Messaggi

Avete mai visto un'email fallire l'SPF? Se lo avete fatto, allora vi dirò esattamente perché l'autenticazione SPF fallisce. Sender Policy Framework, o SPF, è uno degli standard di verifica delle email che tutti noi abbiamo usato per anni per fermare lo spam. Anche se non ne foste a conoscenza, scommetto che se controllassi le impostazioni del vostro account di accesso a Facebook, probabilmente vi mostrerebbe "opt-in" per "solo email da amici". Che è effettivamente la stessa cosa di SPF.

SPF è un protocollo di autenticazione e-mail che viene utilizzato per verificare che il mittente dell'e-mail corrisponda al suo nome di dominio nel campo Da: del messaggio. L'MTA di invio userà il DNS per interrogare una lista preconfigurata di server SPF per controllare se l'IP di invio è autorizzato a inviare email per quel dominio. Ci possono essere incongruenze nel modo in cui i record SPF sono impostati, che è fondamentale per capire perché le e-mail possono fallire la verifica SPF, e quale parte si può giocare per garantire che non si verifichino problemi nei vostri sforzi di email marketing.

Perché l'autenticazione SPF fallisce: Nessuno, Neutro, Hardfail, Softfail, TempError e PermError

I fallimenti dell'autenticazione SPF possono avvenire per i seguenti motivi:

  • L'MTA ricevente non riesce a trovare un record SPF pubblicato nel tuo DNS
  • Hai più record SPF pubblicati nel tuo DNS per lo stesso dominio
  • I tuoi ESP hanno cambiato o aggiunto i loro indirizzi IP che non sono stati aggiornati sul tuo record SPF
  • Se si supera il limite di 10 ricerche DNS per SPF
  • Se si supera il numero massimo di ricerche di vuoti consentito di 2
  • La lunghezza del tuo record SPF appiattito supera il limite di 255 caratteri SPF

Qui sopra ci sono vari scenari del perché l'autenticazione SPF fallisce. Puoi monitorare i tuoi domini con il nostro analizzatore DMARC per ottenere rapporti sui fallimenti dell'autenticazione SPF. Quando hai abilitato il reporting DMARC, l'MTA ricevente restituisce uno dei seguenti risultati di fallimento dell'autenticazione SPF per l'email a seconda del motivo per cui la tua email ha fallito l'SPF. Vediamo di conoscerli meglio:

Caso 1: viene restituito il risultato SPF None

Nel primo caso, se il server e-mail ricevente esegue una ricerca DNS e non è in grado di trovare il nome del dominio nel DNS, viene restituito un risultato nullo. Nessuno viene restituito anche nel caso in cui nessun record SPF viene trovato nel DNS del mittente, il che implica che il mittente non ha configurato l'autenticazione SPF per questo dominio. In questo caso l'autenticazione SPF per le tue email fallisce.

Genera ora il tuo record SPF senza errori con il nostro strumento gratuito di generatore di record SPF per evitare questo.

Caso 2: viene restituito il risultato SPF neutro

Durante la configurazione di SPF per il vostro dominio, se avete apposto un meccanismo ?all al vostro record SPF, questo significa che non importa cosa concludono i controlli di autenticazione SPF per le vostre email in uscita, l'MTA ricevente restituisce un risultato neutrale. Questo accade perché quando avete il vostro SPF in modalità neutrale, non state specificando gli indirizzi IP che sono autorizzati a inviare e-mail per vostro conto e permettendo agli indirizzi IP non autorizzati di inviarle ugualmente.

