Come configurare i record SPF per una maggiore sicurezza delle e-mail

L'e-mail rimane uno dei canali di comunicazione più importanti per le aziende, ma è anche uno dei più frequentemente oggetto di abusi. Con l'aumentare del volume delle caselle di posta elettronica, gli aggressori ricorrono sempre più spesso a spam, messaggi contraffatti, campagne di phishing, tentativi di whaling e altre forme di frode via e-mail per impersonare organizzazioni legittime. L'impatto è raramente minimo. Questi attacchi possono danneggiare la fiducia nel marchio, causare perdite finanziarie ed esporre dati sensibili.

La protezione delle comunicazioni via e-mail è quindi diventata un requisito fondamentale piuttosto che una misura di sicurezza facoltativa. Una delle prime e più efficaci misure che le aziende possono adottare è l'implementazione dell'autenticazione delle e-mail.

In questa guida su come configurare SPF, ci concentriamo sul Sender Policy Framework (SPF), un protocollo creato per impedire ai mittenti non autorizzati di utilizzare il tuo dominio. Di per sé, SPF aggiunge già una protezione, ma diventa molto più efficace quando funziona insieme a DKIM e DMARC.
Insieme, aiutano i provider di posta elettronica a confermare che i messaggi provengono da fonti approvate. Questo ulteriore livello di convalida riduce gli abusi e, nel tempo, porta a una consegna delle e-mail più affidabile e sicura.

Che cos'è l'SPF e perché è importante?

Il Sender Policy Framework, comunemente noto come SPF, è un protocollo di autenticazione e-mail che indica ai server di posta in arrivo quali sistemi sono autorizzati a inviare e-mail per conto del tuo dominio. Funziona tramite un record DNS che elenca le fonti di invio approvate, come il tuo server di posta, le piattaforme di marketing, gli strumenti di supporto o i servizi di posta elettronica transazionale. Quando viene ricevuta un'e-mail, il server del destinatario controlla questo record per confermare se il messaggio proviene da una fonte autorizzata. In caso affermativo, l'e-mail supera il controllo SPF. In caso contrario, il messaggio viene contrassegnato o rifiutato.

L'SPF svolge un ruolo fondamentale nella protezione dei domini dallo spoofing. Senza di esso, gli hacker possono facilmente falsificare l'indirizzo del mittente di un'e-mail e far sembrare che i messaggi siano stati inviati dalla tua organizzazione. SPF contribuisce a impedire che ciò accada fornendo ai server di ricezione un modo chiaro per verificare la legittimità del mittente. Quando un'e-mail contraffatta non supera il controllo SPF, i provider di caselle di posta elettronica sono più propensi a bloccarla, metterla in quarantena o contrassegnarla come sospetta. Ciò riduce le possibilità che messaggi fraudolenti raggiungano le caselle di posta elettronica con il tuo nome di dominio e protegge il tuo marchio dall'uso improprio in tentativi di phishing e frode.

Qualsiasi organizzazione che invia e-mail utilizzando il proprio dominio trae vantaggio dall'SPF. Ciò include aziende che gestiscono sistemi di posta elettronica interni, società che inviano newsletter o campagne promozionali, piattaforme SaaS che inviano notifiche automatiche, negozi di e-commerce che inviano conferme d'ordine, organizzazioni no profit che comunicano con i donatori, istituti scolastici che inviano e-mail agli studenti e organizzazioni che utilizzano più strumenti di terze parti per inviare e-mail. 

L'SPF è particolarmente importante in ambienti in cui diversi servizi inviano e-mail per conto dello stesso dominio, poiché fornisce ai provider di caselle di posta elettronica un'unica fonte attendibile per determinare cosa è legittimo e cosa non lo è.

Semplificate la configurazione dell'SPF con PowerDMARC!

Come impostare e aggiungere i record SPF

L'impostazione di un record SPF è essenziale non solo per le vostre fonti attive, ma anche per tutti i domini che possedete, compresi quelli non inviati o "parcheggiati", per garantire che siano al sicuro dall'uso di malintenzionati. L'impostazione di un record SPF è un processo semplice che prevede i seguenti passaggi:

Passaggio 1: determinare i server di posta elettronica e le fonti di invio

Il primo passo consiste nel compilare un elenco completo di tutti i server e servizi autorizzati a inviare e-mail per il vostro dominio. Queste fonti possono includere i vostri server di posta (ad esempio, Microsoft Exchange, web-based come Gmail), qualsiasi provider di servizi di posta elettronica di terze parti (ESP) che utilizzate per le e-mail di marketing o transazionali, e altri servizi come processori di pagamento, piattaforme di e-commerce, CRM, helpdesk o sistemi di supporto/ticketing che inviano e-mail per vostro conto.

