Che cos'è l'SPF Incluso?

Scoprite cos'è l'inclusione SPF e come utilizzare l'inclusione SPF per aggiungere più host e indirizzi IP al vostro record SPF senza errori.

di Yunes

Tempo di lettura: 6 min
Che cos'è l'SPF Incluso?
Indice dei contenuti-

Il meccanismo di inclusione SPF contiene riferimenti o condizioni - all'interno di un record SPF - che devono essere soddisfatti per ogni server per migliorare la deliverability delle e-mail. Se accidentalmente non aggiungete le dichiarazioni di inclusione per i vostri fornitori di terze parti nel vostro record SPF, questo potrebbe portare a problemi per i vostri destinatari, come ad esempio email rimbalzate e il vostro tasso di rimbalzo complessivo potrebbe aumentare.

Scoprite cos'è il meccanismo di "inclusione" nei record SPF e come potete ottimizzare le dichiarazioni di inclusione SPF per le vostre esigenze.

Che cosa significa SPF Incluso?

Nella sintassi del record SPF, il meccanismo "include" indica i record che il server e-mail deve controllare per i record che corrispondono al dominio specificato nella riga "include". 

SPF "include" punta a un dominio i cui record SPF saranno interrogati per verificare se l'IP di invio è consentito o meno. Se l'indirizzo IP di invio è incluso in un elenco "include" definito da SPF, si otterrà una corrispondenza e SPF passerà.

Importanza del meccanismo di inclusione multipla SPF

 L'SPF incluso è importante perché:

➜ Specifica che si desidera essere protetti dai record SPF per qualsiasi dominio elencato nel blocco "include".

Aggiunge regole specifiche per un dominio.

È possibile utilizzare il meccanismo di inclusione SPF per incorporare regole di filtraggio generali che si applicano a tutti i domini della stessa classe. Ciò significa che, se l'applicazione supporta più classi di indirizzi e-mail, è possibile utilizzare le dichiarazioni di inclusione per consentire un filtraggio più complesso basato sulla classe dell'indirizzo del destinatario.

Come funziona l'SPF incluso?

Il meccanismo di inclusione SPF consente al proprietario di un dominio di delegare la responsabilità dell'invio di e-mail a un altro dominio. Viene comunemente utilizzato quando il proprietario di un dominio vuole autorizzare un servizio o un fornitore di terze parti a inviare e-mail per suo conto.

Ecco come funziona il meccanismo di inclusione SPF:

  • Il proprietario del dominio pubblica un record SPF
  • Il meccanismo di inclusione nel record SPF specifica un altro dominio o indirizzo IP autorizzato a inviare e-mail per loro conto.
  • Durante il processo di ricerca, il record SPF viene recuperato dal DNS del dominio del mittente.
  • Il server di posta elettronica ricevente valuta il record SPF per determinare se il server mittente è autorizzato a inviare e-mail per quel dominio. Se il record SPF include un meccanismo di "include", il server ricevente procede a controllare anche il record SPF del dominio incluso.
  • Il server ricevente esegue una ricerca ricorsiva interrogando il DNS per trovare il record SPF del dominio incluso. Questo processo continua se ci sono più livelli di meccanismi di inclusione.

Esempio di inclusione SPF

Ad esempio: Se nel record SPF è presente "include:_spf.google.com" e le e-mail vengono inviate da un indirizzo IP di Google, questo sarà considerato un mittente autorizzato perché l'IP di origine si trova all'interno del meccanismo "include" del record SPF di quel dominio. Di conseguenza, l'e-mail passerà con successo attraverso il server prima di raggiungere il destinatario.

Per autorizzare google come fonte di invio verificata, questa dovrebbe essere la sintassi del record SPF: 

v=spf1 include:_spf.google.com ~all

Più record SPF confondono il server del destinatario in merito a quale record TXT considerare durante una ricerca, e un numero eccessivo di record SPF aggiunge più ricerche DNS che superano rapidamente il limite di 10 ricerche.

I record SPF sono record di tipo TXT che iniziano con la stringa v=spf1 e indicano ai server di posta elettronica le regole da seguire per determinare se una determinata e-mail è spam o meno. Le regole includono:

  • Un server di posta ricevente deve verificare che il dominio di invio sia un destinatario autorizzato del messaggio. Se questa regola è soddisfatta, accetta il messaggio e lo consegna all'utente.

  • Un server di posta ricevente deve verificare che l'indirizzo IP del dominio di invio corrisponda a un indirizzo IP autorizzato per quel dominio e che l'indirizzo IP appartenga a un mittente autorizzato. Quando queste condizioni sono soddisfatte, il messaggio viene consegnato all'utente.

Pertanto, se avete due record TXT SPF separati sul vostro server, le vostre e-mail non riusciranno a ottenere l'autenticazione SPF e restituiranno un PermError. Questo perché un server di posta ricevente non saprà quale regola seguire e ignorerà semplicemente entrambi i record TXT.

Come includere più domini, host o indirizzi IP nel record SPF? 

