Come unire i record SPF?

Se utilizzi GetResponse insieme ad altri servizi email (come un provider di posta aziendale), potrebbe essere necessario aggiungere più di un mittente autorizzato al record SPF del tuo dominio.

Tuttavia, il tuo dominio può avere un solo record SPF nella sua zona DNS.
Se esiste più di un record TXT SPF, la validazione SPF non andrà a buon fine e i messaggi potrebbero non superare i controlli di autenticazione.

Se devi autorizzare più servizi (ad esempio GetResponse e il tuo provider di posta aziendale), devi combinare tutti i meccanismi SPF in un unico record.

Comprendere i meccanismi del record SPF

Vediamo come funziona utilizzando un esempio in cui il tuo dominio invia già email tramite Google Workspace e ha il seguente record SPF configurato:

v=spf1 include:_spf.google.com ~all

Ora vuoi autenticare il tuo dominio per l’invio di campagne tramite GetResponse, il che richiede l’aggiunta di un altro record:

v=spf1 mx a include:_spf.getresponse.com -all

Poiché non puoi aggiungere un secondo record SPF, devi unirli.

Per capire come fare, analizziamo i componenti di un record SPF:

• Ogni record SPF inizia con il prefisso: v=spf1.
  Questo identifica la voce TXT come record SPF (versione 1). Sebbene tu possa avere più record TXT nel DNS, solo uno può contenere v=spf1.
• Il meccanismo a da solo utilizza il record A (indirizzo IP) del dominio corrente. Se si inserisce un dominio o un nome host dopo (ad esempio, a:domain.com), verrà utilizzato il record A (indirizzo IP) di quel dominio specifico. Questo consente di modificare l’indirizzo IP nel DNS senza cambiare il record SPF. SPF utilizzerà automaticamente l’indirizzo IP aggiornato.
• Il meccanismo mx autorizza i server di posta elencati nei record MX del tuo dominio.
  Se il tuo dominio invia email tramite il proprio server di posta, questo meccanismo garantisce che tali messaggi superino il controllo SPF.
• Il meccanismo include (ad esempio, include:_spf.getresponse.com) consente di incorporare la policy SPF di un altro dominio nel proprio record SPF. In pratica, quando si aggiunge include:_spf.getresponse.com, si autorizzano tutti gli indirizzi IP di invio elencati in _spf.getresponse.com. Allo stesso modo, include:_spf.google.com autorizza gli indirizzi IP che Google ha inserito nel proprio record SPF.
• Il meccanismo all: Il record SPF deve terminare con un qualificatore all. Definisce cosa deve accadere se un messaggio non corrisponde a nessuna fonte autorizzata. Sono disponibili quattro qualificatori:
  • +all (non consigliato, predefinito, raramente usato esplicitamente)
  • ?all – neutro (non consigliato)
  • -all – hard fail (non consigliato, le email non autorizzate vengono rifiutate)
  • ~all – soft fail (consigliato, le email non autorizzate vengono accettate ma contrassegnate)
    In un record SPF può comparire un solo all e deve trovarsi alla fine.

Come unire i record SPF

Record esistente (Google Workspace):

v=spf1 include:_spf.google.com ~all

Requisito di GetResponse:

v=spf1 mx a include:_spf.getresponse.com -all

Ecco cosa devi fare per combinarli:

1. Mantieni il prefisso della versione.
   
   v=spf1
   
   
2. Aggiungi tutti i meccanismi richiesti (senza duplicazioni).
   Se uno dei record contiene a o mx, mantienili; se entrambi li contengono, aggiungili una sola volta.
   
   v=spf1 mx a
   
   
3. Aggiungi la nuova istruzione include per GetResponse e mantieni l’istruzione include del record esistente.
   
   v=spf1 mx a include:_spf.google.com include:_spf.getresponse.com
   
   
4. Aggiungi un unico meccanismo all. Consigliamo vivamente di utilizzare ~all.
   
   v=spf1 mx a include:_spf.google.com include:_spf.getresponse.com ~all

   

Questo è il record finale con cui sostituire il record attuale:

v=spf1 mx a include:_spf.google.com include:_spf.getresponse.com ~all

Regole principali da ricordare

• Un solo record SPF per dominio
• Un solo v=spf1
• Un solo meccanismo all
• Non duplicare le voci a o mx
• Verifica sempre il record SPF aggiornato dopo la propagazione DNS

Unire correttamente i record SPF garantisce che le email inviate tramite GetResponse e altri servizi superino i controlli di autenticazione, contribuendo a mantenere la deliverability e la reputazione del mittente.