Cosa imparerai in questo articolo
- Un record SPF di Google Workspace è un record DNS di tipo TXT che indica ai server di posta in arrivo quali sistemi sono autorizzati a inviare e-mail per conto del proprio dominio.
- Per una configurazione che prevede l'utilizzo esclusivo di Google Workspace, il valore SPF di riferimento documentato da Google è v=spf1 include:_spf.google.com ~all. Se anche altri strumenti inviano e-mail per il Suo dominio, devono essere inclusi nello stesso record SPF.
- L'SPF contribuisce a ridurre lo spoofing e favorisce la recapitabilità delle e-mail, ma offre i migliori risultati se utilizzato in combinazione con DKIM e DMARC nell'ambito di una strategia più ampia di autenticazione delle e-mail.
- Una configurazione SPF efficace inizia con l’identificazione di tutti i mittenti legittimi del dominio, comprese le piattaforme di terze parti, le applicazioni interne, gli scanner, i relay e altri servizi.
- La sintassi, il consolidamento e la convalida sono elementi fondamentali. Le politiche duplicate, i problemi di formattazione e il limite di 10 ricerche DNS previsto dall'SPF possono compromettere la valutazione dell'SPF o indebolirne la protezione.
Che cos’è un record SPF di Google Workspace?
Un record SPF di Google Workspace è un record DNS di tipo TXT che utilizza il Sender Policy Framework () per indicare ai server di posta in ricezione quali sistemi sono autorizzati a inviare e-mail per un determinato dominio. In parole semplici, aiuta un server di ricezione a verificare se l’indirizzo IP del mittente è autorizzato a utilizzare il Suo dominio nel percorso del messaggio.
Come Google Workspace utilizza l'SPF
In Google Workspace, il record SPF autorizza Gmail e qualsiasi altro servizio di invio approvato a inviare messaggi per conto del dominio. Se Google Workspace è l'unico sistema di " " che invia posta, il valore di riferimento documentato da Google è v=spf1 include:_spf.google.com ~all.
Questa è la sintassi SPF effettiva da pubblicare. Le versioni informali quali “include spfgooglecom”, “include spfgooglecom” o “ vspf1 include spfgooglecom” non costituiscono, di per sé, valori validi in produzione.
Perché le organizzazioni dovrebbero configurare l’SPF
Le organizzazioni dovrebbero configurare l'SPF in Google Workspace poiché ciò contribuisce a ridurre lo spoofing del dominio, rendendo più difficile per i mittenti non autorizzati spacciarsi per il dominio stesso.
SPF non blocca di per sé tutte le minacce via e-mail, ma aiuta i server di ricezione a valutare se una fonte di invio sia quella prevista. Google raccomanda inoltre di utilizzare l'SPF con , il DKIM e il DMARC per rafforzare l'autenticazione e garantire una consegna più affidabile delle e-mail.
Come funziona l'SPF di Google Workspace
SPF funziona confrontando l'origine di invio di un messaggio con la politica SPF aggiornata pubblicata nel DNS per il dominio. Tale politica elenca l’infrastruttura di posta autorizzata di Google e tutti gli altri mittenti approvati, consentendo al server ricevente di verificare all’indirizzo se l’indirizzo IP del mittente è autorizzato.
Per Google Workspace, la politica include in genere i sistemi di posta elettronica di Google tramite include:_spf.google.com, insieme a e a qualsiasi altra fonte approvata. I termini SPF vengono valutati in ordine, pertanto la struttura del record è importante tanto quanto l'elenco dei mittenti.
I risultati più comuni sono:
- Accettato — L'indirizzo IP mittente è autorizzato a inviare e-mail per il dominio.
- Errore — La fonte non è autorizzata, il che può indicare un caso di spoofing o una lacuna nelle politiche.
