Aggiornamento del record SPF del proprio dominio

L'organizzazione dovrebbe aver già fornito il record SPF per i domini registrati a Microsoft Office 365. Occorre aggiornare questo record nella zona DNS corrispondente al dominio interessato.

È possibile sostituire il record SPF esistente o aggiungervi dati, a seconda delle proprie esigenze.

Di solito il record viene sostituito. Tuttavia, se la posta in uscita viene instradata simultaneamente attraverso Sophos Email e Office 365 per un determinato periodo di tempo, è possibile aggiungere un'istruzione di inclusione per Sophos Email al record SPF esistente.

È possibile utilizzare il parametro all in diversi modi. Occorre comprendere come svolgere questa operazione e quali sono le implicazioni della scelta effettuata.

  • Errore bloccante:

    È possibile utilizzare un trattino (-) prima del parametro all per un errore bloccante. Se la posta non viene inviata da Sophos Email e i server di posta dei destinatari effettuano controlli SPF, le e-mail verranno rifiutate.

  • Errore non bloccante:

    In alternativa, è possibile utilizzare una tilde (~) prima del parametro all per un errore non bloccante. Il comando non risulterà non riuscito se un indirizzo IP non esiste, bensì continuerà a elaborare il resto degli indirizzi IP. Se i server di posta dei destinatari effettuano controlli SPF, le e-mail non verranno rifiutate.

Avvertenza Dopo la modifica del record SPF, potrebbe essere visualizzato l'errore SPF PermError: too many DNS lookups. Per risolvere questo problema, utilizzare il dominio specifico per il data center Sophos della propria area geografica, al posto di _spf.prod.hydra.sophos.com.

Per ulteriori informazioni, vedere come evitare l'errore SPF PermError: too many DNS lookups

Per ulteriori informazioni sugli errori bloccanti e non bloccanti, vedere Funzionamento di SPF per impedire lo spoofing e il phishing in Microsoft 365

Sostituzione del record SPF

Se la posta in uscita viene instradata solo attraverso Sophos Email, è possibile utilizzare il record SPF di Sophos Email.

  • Rimuovere v=spf1 include:spf.protection.outlook.com –all.
  • Se si è sicuri che non sono presenti terze parti che inviano messaggi e-mail per conto proprio e che tutte le e-mail vengono instradate attraverso Sophos Email, è possibile configurare il proprio record come segue:

    v=spf1 include:_spf.prod.hydra.sophos.com -all

  • Se non tutte le e-mail vengono instradate attraverso Sophos, o se non si è sicuri, utilizzare un errore non bloccante:

    v=spf1 include:_spf.prod.hydra.sophos.com ~all

Aggiunta al record SPF

Se per un periodo di tempo le e-mail in uscita vengono instradate simultaneamente sia attraverso Sophos Email che Office 365, è possibile lasciare immutato il record SPF originale e aggiungere un'istruzione di inclusione per Sophos Email.

Per utilizzare un'istruzione di inclusione per aggiungere il record di Sophos Email al record esistente, procedere come segue:

SPF esistente: v=spf1 include:spf.protection.outlook.com -all

Esempio con inclusione (include): SPF: v=spf1 include:spf.protection.outlook.com include:_spf.prod.hydra.sophos.com -all

Si consiglia di sostituire l'istruzione di inclusione con il record SPF di Sophos Email una volta che tutte le e-mail in uscita vengono instradate attraverso le soluzioni Sophos.

Verificare il corretto funzionamento del flusso di posta in uscita, inviando un'e-mail a un indirizzo esterno.

Per confermare che l'e-mail è stata inviata, procedere come segue:

  1. Accedere a Sophos Central.
  2. Selezionare Email Gateway > Log e report > Cronologia dei messaggi.
  3. Selezionare la direzione in uscita.
  4. Aggiornare la schermata fino a quando non vengano visualizzati i dettagli dell'e-mail di prova inviata.