Messaggi

Un problema molto comune che gli utenti SPF affrontano quotidianamente è il rischio di generare troppe ricerche DNS che possono far superare facilmente il limite rigido SPF. Questo restituisce un risultato SPF PermError quando il monitoraggio DMARC è abilitato e causa problemi di deliverability delle email. Con gli esperti del settore che hanno ideato soluzioni come i servizi di appiattimento SPF per mitigare questo problema, PowerSPF in realtà mantiene le sue promesse e supera le aspettative. Continuate a leggere per sapere come!

Troppe ricerche sul DNS: Perché succede?

La prima cosa che dovresti capire è perché finisci per generare troppe ricerche DNS in primo luogo. Questo perché, non importa quale soluzione di scambio di email usiate, il vostro fornitore di servizi aggiunge più meccanismi al vostro record con il risultato di più ricerche.

Per esempio, se usate l'email exchanger di Google, o Gmail, un record SPF come v=spf1 include:[email protected] -all genera effettivamente un totale di 4 ricerche DNS. Gli include annidati iniziano anche più lookup e se usate diversi fornitori di terze parti per inviare email usando il vostro dominio, potete facilmente superare il limite di 10 lookup DNS.

L'appiattimento dell'SPF è la soluzione? No!

La risposta è no. L'appiattimento manuale dell'SPF può aiutarvi a rimanere sotto il limite di 10 ricerche dell'SPF, ma ha la sua serie di limitazioni e sfide. Se appiattite il vostro SPF manualmente, state semplicemente sostituendo le dichiarazioni include nel vostro record SPF con i loro corrispondenti indirizzi IP per eliminare la necessità di lookup. Questo assicura che non si finisca per generare troppe ricerche DNS in primo luogo, aiutandovi così a rimanere sotto il limite di 10 ricerche SPF ed evitare il permerrore. Ma i problemi con le soluzioni manuali di appiattimento SPF sono:

  • La lunghezza del record SPF può essere troppo lunga (più di 255 caratteri)
  • Il tuo provider di servizi di posta elettronica può cambiare o aggiungere indirizzi IP senza avvisarti
  • Non c'è una dashboard per monitorare il flusso di email, cambiare o aggiornare i tuoi domini e meccanismi, e tracciare le attività
  • È necessario apportare costantemente modifiche al tuo DNS per aggiornare il tuo record SPF
  • La deliverability della tua email potrebbe essere impattata a causa dei frequenti cambiamenti di IP

Come influiscono su di voi? Beh, se il vostro record SPF non è aggiornato sui nuovi indirizzi IP che i vostri fornitori di servizi di posta elettronica stanno utilizzando, ogni tanto quando questi indirizzi IP vengono utilizzati le vostre e-mail inevitabilmente falliranno l'SPF dalla parte del destinatario .

Flattening SPF dinamico per risolvere troppi lookup DNS

Una soluzione più intelligente per dire addio agli errori di ricerca DNS è PowerSPF, il tuo appiattitore automatico di record SPF. PowerSPF è la vostra soluzione di appiattimento SPF in tempo reale che vi aiuta:

  • Configura facilmente SPF per il tuo dominio con pochi clic
  • Appiattimento istantaneo dei record SPF con un solo include statement per godere della gestione automatica degli include SPF
  • Rimanere sempre sotto il limite di 10 ricerche DNS
  • Auto-aggiornamento del netblock e scansione degli indirizzi IP cambiati costantemente per mantenere il tuo record SPF aggiornato
  • Mantenete una dashboard facile da usare in cui potete facilmente aggiornare le modifiche alle vostre politiche, aggiungere domini e meccanismi e monitorare il flusso di e-mail.

Perché affidarsi a strumenti di compressione SPF che possono fornire risultati temporanei con limitazioni di fondo? Ottimizza il tuo record SPF e attenua il limite rigido SPF con Automatic SPF oggi stesso! Iscriviti ora a PowerSPF?

Motivi per cui evitare l'appiattimento della SPF

Sender Policy Framework, o SPF, è un protocollo di autenticazione delle e-mail ampiamente acclamato che convalida i tuoi messaggi autenticandoli contro tutti gli indirizzi IP autorizzati registrati per il tuo dominio nel tuo record SPF. Al fine di convalidare le e-mail, SPF specifica al server di posta ricevente di eseguire query DNS per controllare gli IP autorizzati, con conseguente ricerca DNS.

