Record SPF: cos'è, come funziona e come configurarlo

Le frodi via e-mail costano alle organizzazioni miliardi di dollari ogni anno, e nella maggior parte dei casi tutto ha inizio con un indirizzo "Da" contraffatto. Lo Sender Policy Framework (SPF) è uno dei tre protocolli fondamentali di autenticazione delle e-mail, insieme a DKIM e DMARC, che impedisce a mittenti non autorizzati di inviare e-mail utilizzando il tuo dominio.

I punti chiave da prendere in considerazione

  • SPF è uno dei tre protocolli fondamentali per l'autenticazione delle e-mail, insieme a DKIM e DMARC. Si tratta di un record TXT del DNS che elenca tutti gli indirizzi IP e i server di posta autorizzati a inviare messaggi per conto del tuo dominio: senza di esso, qualsiasi server su Internet potrebbe spacciarsi per il tuo dominio.
  • SPF verifica solo il dominio del Return-Path (busta), non l'indirizzo "Da:" visibile, quindi da solo non è in grado di impedire lo spoofing del nome visualizzato. Per proteggere completamente il tuo dominio, deve essere integrato con DMARC.
  • L'opzione di chiusura delle qualificazioni definisce il livello di applicazione: -all (errore grave) respinge tutti i mittenti non presenti nell'elenco, mentre ~all (errore non grave) si limita a segnalarli. Passa a -all solo dopo aver verificato tutte le tue fonti di invio legittime.
  • Ogni meccanismo include, a, mx, redirect ed exists viene conteggiato ai fini del limite di 10 ricerche DNS previsto dall'SPF: se tale limite viene superato, l'intero record restituisce un errore PermError. Mantieni il record snello (oppure utilizza l'appiattimento automatico) per rimanere entro il limite.

Centro risorse PowerDMARC

Questa guida tratta tutti gli aspetti: cos'è l'SPF, come funziona esattamente, come creare e convalidare un record, il significato di ogni meccanismo e qualificatore, come correggere gli errori più comuni e come l'SPF si inserisce in una strategia DMARC completa. Aggiungila ai preferiti: ti tornerà utile.

Guide dettagliate alla configurazione dell'SPF

Procedure dettagliate per l'implementazione completa

Risoluzione dei problemi

Correzione di ricerche, errori non fatali e allineamento

Allineamento SPF e DMARC

Far sì che l'SPF venga conteggiato ai fini del DMARC

Strumenti gratuiti per la protezione solare

Controllare, generare e convalidare i record

Tabella dei contenuti

Che cos'è l'SPF? Come funziona l'SPF Sintassi del record SPF: meccanismi e qualificatori Come creare un record SPF Come controllare e convalidare il proprio record SPF Errori SPF comuni e come risolverli SPF e DMARC: comprendere l'allineamento SPF vs. DKIM vs. DMARC SPF ospitato: la soluzione al problema di scalabilità dell'SPF Migliori pratiche SPF Domande frequenti

Cos'è l'SPF?

L'SPF (Sender Policy Framework) è uno dei tre principali protocolli di autenticazione delle e-mail, insieme a DKIM e DMARC, che impedisce a server non autorizzati di inviare e-mail utilizzando il tuo dominio. Un record SPF è un record DNS di tipo TXT che elenca tutti gli indirizzi IP e i server di posta autorizzati a inviare messaggi a tuo nome. In assenza di tale record, qualsiasi server su Internet può spacciarsi per il tuo dominio e i server destinatari non hanno modo di distinguere la differenza.

Cosa tratta questa guida

Vai direttamente a una sezione qualsiasi oppure leggi tutto dall'inizio alla fine per avere un quadro completo:

Capire l'SPFImplementare e correggere l'SPF
Come funziona l'SPFCome creare un record SPF
Sintassi e meccanismi dei record SPFErrori comuni relativi all'SPF e relative soluzioni
Allineamento SPF e DMARCSPF in hosting e scalabilità
SPF, DKIM e DMARCLista di controllo delle migliori pratiche SPF

Come funziona l'SPF

Quando un server di posta in arrivo riceve un'e-mail, estrae il dominio dal campo Return-Path (mittente dell'involucro), interroga il DNS alla ricerca di un record TXT che inizi con v=spf1 e verifica se l'IP del server mittente corrisponde all'elenco autorizzato. Se la corrispondenza è positiva, l'SPF viene superato. In caso contrario, il risultato è un fail, un softfail o un errore, e ciò che accade in seguito dipende dalla politica DMARC in uso.