Caso 3: Risultato di SPF Softfail

Simile a SPF neutro, SPF softfail è identificato dal meccanismo ~all che implica che l'MTA ricevente accetterebbe la posta e la consegnerebbe nella casella di posta del destinatario, ma verrebbe contrassegnata come spam, nel caso in cui l'indirizzo IP non sia elencato nel record SPF trovato nel DNS, che può essere una ragione per cui l'autenticazione SPF fallisce per la vostra email. Di seguito è riportato un esempio di SPF softfail:

 v=spf1 include:spf.google.com ~all

Caso 4: Risultato di SPF Hardfail

SPF hardfail, noto anche come SPF fail è quando gli MTA riceventi scartano le email provenienti da qualsiasi fonte di invio che non è elencata nel tuo record SPF. Ti consigliamo di configurare SPF hardfail nel tuo record SPF, se vuoi ottenere protezione contro l'impersonificazione del dominio e lo spoofing delle email. Di seguito è riportato un esempio di SPF hardfail:

v=spf1 include:spf.google.com -all

Caso 5: SPF TempError (errore temporaneo SPF)

Uno dei motivi molto comuni e spesso innocui per cui l'autenticazione SPF fallisce è SPF TempError (errore temporaneo) che è causato da un errore DNS come un timeout DNS mentre un controllo di autenticazione SPF viene eseguito dall'MTA ricevente. È quindi, proprio come suggerisce il nome, di solito un errore temporaneo che restituisce un codice di stato 4xx che può causare un fallimento temporaneo dell'SPF, ma che produce un risultato SPF pass quando si riprova più tardi.

Caso 6: SPF PermError (errore permanente SPF)

Un altro risultato comune con cui si affrontano gli errori di dominio è SPF PermError. Questo è il motivo per cui l'autenticazione SPF fallisce nella maggior parte dei casi. Questo accade quando il vostro record SPF viene invalidato dall'MTA ricevente. Ci sono molte ragioni per cui SPF potrebbe rompersi ed essere reso non valido dall'MTA durante l'esecuzione dei lookup DNS:

  • Superamento del limite di 10 ricerche SPF
  • Sintassi errata del record SPF
  • Più di un record SPF per lo stesso dominio
  • Superamento del limite di lunghezza del record SPF di 255 caratteri
  • Se il tuo record SPF non è aggiornato con le modifiche apportate dai tuoi ESP

Nota: Quando un MTA esegue un controllo SPF su un'email, interroga il DNS o conduce una ricerca DNS per controllare l'autenticità della fonte dell'email. Idealmente, in SPF è consentito un massimo di 10 lookup DNS, superando i quali l'SPF fallirà e restituirà un risultato PermError.

Come può l'appiattimento dinamico di SPF risolvere l'SPF PermError?

A differenza degli altri errori SPF, SPF PermError è molto più difficile e complicato da risolvere. PowerSPF ti aiuta a mitigarlo facilmente con l'aiuto dell'appiattimento automatico dell'SPF. Vi aiuta:

  • Rimanere sotto il limite massimo di SPF
  • Ottimizza immediatamente il tuo record SPF
  • Appiattisci il tuo record in una singola dichiarazione include
  • Assicurati che il tuo record SPF sia sempre aggiornato sulle modifiche apportate dai tuoi ESP

Vuoi testare se hai configurato correttamente SPF per il tuo dominio? Prova il nostro strumento gratuito di ricerca dei record SPF oggi stesso!

Va bene avere più record SPF sul tuo dominio? La risposta è no, poiché avere più record SPF è uno degli errori SPF più comuni che i proprietari del dominio incontrano, può invalidare completamente il tuo SPF e portare a SPF PermError. Per capire perché questo accade dobbiamo sapere come funziona SPF e perché avere più di un record SPF può causare problemi di autenticazione. Fate il vostro controllo dei record SPF oggi stesso per trovare errori nella vostra configurazione dei record SPF.

Come funziona la SPF?

Sender Policy Framework o SPF è un popolare protocollo di autenticazione e-mail che funziona elencando tutte le fonti di invio autorizzate che sono autorizzate a inviare e-mail per conto del vostro dominio. SPF funziona eseguendo richieste di query DNS, o DNS lookup in cui l'MTA ricevente cerca e convalida l 'indirizzo Return-path della tua email confrontandolo con l'elenco degli indirizzi IP menzionati nel record SPF che risiede nel DNS del tuo dominio.