Il vostro record SPF esiste come un record DNS TXT che è formato da un assemblaggio di vari meccanismi. La maggior parte di questi meccanismi (come include, a, mx, redirect, exists, ptr) genera delle ricerche DNS. Tuttavia, il numero massimo di ricerche DNS per l'autenticazione SPF è limitato a 10. Se state usando vari fornitori di terze parti per inviare e-mail usando il vostro dominio, potete facilmente superare il limite rigido SPF.

Vi starete chiedendo: cosa succede se superate questo limite? Superare il limite di 10 lookup DNS porterà al fallimento di SPF e invaliderà anche i messaggi legittimi inviati dal tuo dominio. In questi casi il server di posta ricevente restituisce un rapporto SPF PermError al vostro dominio, se avete abilitato il monitoraggio DMARC.Questo ci porta al principale argomento di discussione di questo blog: L'appiattimento SPF.

Cos'è l'appiattimento SPF?

L'appiattimento del record SPF è uno dei metodi popolari usati dagli esperti del settore per ottimizzare il vostro record SPF ed evitare di superare il limite rigido SPF. La procedura per l'appiattimento SPF è abbastanza semplice. L'appiattimento del vostro record SPF è il processo di sostituzione di tutti i meccanismi di inclusione con i loro rispettivi indirizzi IP per eliminare la necessità di eseguire ricerche DNS.

Per esempio, se il tuo record SPF inizialmente assomigliava a questo:

v=spf1 include:spf.domain.com -all

Un record SPF appiattito avrà un aspetto simile a questo:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Questo record appiattito genera solo una ricerca DNS, invece di eseguire più ricerche. Ridurre il numero di query DNS eseguite dal server ricevente durante l'autenticazione e-mail aiuta a rimanere sotto il limite di 10 ricerche DNS, tuttavia, ha i suoi problemi.

Il problema dell'appiattimento della SPF

A parte il fatto che il tuo record SPF appiattito manualmente potrebbe diventare troppo lungo da pubblicare sul DNS del tuo dominio (superando il limite di 255 caratteri), devi prendere in considerazione che il tuo provider di servizi di posta elettronica potrebbe cambiare o aggiungere ai suoi indirizzi IP senza notificarti come utente. Di tanto in tanto, quando il vostro provider apporta modifiche alla loro infrastruttura, queste alterazioni non si riflettono nel vostro record SPF. Quindi, ogni volta che questi indirizzi IP cambiati o nuovi sono usati dal tuo server di posta, l'email fallisce l'SPF dalla parte del destinatario.

PowerSPF: il tuo generatore dinamico di record SPF

L'obiettivo finale di PowerDMARC era quello di trovare una soluzione che potesse impedire ai proprietari di domini di colpire il limite di 10 lookup DNS, così come ottimizzare il tuo record SPF per rimanere sempre aggiornato sugli ultimi indirizzi IP che i tuoi fornitori di servizi e-mail stanno usando. PowerSPF è la tua soluzione automatizzata di appiattimento SPF, che tira attraverso il tuo record SPF per generare una singola dichiarazione di inclusione. PowerSPF ti aiuta:

  • Aggiungere o rimuovere IP e meccanismi con facilità
  • Aggiorna automaticamente i netblock per assicurarti che i tuoi IP autorizzati siano sempre aggiornati
  • Rimanere sotto il limite di 10 ricerche DNS con facilità
  • Ottieni un record SPF ottimizzato con un solo clic
  • Sconfiggere definitivamente "permerror
  • Implementare SPF senza errori

Iscriviti oggi stesso a PowerDMARC per garantire una migliore consegnabilità e autenticazione delle email, il tutto rimanendo sotto il limite di 10 DNS SPF lookup .

In questo articolo, esploreremo come ottimizzare il record SPF facilmente per il vostro dominio. Per le imprese e le piccole imprese che sono in possesso di un dominio di posta elettronica per inviare e ricevere messaggi tra i loro clienti, partner e dipendenti, è molto probabile che esista un record SPF di default, che è stato impostato dal vostro fornitore di servizi di posta elettronica. Non importa se avete un record SPF preesistente o dovete crearne uno nuovo, è necessario ottimizzare correttamente il record SPF per il vostro dominio, al fine di garantire che non causi problemi di consegna delle e-mail.