L'SPF verifica la validità del dominio del Return-Path (l'indirizzo tecnico della busta), non l'indirizzo visibile nel campo "Da:". Ciò significa che l'SPF da solo non è in grado di impedire lo spoofing del nome visualizzato. Ecco perché esiste l'allineamento DMARC, che serve a colmare questa lacuna.

Risultato SPFCosa significa
PassoL'invio dell'IP è autorizzato.
Errore (-tutto)Non autorizzato. Da respingere.
SoftFail (~tutti)Probabilmente non autorizzato. Accettare ma segnalare.
Errore permanenteRecord superato (errore di sintassi, troppe ricerche). Considerato un errore.
Analisi dettagliata: come funzionano le ricerche DNS con SPF

Sintassi dei record SPF: meccanismi e qualificatori

Un record SPF inizia con v=spf1, elenca i mittenti autorizzati utilizzando meccanismi quali ip4:, ip6:, e includono:, e termina con un'indicazione che spiega ai destinatari come comportarsi con i mittenti non presenti nell'elenco. Ecco un esempio:

v=spf1 ip4:192.168.1.1 include:_spf.google.com include:sendgrid.net -all

-all e ~all indicano diversi livelli di applicazione delle regole SPF. -all (hard fail) comunica ai server destinatari che solo i mittenti presenti nell'elenco sono autorizzati e che tutti gli altri devono essere respinti. ~all (soft fail) è più permissivo e contrassegna tutti i mittenti non autorizzati come sospetti, ma li accetta comunque. Utilizza -all solo dopo aver verificato accuratamente i tuoi mittenti.

Ciascuno include:, a, mx, reindirizza a=, e exists: il meccanismo conta ai fini del Limite di 10 ricerche DNS. Il superamento di tale limite genera un PermError che interrompe completamente l'autenticazione. Il ptr: il meccanismo è obsoleto, evitare di usare.

Riferimento sintattico completo con tutti i meccanismi e i qualificatori Approfondimento: le macro SPF per casi d'uso avanzati

Come creare un record SPF

Inizia elencando tutti i servizi che inviano e-mail dal tuo dominio, ad esempio:

  • Il tuo server di posta principale
  • Google Workspace o Microsoft 365
  • Strumenti di marketing (Mailchimp, HubSpot, Klaviyo)
  • Servizi di gestione delle comunicazioni (SendGrid, Mailgun, Amazon SES) e qualsiasi sistema CRM o di assistenza clienti che invii messaggi per conto tuo.

Ogni fornitore pubblica un include: valore nella loro documentazione. Crea un unico record che riunisca tutti i mittenti (puoi avere solo un record SPF per dominio), pubblicalo come record TXT nel tuo Fornitore di servizi DNS, e convalidarlo con un Controllore SPF. Propagazione del DNS di solito richiede alcune ore, ma può arrivare fino a 48.

Guide alla configurazione specifiche per i vari provider

Google Workspace / Gmail Microsoft 365 / Office 365 SendGrid Mailchimp Amazon SES HubSpot Salesforce Klaviyo Pistola postale Cloudflare GoDaddy Shopify cPanel Zoho Namecheap Timbro postale Brevo (Sendinblue) Squarespace Contatto costante ActiveCampaign MailerLite Wix OVHcloud Odoo
Come aggiungere un indirizzo IP al proprio record SPF Come unire più record SPF in uno solo Controlla il tuo record SPF utilizzando nslookup

Come controllare e verificare il proprio record SPF

Utilizza uno strumento di verifica SPF per assicurarti che il tuo record sia sintatticamente corretto, rientri nel limite di 10 ricerche e risolva agli indirizzi IP corretti. Lo strumento di ricerca SPF di PowerDMARC esegue tutti questi controlli in tempo reale.

Cosa dovrebbe verificare un buon controllo del fattore di protezione solare (SPF):

  • Il disco inizia con v=spf1
  • Per il dominio esiste un solo record SPF
  • Il numero totale di ricerche DNS è pari o inferiore a 10
  • Nessun errore di sintassi o irrisolvibile include: domini
  • Il all il qualificatore è presente e appropriato
  • Nessun meccanismo obsoleto (ad es., ptr:)

Verifica da riga di comando (Linux/Mac):

dig TXT yourdomain.com +short | grep "v=spf1"

Come utilizzare la funzione di ricerca SPF di PowerDMARC: inserisci il tuo dominio nel verificatore SPF di PowerDMARC per ottenere un rapporto diagnostico immediato che mostra il numero di ricerche, la ripartizione per meccanismo e eventuali errori.

