Configure SPF lookup limit

Lo standard richiede che non debbano mai essere effettuati più di 10 lookup per validare una policy SPF (https://datatracker.ietf.org/doc/html/rfc7208#section-4.6.4). Se questo limite viene superato il controllo SPF termina in "permerror" e la mail potrebbe venir rifiutata.

È quindi importante non solo tenere i nostro record SPF più pulito e corto possibile ma anche capire quali sono i meccanismi che portano a spendere query DNS; inoltre qualsiasi query di validazione che impieghi più di 20 secondi complessivi potrebbe riportare un "temperror" e causare ritardi nel delivery molto difficili da analizzare.

Gli unici meccanismi che NON richiedono un DNS lookup per essere validati sono quindi "all", "ip4", and "ip6".

I meccanismi "a", "mx", "ptr", "exist" e "redirect" consumano una query inizialmente, ma in caso di lookup ricorsivi potrebbero essere richieste altre query, facendo aumentare così il costo in maniera difficilmente prevedibile.

Esempio:

Il seguente record SPF per il dominio "carini.ch" ha valore "v=spf1 +mx +ip4:84.16.68.96 ~all". Per risolvere tutti i meccanismi abbiamo bisogno delle seguenti query:

v=spf1 → 0

+mx: → carini.ch MX (1 loookup) → mta-gw.infomaniak.ch A (1 lookup) → 83.166.143.58

+ip4:84.16.68.96 → 0

~all → 0

Quindi il solo mechanism +mx ha consumato 2 lookup sui 10 disponibili.

Mailhardener mette a disposizione un tool gratuito https://www.mailhardener.com/tools/spf-validator che consente di verificare facilmente il numero di lookup consumati dalla vostra configurazione.