- Softfail — La fonte non è autorizzata, ma la politica impone al destinatario di considerare il messaggio come sospetto anziché respingerlo immediatamente. La raccomandazione standard di Google per Workspace prevede l’uso di ~all, il che determina un comportamento di “softfail” per le fonti non autorizzate.
- Neutro — Il dominio non fornisce indicazioni chiare in merito al fatto che la fonte debba superare o meno il controllo SPF.
- Nessun record SPF trovato — Non è disponibile alcuna politica SPF applicabile per quel nome host nel DNS, pertanto il destinatario non dispone di alcuna indicazione da parte del dominio in merito all'SPF.
Procedura per configurare l'SPF di Google Workspace
Configurare un record SPF in Google Workspace è semplice se si segue la procedura corretta. La chiave sta nell’identificare tutti i mittenti autorizzati, per poi pubblicare e convalidare un’unica politica SPF accurata.
Fase 1: Identificare tutti i mittenti delle e-mail del proprio dominio
Prima di apportare qualsiasi modifica al DNS, inizi la configurazione dell'SPF con un inventario dei mittenti. Google Workspace è il principale servizio di invio, ma potrebbe non essere l'unico. È inoltre necessario tenere conto dei fornitori che inviano posta per conto del proprio dominio, tra cui:
- Piattaforme di terze parti
- Servizi di trasmissione
- Scanner
- App interne
- Moduli web
- Strumenti per la biglietteria
Questo passaggio è importante perché l’SPF dovrebbe rispecchiare integralmente il vostro ambiente di posta in uscita. Se anche un solo mittente legittimo dovesse mancare all'indirizzo , i messaggi provenienti da tale fonte potrebbero non superare il controllo SPF, essere contrassegnati come sospetti o compromettere la deliverability. In ambienti di “ ” più complessi, è opportuno verificare sia i sistemi interni che i fornitori esterni prima di implementare qualsiasi modifica.
Fase 2: Creare il record SPF corretto per Google Workspace
Dopo aver identificato tutti i mittenti, crei un unico record SPF consolidato. Se Google Workspace è l'unico mittente autorizzato, il valore consigliato da Google è v=spf1 include:_spf.google.com ~all. Questo record di riferimento autorizza l’infrastruttura di Google tramite include:_spf.google.com e applica un softfail alle fonti non approvate, rendendolo un punto di partenza pulito per i domini che inviano posta esclusivamente tramite Gmail.
Qualora esistano altri mittenti, è necessario aggiungerli alla stessa politica SPF. La regola principale è il consolidamento: un dominio dovrebbe avere un’unica politica SPF per ogni nome host, anziché più record SPF. La pubblicazione di record SPF autonomi e separati per Google Workspace e altre piattaforme può causare il fallimento della convalida SPF, poiché i destinatari non li considerano come politiche valide e distinte.
Fase 3: Aggiungere il record SPF al proprio DNS
L'SPF viene pubblicato come record TXT DNS tramite il proprio host di dominio o il proprio provider DNS, non tramite la Console di amministrazione di Google. L'interfaccia esatta dipende dal provider, ma la procedura è generalmente la stessa: acceda alle impostazioni DNS, crei o modifichi il record TXT, lo associ al nome host corretto e salvi la modifica.
Prima di pubblicare, si assicuri di aggiornare il dominio e il nome host corretti. Un posizionamento errato è una causa frequente di problemi relativi all'SPF ( ). È inoltre importante ricordare che l’SPF è distinto dal record MX, poiché l’MX gestisce l’ e in entrata, mentre l’SPF definisce quali fonti possono inviare posta in uscita per il dominio.
Fase 4: Integrare con attenzione Google Workspace con i mittenti di terze parti
Molte organizzazioni utilizzano Google Workspace per la posta elettronica degli utenti, ricorrendo al contempo ad altri strumenti per l'invio dei messaggi in uscita. Tra questi possono figurare piattaforme di marketing, sistemi di biglietteria, relay SMTP, strumenti di fatturazione, piattaforme CRM e dispositivi multifunzione .
