Avete mai visto un'email fallire l'SPF? Se lo avete fatto, allora vi dirò esattamente perché l'autenticazione SPF fallisce. Sender Policy Framework, o SPF, è uno degli standard di verifica delle email che tutti noi abbiamo usato per anni per fermare lo spam. Anche se non ne foste a conoscenza, scommetto che se controllassi le impostazioni del vostro account di accesso a Facebook, probabilmente vi mostrerebbe "opt-in" per "solo email da amici". Che è effettivamente la stessa cosa di SPF.

Cos'è l'autenticazione SPF?

SPF è un protocollo di autenticazione delle e-mail che viene utilizzato per verificare che il mittente dell'e-mail corrisponda al suo nome di dominio nel campo Da: del messaggio. L'MTA di invio utilizzerà il DNS per interrogare un elenco preconfigurato di server SPF per verificare se l'IP di invio è autorizzato a inviare e-mail per quel dominio. Possono esserci incongruenze nel modo in cui vengono impostati i record SPF, il che è fondamentale per capire perché le e-mail possono non superare la verifica SPF e quale ruolo si può svolgere per garantire che non si verifichino problemi nelle proprie attività di email marketing o quando si inviano e-mail di marketing per conquistare i clienti.

Perché l'autenticazione SPF fallisce: Nessuno, Neutro, Hardfail, Softfail, TempError e PermError

I fallimenti dell'autenticazione SPF possono avvenire per i seguenti motivi:

• L'MTA ricevente non riesce a trovare un record SPF pubblicato nel tuo DNS
• Hai più record SPF pubblicati nel tuo DNS per lo stesso dominio
• I tuoi ESP hanno cambiato o aggiunto i loro indirizzi IP che non sono stati aggiornati sul tuo record SPF
• Se si supera il limite di 10 ricerche DNS per SPF
• Se si supera il numero massimo di ricerche di vuoti consentito di 2
• La lunghezza del tuo record SPF appiattito supera il limite di 255 caratteri SPF

Quelli sopra descritti sono i vari scenari per cui l'autenticazione SPF fallisce. È possibile monitorare i domini con il nostro analizzatore DMARC per ottenere rapporti sui fallimenti dell'autenticazione SPF. Quando si abilita il reporting DMARC, l'MTA ricevente restituisce uno dei seguenti risultati di fallimento dell'autenticazione SPF per l'e-mail, a seconda del motivo per cui l'e-mail non ha superato l'SPF. Vediamo di conoscerli meglio:

Tipi di qualificatori SPF Fail

I seguenti sono tipi di qualificatori SPF Fail, ciascuno dei quali viene aggiunto come prefisso prima del meccanismo SPF Fail:

"+" "Passato"
"-" "Bocciato"
"~" "Softfail"
"?" "Neutro"

Che importanza hanno? In una situazione in cui il vostro messaggio di posta elettronica non supera l'SPF, potete scegliere il modo in cui volete che i ricevitori lo gestiscano. Si può specificare un qualificatore per "passare" i messaggi che non superano il controllo (consegnarli), per "rifiutare" la consegna o per adottare un punto di vista "neutrale" (non fare nulla).

Caso 1: viene restituito il risultato SPF None

Nel primo caso, se il server e-mail ricevente esegue una ricerca DNS e non è in grado di trovare il nome del dominio nel DNS, viene restituito un risultato nullo. Nessuno viene restituito anche nel caso in cui nessun record SPF viene trovato nel DNS del mittente, il che implica che il mittente non ha configurato l'autenticazione SPF per questo dominio. In questo caso l'autenticazione SPF per le tue email fallisce.

Genera ora il tuo record SPF senza errori con il nostro strumento gratuito di generatore di record SPF per evitare questo.

Caso 2: viene restituito il risultato SPF neutro

Durante la configurazione di SPF per il vostro dominio, se avete apposto un meccanismo ?all al vostro record SPF, questo significa che non importa cosa concludono i controlli di autenticazione SPF per le vostre email in uscita, l'MTA ricevente restituisce un risultato neutrale. Questo accade perché quando avete il vostro SPF in modalità neutrale, non state specificando gli indirizzi IP che sono autorizzati a inviare e-mail per vostro conto e permettendo agli indirizzi IP non autorizzati di inviarle ugualmente.

