Messaggi

Comprendere i limiti dell'SPF nell'autenticazione delle e-mail

Sender Policy Framework o SPF non è sufficiente quando si tratta di proteggere le e-mail aziendali da phishing e spamming dagli attacchi di phishing e spamming. Il limite di SPF sul numero massimo di ricerche DNS e il disallineamento dell'indirizzo From e del dominio causano errori di implementazione con conseguenti problemi di recapito delle e-mail. In questo blog vengono illustrati questi problemi e il modo in cui il DMARC aiuta a superare le limitazioni dell'SPF.

Quali sono le limitazioni dei record SPF?

Esistono due limiti principali dell'SPF che lo rendono un po' complicato da implementare e mantenere. 

1. Il limite di ricerca SPF 10

Quando un utente interroga il server DNS, vengono impiegate le risorse del validatore, come larghezza di banda, tempo, CPU e memoria. Per evitare un carico sul validatore, è previsto un limite SPF di 10 ricerche aggiuntive. Tuttavia, la query DNS per il record di criterio SPF stesso non conta per questo limite.

Come da RFC7208 sezione 4.6.4il server di posta del destinatario non dovrebbe elaborare ulteriormente una volta raggiunto il limite di 10 ricerche. In questo caso, l'e-mail rifiuta la convalida SPF con un errore Permerror. SPF Permerror è uno dei messaggi che compaiono comunemente nel processo di implementazione di SPF. Causa il mancato recapito delle e-mail e si verifica se esistono più record SPF su un dominio, se si verifica un errore di sintassi o se si superano i limiti dei record SPF.

È possibile utilizzare il programma gratuito SPF record checker per eliminare questo errore e garantire conversazioni sicure.

Inoltre, secondo l'RFC, una query DNS di un nome host trovato in un record MX non dovrebbe generare più di 10 record A o record AAAA. Se una query DNS PTR genera più di 10 risultati, vengono visualizzati e utilizzati solo i primi 10 risultati.

2. L'indirizzo "Da" leggibile dall'uomo

La seconda limitazione dell'SPF è che i record SPF si applicano a domini specifici di Return-Path e non all'indirizzo From. In genere i destinatari non prestano molta attenzione all'indirizzo del percorso di ritorno e si concentrano solo sull'indirizzo Da quando aprono un'e-mail. Gli hacker sfruttano questa lacuna per tentare attacchi di phishing falsificando l'indirizzo Da.

L'impatto della dimensione dei record SPF sulla consegna delle e-mail

Quando un destinatario supera il limite di record SPF, non supera i controlli SPF e si verifica un errore. È possibile osservare questo errore quando si utilizza il monitoraggio DMARC. Il destinatario può scegliere come gestire le e-mail che presentano un errore di Permerror. Può scegliere di rifiutare l'inserimento, il che significa che l'e-mail viene respinta. Alcuni destinatari lo configurano in modo da mostrare un risultato SPF "neutro" (come se non fosse stato usato l'SPF). Possono anche scegliere "fail" o "softfail", il che significa che le e-mail che non superano i controlli di autenticazione SPF non vengono rifiutate, ma finiscono nella cartella dello spam. 

Questi risultati sono determinati anche considerando i risultati di DMARC, DKIM e la classificazione dello spam. Il superamento del limite SPF influisce sulla deliverability delle e-mail riducendo la probabilità che le e-mail arrivino nella casella di posta principale dei destinatari.

Il validatore valuta i criteri SPF da sinistra a destra e quando viene trovata una corrispondenza con l'indirizzo IP del mittente, il processo si arresta. Ora, a seconda del mittente, un validatore potrebbe non raggiungere sempre il limite di ricerca anche se la politica SPF richiede più di 10 ricerche per essere valutata completamente. Questo crea difficoltà nell'identificare i problemi di consegna delle e-mail legati al limite del record SPF. 

Come ridurre il numero di ricerche richieste?

È difficile per alcuni proprietari di domini rimanere entro il limite SPF di 10 lookup, poiché le abitudini di scambio di e-mail sono cambiate in modo significativo dal 2006 (quando è stato implementato l'RFC4408). Oggi le aziende utilizzano più programmi e servizi basati sul cloud con un unico dominio. Di seguito sono elencati alcuni modi per superare questa comune limitazione SPF.

