Sintassi del record SPF: Componenti, regole ed esempi

Se vi siete mai chiesti perché alcune delle vostre e-mail legittime finiscono nelle cartelle di spam o vengono bloccate del tutto, il problema potrebbe dipendere da come è impostata l'autenticazione e-mail del vostro dominio. Un fattore chiave è la sintassi del record SPF, che svolge un ruolo cruciale nel verificare che le e-mail siano inviate da server autorizzati. Sebbene l'SPF aiuti a evitare che i vostri messaggi vengano segnalati come sospetti, la sua sintassi può essere difficile da comprendere e ancor più da configurare correttamente. In questo post spiegheremo come funziona la sintassi dei record SPF e cosa dovete tenere presente quando li impostate per il vostro dominio.

Cos'è la sintassi di un record SPF

La sintassi del record SPF è l'insieme delle regole che definiscono il modo in cui un record SPF (Sender Policy Framework) viene scritto nel DNS di un dominio. In parole povere, è il "linguaggio" che il dominio utilizza per indicare ai server di posta elettronica riceventi quali fonti sono autorizzate a inviare e-mail per suo conto.

La sintassi dei record SPF include tipicamente meccanismi (come ip4, ip6, o includere), qualificatori (come +, -, ~, o?), e modificatori che lavorano insieme per determinare se un'e-mail in arrivo supera o meno il controllo SPF.

La comprensione di questa sintassi è fondamentale, perché anche un piccolo errore, come uno spazio in più, un qualificatore errato o un meccanismo mancante, può far fallire l'autenticazione delle e-mail e farle finire nello spam o rifiutarle.

Semplificate la sintassi dei record SPF con PowerDMARC!

Componenti della sintassi del record SPF

Un record SPF è composto da quattro parti principali: il tag version, i meccanismi, i qualificatori e i modificatori. Ciascuna parte svolge un ruolo unico e insieme determinano il modo in cui i server di posta elettronica riceventi gestiscono le e-mail che dichiarano di provenire dal vostro dominio. Il tag version identifica il record come SPF. I meccanismi definiscono chi è autorizzato a inviare e-mail. I qualificatori decidono quale azione intraprendere in caso di corrispondenza. I modificatori forniscono istruzioni opzionali che estendono o perfezionano il criterio.

Etichetta della versione

Il tag version è il punto di partenza di un record SPF. Identifica che il record utilizza la sintassi SPF e garantisce che i server di posta interpretino correttamente il testo seguente. Senza di esso, il record non funziona. È consentito un solo tag version, che deve comparire all'inizio del record.

Caratteristiche principali:

• • Deve essere sempre all'inizio della registrazione.
  • È consentito un solo tag di versione.
  • Formato attuale valido: v=spf1.
  • L'utilizzo di una versione sbagliata o la sua omissione rende il record non valido.

Qualificatori SPF

I qualificatori sono simboli posti davanti ai meccanismi. Istruiscono il server di posta elettronica ricevente su cosa fare se il meccanismo corrisponde. Il loro ruolo è quello di controllare il risultato della valutazione SPF, ovvero se l'email viene accettata, rifiutata o contrassegnata come sospetta. Se non viene specificato un qualificatore, l'azione predefinita è quella di consentire.

Caratteristiche principali:

• • Agiscono come prefissi dei meccanismi.
  • Controllare l'esito del controllo SPF.
  • Quattro tipi:
    • + Passare (consentire)
    • - Non funzionante (blocco)
    • ~ Softfail (accetta ma segna)
    • ? Neutro (nessuna decisione)
      • Il comportamento predefinito è Pass se non viene utilizzato alcun qualificatore.

Meccanismi SPF

I meccanismi sono le regole principali di un record SPF. Definiscono quali server, indirizzi IP o domini sono autorizzati a inviare posta per conto del dominio. Ogni meccanismo viene controllato in ordine e, se viene trovata una corrispondenza, viene applicato il qualificatore associato. Se nessun meccanismo corrisponde, il record continua fino alla fine.

