Come posso controllare i record SPF in Exchange Online?

Utilizza uno strumento di verifica SPF come PowerDMARC SPF Checker, inserisci il tuo dominio e controlla il record, la sintassi e il numero di query. Puoi anche verificare la configurazione nel Centro di amministrazione di Microsoft 365, alla voce Impostazioni → Domini → Record DNS. Per la verifica dal lato del destinatario, controlla l'intestazione Authentication-Results in un messaggio di prova inviato dall'esterno.

Di quale record SPF ho bisogno per Microsoft 365?

Come minimo: v=spf1 include:spf.protection.outlook.com -all. Se utilizzi altri servizi di invio (HubSpot, SendGrid, Salesforce, Zendesk), aggiungi i relativi include prima di -all. Assicurati che il numero totale di risoluzioni DNS rimanga inferiore a 10, comprese le risoluzioni annidate all'interno di ciascun include.

Perché l'SPF non funziona anche se il mio record sembra corretto?

Cause comuni: superamento del limite di 10 ricerche DNS (PermError), presenza di più record SPF sullo stesso dominio, e-mail inoltrate (per impostazione predefinita, l'SPF non funziona in caso di inoltro) o modifica degli intervalli IP autorizzati da parte di un fornitore senza previa notifica. Controlla l'intestazione "Authentication-Results" per verificare il risultato specifico di "spf=".

Qual è la differenza tra -all e ~all?

-all (hard fail) indica ai destinatari di respingere o rifiutare i messaggi provenienti da indirizzi IP non autorizzati. ~all (soft fail) è più permissivo. Nel 2026, con l'implementazione di DMARC, sarà la politica DMARC a determinare l'applicazione delle regole, indipendentemente dal qualificatore. Se non si dispone ancora di DMARC, l'opzione -all offre una protezione notevolmente più efficace.

Quante ricerche DNS effettua il dominio include:spf.protection.outlook.com?

L'inclusione di Microsoft conta come una sola ricerca, ma si collega a inclusioni annidate che comportano circa 2-4 ricerche aggiuntive. Il numero esatto varia a seconda degli aggiornamenti apportati da Microsoft alla propria infrastruttura. Verificare sempre utilizzando uno strumento di controllo che conti in modo ricorsivo le ricerche annidate.

L'SPF è sufficiente a impedire lo spoofing delle e-mail?

No. Il protocollo SPF da solo non impedisce la falsificazione dell'indirizzo "Da" visibile (intestazione "From"). Si limita a verificare l'autenticità del mittente dell'involucro (Return-Path). Per una protezione completa sono necessari il protocollo DKIM per la firma a livello di messaggio e il protocollo DMARC per garantire la conformità. L'utilizzo congiunto di tutti e tre i protocolli, monitorati costantemente, costituirà lo standard nel 2026.

Come gli MSP possono gestire DMARC più rapidamente con MCP Server

I punti chiave da prendere in considerazione

La gestione del DMARC su decine di domini dei clienti diventa complessa quando gli MSP si affidano a dashboard separate e a controlli DNS manuali.
Un server MCP collega strumenti di intelligenza artificiale come Claude o Cursor ai dati in tempo reale di PowerDMARC, consentendo agli MSP di interrogare e gestire i domini tramite semplici comandi.
Gli MSP possono individuare rapidamente i domini soggetti a spoofing, i problemi relativi all'SPF, le politiche DMARC poco rigorose e le lacune nell'autenticazione nell'intero portafoglio clienti.
Il server MCP contribuisce a ridurre i costi operativi riunendo in un unico flusso di lavoro la visibilità, la risoluzione dei problemi e la generazione dei record DNS.

Gestire il DMARC su una manciata di domini è fattibile. Gestirlo su 50, 100 o 300 domini dei clienti è tutta un'altra storia.

