Fallimento dell'SPF: Cause comuni e come risolverle

Vi illustriamo le numerose cause di fallimento dell'SPF. Questo articolo esaminerà i tipi di fallimento e spiegherà le migliori pratiche per evitare futuri fallimenti dell'SPF.

di

Tempo di lettura: 6 min
Fallimento dell'SPF: Cause comuni e come risolverle
Indice dei contenuti-

Sender Policy Framework, o SPF, è uno dei protocolli di autenticazione delle e-mail che le organizzazioni utilizzano da anni nei loro sistemi di posta elettronica per ridurre lo spam e autorizzare le fonti di invio. Tuttavia, è comune imbattersi in diversi errori che causano il fallimento di SPF. In questo post discutiamo di cosa può causare il fallimento di SPF e di come risolverlo.

Ecco alcuni motivi comuni che portano al fallimento dell'SPF: 

  • Errori di sintassi del record SPF 
  • Errori di configurazione del record SPF 
  • Superamento dei limiti di ricerca DNS per SPF
  • Inoltro di e-mail 
  • Autorizzazione della fonte di invio incompleta

Perché si verificano i fallimenti dell'SPF? 

I fallimenti dell'SPF possono essere dovuti ai seguenti motivi:

  • L'MTA ricevente non trova un record SPF pubblicato nel vostro DNS.
  • È stato configurato più di un record SPF per lo stesso dominio. 
  • I vostri fornitori di servizi e-mail hanno modificato o aggiunto nuovi indirizzi IP che non avete incluso nel vostro record SPF.
  • È stato superato il limite di 10 ricerche DNS per SPF.
  • Si sta superando il limite massimo di 2 ricerche di nullità consentite.
  • La lunghezza del record SPF appiattito supera il limite di 255 caratteri SPF.

Quando l'SPF non funziona per le vostre e-mail, il passo successivo dovrebbe essere quello di identificare il motivo alla base del problema, in modo da poterlo risolvere. Questo è possibile monitorando regolarmente i rapporti DMARC. PowerDMARC vi aiuta a leggere facilmente i rapporti sui fallimenti dell'autenticazione SPF con il nostro analizzatore DMARC. analizzatore DMARC.

Stop ai fallimenti SPF con PowerDMARC!

Prova di 15 giorniPrenota una demo

Tipi di fallimento dell'SPF

I seguenti sono tipi di SPF fail ognuno dei quali viene aggiunto come prefisso prima del meccanismo SPF:

"+" "Passato"
"-" "Bocciato"
"~" "Softfail"
"?" "Neutro"

Che importanza hanno? Wn una situazione in cui il vostro messaggio di posta elettronica viene rifiutato, è possibile scegliere con quale rigore gestire i destinatari. Si può specificare un qualificatore per "passare" i messaggi che hanno ricevuto un SPF "Non passare" i messaggi che hanno ricevuto una consegna SPF, "non passare" i messaggi che hanno ricevuto una consegna SPF, o "Neutro" (non fare nulla).

1. SPF Nessun risultato restituito

Nel primo caso, se il server di posta elettronica ricevente esegue una ricerca DNS e non è in grado di trovare il nome di dominio nel DNS, viene restituito un risultato nullo. Nessuno viene restituito anche nel caso in cui non venga trovato alcun record SPF nel DNS del mittente, il che implica che il mittente non ha configurato l'autenticazione SPF per questo dominio. In questo caso, l'autenticazione SPF per le vostre e-mail fallisce, come indicato da "-all".

Generate subito il vostro record SPF senza errori con il nostro generatore gratuito di record SPF per evitare questo problema.

2. Risultato SPF neutro restituito

Durante la configurazione dell'SPF per il vostro dominio, se avete apposto un meccanismo "?all" al vostro record SPF, significa che, a prescindere dalla conclusione dei controlli di autenticazione SPF per le vostre e-mail in uscita, l'MTA ricevente restituisce un risultato neutro. Questo accade perché quando il vostro SPF è in modalità neutrale, non state specificando gli indirizzi IP autorizzati a inviare e-mail per vostro conto e consentite anche agli indirizzi IP non autorizzati di inviarle.

3. Risultato SPF Softfail restituito

Simile a SPF neutro, SPF softfail è identificato dal meccanismo ~all che implica che l'MTA ricevente accetterebbe la posta e la consegnerebbe nella casella di posta del destinatario, ma verrebbe contrassegnata come spam, nel caso in cui l'indirizzo IP non sia elencato nel record SPF trovato nel DNS, che può essere una ragione per cui l'autenticazione SPF fallisce per la vostra email. Di seguito è riportato un esempio di SPF softfail:

 v=spf1 include:spf.google.com ~all

4. Risultato SPF Hardfail restituito

SPF hardfail è quando gli MTA riceventi scartano le e-mail provenienti da qualsiasi fonte di invio non elencata nel vostro record SPF. Si consiglia di configurare SPF hardfail nel record SPF se si vuole ottenere una protezione contro l'impersonificazione dei domini e lo spoofing delle e-mail. 

