Guida e risoluzione dei problemi
SPF
Di cosa si tratta
L'SPF (Sender Policy Framework) è un record TXT che elenca i server autorizzati a inviare email per il tuo dominio. I destinatari confrontano il server che si connette con l'elenco; combinato con DMARC impedisce ad altri di falsificare il tuo indirizzo.
Come leggere il risultato
Un solo record che inizia con v=spf1, meccanismi per ogni servizio di invio legittimo e un qualificatore all finale, idealmente ~all o -all. Presta attenzione al conteggio delle ricerche DNS: i meccanismi include/a/mx/exists possono ammontare al massimo a 10.
Problemi comuni e come risolverli
Più di 10 ricerche DNS (permerror)
Come si manifesta: L'SPF viene valutato come errore permanente dai destinatari; l'autenticazione fallisce nonostante il record "sembri giusto". Comune dopo aver impilato diversi include SaaS.
Come risolverlo: Rimuovi gli include per i servizi che non usi più, sostituisci a/mx con ip4/ip6 espliciti dove è pratico, oppure usa lo strumento di SPF flattening per risolvere gli include in IP grezzi (poi ri-appiattisci periodicamente, poiché gli intervalli dei provider cambiano).
La posta legittima fallisce perché manca un servizio di invio
Come si manifesta: La posta di uno strumento (helpdesk, newsletter, CRM) finisce nello spam o viene respinta, mentre le altre email vanno bene.
Come risolverlo: Aggiungi l'include documentato di quel provider (o gli intervalli di IP) al record esistente. Non creare mai un secondo record v=spf1: estendi l'unico record.
Il record termina con +all o ?all
Come si manifesta: Chiunque, ovunque, supera l'SPF per il tuo dominio (spammer compresi); la reputazione del tuo dominio si deteriora.
Come risolverlo: Rendi la policy più stringente: ~all (softfail) mentre convalidi il tuo elenco di mittenti, poi -all una volta che sei sicuro che ogni fonte legittima sia inclusa.
SPF corretto ma la posta inoltrata fallisce comunque
Come si manifesta: La posta instradata tramite forwarder (mailing list, inoltri universitari) fallisce l'SPF presso il destinatario finale.
Come risolverlo: Questo è intrinseco: l'inoltro rompe l'SPF perché l'IP del forwarder non è nel tuo record. Implementa il DKIM (che sopravvive all'inoltro) più il DMARC, in modo che i messaggi si autentichino tramite DKIM anche quando l'SPF fallisce.