  • Rimuovere i servizi non utilizzati

Valutate la vostra scheda SF e verificate se ci sono servizi non utilizzati o non richiesti. Controllate che non ci sia l'opzione 'includi' o altri meccanismi che mostrano domini di servizi non più in uso.

  • Rimuovere i valori SPF predefiniti

Il criterio SPF predefinito è solitamente impostato su 'v=spf1 a mx'. Poiché la maggior parte dei record A e AAAA sono utilizzati per i server web che non possono inviare e-mail, il valore 'a' e 'mx' non sono necessari.

  • Evitare l'uso dell'opzione ptr meccanismo

Il ptr è altamente sconsigliato a causa della scarsa sicurezza e dell'inaffidabilità. Il meccanismo causa il problema del limite SPF, richiedendo un maggior numero di ricerche. Pertanto, dovrebbe essere evitato il più possibile.

  • Evitare l'uso dell'opzione mx meccanismo

Il mx è usato per ricevere le email e non necessariamente per inviarle. Per questo motivo si può evitare di usarlo per rimanere entro il limite di record SPF impostato sui lookup. Se si utilizza un servizio di posta elettronica basato sul cloud, si può usare il metodo 'include invece, il meccanismo "include".

  • Utilizzare IPv6 o IPv4 

IPv4 e IPv6 non necessitano di ulteriori ricerche, il che significa che aiutano a non superare il limite SPF di non più di 10 ricerche. Tuttavia, è necessario aggiornare e mantenere regolarmente i due meccanismi, poiché sono più soggetti a errori quando non vengono ricondizionati.

  • Non appiattire i record SPF

Alcune risorse sostengono che quanto più appiattito (o breve) è il criterio SPF, tanto migliore è la reputazione del dominio. Suggeriscono questo metodo per rimanere entro i limiti del record SPF impostati sulle ricerche. Tuttavia, l'appiattimento è sconsigliato perché rende il record più soggetto a errori e richiede aggiornamenti regolari. 

Il ruolo del DMARC nel superare le limitazioni dell'SPF

DMARC risolve la limitazione SPF dell'indirizzo Da leggibile dall'uomo richiedendo una corrispondenza o un allineamento tra il campo Da leggibile dall'uomo e il server autenticato da SPF.

Quindi, se un'e-mail supera i controlli SPF ma il dominio non è lo stesso dell'indirizzo Da, il DMARC annulla l'autenticazione. Ciò significa che l'e-mail non supera il test di autenticazione.

In che modo l'appiattimento dei record SPF aiuta a superare il limite di 10 ricerche DNS

Appiattimento dei record SPF è una tecnica utilizzata per ottimizzare i record SPF (Sender Policy Framework) e superare il limite di 10 ricerche DNS per SPF. Il limite di 10 ricerche DNS è una restrizione imposta da molti risolutori DNS, che limita il numero di query DNS che possono essere eseguite durante la verifica di un record SPF per un dominio.

Quando si riceve un'e-mail, il server di posta del destinatario interroga il DNS del dominio del mittente per il suo record SPF per verificare se il mittente è autorizzato a inviare e-mail da quel dominio. Tuttavia, se il record SPF contiene molti include annidati, può superare rapidamente il limite di 10 ricerche DNS, portando a fallimenti della verifica SPF e a rilevamenti di spam falsi positivi.

Per superare questa limitazione, si ricorre all'appiattimento dei record SPF. L'appiattimento del record SPF è una tecnica che sostituisce tutte le dichiarazioni di inclusione annidate in un record SPF con gli indirizzi IP o gli intervalli CIDR corrispondenti. In questo modo si riduce il numero di query DNS necessarie per verificare il record SPF, poiché ogni dominio incluso non viene più interrogato singolarmente.

Appiattendo il record SPF, il numero di query DNS necessarie per la verifica del record SPF si riduce significativamente, consentendo ai messaggi e-mail di superare la verifica SPF anche se il record originale aveva più di 10 ricerche DNS. Questa tecnica riduce anche il rischio di errori di convalida del record SPF dovuti a timeout delle query DNS o a problemi temporanei del server DNS.

Le sfide dell'implementazione di SPF nelle grandi aziende

L'SPF ha imposto la limitazione di non più di 10 lookup per prevenire attacchi DoS e DDoS. Sfortunatamente, queste ricerche possono accumularsi molto rapidamente, soprattutto nelle grandi aziende. Prima le aziende gestivano i propri server di posta, mentre ora utilizzano mittenti di terze parti. Questo crea un problema, poiché ognuno di essi può occupare fino a 3 o 4 server e si raggiunge il limite molto rapidamente.