Se c'è una corrispondenza trovata, l'email passa SPF, altrimenti fallisce SPF.

Quindi, configurare SPF è semplicemente pubblicare un record DNS TXT che inizia con la sintassi "v=spf1".

Cos'è SPF PermError?

Quando un MTA ricevente inizia ad eseguire l'autenticazione SPF su un'email, recupera tutti i record TXT del DNS che iniziano con "v=spf1". Nel caso in cui SPF non sia configurato per il dominio di invio, e nessun record SPF sia trovato nel DNS, viene restituito un risultato None. Al contrario, se si trovano più record SPF che iniziano con "v=spf1" per lo stesso dominio, viene restituito un risultato PermError.

Il modo sbagliato: 

Tipo di recordNome di dominioValore del recordTTL
TXTexampledomain.comv=spf1 include:_spf.zoho.com -alldefault
TXTexampledomain.comv=spf1 include:_spf.google.com -alldefault

In questo esempio, per il dominio exampledomain.com, ci sono 2 record DNS TXT separati che sono stati pubblicati nel DNS del dominio. In questo caso, l'autenticazione SPF fallisce a causa di SPF PermError.

 

Il modo giusto: 

Tipo di recordNome di dominioValore del recordTTL
TXTexampledomain.comv=spf1 include:_spf.zoho.com include:_spf.google.com -alldefault

In questo esempio il dominio exampledomain.com ha un solo record SPF DNS TXT pubblicato nel DNS aggiungendo tutti i meccanismi di inclusione in un unico record. Il record è valido e SPF non restituirebbe un risultato PermError in questo caso. Scoprite come ottimizzare il vostro record SPF nel modo corretto per evitare errori di record SPF in futuro.

Altri fattori che influenzano la SPF: Tipi di errori della SPF

Come discusso sopra, avere più di un record SPF è un errore comune di SPF che può rendere il vostro record SPF non valido e fallire l'autenticazione SPF. Quindi la risposta a "Posso avere più record SPF sul mio dominio?" è chiara e semplice: no. Dopo esservi assicurati di avere un solo record SPF pubblicato nel vostro DNS, ci possono essere ancora altri fattori che causano errori SPF.

  • Superare il limite di ricerca di SPF 10 può anche restituire SPF PermError e interrompere SPF.
  • Appiattire manualmente il tuo record SPF per estrarre tutti gli indirizzi IP dietro il tuo meccanismo di inclusione può portare a un record lungo che può superare il limite di 255 caratteri
  • I tuoi fornitori di servizi e-mail come Zoho, Gmail o Outlook possono cambiare o aggiungere ai loro indirizzi IP che invalidano il tuo record SPF
  • Il tuo record SPF potrebbe contenere errori di sintassi

Per evitare gli errori di cui sopra, usa PowerSPF per appiattire automaticamente il tuo record SPF e rimanere sotto il limite di 10 ricerche DNS.

Puoi generare il tuo record SPF senza errori usando il nostro generatore di record SPF gratuito. Iscriviti oggi a DMARC Analyzer per configurare correttamente SPF per il tuo dominio ed evitare tutti gli errori SPF.

Motivi per cui evitare l'appiattimento della SPF

Sender Policy Framework, o SPF, è un protocollo di autenticazione delle e-mail ampiamente acclamato che convalida i tuoi messaggi autenticandoli contro tutti gli indirizzi IP autorizzati registrati per il tuo dominio nel tuo record SPF. Al fine di convalidare le e-mail, SPF specifica al server di posta ricevente di eseguire query DNS per controllare gli IP autorizzati, con conseguente ricerca DNS.

Il vostro record SPF esiste come un record DNS TXT che è formato da un assemblaggio di vari meccanismi. La maggior parte di questi meccanismi (come include, a, mx, redirect, exists, ptr) genera delle ricerche DNS. Tuttavia, il numero massimo di ricerche DNS per l'autenticazione SPF è limitato a 10. Se state usando vari fornitori di terze parti per inviare e-mail usando il vostro dominio, potete facilmente superare il limite rigido SPF.