Errori comuni relativi all'SPF e come risolverli

La maggior parte degli errori di SPF deriva da una configurazione non corretta, non dal protocollo stesso. Ecco gli errori che riscontriamo più spesso e dove risolverli:

ErroreCosa succedeGuida alla riparazione
Errore permanente: numero eccessivo di ricerche DNSIl record supera il limite di 10 ricercheRisolvi l'errore SPF PermError
Record SPF multipliDue record v=spf1 sullo stesso dominioCorreggere più record SPF
L'SPF viene superato, ma il DMARC fallisceIl campo "Return-Path" non corrisponde al campo "From":Correggere l'allineamento dell'SPF
SoftFail. Il dominio non identifica il mittenteL'IP mittente non è presente nel record SPFRisolvi l'errore SoftFail di SPF
Verifica SPF 550 non superataRifiuto definitivo da parte del server di destinazioneRisolvi l'errore 550 SPF
Nessun record SPF trovatoRecord mancante o non pubblicatoCorreggere l'assenza del record SPF
L'SPF non viene verificato nelle e-mail inoltrateIP del server di inoltro non autorizzatoGuida all'inoltro delle e-mail
Errore di convalida SPFProblema di sintassi o di formattazioneRisolvere gli errori di convalida SPF
Email respinta in base alla politica SPFServer di ricezione che applica regole SPF rigoroseRisolvere il problema del rifiuto dell'SPF
Il record SPF supera il limite di caratteriRecord troppo lungo per un singolo record TXT DNSCorreggere il limite di caratteri dell'SPF
Guida completa alla risoluzione dei problemi: perché l'autenticazione SPF non funziona Come gestire i record SPF non validi

SPF e DMARC: comprendere l'allineamento

L'autenticazione SPF può avere esito positivo mentre quella DMARC risulta ancora fallita. Ciò accade perché SPF verifica la validità del dominio del campo "Return-Path", mentre DMARC richiede che tale dominio corrisponda all'indirizzo "Da:" visibile. Quando si invia un'e-mail tramite un servizio di terze parti che utilizza il proprio campo "Return-Path", SPF esegue l'autenticazione rispetto al dominio di tale servizio, non al proprio, e DMARC rileva un errore nel controllo di corrispondenza.

La soluzione consiste nel configurare un Return-Path personalizzato sul proprio dominio con ciascun provider oppure ricorrere all'allineamento DKIM (le firme DKIM non vengono alterate dall'inoltro e non sono legate all'IP mittente). Impostare la modalità di allineamento con il tag aspf= nel record DMARC: aspf=r (modalità flessibile, sottodomini ammessi) o aspf=s (modalità rigorosa, corrispondenza esatta).

Guida completa: spiegazione dell'allineamento DMARC Come risolvere gli errori di allineamento SPF Comprendere il campo "envelope-to" di DMARC

SPF, DKIM e DMARC: come interagiscono tra loro

Questi tre protocolli sono complementari, non intercambiabili. SPF verifica il server mittente, mentre DKIM verifica l'integrità del messaggio tramite una firma crittografica. DMARC integra entrambi, applica una politica (nessuna / quarantena / rifiuto) e genera report aggregati e forensi. Un'e-mail supera il controllo DMARC se supera l'allineamento SPF o l'allineamento DKIM; è necessario configurare entrambi in modo che uno possa compensare quando l'altro non funziona (ad esempio, SPF fallisce sulla posta inoltrata, ma DKIM funziona).

Confronto completo: SPF, DKIM e DMARC Come configurare DKIM per il tuo dominio Come configurare DMARC

SPF in hosting: risolvere il problema della scalabilità

Ogni strumento SaaS aggiunto al proprio record SPF consuma ricerche DNS. Una volta raggiunto il limite di 10 ricerche, l'intero record smette di funzionare e tutti i controlli SPF restituiscono un errore PermError. L'appiattimento manuale dell'SPF (sostituendo gli "include" con indirizzi IP grezzi) funziona nel breve termine, ma diventa obsoleto quando i fornitori ruotano i propri intervalli di IP, cosa che fanno senza preavviso.

