo record SPF è diventato facile con PowerSPF

Puoi andare avanti e cercare di implementare tutte quelle modifiche sopra menzionate per ottimizzare il tuo record SPF manualmente, oppure puoi dimenticare il fastidio e affidarti al nostro dinamico PowerSPF per fare tutto questo automaticamente! PowerSPF ti aiuta a ottimizzare il tuo record SPF con un solo clic, in cui puoi:

  • Aggiungere o rimuovere fonti di invio con facilità
  • Aggiorna facilmente i record senza dover apportare manualmente modifiche al tuo DNS
  • Ottieni un record SPF automatico ottimizzato con un solo clic di un pulsante
  • Rimanere sempre sotto il limite di 10 ricerche DNS
  • Attenuare con successo PermError
  • Dimentica gli errori di sintassi dei record SPF e i problemi di configurazione
  • Ci togliamo l'onere di risolvere le limitazioni di SPF per vostro conto

Iscriviti oggi a PowerDMARC per dire addio per sempre alle limitazioni dell'SPF!