La maggior parte degli MSP conosce già bene la routine: passare da una dashboard all'altra, controllare manualmente i record DNS, verificare la sintassi SPF con strumenti separati, esaminare i report DMARC un tenant alla volta e cercare di tenere traccia di quali clienti siano ancora in modalità di monitoraggio. Se a tutto questo si aggiungono più amministratori, diversi provider DNS e strumenti di sicurezza non integrati tra loro, anche i controlli più semplici iniziano a richiedere ore.

Il problema non è la mancanza di strumenti. È piuttosto l'assenza di un livello operativo centrale che impedisce agli MSP di eseguire rapidamente operazioni di interrogazione, risoluzione dei problemi e intervento su tutto il loro portafoglio clienti.

È qui che entra in gioco MCP Server.

Il server MCP di PowerDMARC offre agli MSP la possibilità di interagire con i dati DMARC in tempo reale direttamente tramite strumenti di intelligenza artificiale come Claude o Cursor. Invece di passare da una scheda all'altra o da un portale all'altro, i team possono porre domande in linguaggio naturale e ottenere immediatamente risposte precise a livello di account.

Che cos'è l'MCP – e perché dovrebbe interessare agli MSP?

MCP è l'acronimo di Model Context Protocol. In parole povere, si tratta di uno standard che consente agli assistenti di intelligenza artificiale di connettersi con piattaforme esterne e di lavorare con dati in tempo reale.

Senza un MCP, un assistente AI può fornire solo indicazioni generali basate su ciò che già conosce. Può spiegare cosa sono l'SPF o il DMARC, ma non è in grado di visualizzare i domini dei tuoi clienti, controllarne i record DNS o identificare quali domini siano vulnerabili allo spoofing.

Con MCP, l'intelligenza artificiale si integra perfettamente nel tuo ambiente reale.

Ciò significa che un MSP può porre domande del tipo:

«Quali domini dei clienti hanno ancora p=none?»
«Mostrami i domini a rischio di errore permanente SPF.»
“Genera un record SPF corretto per questo client.”
“Elenca tutti i domini con punteggi di integrità bassi.”

Anziché fornire risposte generiche, l'IA recupera informazioni in tempo reale direttamente dalla piattaforma collegata ed è in grado di aiutare a svolgere le attività in tempo reale.

Per gli MSP che si occupano della sicurezza della posta elettronica in diverse organizzazioni, questo aspetto è importante perché riduce i costi operativi. L'intelligenza artificiale smette di essere un semplice assistente e diventa un'interfaccia che consente di gestire gli ambienti reali in modo più rapido.

Perché PowerDMARC ha creato un server MCP

Gli MSP e gli MSSP che gestiscono ampi portafogli di domini si trovano spesso ad affrontare lo stesso collo di bottiglia operativo: la visibilità è frammentata. Ciò significa che un cliente potrebbe essere già in fase di applicazione del DMARC, un altro potrebbe essere ancora in modalità di monitoraggio, un dominio potrebbe presentare un problema di ricerca SPF, mentre in un altro potrebbero comparire mittenti non autorizzati nei rapporti. Per reperire tutte queste informazioni è solitamente necessario accedere a diverse dashboard, controllare manualmente i record e mettere insieme i dati provenienti da diversi strumenti.

PowerDMARC ha sviluppato il proprio server MCP proprio per eliminare tale ostacolo.

L'obiettivo non era quello di sostituire i flussi di lavoro esistenti, bensì di consentire agli MSP di continuare a utilizzare gli strumenti di intelligenza artificiale di cui già dispongono, pur avendo accesso in tempo reale alle informazioni DMARC e DNS provenienti dal proprio ambiente PowerDMARC.

Senza la connettività MCP, anche gli strumenti di IA più avanzati possono fornire solo consigli teorici:

La tua richiesta: «Perché l'SPF non funziona per il dominio del mio cliente?»

La risposta: «Il dominio del tuo cliente potrebbe non superare il controllo SPF per vari motivi. Ecco come funziona l'SPF…»

Grazie alla connettività MCP, lo stesso prompt diventa utilizzabile:

La risposta: «Il tuo dominio client supera i limiti di ricerca SPF a causa di istruzioni include annidate. Ecco il record SPF corretto.»