Passaggio 2: creare un record SPF

Una volta identificate tutte le fonti di invio autorizzate, è possibile creare un record SPF utilizzando uno strumento di generazione di record SPF. strumento di generazione di record SPF o creando manualmente la sintassi. Un record SPF è un record TXT (testo) nella configurazione DNS del vostro dominio. Assicurarsi di creare un solo record SPF per dominio. Una sintassi semplice potrebbe essere la seguente:

v=spf1 ip4:<IP address> include:<third-party domain> -all

In this example, “v=spf1” indicates the SPF version, “ip4:<IP address>” lists an authorized IP, “include:<third-party domain>” incorporates a third-party sender’s policy, and “-all” at the end indicates that emails from sources not listed should be rejected. Double-check for typos, as even small errors like ‘inlcude’ instead of ‘include’ can invalidate the record.

Passaggio 3: Pubblica il tuo record SPF

Dopo aver creato il record SPF, è necessario pubblicarlo nel DNS del dominio. Gli amministratori di dominio possono effettuare facilmente gli aggiornamenti DNS richiesti. È possibile farlo accedendo al sito web del proprio provider DNS e aggiungendo un nuovo record TXT con il contenuto del record SPF. Il contenuto effettivo deve iniziare con `v=spf1` e non deve essere racchiuso tra doppi apici all'interno della voce DNS stessa (anche se alcune interfacce DNS possono visualizzarlo con gli apici). In alternativa, potete chiedere al vostro team IT o al provider di hosting di farlo per voi. Tenete presente che le modifiche DNS possono richiedere un certo tempo (fino a 72 ore, anche se spesso molto più velocemente) per propagarsi su Internet.

Passaggio 4: verifica il tuo record SPF

Una volta pubblicato il record SPF e concesso il tempo necessario per la propagazione, è fondamentale testarlo per assicurarsi che funzioni correttamente e non superi il limite di 10 ricerche DNS (meccanismi come `include`, `a`, `mx`, `ptr`, `exists` e `redirect` contribuiscono al raggiungimento di questo limite, comprese eventuali ricerche all'interno di istruzioni `include` nidificate). È possibile utilizzare i verificatori di record SPFonline, come quello fornito da PowerDMARC o MXToolbox, per testare il proprio record SPF. Questi strumenti indicheranno se il record SPF è valido, formattato correttamente, rientra nel limite di ricerca e funziona come previsto.

5 idee sbagliate sui record SPF 

In Internet circolano alcuni miti sui record SPF che possono indurre a prendere decisioni sbagliate. Vediamo di sfatarli uno per uno: 

1. L'SPF da solo può prevenire lo spoofing 

Questo non è vero. L'impostazione dell'SPF da sola non è in grado di prevenire tutti i tipi di spoofing o impersonificazione, soprattutto per quanto riguarda l'intestazione "Da" che gli utenti vedono. Per fornire una protezione più forte e istruire i destinatari su come gestire i fallimenti, SPF deve essere combinato con DKIM e DMARC (Domain-based Message Authentication, Reporting, and Conformance). Il DMARC consente ai proprietari dei domini di specificare un criterio (come il rifiuto o la quarantena) per le e-mail che non superano i controlli SPF o DKIM.

2. È possibile utilizzare +all nel proprio record SPF.

L'uso di +all consente a qualsiasi server su Internet di inviare e-mail a nome del vostro dominio. Questo annulla completamente lo scopo di sicurezza del protocollo SPF. Invece, ~all (soft fail) o preferibilmente -all (hard fail) sono i meccanismi consigliati da utilizzare alla fine del record per implementare efficacemente l'SPF.

3. SPF funziona per le e-mail inoltrate 

Tutti vorremmo che fosse vero. Purtroppo, in molti scenari di inoltro della posta, l'SPF si rompe. Questo accade perché l'indirizzo IP del server di inoltro spesso non corrisponde agli IP autorizzati elencati nel record SPF del mittente originale e le informazioni dell'intestazione possono cambiare. In questi casi, protocolli come DKIM (che di solito sopravvive all'inoltro) o preferibilmente ARC(Authenticated Received Chain) possono aiutare a mantenere i risultati dell'autenticazione attraverso i passaggi di inoltro.