/da

Come ottimizzare il record SPF?

In questo articolo, esploreremo come ottimizzare il record SPF facilmente per il vostro dominio. Per le imprese e le piccole imprese che sono in possesso di un dominio di posta elettronica per inviare e ricevere messaggi tra i loro clienti, partner e dipendenti, è molto probabile che esista un record SPF di default, che è stato impostato dal vostro fornitore di servizi di posta elettronica. Non importa se avete un record SPF preesistente o dovete crearne uno nuovo, è necessario ottimizzare correttamente il record SPF per il vostro dominio, al fine di garantire che non causi problemi di consegna delle e-mail.

Alcuni destinatari di e-mail richiedono rigorosamente SPF, il che indica che se non hai un record SPF pubblicato per il tuo dominio le tue e-mail possono essere contrassegnate come spam nella casella di posta del tuo destinatario. Inoltre, SPF aiuta a rilevare fonti non autorizzate che inviano e-mail per conto del tuo dominio.

Cerchiamo prima di tutto di capire cos'è l'SPF e perché ne avete bisogno?

Struttura dei criteri del mittente (SPF)

SPF è essenzialmente un protocollo standard di autenticazione e-mail che specifica gli indirizzi IP che sono autorizzati a inviare e-mail dal tuo dominio. Funziona confrontando gli indirizzi dei mittenti con l'elenco degli host e degli indirizzi IP autorizzati all'invio per un dominio specifico che è pubblicato nel DNS per quel dominio.

SPF, insieme a DMARC (Domain-based Message Authentication, Reporting and Conformance) è progettato per rilevare indirizzi mittenti falsificati durante la consegna delle e-mail e prevenire attacchi di spoofing, phishing e truffe via e-mail.

È importante sapere che anche se l'SPF predefinito integrato nel tuo dominio dal tuo provider di hosting assicura che le email inviate dal tuo dominio siano autenticate contro l'SPF, se hai più fornitori di terze parti per inviare email dal tuo dominio, questo record SPF preesistente deve essere adattato e modificato per soddisfare le tue esigenze. Come potete farlo? Esploriamo due dei modi più comuni:

  • Creare un nuovo record SPF
  • Ottimizzare un record SPF esistente

Istruzioni su come ottimizzare il record SPF

Creare un nuovo record SPF

Creare un record SPF significa semplicemente pubblicare un record TXT nel DNS del vostro dominio per configurare SPF per il vostro dominio. Questo è un passo obbligatorio che viene prima di iniziare su come ottimizzare il record SPF. Se hai appena iniziato con l'autenticazione e non sei sicuro della sintassi, puoi usare il nostro generatore di record SPF online gratuito per creare un record SPF per il tuo dominio.

Un record SPF con una sintassi corretta sarà simile a questo:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Specifica la versione di SPF in uso
ip4/ip6Questo meccanismo specifica gli indirizzi IP validi che sono autorizzati a inviare e-mail dal tuo dominio.
includereQuesto meccanismo dice ai server riceventi di includere i valori del record SPF del dominio specificato.
-tuttiQuesto meccanismo specifica che le email che non sono conformi a SPF saranno rifiutate. Questo è il tag raccomandato che puoi usare quando pubblichi il tuo record SPF. Tuttavia può essere sostituito con ~ per SPF Soft Fail (le email non conformi sarebbero marcate come soft fail ma sarebbero comunque accettate) o + che specifica che ogni server sarebbe autorizzato a inviare email per conto del tuo dominio, il che è fortemente sconsigliato.

Se hai già configurato SPF per il tuo dominio, puoi anche usare il nostro SPF record checker gratuito per cercare e validare il tuo record SPF e rilevare i problemi.

Sfide ed errori comuni durante la configurazione di SPF

1) Limite di 10 ricerche DNS 

La sfida più comune affrontata dai proprietari di domini durante la configurazione e l'adozione del protocollo di autenticazione SPF per il loro dominio, è che SPF viene fornito con un limite sul numero di lookup DNS, che non può superare 10. Per i domini che si affidano a più fornitori terzi, il limite di 10 lookup DNS si supera facilmente, il che a sua volta rompe SPF e restituisce un SPF PermError. Il server ricevente in questi casi invalida automaticamente il vostro record SPF e lo blocca.