La differenza sta nel contesto.

Collegando l'intelligenza artificiale direttamente ai dati degli account attivi, gli MSP possono ottenere i punteggi relativi allo stato di salute dei domini, individuare i rischi di spoofing, verificare i record, controllare lo stato di applicazione delle regole e generare soluzioni correttive senza dover accedere manualmente a ogni singolo account dei clienti.

Per i team che gestiscono decine o centinaia di domini, la rapidità operativa assume ben presto un'importanza fondamentale.

I due problemi relativi agli MSP che risolve direttamente

Problema 1: Gestione di oltre 50 domini dei clienti senza una visione d'insieme

Man mano che i portafogli MSP crescono, diventa sempre più difficile garantire la visibilità. Ogni cliente ha domini diversi, provider DNS diversi, livelli di applicazione diversi e fonti di invio diverse. Alcuni potrebbero essere completamente conformi a rigide politiche DMARC, mentre altri si affidano ancora alla modalità di monitoraggio con un allineamento SPF incompleto. Tenere traccia di tutto questo manualmente non è una soluzione scalabile.

Il server MCP offre agli MSP la possibilità di interrogare l'intero portafoglio da un'unica interfaccia utilizzando comandi in linguaggio naturale. Ad esempio:

“Elenca tutti i domini dei clienti indicando la relativa politica DMARC, lo stato di applicazione e il punteggio di integrità.”

Anziché verificare i locatari uno per uno, l'intelligenza artificiale è in grado di fornire in pochi secondi una panoramica centralizzata dell'intero portafoglio.

Ciò risulta particolarmente utile per identificare:

Domini ancora esposti al rischio di spoofing
Clienti con politiche di applicazione poco rigorose
Domini con configurazioni SPF non corrette
Account che richiedono un intervento correttivo prima di essere spostati in quarantena o rifiutati

Per gli MSP che gestiscono la sicurezza della posta elettronica multi-cliente, la visibilità centralizzata rappresenta spesso l'anello mancante tra la risoluzione reattiva dei problemi e la gestione proattiva.

Puoi inoltre scoprire di più su DMARC per domini multipli e su come la gestione centralizzata dei domini migliori l'efficienza operativa su larga scala.

Problema 2: Passare da uno strumento all'altro senza che siano integrati tra loro

La maggior parte degli ambienti MSP è già sovraccarica di strumenti. I team passano continuamente da una piattaforma RMM all'altra, tra sistemi di ticketing, provider DNS, dashboard di sicurezza e portali di autenticazione e-mail. Nessuno di questi strumenti condivide in modo nativo le informazioni di contesto con gli altri e, di conseguenza, anche la risoluzione dei problemi più semplici richiede molto tempo.

Un esempio comune:

Un cliente segnala problemi nella consegna delle e-mail
Il tecnico verifica separatamente la sintassi dell'SPF
Le ricerche DNS vengono effettuate in un altro strumento
I rapporti DMARC vengono esaminati altrove
Viene quindi generato manualmente un documento corretto

Il server MCP trasforma l'IA nel livello di collegamento tra questi flussi di lavoro. Un MSP può utilizzare un prompt del tipo:

«Verifica la presenza di eventuali problemi SPF su questo dominio, individua la causa dell'errore PermError e genera un record SPF corretto.»

Il risultato è un processo di risoluzione dei problemi più rapido, senza dover passare continuamente da una piattaforma all'altra.

Cosa puoi fare concretamente con il server MCP di PowerDMARC

1. Ottieni una visibilità completa sul tuo portafoglio clienti

Gli MSP possono recuperare da un'unica interfaccia un elenco completo dei domini gestiti, insieme allo stato delle politiche DMARC, alla fase di applicazione e ai punteggi di integrità. Il server MCP è inoltre in grado di identificare chi sta attualmente inviando e-mail per conto di ciascun dominio cliente, facilitando l'individuazione di mittenti non autorizzati o inattesi.