Quando tali strumenti sono disponibili, devono essere integrati nella stessa politica SPF anziché essere aggiunti come voci SPF separate. Ciò assume ancora maggiore importanza nelle organizzazioni di grandi dimensioni, dove team diversi possono gestire mittenti diversi. Senza un coordinamen e, le politiche SPF possono risultare incomplete o contraddittorie; pertanto, l’SPF dovrebbe essere considerato un’attività di manutenzione continua piuttosto che una modifica una tantum del DNS.
Fase 5: Verifica della sintassi SPF e dei limiti di ricerca
Una volta creato il record, il passo successivo consiste nell’assicurarsi che sia strutturato correttamente e che possa essere elaborato senza errori di “ ”. Ciò significa verificare sia la sintassi dell’SPF sia il funzionamento della ricerca DNS prima di considerare la configurazione completa.
Verificare la sintassi del record SPF
La verifica della sintassi è una fase obbligatoria della configurazione dell'SPF. Un record può contenere le fonti corrette e tuttavia risultare non valido se la formattazione è errata. L'analisi della sintassi dei record SPF consente di verificare che la policy venga avviata correttamente, che utilizzi esclusivamente i termini previsti dall' e e che non contenga errori che ne compromettano la valutazione.
Ogni meccanismo SPF deve inoltre essere utilizzato con cautela, poiché la struttura del record influisce sul modo in cui i server riceventi lo elaborano.
Monitorare i limiti delle ricerche DNS
I team devono inoltre monitorare l'utilizzo delle ricerche DNS. La RFC 7208 limita la valutazione SPF a 10 meccanismi di interrogazione DNS e modificatori, ; il superamento di tale limite può causare un errore permanente.
Questo spesso diventa un problema in contesti di grandi dimensioni, in cui più fornitori aggiungono inclusioni annidate; pertanto, è opportuno semplificare il record, disattivare i vecchi mittenti e rivedere qualsiasi logica SPF ereditata che non rifletta più il flusso effettivo di posta .
Fase 6: Verificare che il record SPF sia stato pubblicato correttamente
Dopo la pubblicazione, si assicuri che il record SPF attivo sia visibile nel DNS e corrisponda esattamente alla politica prevista. La propagazione delle modifiche al DNS può richiedere del tempo, pertanto il salvataggio dell'aggiornamento non implica necessariamente che la configurazione sia stata completata.
Per questa fase, i team utilizzano spesso uno strumento di verifica SPF disponibile all’indirizzo oppure strumenti di Google Admin Toolbox quali Check MX e Messageheader. L'obiettivo è verificare che il record TXT SPF compaia sul nome host corretto e corrisponda al valore che intendeva pubblicare.
Fase 7: Verifica dei risultati dell'autenticazione e risoluzione dei problemi
Una volta che il record è attivo, verifichi che l’SPF funzioni correttamente controllando le intestazioni dei messaggi inviati o i log di posta. La funzione "Messageheader" di Google Admin Toolbox può aiutare ad analizzare le intestazioni SMTP e a evidenziare i risultati SPF nelle righe "Authentication-Results" o " " e "Received-SPF".
Se i messaggi non vengono trasmessi come previsto, iniziate a verificare le cause più comuni:
- polizze duplicate
- errori di sintassi
- mancanza di mittenti di terze parti
- posizionamento errato del disco
- Errori nella pubblicazione dei record DNS
Per ottenere una visibilità costante sulle prestazioni di invio verso Gmail, Postmaster Tools può essere d’aiuto anche grazie alla visualizzazione di dashboard relative al tasso di spam dell’ , alla reputazione, all’autenticazione dei messaggi e agli errori di consegna.