Meccanismi che avviano le ricerche DNS: MX, A, INCLUDE, modificatore REDIRECT

2) Ricerca SPF Void 

Le ricerche nulle si riferiscono alle ricerche DNS che restituiscono una risposta NOERROR o una risposta NXDOMAIN (risposta nulla). Durante l'implementazione di SPF si raccomanda di assicurarsi che le ricerche DNS non restituiscano una risposta nulla in primo luogo.

3) Ciclo ricorsivo SPF

Questo errore indica che il record SPF per il dominio specificato contiene problemi ricorsivi con uno o più meccanismi INCLUDE. Questo avviene quando uno dei domini specificati nel tag INCLUDE contiene un dominio il cui record SPF contiene il tag INCLUDE del dominio originale. Questo porta ad un ciclo infinito che porta i server di posta elettronica ad eseguire continuamente ricerche DNS per i record SPF. Questo alla fine porta a superare il limite di 10 ricerche DNS, con conseguente fallimento dell'SPF nelle email.

4) Errori di sintassi 

Un record SPF può esistere nel DNS del vostro dominio, ma è inutile se contiene errori di sintassi. Se il vostro record SPF TXT contiene spazi bianchi non necessari mentre digitate il nome del dominio o il nome del meccanismo, la stringa che precede lo spazio extra verrebbe completamente ignorata dal server ricevente mentre esegue un lookup, invalidando così il record SPF.

5) Record SPF multipli per lo stesso dominio

Un singolo dominio può avere solo una voce SPF TXT nel DNS. Se il tuo dominio contiene più di un record SPF, il server ricevente li invalida tutti, facendo fallire l'SPF alle email.

6) Lunghezza del record SPF 

La lunghezza massima di un record SPF nel DNS è limitata a 255 caratteri. Tuttavia, questo limite può essere superato e un record TXT per SPF può contenere più stringhe concatenate insieme, ma non oltre un limite di 512 caratteri, per adattarsi alla risposta della query DNS (secondo RFC 4408). Anche se questo è stato successivamente rivisto, i destinatari che si affidano a vecchie versioni del DNS non sarebbero in grado di convalidare le e-mail inviate da domini contenenti un record SPF lungo.

Ottimizzare il tuo record SPF

Per modificare prontamente il vostro record SPF potete usare le seguenti best practices SPF:

  • Prova a scrivere le tue fonti di posta elettronica in ordine decrescente di importanza da sinistra a destra nel tuo record SPF
  • Rimuovere le fonti di posta elettronica obsolete dal tuo DNS
  • Utilizzare i meccanismi IP4/IP6 invece di A e MX
  • Mantenere il numero di meccanismi INCLUDE il più basso possibile ed evitare gli include annidati
  • Non pubblicare più di un record SPF per lo stesso dominio nel tuo DNS
  • Assicurati che il tuo record SPF non contenga spazi bianchi ridondanti o errori di sintassi

Nota: l'appiattimento SPF non è raccomandato in quanto non è un affare una tantum. Se il tuo fornitore di servizi e-mail cambia la sua infrastruttura, dovrai cambiare i tuoi record SPF di conseguenza, ogni volta.

Ottimizzare il tuo record SPF è diventato facile con PowerSPF

Puoi andare avanti e cercare di implementare tutte quelle modifiche sopra menzionate per ottimizzare il tuo record SPF manualmente, oppure puoi dimenticare il fastidio e affidarti al nostro dinamico PowerSPF per fare tutto questo automaticamente! PowerSPF ti aiuta a ottimizzare il tuo record SPF con un solo clic, in cui puoi:

  • Aggiungere o rimuovere fonti di invio con facilità
  • Aggiorna facilmente i record senza dover apportare manualmente modifiche al tuo DNS
  • Ottieni un record SPF automatico ottimizzato con un solo clic di un pulsante
  • Rimanere sempre sotto il limite di 10 ricerche DNS
  • Attenuare con successo PermError
  • Dimentica gli errori di sintassi dei record SPF e i problemi di configurazione
  • Ci togliamo l'onere di risolvere le limitazioni di SPF per vostro conto

Iscriviti oggi a PowerDMARC per dire addio per sempre alle limitazioni dell'SPF!  

/da