I team possono consultare la cronologia dei volumi di posta, esaminare le analisi DKIM e monitorare l'andamento delle autenticazioni in diversi ambienti client senza dover aprire manualmente ogni singolo tenant.

2. Individuare i problemi prima che i clienti se ne accorgano

Il server MCP aiuta gli MSP a identificare i domini che possono ancora essere oggetto di spoofing e a capire esattamente perché rimangono esposti. È in grado di verificare le configurazioni SPF, individuare problemi relativi ai limiti di ricerca e segnalare potenziali rischi di PermError prima che questi compromettano il flusso di posta. I team possono inoltre recuperare rapporti forensi sui messaggi non recapitati ed esaminare i registri di audit per individuare eventuali modifiche recenti alla configurazione che potrebbero aver causato il problema.

Anziché attendere che il cliente segnali un problema, gli MSP possono individuare in modo proattivo i punti deboli dell'intero portafoglio.

3. Individuare le soluzioni e intervenire immediatamente

Gli MSP possono generare record DMARC, SPF e DKIM pronti per il DNS direttamente tramite prompt, senza dover creare manualmente la sintassi. Il server MCP supporta inoltre le ricerche DNS su più tipi di record, aiutando i tecnici a verificare rapidamente le configurazioni durante la risoluzione dei problemi.

Anche le operazioni di gestione possono essere eseguite dalla stessa interfaccia. Ad esempio, gli MSP possono aggiungere un nuovo dominio cliente e configurarlo in modalità di monitoraggio senza dover aprire separatamente la dashboard. Ciò riduce il numero di attività amministrative ripetitive che i tecnici devono svolgere quotidianamente.

4. Gestire gli account secondari MSSP da un'unica interfaccia

Per i MSSP di grandi dimensioni e gli ambienti dei partner, il server MCP supporta anche la gestione degli account a livello di portafoglio. I team possono visualizzare e gestire i sottoaccount dei clienti, aggiungere o rimuovere utenti e supervisionare i gruppi di domini nell'intero ambiente del cliente da un'unica interfaccia integrata.

Per le organizzazioni che gestiscono operazioni di sicurezza della posta elettronica su larga scala, ciò contribuisce a ridurre la complessità amministrativa legata alla gestione multi-tenant.

Gli MSP interessati a espandere i propri servizi di autenticazione e-mail multi-cliente possono inoltre valutare il Programma di partnership MSP/MSSP di PowerDMARC.

Parole finali

Per gli MSP, la sfida maggiore nella gestione del DMARC raramente consiste nel comprendere i protocolli stessi, bensì nel mantenere la visibilità e il controllo su decine di ambienti dei clienti senza sprecare tempo operativo.

Al momento, alcuni domini dei clienti potrebbero ancora essere soggetti a spoofing senza che nessuno se ne accorga. Altri potrebbero già presentare problemi relativi all'SPF o un'applicazione poco rigorosa del DMARC, con conseguenze negative sulla sicurezza che passano inosservate. Più a lungo queste lacune rimangono nascoste, maggiore diventa il rischio. Gli strumenti che riducono la necessità di passare da una dashboard all'altra, individuano più rapidamente i rischi in tempo reale relativi ai domini e semplificano i flussi di lavoro di correzione stanno rapidamente diventando una necessità operativa per i moderni MSP che gestiscono la sicurezza della posta elettronica su larga scala.

Informazioni su
Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

Politica anti-phishing di Office 365: come configurarla - 3 giugno 2026
Sicurezza degli agenti AI: rischi, best practice e autenticazione delle e-mail - 2 giugno 2026
PowerDMARC ora si integra con HaloPSA - 1 giugno 2026

Come gli MSP possono gestire più rapidamente il DMARC di ogni cliente grazie al server MCP di PowerDMARC