Errori comuni relativi ai record SPF da evitare in Google Workspace
Configurare correttamente l'SPF non significa semplicemente aggiungere una voce DNS. Richiede inoltre un inventario completo dei mittenti, una struttura chiara delle politiche di gestione delle e- e e una revisione continua man mano che il vostro ambiente di posta elettronica subisce modifiche.
Omissione di fonti di invio legittime
Un errore che si commette spesso è quello di dimenticare di includere tutte le fonti di invio approvate. Un dominio può disporre di Google Workspace all’indirizzo , ma potrebbe comunque non disporre di una piattaforma di gestione dei ticket, di uno strumento di marketing, di uno scanner, di un relay o di un’app che invii messaggi a nome del dominio. Questo tipo di discrepanza può causare errori SPF anche quando la configurazione principale di Workspace sembra corretta.
Utilizzo di più record SPF
Un altro problema comune consiste nel pubblicare più record SPF anziché un'unica politica TXT consolidata. Lo strumento " " di Google Admin Toolbox, nella sezione "Verifica MX", avverte che non deve esserci più di un record SPF. Se un dominio pubblica più politiche distinte, la valutazione SPF potrebbe non funzionare correttamente.
Errori di sintassi e di formattazione
Anche i problemi di sintassi si verificano spesso. Ciò include formattazione errata, qualificatori non corretti, meccanismi non validi, posizionamento errato del nome host o il tentativo di aggiungere nuove voci a un record SPF esistente e obsoleto senza prima ripulirlo. Anche piccoli errori nella sintassi dei record SPF o un uso improprio del meccanismo SPF possono compromettere l'autenticazione.
Adottare una politica eccessivamente generica
Un altro rischio è rappresentato da politiche eccessivamente generiche. Consentire un numero eccessivo di fonti può sembrare pratico, ma indebolisce la protezione , rendendo più facile lo spoofing qualora una delle fonti autorizzate venisse compromessa o utilizzata in modo improprio.
L'SPF dovrebbe includere solo i sistemi che devono effettivamente inviare messaggi per conto del dominio. Ciò assume ancora maggiore importanza quando, come indicato su , gestite anche un record DMARC, poiché una configurazione errata del DMARC può causare problemi di autenticazione e consegna a valle.
Ignorare i limiti di ricerca e i casi limite
Occorre inoltre tenere conto dei limiti tecnici e dei casi limite dal punto di vista operativo. Il limite di 10 query per la ricerca SPF può causare problemi di valutazione dell' e quando si accumulano troppe inclusioni annidate. Anche l'inoltro può compromettere l'integrità dell'SPF, anche quando il mittente originale è stato configurato correttamente, poiché l'SPF valuta il percorso utilizzato durante la consegna finale piuttosto che limitarsi a considerare esclusivamente l'intenzione originale .
Considerare l’SPF come un’attività da svolgere una sola volta
I registri SPF dovrebbero essere controllati regolarmente. I fornitori cambiano, vengono aggiunti nuovi strumenti e i vecchi servizi vengono dismessi. Le linee guida di Google relative a “ ” indicano esplicitamente di aggiornare la politica quando vengono introdotti nuovi server di posta o mittenti di terze parti. La revisione continua di contribuisce a garantire sia la deliverability delle e-mail sia la loro autenticazione, al mutare delle condizioni ambientali.
Come configurare correttamente l'SPF di Google Workspace
L'efficacia di un record SPF di Google Workspace dipende interamente dall'affidabilità degli indirizzi dei mittenti a cui fa riferimento. Identificare ogni sorgente approvata di posta elettronica prima di apportare modifiche al DNS contribuisce a prevenire lacune che potrebbero causare errori SPF, la gestione di messaggi sospetti o una deliverability incoerente .
Per le organizzazioni che desiderano una maggiore visibilità sulle fonti di invio, un controllo più rigoroso delle politiche e un maggiore supporto nell’ e per ridurre i rischi legati alla posta elettronica, Mimecast può contribuire ad estendere il controllo oltre la semplice configurazione nativa.