Esempio: v=spf1 include:spf.google.com -all

Imparate la differenza specifica tra SPF softfail vs hardfail

5. SPF Temperror (errore temporaneo SPF)

Un motivo comune e spesso innocuo per cui l'autenticazione SPF fallisce è SPF Temperror (errore temporaneo). Questo è causato da un errore del DNS, come ad esempio un timeout DNS. Si tratta quindi, proprio come suggerisce il nome, di un errore temporaneo che restituisce un codice di stato 4xx e che può causare un fallimento temporaneo di SPF. Quando si riprova in un secondo momento, si ottiene un risultato SPF positivo.

6. SPF Permerror (errore permanente SPF)

Un altro errore comune che i domini devono affrontare è un Permerrore SPF. Si tratta di un errore permanente. Ciò accade quando il record SPF viene invalidato dall'MTA ricevente. Ci sono molte ragioni per cui SPF potrebbe rompersi ed essere reso non valido dall'MTA durante l'esecuzione di ricerche DNS:

  • Superamento del limite di 10 ricerche SPF
  • Sintassi errata del record SPF
  • Più di un record SPF per lo stesso dominio
  • Superamento del limite di lunghezza del record SPF di 255 caratteri
  • Se il tuo record SPF non è aggiornato con le modifiche apportate dai tuoi ESP

Nota: Quando un MTA esegue un controllo SPF su un'email, interroga il DNS o esegue una ricerca DNS per verificare l'autenticità dell'origine dell'email. Idealmente, in SPF è consentito un massimo di 10 ricerche DNS, il cui superamento causerà l'interruzione di SPF e la restituzione di un risultato di tipo Permerror. Questo è un problema molto comune che porta al fallimento di SPF.

Come risolvere un errore SPF per i messaggi di posta elettronica

Per una consegna senza problemi, è importante assicurarsi che l'SPF non fallisca per le vostre e-mail. Per risolvere i problemi di SPF, potete seguire queste best practice: 

1. Rimanere entro i limiti della SPF

Se l'autenticazione fallisce a causa di ricerche DNS che superano i limiti specificati da RFC, cercate di rimanere entro i limiti per evitare il fallimento. PowerDMARC aiuta i clienti a ottimizzare i loro record SPF per rimanere al di sotto di questi limiti rigidi attraverso le macro. Spesso sono più efficaci dell'appiattimento SPF. appiattimento SPF. Tuttavia, se si sceglie di utilizzare l'appiattimento SPF, gli strumenti di appiattimento SPF possono semplificare il processo, anche se richiedono comunque aggiornamenti manuali ogni volta che il provider di servizi e-mail modifica la propria infrastruttura. Le macro nel vostro record DNS SPF vi aiutano a evitare di superare i limiti di vuoto e di ricerca DNS in ogni momento.

2. Evitare errori di sintassi e di configurazione

L'implementazione manuale dei record SPF spesso porta a errori di sintassi e li fa fallire. Per assicurarsi di utilizzare la sintassi corretta per SPF, generare il record con l'aiuto di un generatore automatico di record SPF. generatore di record SPF strumento.

Quando si configura SPF nel DNS, utilizzare sempre il tipo di risorsa "TXT". Se si configura un tipo di risorsa sbagliato, come "CNAME" o addirittura "SPF", si verificheranno errori di configurazione e un fallimento di SPF. 

3. Autorizzare tutte le fonti di invio

Assicuratevi di autorizzare correttamente tutte le fonti di invio, compresi i fornitori terzi, nel vostro record SPF. I vostri fornitori cambiano o aggiungono spesso il loro elenco di IP di invio. Dovete assicurarvi di essere al corrente di tali modifiche e di implementarle nel vostro record SPF. La mancanza di fonti di invio autorizzate porta spesso a fallimenti SPF ingiustificati. 

4. Combinare più record SPF 

Più di un record SPF per lo stesso dominio può invalidare l'implementazione SPF e portare al fallimento dell'SPF. In questi casi, è meglio combinare più record in un unico record utilizzando il meccanismo "include". 

Migliori pratiche SPF

I proprietari di domini che rispettano le best practice SPF di cui sopra possono ridurre significativamente le possibilità di fallimenti SPF ingiustificati. Ecco alcune ulteriori buone pratiche che le aziende possono adottare in generale per rafforzare ulteriormente la sicurezza delle loro e-mail

  • Utilizzare DKIM per evitare il fallimento di SPF per le e-mail inoltrate. 
  • Utilizzare DMARC e DKIM, in modo che anche se SPF fallisce e DKIM passa, DMARC passa. 
  • Abilitare la reportistica DMARC per monitorare i fallimenti SPF e le relative cause 

I fallimenti dell'autenticazione delle e-mail non sono mai una buona notizia per la reputazione e la credibilità del vostro dominio. Per assicurarvi che la vostra deliverability non sia compromessa, dovete agire subito per evitare che il vostro SPF fallisca. Volete verificare se l'SPF è configurato correttamente per il vostro dominio? Provate il nostro strumento di controllo SPF gratuito!

Ultimi messaggi di Maitham Al Lawati (vedi tutti)
Cos'è l'autenticazione delle e-mail? Controllare e autenticare le e-mailimprenditori della sicurezza informaticaCome gli imprenditori possono proteggere le loro aziende dagli attacchi informatici
  翻译: