Come configurare un record SPF per Gmail

Senza un record SPF Google adeguato, gli agenti di trasferimento della posta di Gmail potrebbero classificare erroneamente le tue e-mail legittime come phishing o spam. Questo rappresenta un problema se gestisci un'attività su Google Workspace.

SPF (Sender Policy Framework) è un record DNS TXT che specifica quali server di posta sono autorizzati a inviare e-mail per conto del tuo dominio. Agisce come un gatekeeper, assicurando che solo i server designati possano inviare e-mail per tuo conto. Google ora richiede l'autenticazione e-mail per tutti i mittenti, rendendo la configurazione SPF non negoziabile.

Questa guida spiega esattamente come configurare SPF in Gmail e Google Workspace; la sintassi corretta del record SPF di Google Mail, i passaggi di verifica, gli errori comuni da evitare e come integrare DKIM e DMARC per una protezione completa.

Cosa sono i record SPF di Gmail?

Un record SPF (Sender Policy Framework) specifica quali server di posta sono autorizzati a inviare e-mail per conto del tuo dominio. Quando viene ricevuta un'e-mail, il server ricevente controlla il record SPF del dominio nell'indirizzo "Da" per verificare se l'e-mail proviene da un server autorizzato.

Viene pubblicato nel DNS del tuo dominio come record TXT SPF. Contiene un elenco di indirizzi IP o nomi host dei server autorizzati a inviare e-mail per conto del tuo dominio. Questo record può includere più server e servizi di terze parti.

Se un'e-mail viene inviata da una fonte non autorizzata, il server ricevente controllerà il record SPF del dominio utilizzando il record DNS TXT.

L'importanza di un record SPF di Gmail

Google richiede a tutti i mittenti di e-mail di implementare l'autenticazione e i mittenti di e-mail in massa (oltre 5.000 messaggi al giorno) devono avere SPF, DKIM e DMARC configurati. Ignorare questi requisiti comporta conseguenze concrete. Senza un record SPF di Google Workspace:

• Le tue e-mail potrebbero essere contrassegnate come spam dai server di ricezione che non sono in grado di verificare la legittimità del tuo dominio.
• Il tuo dominio o indirizzo IP può essere inserito in una lista nera, rendendo il ripristino della deliverability molto più difficile rispetto alla configurazione dell'autenticazione.
• La reputazione del tuo dominio subisce un duro colpo a causa delle aumentano le email di spam aumentano i reclami, il che si aggrava nel tempo e influisce su tutti gli invii futuri.

I record SPF costituiscono una linea di difesa fondamentale per il tuo dominio contro azioni dannose come lo spoofing delle e-mail e gli attacchi di phishing.

Oltre alla sicurezza, l'implementazione di un record SPF può migliorare significativamente la credibilità e l'affidabilità di un dominio presso i principali provider di posta elettronica come Gmail, Outlook e Yahoo. Ciò aumenta direttamente le possibilità che le tue e-mail finiscano nella posta in arrivo anziché nella cartella dello spam.

Come funziona un record SPF?

Un record SPF viene pubblicato nel DNS del tuo dominio come record TXT. Si tratta di una singola riga di testo semplice composta da tag che specificano gli indirizzi IP e i nomi di dominio delle tue fonti di invio autorizzate.

I record SPF possono contenere fino a 255 caratteri per stringa DNS e la dimensione totale del file di record TXT non deve superare i 512 byte.

Quando viene inviata un'e-mail, il server ricevente controlla il record SPF del dominio nell'indirizzo "Da" per verificare se l'e-mail proviene da un server autorizzato. Lo fa confrontando l'indirizzo IP del server mittente con l'elenco degli IP consentiti pubblicato nel tuo record SPF. Gmail controlla automaticamente i messaggi in arrivo rispetto al record SPF del dominio mittente per verificarne la legittimità come parte di questo processo.

Sulla base di questo controllo, il server di posta ricevente assegna uno dei seguenti risultati:

• Pass significa che l'IP del server di invio è elencato nel record SPF ed è autorizzato a inviare e-mail per il dominio.
• Fail significa che l'IP non è autorizzato, il che indica un potenziale spoofing dell'e-mail, e il messaggio potrebbe essere rifiutato senza appello.
• Softfail significa che l'IP non è esplicitamente autorizzato, ma il proprietario del dominio ha utilizzato l'opzione ~all per indicare che i server devono accettare, ma probabilmente segnalare, i messaggi provenienti da indirizzi IP non elencati.
• Neutro significa che il dominio non rilascia alcuna dichiarazione in merito all'autorizzazione o meno dell'IP.
• Nessuno significa nessun record SPF per il dominio, quindi non è stato possibile eseguire alcun controllo di autenticazione.

SPF aiuta a prevenire lo spoofing delle e-mail fornendo un meccanismo di autenticazione delle e-mail che verifica se l'IP del server di posta mittente corrisponde agli IP consentiti per il dominio.

Se l'IP non corrisponde e il record utilizza un hard fail (-all), il messaggio viene rifiutato. Con un soft fail (~all), il messaggio viene accettato ma contrassegnato come sospetto.

Componenti di un record SPF

Per creare e interpretare correttamente un record SPF per Gmail o Google Workspace, è necessario comprendere i meccanismi chiave e i qualificatori che compongono il record.

Meccanismi SPF

Ogni record SPF è costituito da meccanismi che definiscono quali server sono autorizzati a inviare e-mail per conto del tuo dominio.

Ogni meccanismo conta ai fini del limite di 10 ricerche DNS, ad eccezione di ip4 che punta direttamente a un indirizzo IP e non attiva una ricerca. Quando aggiungi un record SPF, assicurati di non superare questo limite massimo per evitare errori di convalida.

Qualificatori SPF

Ogni meccanismo può essere preceduto da un qualificatore che indica al server ricevente come gestire il risultato.

Per la maggior parte delle configurazioni di Google Workspace, il record SPF consigliato è v=spf1 include:_spf.google.com ~all.

Il qualificatore soft fail ~all alla fine indica che i server devono accettare, ma probabilmente contrassegnare, i messaggi provenienti da indirizzi IP non elencati. Ciò consente di individuare i mittenti non autorizzati senza rifiutare immediatamente la posta legittima che potrebbe essere configurata in modo errato.

Prerequisiti prima di configurare un record SPF

Prima di configurare un record SPF per Gmail, assicurati di avere:

• Elenco completo dei mittenti di e-mail: Elenca tutti i servizi che inviano email per tuo conto (Google Workspace, piattaforme di marketing, sistemi CRM, ecc.)
• Accesso alla gestione DNS: Fornisci accesso amministrativo alle impostazioni DNS del tuo dominio
• Comprensione della struttura del tuo dominio: Assicurati di conoscere perfettamente i sottodomini che inviano e-mail
• Controllo del record SPF attuale: Verifica se esiste già un record SPF
• Documentazione relativa ai servizi di terze parti: Includere le dichiarazioni dei fornitori di servizi di posta elettronica.

💡 Suggerimento professionale: Per le organizzazioni con più mittenti di terze parti, crea un foglio di calcolo che tenga traccia dei requisiti SPF di ciascun servizio. In questo modo si evita di superare il limite di 10 ricerche DNS.

Come creare e aggiungere un record SPF per Gmail

Configurare un record SPF per la posta Google è molto semplice. L'intero processo avviene al di fuori di Google, nelle impostazioni DNS del tuo registrar di domini. Ecco come configurare SPF in Gmail passo dopo passo.

Passaggio 1: accedi al tuo registrar di domini

Per creare un record SPF per Google Workspace, accedi all'account del dominio in cui hai acquistato e gestisci il tuo dominio: GoDaddy, Namecheap, Cloudflare o qualsiasi altro provider di domini che utilizzi.

Se non sei sicuro di dove sia registrato il tuo dominio, verifica con il tuo team IT o cerca il record WHOIS del tuo dominio.

Passaggio 2: vai alle impostazioni DNS

Una volta effettuato l'accesso, individua l'area di gestione DNS.

