Vai al contenuto

Aggiornamento del record SPF del proprio dominio

L’organizzazione dovrebbe avere già fornito il record SPF per i domini registrati a Microsoft 365 (in precedenza Office 365). Occorre aggiornare questo record nella zona DNS corrispondente al dominio interessato.

È possibile sostituire il record SPF esistente o aggiungervi dati, a seconda delle proprie esigenze.

Di solito il record viene sostituito. Tuttavia, se la posta in uscita viene instradata simultaneamente attraverso Sophos Gateway e Microsoft 365 per un determinato periodo di tempo, è possibile aggiungere un'istruzione di inclusione per Sophos Gateway al record SPF esistente.

È possibile utilizzare il parametro all in diversi modi. Occorre comprendere come svolgere questa operazione e quali sono le implicazioni della scelta effettuata.

  • Errore bloccante:

    È possibile utilizzare un trattino (-) prima del parametro all per un "errore bloccante". Se la posta non viene inviata da Sophos Gateway e i server di posta dei destinatari effettuano controlli SPF, le e-mail verranno rifiutate.

  • Errore non bloccante:

    In alternativa, è possibile utilizzare una tilde (~) prima del parametro all per un "errore non bloccante". Il comando non risulterà non riuscito se un indirizzo IP non esiste, bensì continuerà a elaborare il resto degli indirizzi IP. Se i server di posta dei destinatari effettuano controlli SPF, le e-mail non verranno rifiutate.

Per ulteriori informazioni sugli errori bloccanti e non bloccanti, vedere Funzionamento di SPF per impedire lo spoofing e il phishing in Microsoft 365

Domini SPF di Sophos

Quando si sostituiscono o si aggiungono voci al record SPF, bisogna utilizzare uno dei domini Sophos.

Si può utilizzare _spf.prod.hydra.sophos.com, che è comune in Stati Uniti (Ovest), Stati Uniti (Est), Germania e Irlanda.

È possibile utilizzare il dominio specifico del data center Sophos della propria area geografica.

Datacenter Dominio
us-west-2 _spf_uswest2.prod.hydra.sophos.com
us-east-2 _spf_useast2.prod.hydra.sophos.com
eu-west-1 _spf_euwest1.prod.hydra.sophos.com
eu-central-1 _spf_eucentral1.prod.hydra.sophos.com
ca-central-1 _spf.eml100yul.ctr.sophos.com
ap-southeast-2 _spf.eml100syd.ctr.sophos.com
ap-northeast-1 _spf.eml100hnd.ctr.sophos.com

Avviso

Dopo la modifica del record SPF, potrebbe essere visualizzato l'errore "SPF PermError: too many DNS lookups". Per risolvere questo problema, utilizzare il dominio specifico per il data center Sophos della propria area geografica, al posto di _spf.prod.hydra.sophos.com.

Per informazioni più dettagliate, vedere Come evitare l’errore SPF PermError: too many DNS lookups

Sostituzione del record SPF

Se la posta in uscita viene instradata solo attraverso Sophos Gateway, è possibile utilizzare il record SPF di Sophos Gateway.

  • Rimuovi v=spf1 include:spf.protection.outlook.com –all.
  • Se si è sicuri che non sono presenti terze parti che inviano messaggi e-mail per conto proprio e che tutte le e-mail vengono instradate attraverso Sophos Gateway, è possibile configurare il proprio record come segue:

    v=spf1 include:_spf.prod.hydra.sophos.com -all

  • Se non tutte le e-mail vengono instradate attraverso Sophos, o se non si è sicuri, utilizzare un errore non bloccante:

    v=spf1 include:_spf.prod.hydra.sophos.com ~all

Aggiunta al record SPF

Se per un periodo di tempo le e-mail in uscita vengono instradate simultaneamente sia attraverso Sophos Gateway che Microsoft 365, è possibile lasciare immutato il record SPF originale e aggiungere un'istruzione di inclusione per Sophos Gateway.

  • Per utilizzare un'istruzione di inclusione per aggiungere il record di Sophos Gateway al record esistente, procedere come segue:

    SPF esistente: v=spf1 include:spf.protection.outlook.com -all

    Esempio con inclusione (include): SPF: v=spf1 include:spf.protection.outlook.com include:_spf.prod.hydra.sophos.com -all

Si consiglia di sostituire l'istruzione di inclusione con il record SPF di Sophos Gateway una volta che tutte le e-mail in uscita vengono instradate attraverso le soluzioni Sophos.

Verificare il corretto funzionamento del flusso di posta in uscita, inviando un'e-mail a un indirizzo esterno.

Per confermare che l'e-mail è stata inviata, procedere come segue:

  1. Accedere a Sophos Central.
  2. Selezionare Email Security > Log e Report > Cronologia dei messaggi.
  3. Selezionare la direzione in uscita.
  4. Aggiornare la schermata fino a quando non vengano visualizzati i dettagli dell'e-mail di prova inviata.
Torna su