Caratteristiche principali:

• • Definisce chi può inviare e-mail per il dominio.
    Selezionate in ordine da sinistra a destra.
  • Collaborare con i qualificatori per determinare il risultato.
  • Otto meccanismi standard:
    • tutti - corrisponde a tutti i mittenti.
    • ip4 - autorizza gli indirizzi IPv4.
    • ip6 - autorizza gli indirizzi IPv6.
    • a - autorizza in base ai record A/AAAA.
    • mx - autorizza in base ai server di posta del dominio.
    • ptr - controllo DNS inverso (deprecato).
    • esiste - verifica se un dominio è stato risolto.
    • includere - fa riferimento al record SPF di un altro dominio.

Modificatori SPF

I modificatori sono elementi opzionali che aggiungono istruzioni supplementari a un record SPF. Non consentono o negano direttamente la posta, ma forniscono flessibilità e maggiore controllo sul modo in cui il record viene elaborato. I modificatori sono spesso utilizzati nelle configurazioni più avanzate, ma non sono sempre necessari.

Caratteristiche principali:

• Fornire istruzioni aggiuntive e facoltative.
• Non determinano direttamente il superamento dell'esame.
• Modificatori comuni:
  • redirect - punta al record SPF di un altro dominio.
  • exp - fornisce una spiegazione personalizzata per i fallimenti dell'SPF.

• Di solito appaiono alla fine del disco.

Semplificate l'SPF con PowerDMARC!

Esempi di sintassi del record SPF

Osservando i record SPF reali è più facile capire come si combinano i diversi componenti. Di seguito sono riportati due esempi: uno semplice e uno più avanzato. Ogni esempio segue le regole di sintassi corrette e mostra il funzionamento pratico di meccanismi, qualificatori e modificatori.

Record SPF semplice

v=spf1 ip4:203.0.113.5 -all

Ripartizione:

• v=spf1 → tag di versione che identifica il record come versione 1 di SPF.
• ip4:203.0.113.5 → meccanismo che autorizza l'indirizzo IPv4 203.0.113.5 per l'invio di posta.
• -Tutti → qualificatore e meccanismo combinati, il che significa che tutti gli altri server non elencati devono fallire il controllo SPF.

Perché è valido:

• Il record inizia con il tag version corretto.
• Il meccanismo (ip4) è scritto correttamente.
• Il qualificatore (-) è usato correttamente davanti a tutti.
• La sintassi è completa e segue le regole SPF.

 Si tratta di una configurazione comune per un piccolo dominio che invia e-mail solo da un singolo server.

Record SPF avanzato

v=spf1 ip4:203.0.113.0/24 include:_spf.google.com include:_spf.mailhost.com ~all exp=explain._spf.example.com

Ripartizione:

• v=spf1 → tag versione all'inizio, richiesto dalla sintassi.
• ip4:203.0.113.0/24 → meccanismo che autorizza tutti gli indirizzi IP nell'intervallo 203.0.113.0 - 203.0.113.255.
• include:_spf.google.com → meccanismo che consente ai server di posta di Google di inviare per conto del dominio.
• include:_spf.mailhost.com → meccanismo che consente di utilizzare i server di un altro provider di terze parti.
• ~tutti → qualificatore e meccanismo combinati, il che significa che i messaggi provenienti da server non elencati sono accettati ma contrassegnati come sospetti.
• exp=explain._spf.example.com → modificatore che fornisce una stringa di spiegazione personalizzata quando un messaggio non supera l'SPF.

Perché è valido:

• Il record inizia con il tag version.
• I meccanismi multipli sono inclusi e formattati correttamente.
• Il qualificatore ~ viene applicato a tutti, che è consentito.
• Il modificatore exp viene usato correttamente alla fine, estendendo la funzionalità senza interrompere la sintassi.

Questa configurazione è tipica delle organizzazioni che utilizzano più provider di posta elettronica, pur controllando le fonti non autorizzate.

Regole e convalida per una sintassi SPF corretta

La scrittura di un record SPF consiste nell'inserire i meccanismi e i qualificatori nell'ordine giusto e nell'assicurarsi che il record funzioni effettivamente come previsto. Anche piccoli errori di sintassi, come un tag mancante o uno spazio in più, possono far fallire il record, facendo sì che le e-mail vengano rifiutate, contrassegnate come spam o lasciando il vostro dominio vulnerabile allo spoofing.

Questa sezione copre tre aree chiave: le migliori pratiche per la scrittura della sintassi SPF, gli errori comuni da evitare e come convalidare il record prima di pubblicarlo.

