Cos'è SPF?
SPF (Sender Policy Framework) è un metodo di autenticazione e-mail che consente ai proprietari di dominio di specificare quali server di posta sono autorizzati a inviare e-mail per loro conto. Ricevere server di posta controlla i record SPF per verificare che l'e-mail in arrivo da un dominio provenga da una fonte autorizzata.
Perché SPF Matters
Senza SPF, chiunque può inviare email che sembra provenire dal tuo dominio (spoofing). SPF aiuta:
- # Prevenire phishing # Gli aggressori non possono facilmente impersonare il tuo dominio
- # Improva la consegna # I provider di posta elettronica si affidano ai messaggi autenticati
- ♪Protezione della reputazione ♪ Lo Spam spiato non danneggia la reputazione del tuo dominio
- Enable DMARC: SPF è un blocco di costruzione per le politiche DMARC
Come SPF Lavori
1. Il proprietario del dominio pubblica un record SPF (TXT) in DNS
2. Sender's mail server invia una email che richiede di essere da @example.com
3. Il server di posta di Receiver sembra il record SPF di example.com
4. Controlli server se l'IP di invio è autorizzato
5. Risultato applicato Pass, fail, softfail o neutro
Sintassi record SPF
Un record SPF è un record TXT con un formato specifico:
v=spf1 [mechanisms] [qualifier]allEsempio SPF Records
Basic (single mail server):v=spf1 ip4:203.0.113.50 -allv=spf1 include:_spf.google.com ~allv=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 -allMeccanismi SPF
| Meccanismo | Descrizione | Esempio |
|---|---|---|
| Ip4 | Indirizzo IPv4 o intervallo | ip4:203.0.113.0/24 |
| Ip6 | Indirizzo o intervallo IPv6 | ip6:2001:db8::/32 |
| incluso | Includere un altro dominio SPF | includere: spf.google.com |
| a | IP record di dominio | a:mail.example.com |
| - Si'. | IP del server MX del dominio | - Si'. |
| Tutto | Abbina tutto (solitamente ultimo) | - tutti, tutti? |
Qualifiche
| Qualificazione | Risultato | Significato |
|---|---|---|
| + (default) | Passo | Inviatore autorizzato |
| - No. | Fail | Non autorizzato, rifiutare |
| ~ | Fascio morbido | Probabilmente non autorizzato, accetta ma bandiera |
| ? | Neutrale | Nessuna affermazione politica |
SPF Attuazione Migliori Pratiche
Inizia con SoftFail
Quando si implementa SPF, utilizzare ~all per evitare di rifiutare email legittima:
v=spf1 include:_spf.google.com ~allTransition to Fail
Una volta confermato il lavoro, passare a -all per l'applicazione rigorosa:
v=spf1 include:_spf.google.com -allKeep DNS Lookups Under 10
SPF permette il massimo 10 lookup DNS (include, a, mx, redirect, esiste). L'eccesso di questo limite causa guasti SPF.
# Counts as DNS lookups:
include:_spf.google.com # 1 (plus nested includes)
a:mail.example.com # 1
mx # 1
# Does NOT count:
ip4:203.0.113.50 # 0
ip6:2001:db8::1 # 0
Only One SPF Record
I record SPF multipli causano guasti di validazione. Combina tutti i meccanismi in un unico record:
# Wrong - two SPF records
v=spf1 include:_spf.google.com ~all
v=spf1 include:sendgrid.net ~all
# Correct - combined
v=spf1 include:_spf.google.com include:sendgrid.net ~all
Controllo della SPF Records
# Usi scavare #
dig example.com TXT | grep spf# Usando DomScan #
curl "https://domscan.net/v1/health?domain=example.com"
# Returns hasSPF status
Problemi SPF comuni
Too Many DNS Lookups
Sintomo: SPF permerror
Soluzione: Flatten include o utilizza meno servizi esterni
Missing Third-Party Services
Sintomo: L'email legittima fallisce SPF
Soluzione: Aggiungi includere/ip4 per tutti i servizi di invio (strumenti di marketing, CRM, ecc.)
Overly Permissive SPF
Sintomo: Pass e-mail con tetto SPF
Problema: usare +all o includere troppi servizi
Soluzione: Audit e limitare i mittenti autorizzati
SPF è essenziale per l'autenticazione e-mail ma funziona meglio combinato con DKIM e DMARC per una protezione completa.