Verifica e valida all’istante il tuo record SPF. Analizziamo errori di sintassi, record duplicati e “troppi lookup DNS”, indicandoti esattamente come risolvere i problemi. È veloce e gratuito.
SPF consente un massimo di 10 lookup DNS. Se superi i 10 lookup, i server di ricezione restituiranno un PermerError, bloccando tutte le email inviate.
Un dominio che usa Google Workspace, Salesforce e Mailchimp HubSpot può superare questo limite senza rendersene conto.
Puoi avere solo un record SPF TXT per dominio. Se ne hai due, i server di ricezione restituiranno un PermerError.
Questo succede tipicamente dopo una migrazione di provider, quando il vecchio record viene lasciato. Elimina quello duplicato e unisci tutto.
Uno spazio fuori posto o un errore di battitura può compromettere tutto il tuo record.
Esempi comuni includono inlcude invece di include, o un record che non inizia con v=spf1. Lo SPF Checker segnala questi problemi in rosso e mostra esattamente dove si trova il problema.
?all (neutrale) non respinge i mittenti non autorizzati — l’email viene comunque consegnata. Evita di usarlo. Per domini attivi che inviano email, usa ~all combinato con DMARC a p=reject — in questo modo le email non autenticate verranno bloccate senza rischiare la consegna di quelle legittime.
Riserva -all solo per domini inattivi che non inviano alcuna email.
“SubdoMailing”, ovvero email basate su sottodomini, è una tecnica di attacco avanzata che sfrutta le lacune nell’enforcement DMARC. Inviando messaggi da sottodomini apparentemente legittimi che superano i controlli di autenticazione, i criminali informatici possono impersonare in modo convincente organizzazioni affidabili e ingannare i destinatari.
Con questa guida imparerai:
SPF sta per Sender Policy Framework. È un protocollo di autenticazione email che funziona come una whitelist, indicando i mittenti autorizzati a inviare email per tuo conto. Il suo scopo è prevenire la falsificazione delle email.
SPF sta per Sender Policy Framework. È un protocollo di autenticazione email che funziona come una whitelist, indicando i mittenti autorizzati a inviare email per tuo conto. Il suo scopo è prevenire la falsificazione delle email.
DNS TXT record che indica ai server di posta destinatari quali IP/host sono autorizzati a inviare email per un dominio.
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:203.0.113.5 -all
Inizia con v=spf1, elenca nel mezzo i mittenti autorizzati e termina con un qualificatore all. Un solo record per dominio — senza eccezioni.
La visualizzazione ad albero SPF offerta da SPF Checker mostra ogni passaggio di risoluzione del record SPF, indicando come ogni meccanismo viene valutato e se il risultato è pass, fail o neutrale. Questa visualizzazione aiuta a comprendere la gerarchia dei meccanismi SPF e a individuare eventuali problemi o configurazioni errate all’interno del record SPF.
Il 27 febbraio 2024, i ricercatori di Guardio hanno scoperto una massiccia campagna di frode pubblicitaria email basata su migliaia di domini e sottodomini compromessi. Puoi leggere di più sull’attacco SubdoMailing e su come proteggerti qui.
Lo strumento di verifica dei record SPF di Red Sift rileva se il tuo record SPF contiene include compromessi che lasciano il dominio vulnerabile a spoofing. La visualizzazione dinamica ad albero SPF ti consente di evidenziare dove si trovano questi include dannosi. Se vengono rilevati include compromessi, ti consigliamo di rimuoverli immediatamente dal tuo record SPF.
Verificare la configurazione SPF del tuo dominio serve a essere sicuri che sia correttamente impostata per autenticare le email inviate a tuo nome. In questo modo riduci la possibilità che le tue email finiscano in spam o vengano rifiutate dai server destinatari.
A seconda della configurazione SPF del dominio specificato, vengono mostrate informazioni con l’opzione “evidenzia nell’albero SPF”.
Sì, SPF Checker può identificare errori negli include annidati dei record di terze parti analizzando ciascun record SPF incluso nella gerarchia. Questo consente di rilevare e risolvere problemi nei record SPF di terzi che possono influenzare l’autenticazione email del proprio dominio.
Puoi accedere al record SPF del tuo dominio interrogando i record DNS tramite strumenti come nslookup o dig. In alternativa puoi utilizzare tool di lookup SPF online o la gestione DNS offerta dal tuo registrar o provider di hosting.
Un void lookup si verifica quando un meccanismo del record SPF genera una query DNS senza risultato, indicando una configurazione errata o un elemento non valido. I void lookup possono portare a fallimenti nell’autenticazione SPF e devono essere corretti per garantire l’integrità della configurazione.
Per correggere errori di sintassi in un record SPF, rivedi le linee guida sulla sintassi SPF e assicurati che il record sia formattato correttamente. Gli errori più comuni sono elementi mancanti o fuori posto, caratteri non validi e spaziature errate. Una volta individuati, correggi gli errori tramite la gestione DNS del tuo registrar o provider di hosting.
I meccanismi SPF sono i componenti del record SPF che specificano quali mail server sono autorizzati a inviare email per conto di un dominio. Includono indirizzi IP, nomi di dominio e qualificatori che definiscono come interpretare il meccanismo. Configurando i meccanismi SPF in modo appropriato, il titolare del dominio controlla chi può inviare email con quel dominio, aumentando l’autenticazione e la sicurezza.
Esegui un lookup e assicurati che ci sia un solo record, la sintassi sia valida e ci siano al massimo 10 lookup DNS.
Tipicamente per record multipli, errori di sintassi o troppi lookup “include”.
RFC 7208 impone un massimo di 10 meccanismi che generano query DNS per proteggere i server destinatari dai sovraccarichi. Ogni include, a, mx, ptr e redirect conta ai fini del limite. Se lo superi, SPF fallisce per tutte le email, anche le legittime. Lo SPF Checker mostra il numero attuale dei lookup e da dove derivano.
-all (hard fail) rifiuta direttamente le email inviate da mittenti non autorizzati. ~all (softfail) le accetta ma di solito le indirizza nella spam. ?all (neutral) non fa alcuna dichiarazione e non offre protezione. Per i domini di produzione, -all è la scelta corretta. Usa ~all solo mentre stai ancora identificando tutti i mittenti legittimi.
Sì, e dovresti farlo. SPF impostato su yourdomain.com non protegge mail.yourdomain.com o newsletter.yourdomain.com. Ogni sottodominio che invia email ha bisogno del proprio record. I sottodomini senza SPF possono essere falsificati facilmente.
