Aggiornamento del record SPF del proprio dominio

L’organizzazione dovrebbe avere già fornito il record SPF per i domini registrati a Microsoft 365 (in precedenza Office 365). Occorre aggiornare questo record nella zona DNS corrispondente al dominio interessato.

È possibile sostituire il record SPF esistente o aggiungervi dati, a seconda delle proprie esigenze.

Di solito il record viene sostituito. Tuttavia, se la posta in uscita viene instradata simultaneamente attraverso Sophos Gateway e Microsoft 365 per un determinato periodo di tempo, è possibile aggiungere un'istruzione di inclusione per Sophos Gateway al record SPF esistente.

È possibile utilizzare il parametro all in diversi modi. Occorre comprendere come svolgere questa operazione e quali sono le implicazioni della scelta effettuata.

• Errore bloccante:

  È possibile utilizzare un trattino (-) prima del parametro all per un "errore bloccante". Se la posta non viene inviata da Sophos Gateway e i server di posta dei destinatari effettuano controlli SPF, le e-mail verranno rifiutate.

• Errore non bloccante:

  In alternativa, è possibile utilizzare una tilde (~) prima del parametro all per un "errore non bloccante". Il comando non risulterà non riuscito se un indirizzo IP non esiste, bensì continuerà a elaborare il resto degli indirizzi IP. Se i server di posta dei destinatari effettuano controlli SPF, le e-mail non verranno rifiutate.

Per ulteriori informazioni sugli errori bloccanti e non bloccanti, vedere Funzionamento di SPF per impedire lo spoofing e il phishing in Microsoft 365

Domini SPF di Sophos

Quando si sostituiscono o si aggiungono voci al record SPF, bisogna utilizzare uno dei domini Sophos.

Si può utilizzare _spf.prod.hydra.sophos.com, che è comune in Stati Uniti (Ovest), Stati Uniti (Est), Germania e Irlanda.

È possibile utilizzare il dominio specifico del data center Sophos della propria area geografica.

Sostituzione del record SPF

Se la posta in uscita viene instradata solo attraverso Sophos Gateway, è possibile utilizzare il record SPF di Sophos Gateway.

• Rimuovi v=spf1 include:spf.protection.outlook.com –all.

• Se si è sicuri che non sono presenti terze parti che inviano messaggi e-mail per conto proprio e che tutte le e-mail vengono instradate attraverso Sophos Gateway, è possibile configurare il proprio record come segue:

  v=spf1 include:_spf.prod.hydra.sophos.com -all

• Se non tutte le e-mail vengono instradate attraverso Sophos, o se non si è sicuri, utilizzare un errore non bloccante:

  v=spf1 include:_spf.prod.hydra.sophos.com ~all

Aggiunta al record SPF

Se per un periodo di tempo le e-mail in uscita vengono instradate simultaneamente sia attraverso Sophos Gateway che Microsoft 365, è possibile lasciare immutato il record SPF originale e aggiungere un'istruzione di inclusione per Sophos Gateway.

• Per utilizzare un'istruzione di inclusione per aggiungere il record di Sophos Gateway al record esistente, procedere come segue:

  SPF esistente: v=spf1 include:spf.protection.outlook.com -all

  Esempio con inclusione (include): SPF: v=spf1 include:spf.protection.outlook.com include:_spf.prod.hydra.sophos.com -all

Si consiglia di sostituire l'istruzione di inclusione con il record SPF di Sophos Gateway una volta che tutte le e-mail in uscita vengono instradate attraverso le soluzioni Sophos.

Verificare il corretto funzionamento del flusso di posta in uscita, inviando un'e-mail a un indirizzo esterno.

Per confermare che l'e-mail è stata inviata, procedere come segue:

1. Accedere a Sophos Central.
2. Selezionare Email Security > Log e Report > Cronologia dei messaggi.
3. Selezionare la direzione in uscita.
4. Aggiornare la schermata fino a quando non vengano visualizzati i dettagli dell'e-mail di prova inviata.