Alcuni destinatari di e-mail richiedono rigorosamente SPF, il che indica che se non hai un record SPF pubblicato per il tuo dominio le tue e-mail possono essere contrassegnate come spam nella casella di posta del tuo destinatario. Inoltre, SPF aiuta a rilevare fonti non autorizzate che inviano e-mail per conto del tuo dominio.

Cerchiamo prima di tutto di capire cos'è l'SPF e perché ne avete bisogno?

Struttura dei criteri del mittente (SPF)

SPF è essenzialmente un protocollo standard di autenticazione e-mail che specifica gli indirizzi IP che sono autorizzati a inviare e-mail dal tuo dominio. Funziona confrontando gli indirizzi dei mittenti con l'elenco degli host e degli indirizzi IP autorizzati all'invio per un dominio specifico che è pubblicato nel DNS per quel dominio.

SPF, insieme a DMARC (Domain-based Message Authentication, Reporting and Conformance) è progettato per rilevare indirizzi mittenti falsificati durante la consegna delle e-mail e prevenire attacchi di spoofing, phishing e truffe via e-mail.

È importante sapere che anche se l'SPF predefinito integrato nel tuo dominio dal tuo provider di hosting assicura che le email inviate dal tuo dominio siano autenticate contro l'SPF, se hai più fornitori di terze parti per inviare email dal tuo dominio, questo record SPF preesistente deve essere adattato e modificato per soddisfare le tue esigenze. Come potete farlo? Esploriamo due dei modi più comuni:

  • Creare un nuovo record SPF
  • Ottimizzare un record SPF esistente

Istruzioni su come ottimizzare il record SPF

Creare un nuovo record SPF

Creare un record SPF significa semplicemente pubblicare un record TXT nel DNS del vostro dominio per configurare SPF per il vostro dominio. Questo è un passo obbligatorio che viene prima di iniziare su come ottimizzare il record SPF. Se hai appena iniziato con l'autenticazione e non sei sicuro della sintassi, puoi usare il nostro generatore di record SPF online gratuito per creare un record SPF per il tuo dominio.

Un record SPF con una sintassi corretta sarà simile a questo:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Specifica la versione di SPF in uso
ip4/ip6Questo meccanismo specifica gli indirizzi IP validi che sono autorizzati a inviare e-mail dal tuo dominio.
includereQuesto meccanismo dice ai server riceventi di includere i valori del record SPF del dominio specificato.
-tuttiQuesto meccanismo specifica che le email che non sono conformi a SPF saranno rifiutate. Questo è il tag raccomandato che puoi usare quando pubblichi il tuo record SPF. Tuttavia può essere sostituito con ~ per SPF Soft Fail (le email non conformi sarebbero marcate come soft fail ma sarebbero comunque accettate) o + che specifica che ogni server sarebbe autorizzato a inviare email per conto del tuo dominio, il che è fortemente sconsigliato.

Se hai già configurato SPF per il tuo dominio, puoi anche usare il nostro SPF record checker gratuito per cercare e validare il tuo record SPF e rilevare i problemi.

Sfide ed errori comuni durante la configurazione di SPF

1) Limite di 10 ricerche DNS 

La sfida più comune affrontata dai proprietari di domini durante la configurazione e l'adozione del protocollo di autenticazione SPF per il loro dominio, è che SPF viene fornito con un limite sul numero di lookup DNS, che non può superare 10. Per i domini che si affidano a più fornitori terzi, il limite di 10 lookup DNS si supera facilmente, il che a sua volta rompe SPF e restituisce un SPF PermError. Il server ricevente in questi casi invalida automaticamente il vostro record SPF e lo blocca.

Meccanismi che avviano le ricerche DNS: MX, A, INCLUDE, modificatore REDIRECT

2) Ricerca SPF Void 

Le ricerche nulle si riferiscono alle ricerche DNS che restituiscono una risposta NOERROR o una risposta NXDOMAIN (risposta nulla). Durante l'implementazione di SPF si raccomanda di assicurarsi che le ricerche DNS non restituiscano una risposta nulla in primo luogo.

3) Ciclo ricorsivo SPF

Questo errore indica che il record SPF per il dominio specificato contiene problemi ricorsivi con uno o più meccanismi INCLUDE. Questo avviene quando uno dei domini specificati nel tag INCLUDE contiene un dominio il cui record SPF contiene il tag INCLUDE del dominio originale. Questo porta ad un ciclo infinito che porta i server di posta elettronica ad eseguire continuamente ricerche DNS per i record SPF. Questo alla fine porta a superare il limite di 10 ricerche DNS, con conseguente fallimento dell'SPF nelle email.