Nelle impostazioni DNS, cerca la sezione dei record TXT. È qui che aggiungerai il tuo record SPF. Un record SPF viene pubblicato nel DNS del tuo dominio come record TXT, quindi nella maggior parte dei registrar non troverai un tipo di record "SPF" separato.

Passaggio 3: verificare la presenza di record SPF esistenti

Prima di aggiungere qualsiasi novità, verifica se il tuo dominio dispone già di un record SPF. È possibile avere un solo record SPF per Gmail per ogni dominio. La presenza di più record SPF per un singolo dominio può causare errori di autenticazione delle email.

Se ne esiste già uno, lo modificherai nel passaggio successivo invece di crearne uno nuovo.

Passaggio 4: crea il tuo record SPF per la posta Google

Aggiungi un nuovo record TXT con questi valori:

• Host / Nome: @ (o vuoto, a seconda del provider)
• Tipo di record: TXT
• Valore: v=spf1 include:_spf.google.com ~all
• TTL: Predefinito (in genere 3600)

Il record SPF consigliato per Google Workspace è v=spf1 include:_spf.google.com ~all.

Se utilizzi altri servizi di posta elettronica per inviare e-mail, devi includerli nel tuo record SPF. Poiché è possibile avere un solo record per dominio, unisci tutto in un'unica riga:

v=spf1 include:_spf.google.com include:servers.mcsv.net include:sendgrid.net ~all

Alcune cose da tenere d'occhio: Non superare il massimo di 10 ricerche DNS, ciascuna delle quali include: attiva almeno uno, e anche gli include nidificati contano. I record SPF possono contenere fino a 255 caratteri per stringa DNS. Se il tuo supera questo limite, la maggior parte dei provider lo dividerà automaticamente.

Passaggio 5: Salvare e attendere che la propagazione abbia completato

Dopo aver creato il record SPF, salva le modifiche e attendi fino a 48 ore affinché il record venga propagato.

La maggior parte dei provider effettua la propagazione entro poche ore, ma la finestra completa tiene conto delle reti DNS più lente. Evita di apportare ulteriori modifiche durante questo periodo, a meno che non riscontri un errore evidente.

Passaggio 6: verifica il tuo record SPF

Una volta completata la propagazione, per verificare il tuo record SPF, utilizza uno strumento di controllo SPF per assicurarti che sia valido e configurato correttamente. Ci sono due modi per farlo:

• Strumento di ricerca SPF: MXToolbox, Dmarcian o Kitterman consentono di inserire il proprio dominio e verificare immediatamente che il record SPF della propria casella di posta Google sia pubblicato, sintatticamente valido e rientri nel limite di 10 ricerche.
• Email di prova: Invia un messaggio a un indirizzo Gmail, aprilo, clicca sul menu con i tre puntini, seleziona "Mostra originale" e cerca spf=pass nell'intestazione Authentication-Results.

Passaggio 7: configurare SPF per i sottodomini (se applicabile)

Se utilizzi sottodomini per inviare e-mail (ad esempio marketing.tuodominio.com), devi configurare i record SPF separatamente per ciascun sottodominio, se il tuo provider lo consente.

La politica SPF non viene ereditata dal dominio principale. Ogni sottodominio necessita di un proprio record TXT. Il processo di configurazione è identico; basta modificare il campo Host/Nome da @ al sottodominio.

Errori comuni nei record SPF e come evitarli

Anche una piccola configurazione errata può compromettere completamente l'autenticazione delle e-mail. Quando si configura SPF, evitare errori comuni come la presenza di più record o una sintassi errata. Ecco quelli che si verificano più spesso.

Più record SPF su un singolo dominio

È possibile avere un solo record SPF per dominio.

Se un server ricevente ne trova due o più, restituisce un errore permanente e fallisce il controllo. Se è necessario autorizzare servizi aggiuntivi, unire tutti include: in un unico record; non creare una seconda voce TXT.