PowerDMARC appiattimento automatico dell'SPF risolve il problema tramite la risoluzione dinamica include: convertire le stringhe in record ottimizzati, monitorare le modifiche all'IP dei fornitori e mantenere i record entro il limite di ricerca senza dover apportare modifiche manuali al DNS. Per le organizzazioni che utilizzano Macro SPF o gestire SPF su più domini e sottodomini, grazie all'hosting SPF, i costi di manutenzione vengono completamente eliminati.

Tecniche di compressione SPF Spiegazione delle ricerche con SPF void

Lista di controllo delle migliori pratiche SPF

Usa -all invece di ~all
Un errore grave invia un segnale chiaro. Un errore non grave è ambiguo.
Non superare le 8 ricerche
Lascia un margine di sicurezza. Esattamente 10 è una bomba a orologeria.
Pubblicare i record SPF sui domini che non inviano e-mail
Gli hacker falsificano i domini inattivi proprio perché questi non dispongono di SPF.
Pubblica l'SPF su ogni sottodominio
L'SPF su yourdomain.com non copre mail.yourdomain.com.
Utilizzare " include:" per le terze parti
I provider mantengono i propri intervalli di indirizzi IP; tra questi: rimane aggiornato.
Non usare mai ptr:
Obsoleto secondo la RFC 7208. Lento, inaffidabile, spreca una ricerca.
Monitoraggio tramite i rapporti DMARC
I rapporti RUA rivelano mittenti di cui non eri a conoscenza. Vedi anche RUA vs RUF.
Revisione trimestrale
Elimina i fornitori che non utilizzi più prima che diventino un peso.
Da abbinare a DKIM e DMARC
L'SPF da solo non garantisce nulla. Il DKIM copre l'inoltro. Il DMARC garantisce l'applicazione delle regole.

Configurare correttamente l'SPF

Se stai configurando l'SPF per la prima volta, inizia con le guide specifiche per i vari provider riportate sopra e verifica il tuo record con lo strumento gratuito di verifica SPF di PowerDMARC. Se utilizzi già l'SPF e stai raggiungendo i limiti di ricerca o riscontri errori permanenti (PermErrors), l'appiattimento automatico dell'SPF elimina gli oneri di manutenzione. E se non hai ancora configurato il DMARC, questo è il passo successivo più importante: l'SPF senza DMARC è come una serratura senza porta.

Configura DMARC in 10 minuti Pubblica il tuo primo record DMARC Conformità DMARC: guida completa

Strumenti gratuiti di PowerDMARC

Prendi il controllo dell'autenticazione delle tue e-mail con gli strumenti SPF gratuiti di PowerDMARC. Verifica subito il tuo dominio, genera nuovi record o esplora l'intera piattaforma. Non è richiesta alcuna registrazione.

Controllo dei record SPF

Controlla immediatamente il record SPF del tuo dominio, visualizza l'intera catena di ricerca e individua eventuali problemi di configurazione.

Caratteristiche principali:

  • Espansione immediata della catena di ricerca: visualizza tutti gli indirizzi IP e i domini a cui si risolve il tuo record.
  • Contatore di ricerche: segnala il raggiungimento del limite di 10 ricerche DNS prima che la posta smetta di funzionare.
  • Rilevamento degli errori: rileva gli errori PermError, TempError e i problemi di sintassi.
  • Illimitato e gratuito: esegui controlli illimitati senza bisogno di registrarti.
Usa lo strumento di verifica del fattore di protezione solare

Generatore di record SPF

Genera un record SPF valido su misura per i mittenti del tuo dominio senza dover inserire manualmente la sintassi.

Caratteristiche principali:

  • Generatore guidato: aggiungi mittenti e meccanismi in pochi semplici passaggi.
  • Esportazione in un unico file: riunisce tutti i tuoi mittenti in un unico file conforme.
  • Risultato impeccabile: genera file SPF correttamente formattati in ogni occasione.
  • Adatto ai principianti: un'interfaccia semplice pensata per una configurazione rapida e senza intoppi.
Usa il generatore di SPF

Toolbox PowerDMARC

Una piattaforma completa per monitorare, garantire e analizzare l'autenticazione delle e-mail su più domini.

Caratteristiche principali:

  • Ricerca completa: controlla i record SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, MX e NS da un'unica dashboard.
  • Informazioni sulla reputazione: visualizza i dettagli WHOIS, lo stato delle liste di blocco, i record PTR e FCrDNS per individuare i rischi legati alla deliverability.
Esplora la casella degli strumenti

Proteggi e monitora il tuo dominio

Genera record di autenticazione, verifica la configurazione DNS e monitora l'attività e-mail del tuo dominio da un'unica piattaforma. Blocca lo spoofing, migliora la deliverability e ottieni una visibilità completa su chi invia e-mail a tuo nome.