4) Errori di sintassi 

Un record SPF può esistere nel DNS del vostro dominio, ma è inutile se contiene errori di sintassi. Se il vostro record SPF TXT contiene spazi bianchi non necessari mentre digitate il nome del dominio o il nome del meccanismo, la stringa che precede lo spazio extra verrebbe completamente ignorata dal server ricevente mentre esegue un lookup, invalidando così il record SPF.

5) Record SPF multipli per lo stesso dominio

Un singolo dominio può avere solo una voce SPF TXT nel DNS. Se il tuo dominio contiene più di un record SPF, il server ricevente li invalida tutti, facendo fallire l'SPF alle email.

6) Lunghezza del record SPF 

La lunghezza massima di un record SPF nel DNS è limitata a 255 caratteri. Tuttavia, questo limite può essere superato e un record TXT per SPF può contenere più stringhe concatenate insieme, ma non oltre un limite di 512 caratteri, per adattarsi alla risposta della query DNS (secondo RFC 4408). Anche se questo è stato successivamente rivisto, i destinatari che si affidano a vecchie versioni del DNS non sarebbero in grado di convalidare le e-mail inviate da domini contenenti un record SPF lungo.

Ottimizzare il tuo record SPF

Per modificare prontamente il vostro record SPF potete usare le seguenti best practices SPF:

  • Prova a scrivere le tue fonti di posta elettronica in ordine decrescente di importanza da sinistra a destra nel tuo record SPF
  • Rimuovere le fonti di posta elettronica obsolete dal tuo DNS
  • Utilizzare i meccanismi IP4/IP6 invece di A e MX
  • Mantenere il numero di meccanismi INCLUDE il più basso possibile ed evitare gli include annidati
  • Non pubblicare più di un record SPF per lo stesso dominio nel tuo DNS
  • Assicurati che il tuo record SPF non contenga spazi bianchi ridondanti o errori di sintassi

Nota: l'appiattimento SPF non è raccomandato in quanto non è un affare una tantum. Se il tuo fornitore di servizi e-mail cambia la sua infrastruttura, dovrai cambiare i tuoi record SPF di conseguenza, ogni volta.

Ottimizzare il tuo record SPF è diventato facile con PowerSPF

Puoi andare avanti e cercare di implementare tutte quelle modifiche sopra menzionate per ottimizzare il tuo record SPF manualmente, oppure puoi dimenticare il fastidio e affidarti al nostro dinamico PowerSPF per fare tutto questo automaticamente! PowerSPF ti aiuta a ottimizzare il tuo record SPF con un solo clic, in cui puoi:

  • Aggiungere o rimuovere fonti di invio con facilità
  • Aggiorna facilmente i record senza dover apportare manualmente modifiche al tuo DNS
  • Ottieni un record SPF automatico ottimizzato con un solo clic di un pulsante
  • Rimanere sempre sotto il limite di 10 ricerche DNS
  • Attenuare con successo PermError
  • Dimentica gli errori di sintassi dei record SPF e i problemi di configurazione
  • Ci togliamo l'onere di risolvere le limitazioni di SPF per vostro conto

Iscriviti oggi a PowerDMARC per dire addio per sempre alle limitazioni dell'SPF!  

Come fornitore di servizi DMARC, ci viene posta spesso questa domanda: "Se DMARC usa solo l'autenticazione SPF e DKIM, perché dovremmo preoccuparci di DMARC? Non è semplicemente inutile?"

In superficie potrebbe sembrare che faccia poca differenza, ma la realtà è molto diversa. DMARC non è solo una combinazione delle tecnologie SPF e DKIM, è un protocollo completamente nuovo da solo. Ha diverse caratteristiche che lo rendono uno dei più avanzati standard di autenticazione e-mail nel mondo, e una necessità assoluta per le imprese.

Ma aspettate un attimo. Non abbiamo risposto esattamente al perché avete bisogno di DMARC. Cosa offre rispetto a SPF e DKIM? Beh, questa è una risposta piuttosto lunga; troppo lunga per un solo post del blog. Quindi dividiamoci e parliamo prima di SPF. Nel caso in cui non abbiate familiarità con esso, ecco una rapida introduzione.