Vi starete chiedendo: cosa succede se superate questo limite? Superare il limite di 10 lookup DNS porterà al fallimento di SPF e invaliderà anche i messaggi legittimi inviati dal tuo dominio. In questi casi il server di posta ricevente restituisce un rapporto SPF PermError al vostro dominio, se avete abilitato il monitoraggio DMARC.Questo ci porta al principale argomento di discussione di questo blog: L'appiattimento SPF.

Cos'è l'appiattimento SPF?

L'appiattimento del record SPF è uno dei metodi popolari usati dagli esperti del settore per ottimizzare il vostro record SPF ed evitare di superare il limite rigido SPF. La procedura per l'appiattimento SPF è abbastanza semplice. L'appiattimento del vostro record SPF è il processo di sostituzione di tutti i meccanismi di inclusione con i loro rispettivi indirizzi IP per eliminare la necessità di eseguire ricerche DNS.

Per esempio, se il tuo record SPF inizialmente assomigliava a questo:

v=spf1 include:spf.domain.com -all

Un record SPF appiattito avrà un aspetto simile a questo:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Questo record appiattito genera solo una ricerca DNS, invece di eseguire più ricerche. Ridurre il numero di query DNS eseguite dal server ricevente durante l'autenticazione e-mail aiuta a rimanere sotto il limite di 10 ricerche DNS, tuttavia, ha i suoi problemi.

Il problema dell'appiattimento della SPF

A parte il fatto che il tuo record SPF appiattito manualmente potrebbe diventare troppo lungo da pubblicare sul DNS del tuo dominio (superando il limite di 255 caratteri), devi prendere in considerazione che il tuo provider di servizi di posta elettronica potrebbe cambiare o aggiungere ai suoi indirizzi IP senza notificarti come utente. Di tanto in tanto, quando il vostro provider apporta modifiche alla loro infrastruttura, queste alterazioni non si riflettono nel vostro record SPF. Quindi, ogni volta che questi indirizzi IP cambiati o nuovi sono usati dal tuo server di posta, l'email fallisce l'SPF dalla parte del destinatario.

PowerSPF: il tuo generatore dinamico di record SPF

L'obiettivo finale di PowerDMARC era quello di trovare una soluzione che potesse impedire ai proprietari di domini di colpire il limite di 10 lookup DNS, così come ottimizzare il tuo record SPF per rimanere sempre aggiornato sugli ultimi indirizzi IP che i tuoi fornitori di servizi e-mail stanno usando. PowerSPF è la tua soluzione automatizzata di appiattimento SPF, che tira attraverso il tuo record SPF per generare una singola dichiarazione di inclusione. PowerSPF ti aiuta:

  • Aggiungere o rimuovere IP e meccanismi con facilità
  • Aggiorna automaticamente i netblock per assicurarti che i tuoi IP autorizzati siano sempre aggiornati
  • Rimanere sotto il limite di 10 ricerche DNS con facilità
  • Ottieni un record SPF ottimizzato con un solo clic
  • Sconfiggere definitivamente "permerror
  • Implementare SPF senza errori

Iscriviti oggi stesso a PowerDMARC per garantire una migliore consegnabilità e autenticazione delle email, il tutto rimanendo sotto il limite di 10 DNS SPF lookup .

In questo articolo, esploreremo come ottimizzare il record SPF facilmente per il vostro dominio. Per le imprese e le piccole imprese che sono in possesso di un dominio di posta elettronica per inviare e ricevere messaggi tra i loro clienti, partner e dipendenti, è molto probabile che esista un record SPF di default, che è stato impostato dal vostro fornitore di servizi di posta elettronica. Non importa se avete un record SPF preesistente o dovete crearne uno nuovo, è necessario ottimizzare correttamente il record SPF per il vostro dominio, al fine di garantire che non causi problemi di consegna delle e-mail.