Quando si vuole includere più di un record SPF, si possono verificare problemi con la consegna delle e-mail (come ad esempio messaggi di posta elettronica come ad esempio il rifiuto dei messaggi di posta elettronica come spam). La soluzione consiste nell'eliminare i record SPF incriminati e unire i domini o gli host in un unico record o riga tramite SPF include.

Consideriamo l'esempio del record SPF con numerosi host e indirizzi ip4 utilizzato da uno dei più famosi produttori di elettronica di consumo, Lenovo.com.

Quando si esegue Ricerca dei record SPF per Lenovo.com, abbiamo scoperto che ha unito 4 domini:

  1. spf.messagelabs.com
  2. _netblocks.eloqua.com
  3. spf.protection.outlook.com
  4. spf.pfpool.lenovo.com

e 5 indirizzi IP4:

  1. 72.32.45.225
  2. 40.65.201.146
  3. 138.108.60.125
  4. 138.108.24.107
  5. 52.247.21.11

in un singolo record come questo:

v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all

Comprendere la semantica del record SPF

Considerando l'esempio precedente, abbiamo imparato che la seguente regola si applica quando si uniscono numerosi host o indirizzi IP4 in un unico record SPF.

Un record SPF deve avere 3 sezioni per essere considerato valido: la dichiarazione (inizio), il meccanismo di inclusione per i domini e il tag IP4 per gli indirizzi IP (centro) e una regola di applicazione (fine).

Dichiarazione: Il record deve iniziare con v=spf1 (non usare più questa stringa nella regola)

Domini consentiti: Aggiungere un include: per ogni dominio (è necessario utilizzare il meccanismo di inclusione SPF come include: con ogni dominio, si aggiunge nel record SPF)

IP consentiti: Aggiungere un IP4 per ogni indirizzo IP (si deve usare il tag IP4 prima di ogni indirizzo IP che si aggiunge al record SPF)

Regola di applicazione: Terminare il record con uno ~tutto (usare questa stringa alla fine e solo una volta)

Una nota importante riguardo all'SPF Includere

È importante incorporare il meccanismo "include" nel record SPF perché consente di includere altri domini e host nel record SPF, il che può essere utile per verificare l'autenticità dei messaggi.

Tuttavia, la seguente regola si applica all'utilizzo del numero di lookup per record SPF (come indicato nella sezione 10.1 dell'RFC 4408):

"Le implementazioni SPF DEVONO limitare il numero di meccanismi e modificatori a un massimo di 10 per ogni controllo SPF, comprese le ricerche causate dall'uso del meccanismo "include" o del modificatore "redirect"."

Se l'implementazione dell'SPF non limita il numero di meccanismi e modificatori, si addormenterà nei controlli degli host non raggiungibili. Poiché questi host non saranno mai inclusi nei controlli, non riceveranno mai la posta dai clienti. Questo può causare seri problemi di consegna della posta.

La differenza tra SPF include: e a:

Il meccanismo SPF "include" viene utilizzato per includere i record SPF di un altro dominio all'interno del record SPF del dominio corrente, mentre il meccanismo SPF "a" viene utilizzato per specificare i singoli indirizzi IP o hostname (record A) autorizzati a inviare e-mail per il dominio.

SPF include vs a

Motivi per utilizzare un:

  • È più pratico e meno complicato
  • Perché non è stato abilitato l'SPF sui domini interessati.
  • Perché l'SPF non è configurato correttamente o permette erroneamente altri server che non sono nei suoi record A.

I motivi per utilizzarlo includono:

  • Si confida che il nome di dominio di un sito abbia un record SPF valido.
  • Perché si vuole avere un'unica fonte di verità per non ripetersi e il dominio SPF è complesso.
  • Si possono apportare modifiche ai propri record SPF senza necessariamente modificare il DNS di tutti i domini che includono il proprio.

Ottimizzazione automatica dell'inclusione SPF: per più domini e indirizzi IP

I record SPF multi-host e multi-indirizzo IP non sono una novità. Ma il modo in cui si deve costruire questo tipo di record richiede un'adeguata esperienza per evitare fallimento dell'autenticazione SPF o PermError.

Per creare un record SPF che funzioni, è necessario utilizzare correttamente il meccanismo include:. E perché la politica SPF sia efficace, deve essere implementata correttamente su più host e indirizzi IP.

Quando si utilizza l'appiattimento SPF di PowerDMARC Appiattimento SPF genereremo per voi un record SPF valido con tutti i vostri host e indirizzi IP inclusi in un'unica riga di testo. Potete aggiungere tutti i domini e gli IP che volete, basta separarli con uno spazio. Il tutto verrà unito in un singolo SPF SPF, in modo da in modo da non superare mai il limite di ricerca e da non incorrere in problemi di consegna delle e-mail e di hardfail.

Gli SPF includono

 

Ultimi messaggi di Yunes Tarada (vedi tutti)
Quali sono gli indicatori comuni di un tentativo di phishing?Quali sono gli indicatori comuni di un tentativo di phishing?Cos'è lo spoofing IPChe cos'è lo spoofing IP?