Navigation :

SPF/DKIM controllo avanzato

Dopo il riordino della scorsa settimana, ho stilato un elenco di priorità per i miei obiettivi settimanali.
Stava diventando sempre più lungo e difficile da ordinare…

Fino a quando non ho ricevuto la chiamata di un partner che si lamentava
per tutti i messaggi rifiutati da mailsecurity.swisscom.com.

La spiegazione del messaggio rimbalzato riguardava la firma DKIM mancante. Che in realtà c’era.
Dopo un’indagine approfondita, è emerso che il controllo SPF riportava:
Too many included lookups (15), che secondo la RFC7208, dovrebbero essere massimo 10:

SPF implementations MUST limit the number of mechanisms 
and modifiers that do DNS lookups to at most 10 per SPF check, 
including any lookups caused by the use 
of the "include" mechanism or the "redirect" modifier. 

If this number is exceeded during a check, a PermError MUST be returned. 

The "include", "a", "mx", "ptr", and "exists" mechanisms 
as well as the "redirect" modifier do count against this limit. 
The "all", "ip4", and "ip6" mechanisms do not require DNS lookups 
and therefore do not count against this limit.

In questi casi, il controllo SPF di mxtoolbox può aiutare,
perché mostra in dettaglio tutti gli “include” ed i “sotto-include”.

Le modifiche al record TXT non sono sotto il controllo del fornitore del server smtp.
RealSender aveva già predisposto una verifica automatica ed un avviso interno,
per accertarsi che non ci siano impostazioni “-all” che vietano l’invio.

Utilizzando l’applicazione ben funzionante tester.realsender.com,
è ora in esecuzione un “controllo avanzato” quotidiano di tutti i mittenti autorizzati.

Al momento verifica solo che le impostazioni TXT non generino errori.
Questi potrebbero essere ad esempio:

Error Two or more type TXT spf records found (se i record TXT sono più di uno)
Permanent Error: No valid SPF record (se anche solo un “include” non risponde correttamente)
Permanent Error: include has trivial recursion (se è presente un “include” allo stesso dominio)

Sono questioni importanti, perché tutti i messaggi inviati potrebbero essere rifiutati a causa loro.
Ho già informato alcuni clienti, richiedendo di correggere i record TXT.

Il secondo controllo avviene rispetto all’autenticazione DKIM.
Estrae tutte le risposte eccetto “dkim-pass” o “dkim-diff”.
Le poche segnalazioni rilevate sono errori di configurazione, che sono stati tempestivamente risolti.