Alcuni destinatari di e-mail richiedono rigorosamente SPF, il che indica che se non hai un record SPF pubblicato per il tuo dominio le tue e-mail possono essere contrassegnate come spam nella casella di posta del tuo destinatario. Inoltre, SPF aiuta a rilevare fonti non autorizzate che inviano e-mail per conto del tuo dominio.

Cerchiamo prima di tutto di capire cos'è l'SPF e perché ne avete bisogno?

Struttura dei criteri del mittente (SPF)

SPF è essenzialmente un protocollo standard di autenticazione e-mail che specifica gli indirizzi IP che sono autorizzati a inviare e-mail dal tuo dominio. Funziona confrontando gli indirizzi dei mittenti con l'elenco degli host e degli indirizzi IP autorizzati all'invio per un dominio specifico che è pubblicato nel DNS per quel dominio.

SPF, insieme a DMARC (Domain-based Message Authentication, Reporting and Conformance) è progettato per rilevare indirizzi mittenti falsificati durante la consegna delle e-mail e prevenire attacchi di spoofing, phishing e truffe via e-mail.

È importante sapere che anche se l'SPF predefinito integrato nel tuo dominio dal tuo provider di hosting assicura che le email inviate dal tuo dominio siano autenticate contro l'SPF, se hai più fornitori di terze parti per inviare email dal tuo dominio, questo record SPF preesistente deve essere adattato e modificato per soddisfare le tue esigenze. Come potete farlo? Esploriamo due dei modi più comuni:

  • Creare un nuovo record SPF
  • Ottimizzare un record SPF esistente

Istruzioni su come ottimizzare il record SPF

Creare un nuovo record SPF

Creare un record SPF significa semplicemente pubblicare un record TXT nel DNS del vostro dominio per configurare SPF per il vostro dominio. Questo è un passo obbligatorio che viene prima di iniziare su come ottimizzare il record SPF. Se hai appena iniziato con l'autenticazione e non sei sicuro della sintassi, puoi usare il nostro generatore di record SPF online gratuito per creare un record SPF per il tuo dominio.

Un record SPF con una sintassi corretta sarà simile a questo:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Specifica la versione di SPF in uso
ip4/ip6Questo meccanismo specifica gli indirizzi IP validi che sono autorizzati a inviare e-mail dal tuo dominio.
includereQuesto meccanismo dice ai server riceventi di includere i valori del record SPF del dominio specificato.
-tuttiQuesto meccanismo specifica che le email che non sono conformi a SPF saranno rifiutate. Questo è il tag raccomandato che puoi usare quando pubblichi il tuo record SPF. Tuttavia può essere sostituito con ~ per SPF Soft Fail (le email non conformi sarebbero marcate come soft fail ma sarebbero comunque accettate) o + che specifica che ogni server sarebbe autorizzato a inviare email per conto del tuo dominio, il che è fortemente sconsigliato.

Se hai già configurato SPF per il tuo dominio, puoi anche usare il nostro SPF record checker gratuito per cercare e validare il tuo record SPF e rilevare i problemi.

Sfide ed errori comuni durante la configurazione di SPF

1) Limite di 10 ricerche DNS 

La sfida più comune affrontata dai proprietari di domini durante la configurazione e l'adozione del protocollo di autenticazione SPF per il loro dominio, è che SPF viene fornito con un limite sul numero di lookup DNS, che non può superare 10. Per i domini che si affidano a più fornitori terzi, il limite di 10 lookup DNS si supera facilmente, il che a sua volta rompe SPF e restituisce un SPF PermError. Il server ricevente in questi casi invalida automaticamente il vostro record SPF e lo blocca.

Meccanismi che avviano le ricerche DNS: MX, A, INCLUDE, modificatore REDIRECT

2) Ricerca SPF Void 

Le ricerche nulle si riferiscono alle ricerche DNS che restituiscono una risposta NOERROR o una risposta NXDOMAIN (risposta nulla). Durante l'implementazione di SPF si raccomanda di assicurarsi che le ricerche DNS non restituiscano una risposta nulla in primo luogo.