4. I record SPF hanno ricerche DNS illimitate 

La specifica SPF (RFC) impone un limite massimo di 10 ricerche DNS per ogni controllo SPF. Meccanismi come `include`, `a`, `mx`, `ptr`, `exists` e `redirect` eseguono ricerche DNS. Il superamento di questo limite comporta un errore SPF PermError (errore permanente), che può causare il fallimento dell'autenticazione di e-mail legittime. È essenziale mantenere il record conciso e utilizzare potenzialmente metodi di ottimizzazione SPF come l'appiattimento o le macro SPF dinamiche per rimanere entro il limite, soprattutto se si utilizzano molti mittenti di terze parti.

5. Con SPF puoi "configurare e dimenticare"! 

Non commettete questo errore SPF! La vostra infrastruttura di invio delle e-mail può cambiare nel tempo: potreste aggiungere nuovi servizi di terze parti, cambiare ESP o dismettere i vecchi server. È necessario aggiornare regolarmente i record SPF per riflettere questi cambiamenti. Un mancato aggiornamento significa che le nuove fonti di invio legittime potrebbero non essere autorizzate, causando potenzialmente il blocco delle loro e-mail o la loro marcatura come spam da parte dei server di ricezione.

Migliori pratiche SPF

La configurazione dell'SPF non è un'operazione che si esegue una sola volta. I domini cambiano nel tempo, vengono aggiunti nuovi strumenti e le modalità di invio delle e-mail evolvono. Il monitoraggio continuo è essenziale per garantire che il record SPF continui a funzionare come previsto. Controllare regolarmente i risultati dell'autenticazione e i feedback sulla consegna aiuta a identificare tempestivamente eventuali errori, prima che questi influenzino il posizionamento nella casella di posta in arrivo o espongano il dominio a un uso improprio.

SPF funziona al meglio se integrato con DKIM e DMARC. SPF verifica da dove viene inviata un'e-mail, mentre DKIM conferma che il contenuto del messaggio non è stato alterato e DMARC collega questi controlli definendo come i server di ricezione devono gestire gli errori. L'uso combinato di tutti e tre crea un framework di autenticazione più solido e fornisce ai provider di caselle di posta elettronica segnali più chiari su quali messaggi sono affidabili.

È inoltre importante verificare periodicamente quali sistemi sono autorizzati a inviare e-mail per conto dell'utente. Nel corso del tempo, le organizzazioni spesso aggiungono piattaforme di marketing, strumenti di assistenza clienti, sistemi di fatturazione o servizi di automazione, mentre gli strumenti più vecchi potrebbero non essere più in uso. Mantenere mittenti obsoleti o non necessari nel record SPF aumenta il rischio e può portare a errori di configurazione. In questo modo, una revisione programmata garantisce che solo i servizi attivi e approvati rimangano autorizzati, mantenendo il record SPF accurato ed efficace.

Ottimizza le tue impostazioni SPF con PowerDMARC

L'SPF è uno degli elementi fondamentali della sicurezza della posta elettronica. Se configurato correttamente, aiuta i provider di caselle di posta elettronica a verificare quali fonti di invio sono legittime, riduce lo spoofing dei domini e rafforza la fiducia generale nella tua posta elettronica.

Per ottenere un SPF corretto è necessario prestare una certa attenzione costante. Ciò significa identificare ogni mittente autorizzato, strutturare attentamente il record, rimanere entro i limiti di ricerca DNS ed eseguire test regolari. Man mano che l'ambiente di posta elettronica cambia (nuovi strumenti, nuove piattaforme, nuovi flussi di lavoro), la configurazione deve rimanere al passo. In questo modo, SPF continua a svolgere il proprio lavoro in modo silenzioso ed efficace in background.

Poiché la gestione manuale dell'SPF può diventare complessa, soprattutto per le organizzazioni che utilizzano più servizi di posta elettronica o piattaforme di terze parti, PowerDMARC può semplificare questo processo! Ti aiuta a monitorare le prestazioni dell'SPF, a rilevare i problemi di configurazione, a rimanere entro i limiti di ricerca e ad allineare l'SPF con le politiche DKIM e DMARC. Con strumenti di analisi e ottimizzazione integrati, PowerDMARC semplifica il mantenimento di una configurazione di autenticazione e-mail sicura, accurata e scalabile.