Cos'è l'SPF?

SPF, o Sender Policy Framework, è un protocollo di autenticazione delle email che protegge il destinatario delle email da email spoofate. E' essenzialmente una lista di tutti gli indirizzi IP autorizzati a inviare email attraverso i tuoi canali (il proprietario del dominio). Quando il server ricevente vede un messaggio dal tuo dominio, controlla il tuo record SPF che è pubblicato sul tuo DNS. Se l'IP del mittente è in questa 'lista', l'email viene consegnata. Altrimenti, il server rifiuta l'email.

Come si può vedere, SPF fa un lavoro abbastanza buono tenendo fuori un sacco di email sgradevoli che potrebbero danneggiare il vostro dispositivo o compromettere i sistemi di sicurezza della vostra organizzazione. Ma SPF non è così buono come alcune persone potrebbero pensare. Questo perché ha alcuni svantaggi molto importanti. Parliamo di alcuni di questi problemi.

Limiti della SPF

I record SPF non si applicano all'indirizzo From

Le email hanno più indirizzi per identificare il loro mittente: l'indirizzo Da che normalmente si vede, e l'indirizzo Return Path che è nascosto e richiede uno o due click per essere visualizzato. Con SPF abilitato, il server email ricevente guarda il Return Path e controlla i record SPF del dominio da quell'indirizzo.

Il problema qui è che gli aggressori possono sfruttarlo usando un falso dominio nel loro indirizzo Return Path e un indirizzo email legittimo (o dall'aspetto legittimo) nella sezione From. Anche se il destinatario dovesse controllare l'ID dell'email del mittente, vedrebbe prima l'indirizzo Da, e di solito non si preoccupa di controllare il Percorso di ritorno. Infatti, la maggior parte delle persone non sono nemmeno consapevoli che esiste una cosa come l'indirizzo del percorso di ritorno.

SPF può essere facilmente aggirato usando questo semplice trucco, e lascia anche i domini protetti con SPF ampiamente vulnerabili.

I record SPF hanno un limite di ricerca DNS

I record SPF contengono una lista di tutti gli indirizzi IP autorizzati dal proprietario del dominio a inviare e-mail. Tuttavia, hanno uno svantaggio cruciale. Il server ricevente deve controllare il record per vedere se il mittente è autorizzato, e per ridurre il carico sul server, i record SPF hanno un limite di 10 ricerche DNS.

Questo significa che se la vostra organizzazione utilizza più fornitori di terze parti che inviano e-mail attraverso il vostro dominio, il record SPF può finire per superare quel limite. A meno che non sia ottimizzato correttamente (il che non è facile da fare da soli), i record SPF avranno un limite molto restrittivo. Quando si supera questo limite, l'implementazione SPF è considerata non valida e la vostra email non supera l'SPF. Questo potrebbe potenzialmente danneggiare i tuoi tassi di consegna delle email.

 

SPF non funziona sempre quando l'email viene inoltrata

SPF ha un altro punto critico di fallimento che può danneggiare la deliverability della tua email. Quando hai implementato SPF sul tuo dominio e qualcuno inoltra la tua email, l'email inoltrata può essere rifiutata a causa della tua politica SPF.

Questo perché il messaggio inoltrato ha cambiato il destinatario dell'email, ma l'indirizzo del mittente rimane lo stesso. Questo diventa un problema perché il messaggio contiene l'indirizzo From del mittente originale ma il server ricevente vede un IP diverso. L'indirizzo IP del server di inoltro non è incluso nel record SPF del dominio del mittente originale. Questo potrebbe far sì che l'email venga rifiutata dal server ricevente.

Come risolve DMARC questi problemi?

DMARC usa una combinazione di SPF e DKIM per autenticare le email. Un'email deve passare o SPF o DKIM per passare DMARC ed essere consegnata con successo. E aggiunge anche una caratteristica chiave che lo rende molto più efficace di SPF o DKIM da soli: La segnalazione.

Con il reporting DMARC, si ottiene un feedback quotidiano sullo stato dei vostri canali e-mail. Questo include informazioni sul vostro allineamento DMARC, dati sulle email che non hanno superato l'autenticazione e dettagli sui potenziali tentativi di spoofing.

Se ti stai chiedendo cosa puoi fare per non essere spoofato, controlla la nostra guida pratica sui 5 modi migliori per evitare lo spoofing delle email.