3) Ciclo ricorsivo SPF

Questo errore indica che il record SPF per il dominio specificato contiene problemi ricorsivi con uno o più meccanismi INCLUDE. Questo avviene quando uno dei domini specificati nel tag INCLUDE contiene un dominio il cui record SPF contiene il tag INCLUDE del dominio originale. Questo porta ad un ciclo infinito che porta i server di posta elettronica ad eseguire continuamente ricerche DNS per i record SPF. Questo alla fine porta a superare il limite di 10 ricerche DNS, con conseguente fallimento dell'SPF nelle email.

4) Errori di sintassi 

Un record SPF può esistere nel DNS del vostro dominio, ma è inutile se contiene errori di sintassi. Se il vostro record SPF TXT contiene spazi bianchi non necessari mentre digitate il nome del dominio o il nome del meccanismo, la stringa che precede lo spazio extra verrebbe completamente ignorata dal server ricevente mentre esegue un lookup, invalidando così il record SPF.

5) Record SPF multipli per lo stesso dominio

Un singolo dominio può avere solo una voce SPF TXT nel DNS. Se il tuo dominio contiene più di un record SPF, il server ricevente li invalida tutti, facendo fallire l'SPF alle email.

6) Lunghezza del record SPF 

La lunghezza massima di un record SPF nel DNS è limitata a 255 caratteri. Tuttavia, questo limite può essere superato e un record TXT per SPF può contenere più stringhe concatenate insieme, ma non oltre un limite di 512 caratteri, per adattarsi alla risposta della query DNS (secondo RFC 4408). Anche se questo è stato successivamente rivisto, i destinatari che si affidano a vecchie versioni del DNS non sarebbero in grado di convalidare le e-mail inviate da domini contenenti un record SPF lungo.

Ottimizzare il tuo record SPF

Per modificare prontamente il vostro record SPF potete usare le seguenti best practices SPF:

  • Prova a scrivere le tue fonti di posta elettronica in ordine decrescente di importanza da sinistra a destra nel tuo record SPF
  • Rimuovere le fonti di posta elettronica obsolete dal tuo DNS
  • Utilizzare i meccanismi IP4/IP6 invece di A e MX
  • Mantenere il numero di meccanismi INCLUDE il più basso possibile ed evitare gli include annidati
  • Non pubblicare più di un record SPF per lo stesso dominio nel tuo DNS
  • Assicurati che il tuo record SPF non contenga spazi bianchi ridondanti o errori di sintassi

Nota: l'appiattimento SPF non è raccomandato in quanto non è un affare una tantum. Se il tuo fornitore di servizi e-mail cambia la sua infrastruttura, dovrai cambiare i tuoi record SPF di conseguenza, ogni volta.

Ottimizzare il tuo record SPF è diventato facile con PowerSPF

Puoi andare avanti e cercare di implementare tutte quelle modifiche sopra menzionate per ottimizzare il tuo record SPF manualmente, oppure puoi dimenticare il fastidio e affidarti al nostro dinamico PowerSPF per fare tutto questo automaticamente! PowerSPF ti aiuta a ottimizzare il tuo record SPF con un solo clic, in cui puoi:

  • Aggiungere o rimuovere fonti di invio con facilità
  • Aggiorna facilmente i record senza dover apportare manualmente modifiche al tuo DNS
  • Ottieni un record SPF automatico ottimizzato con un solo clic di un pulsante
  • Rimanere sempre sotto il limite di 10 ricerche DNS
  • Attenuare con successo PermError
  • Dimentica gli errori di sintassi dei record SPF e i problemi di configurazione
  • Ci togliamo l'onere di risolvere le limitazioni di SPF per vostro conto

Iscriviti oggi a PowerDMARC per dire addio per sempre alle limitazioni dell'SPF!