Utilizzo di +all invece di ~all

Il +all indica ai server riceventi di accettare e-mail da qualsiasi indirizzo IP, vanificando completamente lo scopo dell'SPF. Utilizzare sempre:

• ~tutti (soft fail): impostazione predefinita consigliata da Google
• -tutti (hard fail): più rigoroso, rifiuta immediatamente i mittenti non autorizzati

Superamento del limite di 10 ricerche DNS

I record SPF sono limitati a un massimo di 10 ricerche DNS; il superamento di questo limite causerà il fallimento dell'autenticazione. Ciascuno include, un, mxe redirect contano come ricerca, così come gli include nidificati. Se ti stai avvicinando al limite, utilizza gli strumenti di appiattimento SPF per convertire gli include in indirizzi IP diretti.

Dimenticare di includere nuove fonti di invio

Hai aggiunto un nuovo CRM, uno strumento di marketing o un servizio di posta elettronica transazionale? Se non aggiorni il tuo record SPF per includerli, le e-mail inviate tramite tali servizi non supereranno l'autenticazione. Il monitoraggio regolare del tuo record SPF può aiutarti a identificare potenziali problemi prima che influenzino la deliverability delle e-mail.

Come risolvere gli errori SPF in Gmail

Hai configurato il tuo record SPF, hai atteso la propagazione, ma le email continuano ad arrivare nella cartella spam o non superano l'autenticazione? Ecco una breve checklist per diagnosticare e risolvere i problemi SPF più comuni.

• Controlla le intestazioni delle e-mail: Invia un'e-mail di prova a un indirizzo Gmail, clicca su "Mostra originale" e cerca spf=pass, spf=softfailo spf=fail nell'intestazione Authentication-Results.
• Esegui una ricerca SPF: Utilizza MXToolbox o Dmarcian per verificare che il tuo record sia pubblicato, sintatticamente corretto e rientri nel limite di 10 ricerche.
• Verifica che tutti i mittenti siano inclusi: Assicurati che tutti i servizi di terze parti (CRM, helpdesk, piattaforme di marketing) siano presenti nel tuo record. Se un'e-mail viene inviata da una fonte non elencata, il server ricevente controlla il tuo record SPF e respinge il messaggio.
• Verifica la presenza di record duplicati: Confermare che sia presente un solo record TXT che inizia con v=spf1 per il tuo dominio; la presenza di più record SPF per un singolo dominio causa errori di autenticazione.
• Controlla regolarmente: Controlla il tuo record SPF dopo aver aggiunto nuovi strumenti o cambiato fornitori. I problemi non sempre emergono immediatamente e individuarli tempestivamente previene problemi di consegna.

Convalida e monitoraggio del record SPF

Configurare il record SPF è solo metà del lavoro. Se il record presenta un errore di sintassi, supera il limite di 10 ricerche o diventa obsoleto dopo l'aggiunta di un nuovo servizio di invio, le tue email potrebbero iniziare a fallire l'autenticazione senza che tu te ne accorga. Una convalida e un monitoraggio regolari garantiscono che il tuo record SPF per Gmail rimanga funzionante e che la tua deliverability rimanga intatta.

Fasi iniziali di verifica

• È possibile utilizzare il nostro strumento di ricerca SPF per verificare immediatamente la configurazione del record SPF di Gmail.
• Controlla la voce TXT del tuo record SPF implementato per verificare se lo stato è valido.
• Verifica nuovamente che il record contenga tutti gli indirizzi IP autorizzati e i fornitori terzi che utilizzi per inviare le tue e-mail.
• Assicurati di non aver pubblicato più record SPF per un singolo dominio. Se utilizzi fornitori terzi aggiuntivi diversi da Google Workspace per l'email marketing, puoi utilizzare il meccanismo "include" nello stesso record SPF.
• Assicurati di mantenere una formattazione corretta.

Se vengono rilevate discrepanze nel tuo record SPF, aggiornalo per rimuovere tali errori e verifica nuovamente la configurazione.

Migliori pratiche di monitoraggio continuo

• Controlli periodici dell'SPF: Controlla mensilmente il tuo registro SPF per verificarne l'accuratezza e la completezza.
• Analisi dell'intestazione delle e-mail: Esaminare regolarmente le intestazioni delle e-mail per verificare i risultati dell'autenticazione SPF.
• Monitoraggio dei report DMARC: Utilizza i rapporti DMARC per identificare gli errori SPF e i mittenti non autorizzati.
• Gestione delle modifiche: Aggiornare i record SPF quando si aggiungono nuovi servizi di posta elettronica o si cambiano i provider.
• Monitoraggio automatico: Imposta avvisi per gli errori di autenticazione SPF.

