Fusione di più record SPF

In questo articolo spieghiamo come unire più record SPF.

Perché potrebbe essere necessario fondere più record SPF?

Il record SPF viene utilizzato per certificare che l'IP emittente ha il diritto di inviare email. Aiuta a prevenire l'uso fraudolento del tuo nome di dominio ed è particolarmente efficace contro gli attacchi di phishing.

Un dominio può avere un solo record SPF. Avere più di un record SPF può comportare un impatto negativo sulla reputazione del tuo dominio, oltre a determinare problemi di recapito e opportunità di frode. Nel caso in cui sia necessario includere più record SPF per il tuo dominio, dovresti unirli in un unico record.

Sintassi di un record SPF

Diamo un'occhiata alle diverse parti di un record SPF nell'esempio seguente:

mceclip1.png

🟢 Versione

Un record SPF inizia sempre con il numero di versione "v=spf1" (versione 1). Questa parte definisce il record come SPF. Un tempo esisteva una seconda versione di record SPF (detta "SenderID"), ma ora è stata abbandonata.

🔵 Meccanismo

La seconda parte del record SPF è costituita dai meccanismi. Essi specificano varie regole su come controllare l'SPF e possono anche includere un prefisso (chiamato "qualificatore").

  • ip4 —  Specifica l'intervallo di indirizzi IPv4 autorizzato a inviare email, ad es. ip4:<indirizzo ip4> o ip4:<rete ip4>/<lunghezza prefisso>.
    Se non viene indicata alcuna lunghezza per il prefisso, viene utilizzato /32 per impostazione predefinita (consentendo di isolare un indirizzo di hosting individuale). Accertati di indicare una lunghezza di prefisso maggiore di /16 in quanto la consegna ad alcuni ricevitori di email più piccoli potrebbe risentirne.
  • ip6 — Specifica l'intervallo di indirizzi IPv6 autorizzato a inviare email, ad es. ip6:<indirizzo ip6> o ip6:<rete ip6>/<lunghezza prefisso>.
    L'argomento del meccanismo “ip6” è un intervallo di indirizzi IPv6. Se non viene indicata alcuna lunghezza per il prefisso, viene utilizzato /128 per impostazione predefinita (consentendo di isolare un indirizzo di hosting individuale).
  • a — Specifica il nome di dominio del server di posta autorizzato a inviare email facendo riferimento a un record di dominio A, ad es. a:brevo.com.
    I record A devono corrispondere esattamente all'IP del client a meno che non venga fornita una lunghezza del prefisso. In tal caso, ogni indirizzo IP restituito dalla ricerca di A verrà esteso al prefisso CIDR corrispondente e l'IP del client verrà ricercato all'interno di quella sottorete.
  • mx — Specifica che il server di posta deve essere utilizzato per inoltrare le email facendo riferimento a un record MX di dominio, ad es. mail.brevo.com.
    I record A devono corrispondere esattamente all'IP del client a meno che non venga fornita una lunghezza del prefisso. In tal caso, ogni indirizzo IP restituito dalla ricerca di A verrà esteso al prefisso CIDR corrispondente e l'IP del client verrà ricercato all'interno di quella sottorete.
  • include — Specifica il server di posta autorizzato a inviare email per conto del dominio (mittenti di posta di terze parti). Deve essere sempre posizionato al centro del record SPF.
    Viene ricercata una corrispondenza nel dominio specificato. Se la ricerca non restituisce una corrispondenza o un errore, l'elaborazione procede alla direttiva successiva. Se il dominio non comprende un record SPF valido, il risultato è un errore permanente. Alcuni ricevitori di posta rifiuteranno le email in presenza di un PermError.
  • all — Corrisponde a tutti i server di posta e specifica come deve essere trattata un'email quando un mittente non corrisponde a nessuno dei meccanismi precedenti. Viene utilizzato con un qualificatore e deve essere sempre posizionato alla fine del record SPF.
🔴 Qualificatore

Un qualificatore è un prefisso che può essere inserito prima di un meccanismo e specifica come deve essere trattata un'email quando un mittente non corrisponde a nessuno dei meccanismi precedenti.

I qualificatori disponibili sono i seguenti:

  • + — È il qualificatore predefinito e significa Pass (autenticazione riuscita). Il server con un indirizzo IP o un dominio che corrisponde a un meccanismo con questo qualificatore è autenticato dal controllo SPF e sarà autorizzato a inviare per questo dominio.
  • - — Significa Fail (autenticazione non riuscita). Il server con un indirizzo IP o un dominio che corrisponde a un meccanismo con questo qualificatore non ha superato il controllo SPF e non sarà autorizzato a inviare per questo dominio.
  • ~ — Significa Soft fail (autenticazione riuscita con riserva). Il server con un indirizzo IP o un indirizzo di dominio che corrisponde a un meccanismo con questo qualificatore viene parzialmente respinto dal controllo SPF e potrebbe essere autorizzato a inviare per questo dominio. Il server del destinatario accetterà l'email ma la contrassegnerà come errore SPF.
  • ? — Significa Neutral (valutazione neutra). Il server con un indirizzo IP o un dominio che corrisponde a un meccanismo con questo qualificatore non viene autenticato né viene respinto dal controllo SPF in quanto il record non dichiara esplicitamente se l'indirizzo IP o il dominio è autorizzato a inviare per questo dominio.

Fusione di più record SPF

Per unire più record SPF, è necessario combinare le diverse parti dei record. Ecco come combinare i seguenti record SPF di esempio per Google Workspace e Brevo:

v=spf1 include:_spf.google.com ~all
v=spf1 include:spf.brevo.com mx ~all
  1. Un record SPF inizia sempre con la versione.
    v=spf1
  2. Poi aggiungiamo entrambi i meccanismi "include" al nuovo record.
    v=spf1 include:_spf.google.com include:spf.brevo.com
  3. Il record SPF di Brevo contiene un meccanismo "mx" e dobbiamo includere anche questo nel nuovo record.
    v=spf1 include:_spf.google.com include:spf.brevo.com mx
  4. Infine, dobbiamo specificare come devono essere trattate le email quando un mittente non corrisponde a nessuno dei meccanismi precedenti. A questo scopo si utilizza il meccanismo "all".
    v=spf1 include:_spf.google.com include:spf.brevo.com mx ~all

Questo nuovo record SPF ora sostituisce il vecchio record. Consente sia a Google Workspace che a Brevo di inviare email utilizzando il tuo nome di dominio, mentre tutti gli altri mittenti vengono bloccati utilizzando "~all".

💡 Buono a sapersi
Dopo aver apportato le modifiche, utilizza un verificatore di record SPF per convalidare il nuovo record SPF.

🤔 Domande?

In caso di domande, non esitare a contattare il team dell’assistenza creando un ticket dal tuo account. Se ancora non hai un account, puoi contattarci qui.

💬 Questo articolo ti è stato utile?

Utenti che ritengono sia utile: 44 su 67