Inizia una prova gratuita di 15 giorni oppure prenota una demo con PowerDMARC per ottimizzare la configurazione SPF e rafforzare la sicurezza complessiva della tua posta elettronica.

Domande frequenti (FAQ)

Posso avere più record SPF per un dominio?

No. Un dominio deve avere esattamente un record SPF. La pubblicazione di più record SPF per lo stesso dominio è un errore comune che causa il fallimento della convalida SPF o la restituzione di risultati imprevedibili (spesso None o PermError). Se è necessario autorizzare più fonti di invio, queste devono essere tutte incluse in un'unica stringa di record TXT SPF.

Posso dividere un record SPF di grandi dimensioni?

La suddivisione di un criterio SPF logicamente grande in più record TXT per lo stesso dominio non è consentita a causa della regola del record unico. Inoltre, i singoli record TXT DNS hanno limiti di stringhe di caratteri (anche se i moderni sistemi DNS spesso supportano stringhe multiple all'interno di un singolo record per superare i vecchi limiti di 255 caratteri). Se il record diventa troppo complesso o supera il limite di 10 ricerche DNS, non si può semplicemente dividerlo. Provate invece queste tattiche: 

1. Semplificare il registro: Eliminare le voci ridondanti o non necessarie. Consolidare gli intervalli IP utilizzando la notazione CIDR, ove possibile.
2. Ridurre al minimo i meccanismi di generazione delle ricerche: Ridurre il numero di meccanismi `include`, `a`, `mx`, `exists` e `redirect`.
3. Utilizza soluzioni di gestione SPF: ricorri a servizi di terze parti che offrono soluzioni di appiattimento SPF o SPF dinamico (basato su macro) per gestire record complessi e rimanere entro i limiti.

Perché viene utilizzato il record SPF?

Un record SPF viene utilizzato per prevenire lo spoofing delle e-mail, consentendo ai proprietari dei domini di dichiarare pubblicamente quali server di posta sono autorizzati a inviare e-mail per conto del loro dominio. I server riceventi controllano questo record per verificare la legittimità del server mittente, riducendo le possibilità che phishing, spam e altre e-mail fraudolente inviate utilizzando il nome del dominio raggiungano le caselle di posta dei destinatari.

Quando è necessario l'SPF?

L'SPF è necessario per qualsiasi dominio, soprattutto per quelli utilizzati per l'invio di e-mail. Si tratta di un protocollo di autenticazione delle e-mail fondamentale, necessario per migliorare la deliverability delle e-mail, proteggere la reputazione del vostro marchio, verificare l'autenticità e rispettare le politiche dei server di ricezione e le best practice del settore, compresi i recenti mandati dei principali provider come Google e Yahoo. Per saperne di più sull importanza della configurazione SPF. Anche i domini che non inviano e-mail dovrebbero avere un record SPF restrittivo (ad esempio, `v=spf1 -all`) per evitare abusi.

Come ottimizzare il record SPF?

È possibile ottimizzare manualmente il record SPF rivedendo e consolidando attentamente i mittenti autorizzati, eliminando le fonti inutilizzate, utilizzando una notazione efficiente dell'intervallo IP (CIDR) e riducendo al minimo i meccanismi che causano ricerche DNS. Tuttavia, per scenari complessi o per assicurarsi di rimanere al di sotto del limite di 10 lookup, un'opzione più semplice è quella di utilizzare servizi di ottimizzazione SPF di terze parti che offrono soluzioni di appiattimento automatico o macro SPF dinamiche per la gestione continua del record.

Come faccio a sapere se il mio record SPF è impostato correttamente?

È possibile verificare il proprio record SPF utilizzando uno strumento online di strumento di ricerca del record SPF. Questi strumenti convalidano la sintassi, controllano se il record esiste nel vostro DNS, verificano se siete entro il limite di 10 ricerche DNS e confermano se in generale è configurato correttamente.

"`

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• Record SPF del DNS: come funziona e come configurarlo - 6 maggio 2026
• Che cos'è v=spf1? A cosa serve? - 5 maggio 2026
• Caso di studio DMARC per MSP: come Digital Infinity IT Group ha ottimizzato la gestione DMARC e DKIM dei propri clienti con PowerDMARC - 21 aprile 2026