Lettura consigliata: Come configurare DMARC: guida alla configurazione passo dopo passo

Implementa DMARC e SPF con PowerDMARC

L'implementazione di SPF insieme a DKIM e DMARC fornisce un livello di protezione completo, garantendo che ogni messaggio inviato dal tuo dominio sia verificato e affidabile. Insieme, questi protocolli proteggono il tuo dominio da attacchi informatici basati su e-mail come spoofing, phishing e BEC.

PowerDMARC ti aiuta a raggiungere più rapidamente i tuoi obiettivi grazie a:

• Rilevamento automatico degli errori: Individua le configurazioni SPF errate, i problemi di sintassi e le violazioni dei limiti di ricerca prima che influiscano sulla consegna delle e-mail.
• Monitoraggio in tempo reale: Ricevi avvisi immediati quando l'autenticazione SPF, DKIM o DMARC fallisce, in modo da poter agire prima che la deliverability diminuisca.
• Reportistica di conformità: Genera report pronti per la revisione che soddisfano i requisiti di conformità del settore e ti offrono piena visibilità su chi invia e-mail per tuo conto.
• Assistenza di esperti 24 ore su 24, 7 giorni su 7: Accedi a specialisti certificati nella sicurezza delle e-mail ogni volta che hai bisogno di aiuto per la configurazione, la risoluzione dei problemi o l'applicazione delle politiche.

Un cliente racconta: "Grazie a PowerDMARC, abbiamo individuato le configurazioni SPF errate prima che causassero problemi di consegna. Il loro supporto è eccellente!" – Responsabile IT, azienda SaaS

La configurazione di un record SPF di Google Workspace è solo il primo passo per proteggere il tuo dominio. Inizia oggi stesso una prova gratuita di 15 giorni con PowerDMARC oggi stesso!

Domande frequenti (FAQ)

1. Che cos'è un record SPF per l'e-mail?

Un record SPF (Sender Policy Framework) è un record DNS TXT che specifica quali server di posta sono autorizzati a inviare e-mail per conto del tuo dominio. Impedisce lo spoofing delle e-mail e migliora la deliverability consentendo ai server riceventi di verificare che le e-mail provengano da fonti legittime.

2. Come posso risolvere un errore SPF in Gmail?

Per risolvere gli errori SPF in Gmail:

• Verifica se il tuo record SPF include "include:_spf.google.com"
• Assicurati di avere un solo record SPF per dominio
• Verifica che la sintassi SPF sia corretta
• Assicurati di non aver superato il limite di 10 ricerche DNS.
• Attendere la propagazione DNS dopo aver apportato le modifiche

3. L'SPF è ancora rilevante per la sicurezza delle e-mail?

Sì, SPF rimane estremamente rilevante per la sicurezza delle e-mail. Google richiede a tutti i mittenti di e-mail di implementare SPF o DKIM, e SPF è una componente fondamentale dell'autenticazione delle e-mail quando combinato con DKIM e DMARC.

4. Posso avere più record SPF per diversi sottodomini?

Sì. Sebbene sia possibile avere un solo record SPF per dominio, ogni sottodominio può avere un proprio record SPF separato. Se si utilizzano sottodomini per inviare e-mail, è necessario configurare i record SPF separatamente per ogni sottodominio, se il provider lo consente, poiché la politica SPF non viene ereditata dal dominio principale.

5. Qual è la differenza tra ~all e -all nei record SPF?

~all (softfail) significa che le e-mail provenienti da fonti non autorizzate devono essere accettate ma contrassegnate come sospette, mentre -all (hardfail) significa che le e-mail provenienti da fonti non autorizzate devono essere rifiutate. Inizia con ~all per monitorare i risultati, quindi passa a -all per un'applicazione più rigorosa una volta che sei sicuro che il tuo record SPF sia completo.