Seguire le migliori pratiche per la sintassi SPF

Per ottenere un SPF corretto è necessario seguire alcune regole d'oro che rendono la registrazione efficace e affidabile:

• • Iniziare sempre con il tag della versione corretta: v=spf1.
  • Limite DNS per evitare di superare il limite di limite di 10 ricercheche causerà l'interruzione del record.
  • Utilizzare l'opzione include per evitare loop o riferimenti circolari.
  • Mantenete le registrazioni il più concise possibile: le configurazioni troppo complesse sono più difficili da mantenere e hanno maggiori probabilità di fallire.
  • Rivedere regolarmente i record SPF, soprattutto se la vostra infrastruttura e-mail cambia o se aggiungete/rimuovete provider.

Evitare gli errori di sintassi più comuni

Molti problemi di SPF derivano da errori semplici ma dannosi. Fate attenzione a queste insidie:

• Tag versione mancante: ogni record deve iniziare con v=spf1.
• Qualificatori duplicati: l' uso di più qualificatori per lo stesso meccanismo non è valido.
• Meccanismi eccessivi: record lunghi e gonfiati aumentano il rischio di errori e superano i limiti del DNS.
• Problemi di formattazione della sintassi: spazi errati, errori di battitura o caratteri non supportati possono causare il fallimento del record.
• RecordSPF multipli : un dominio deve avere un solo record SPF; se ne esiste più di uno, la convalida fallirà.
• Meccanismi deprecati: evitare ptrche non è più raccomandato e potrebbe non essere supportato da tutti i server.

Ricordate: anche se l'intento del record è corretto, gli errori di sintassi causano il fallimento completo dell'SPF.

Convalidare la sintassi del record SPF

Prima di pubblicare il record SPF, la convalida è fondamentale. I validatori controllano che la sintassi sia corretta e che il record non superi i limiti di ricerca DNS o contenga meccanismi non supportati.

• Utilizzare gli strumenti di controllo dei record SPF, come il checker SPF di PowerDMARC, per identificare rapidamente i problemi.
• La convalida aiuta a garantire che il record funzioni in modo coerente su diversi server di posta ricevuti.
• Si consiglia di testare i record nuovi o aggiornati in un ambiente di staging prima di applicarli dal vivo.
• La convalida regolare dopo le modifiche mantiene la politica SPF aggiornata e funzionale.

La convalida riduce il rischio che le e-mail vengano respinte, che finiscano nello spam o che il vostro dominio sia vulnerabile allo spoofing.

Sintassi del record SPF in azione

La corretta sintassi del record SPF è fondamentale per una consegna sicura delle consegna delle e-mail e la protezione contro lo spoofing. Ogni parte, compresi i tag di versione, i meccanismi, i qualificatori e i modificatori, lavora insieme per guidare il modo in cui i server di posta gestiscono i messaggi.

Seguendo le best practice, evitando gli errori e convalidando regolarmente, si riduce il rischio di fallimenti e si mantiene sicuro il proprio dominio. Con l'evoluzione della vostra configurazione di posta elettronica, gli aggiornamenti continui sono essenziali. Per una gestione più semplice e una maggiore sicurezza, prendete in considerazione l'utilizzo di PowerDMARC.

Domande frequenti

Come scrivere un record SPF?

Iniziare con 'v=spf1', aggiungere meccanismi a elenco autorizzato mittenti autorizzati, e terminare con a come '-tutti' per bloccare tutto il resto.

Cosa succede se la sintassi del mio record SPF è sbagliata?

I server di posta possono rifiutare o segnalare le vostre e-mail come spam e il vostro dominio diventa più vulnerabile allo spoofing.

Qual è un esempio di record SPF MX?

Un record SPF utilizzando MX (record MX) si presenta come: v=spf1 mx -allche consente solo ai server di posta del dominio di inviare e-mail.

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• CSA richiede DMARC per la certificazione Cyber Essentials Mark - 10 febbraio 2026
• Implementazione pratica del DMARC per MSP e aziende: ciò che la maggior parte delle guide tralascia - 9 febbraio 2026
• PowerDMARC ora si integra con Elastic SIEM - 5 febbraio 2026