Oltre 10.000Organizzazioni protette
32Strumenti gratuiti disponibili
4,9/5Valutazione su G2
Leader G2Software DMARC

Scelto da aziende, MSP e team di sicurezza incaricati di preservare la reputazione del dominio e prevenire lo spoofing.

SOC 2 HIPAA PCI-DSS GDPR ISO 27001

"PowerDMARC è uno strumento molto potente e completo che semplifica notevolmente il lavoro quotidiano di monitoraggio dell'autenticazione delle e-mail e delle funzionalità di sicurezza. Offre una visibilità e una chiarezza che altrimenti sarebbero difficili da ottenere. Consiglio vivamente PowerDMARC a chiunque desideri rafforzare la sicurezza delle proprie e-mail!"

— Yves P., ingegnere di sistema
Inizia la prova gratuita Richiedi una demo

Domande frequenti

Il mio record SPF è valido, ma le e-mail finiscono comunque nella cartella dello spam. Perché?

L'SPF è solo uno dei tanti fattori. La consegna delle e-mail dipende anche dalla reputazione del dominio, dalla reputazione dell'IP, dalla qualità dei contenuti, dalla cronologia di interazione e dalla configurazione di DKIM e DMARC. Il superamento del controllo SPF non garantisce l'arrivo nella posta in arrivo. Perché le e-mail finiscono nella cartella dello spam e come risolvere il problema →

Mi serve l'SPF se ho già il DKIM?

Sì. Coprono diverse modalità di errore. DKIM resiste all'inoltro ma non verifica il server mittente. SPF verifica il server ma non funziona in caso di inoltro. DMARC richiede che almeno uno dei due superi il controllo con allineamento; avere entrambi significa che, se uno fallisce, l'altro può comunque autenticare il messaggio. È possibile utilizzare DMARC senza DKIM? →

Il passaggio da ~all a -all causerà problemi alla mia posta elettronica?

Solo se hai mittenti legittimi non ancora presenti nel tuo record. Prima di effettuare il cambio, controlla i rapporti aggregati DMARC per almeno 2–4 settimane per identificare tutti i servizi di invio. Una volta che sei sicuro che il record copra tutte le fonti legittime, -all è la scelta corretta. Softfail e hardfail SPF: quando passare da uno all'altro →

Con quale frequenza è necessario aggiornare i record SPF?

Ogni volta che si aggiunge o si rimuove un servizio di invio e-mail. In pratica, è consigliabile effettuare una verifica trimestrale. I fornitori cambiano gli indirizzi IP, i team aggiungono strumenti senza avvisare il reparto IT e, inoltre, i domini a volte smettono di funzionare. L'SPF gestito in hosting gestisce automaticamente questi aspetti; i record inseriti manualmente richiedono invece revisioni periodiche.

Gli hacker possono aggirare l'SPF?

L'SPF presenta alcune limitazioni note. I servizi con IP condiviso (come Mailchimp) comportano che qualsiasi cliente appartenente allo stesso intervallo di IP superi il controllo SPF. Lo spoofing del nome visualizzato aggira completamente l'SPF, poiché non interessa il campo Return-Path. Inoltre, l'attacco BreakSPF ha dimostrato come i record eccessivamente permissivi con ampi intervalli di IP possano essere sfruttati. Il DMARC con allineamento rigoroso mitiga questi rischi.

Qual è la differenza tra la delega SPF e il reindirizzamento SPF?

La delega SPF consente di gestire l'SPF di un sottodominio da una zona DNS diversa. Il modificatore `redirect=` indica ai destinatari di utilizzare interamente il record SPF di un altro dominio. Esso sostituisce il tuo record anziché integrarlo. Utilizza `redirect` quando la politica SPF di un dominio deve essere applicata in modo identico a un altro dominio.

Quanto tempo occorre perché la protezione solare faccia effetto?

La propagazione del DNS dipende dal TTL del record esistente e dalla memorizzazione nella cache da parte dei resolver intermedi. In genere, la propagazione richiede da 1 a 4 ore. Nel caso peggiore, possono essere necessarie fino a 48 ore. Riduci il TTL a 300 secondi prima di apportare modifiche, quindi riportalo al valore originale una volta confermata la propagazione.