Caso 3: Risultato di SPF Softfail

Simile a SPF neutro, SPF softfail è identificato dal meccanismo ~all che implica che l'MTA ricevente accetterebbe la posta e la consegnerebbe nella casella di posta del destinatario, ma verrebbe contrassegnata come spam, nel caso in cui l'indirizzo IP non sia elencato nel record SPF trovato nel DNS, che può essere una ragione per cui l'autenticazione SPF fallisce per la vostra email. Di seguito è riportato un esempio di SPF softfail:

 v=spf1 include:spf.google.com ~all

Caso 4: Risultato di SPF Hardfail

SPF hardfail, noto anche come SPF fail è quando gli MTA riceventi scartano le email provenienti da qualsiasi fonte di invio che non è elencata nel tuo record SPF. Ti consigliamo di configurare SPF hardfail nel tuo record SPF, se vuoi ottenere protezione contro l'impersonificazione del dominio e lo spoofing delle email. Di seguito è riportato un esempio di SPF hardfail:

v=spf1 include:spf.google.com -all

Caso 5: SPF TempError (errore temporaneo SPF)

Uno dei motivi molto comuni e spesso innocui per cui l'autenticazione SPF fallisce è SPF TempError (errore temporaneo) che è causato da un errore DNS come un timeout DNS mentre un controllo di autenticazione SPF viene eseguito dall'MTA ricevente. È, quindi, proprio come suggerisce il nome, di solito un errore temporaneo che restituisce un codice di stato 4xx che può causare un fallimento temporaneo di SPF, ma che produce un risultato SPF pass quando si riprova più tardi.

Caso 6: SPF PermError (errore permanente SPF)

Un altro risultato comune con cui si affrontano gli errori di dominio è SPF PermError. Questo è il motivo per cui l'autenticazione SPF fallisce nella maggior parte dei casi. Questo accade quando il vostro record SPF viene invalidato dall'MTA ricevente. Ci sono molte ragioni per cui SPF potrebbe rompersi ed essere reso non valido dall'MTA durante l'esecuzione dei lookup DNS:

• Superamento del limite di 10 ricerche SPF
• Sintassi errata del record SPF
• Più di un record SPF per lo stesso dominio
• Superamento del limite di lunghezza del record SPF di 255 caratteri
• Se il tuo record SPF non è aggiornato con le modifiche apportate dai tuoi ESP

Nota: Quando un MTA esegue un controllo SPF su un'email, interroga il DNS o esegue una ricerca DNS per verificare l'autenticità della fonte dell'email. Idealmente, in SPF è consentito un massimo di 10 ricerche DNS, oltre le quali l'SPF fallirà e verrà restituito un risultato PermError.

Come può l'appiattimento dinamico di SPF risolvere l'SPF PermError?

A differenza degli altri errori SPF, SPF PermError è molto più difficile e complicato da risolvere. PowerSPF ti aiuta a mitigarlo facilmente con l'aiuto dell'appiattimento automatico dell'SPF. Vi aiuta:

• Rimanere sotto il limite massimo di SPF
• Ottimizza immediatamente il tuo record SPF
• Appiattisci il tuo record in una singola dichiarazione include
• Assicurati che il tuo record SPF sia sempre aggiornato sulle modifiche apportate dai tuoi ESP

Volete verificare se l'SPF è configurato correttamente per il vostro dominio? Provate oggi stesso il nostro strumento di controllo SPF gratuito!

• Informazioni su
• Ultimi messaggi

Maitham Al Lawati

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

• Correggere il perturbatore SPF: Superare il limite di troppe ricerche DNS di SPF - 26 aprile 2024
• Come pubblicare un record DMARC in 3 passi? - 2 aprile 2024
• Perché il DMARC non funziona? Risolvere il fallimento del DMARC nel 2024 - 2 aprile 2024