Che cos'è l'SPF Include e come si utilizza nel proprio record SPF?

Il tuo record SPF indica a tutti quali server sono autorizzati a inviare e-mail per conto del tuo dominio. Tuttavia, non appena inizi a utilizzare piattaforme di terze parti per l'invio di e-mail, la situazione si complica rapidamente. A questo punto, può essere utile ricorrere al meccanismo SPF include.

Questa guida spiega in dettaglio cosa sono gli include SPF, come funzionano e come gestire più include senza compromettere il proprio record. Inoltre, illustriamo come garantire la conformità con DMARC, affinché le tue e-mail arrivino sempre nella posta in arrivo.

Che cos'è un record SPF?

Un record SPF, ovvero Sender Policy Framework , è un record DNS TXT che elenca tutti i server e gli indirizzi IP autorizzati a inviare e-mail per conto di un determinato dominio.

Quando arriva un'e-mail, il server di posta in ricezione controlla i record DNS del mittente per verificare che l'e-mail provenga da una fonte autorizzata. Se l'indirizzo IP del mittente corrisponde a una voce presente nel record, il controllo SPF ha esito positivo. In caso contrario, il controllo SPF ha esito negativo.

Cosa non riescono a fare da soli i record SPF

I meccanismi SPF sono fondamentali, ma presentano dei limiti che vale la pena comprendere:

• Verifica l'identità del mittente indicato nella busta, non l'indirizzo "Da" visibile che i destinatari vedono effettivamente
• Si interrompe durante l'inoltro delle email, il che significa che le email inoltrate spesso non superano il controllo SPF anche quando il mittente originale è legittimo
• Da solo non può impedire lo spoofing del dominio a livello dell'intestazione From, che è il punto in cui la maggior parte degli attacchi di phishing prende di mira i destinatari

Ecco perché l'SPF funziona al meglio se integrato in un sistema di autenticazione più ampio che includa anche DKIM e DMARC. Si consiglia vivamente di configurare tutti e tre i protocolli insieme per ottenere il massimo livello di protezione della posta elettronica.

Che cos'è l'SPF Incluso?

Se i record SPF costituiscono il regolamento che stabilisce chi può inviare e-mail dal tuo dominio, il meccanismo SPF Include ti permette di integrare le regole definite da qualcun altro.

Il meccanismo SPF Include consente al proprietario di un dominio di delegare l'autorità di invio a un altro dominio, facendo riferimento al record SPF di quest'ultimo all'interno del proprio. Anziché elencare manualmente ogni indirizzo IP utilizzato da un servizio di posta elettronica di terze parti, è sufficiente includere il dominio di quest'ultimo e il server ricevente recupererà e valuterà il relativo record SPF come parte integrante del proprio.

Perché esiste SPF Include

Oggi l'invio delle e-mail avviene raramente da un unico server.

La maggior parte delle organizzazioni utilizza una combinazione del proprio server di posta elettronica e di piattaforme di terze parti per le e-mail transazionali, le campagne di marketing, gli strumenti di assistenza tecnica e i sistemi CRM. Ciascuno di questi servizi invia e-mail per conto dell’utente dalla propria infrastruttura, utilizzando indirizzi IP che non è possibile indicare direttamente.

Il meccanismo SPF include risolve questo problema consentendo di fare riferimento direttamente al record SPF del servizio di terze parti.

Quando il server ricevente valuta il tuo record SPF e rileva un'istruzione «include», recupera e risolve il record TXT SPF di quel dominio esterno nell'ambito del processo di convalida. Se l'indirizzo IP del mittente corrisponde a una voce presente nel record incluso, la convalida SPF ha esito positivo.

Come funziona SPF Include nella pratica

Una dichiarazione «include» di base in SPF ha questo aspetto:

v=spf1 include:thirdpartydomain.com ~all

In questo esempio, il server ricevente cercherà il record SPF relativo a thirdpartydomain.com e lo valuterà insieme al resto dei tuoi record.

Se l'indirizzo IP del mittente è autorizzato in quel record, l'e-mail supera il controllo SPF per il tuo dominio.

Il meccanismo di inclusione è indispensabile per i domini che affidano l'invio delle e-mail a terzi o che si avvalgono di più fornitori per le diverse esigenze di invio. Senza di esso, sarebbe necessario elencare manualmente ogni indirizzo IP utilizzato da ciascun servizio, operazione poco pratica e soggetta a errori.

Come funziona il meccanismo di inclusione dell'SPF?

Comprendere il meccanismo "include" di SPF a livello tecnico aiuta a evitare gli errori di configurazione che causano il malfunzionamento silenzioso di SPF. Ecco cosa succede quando un server ricevente valuta un record SPF che contiene istruzioni "include".

Il processo di convalida SPF

Quando un'e-mail arriva al server di posta ricevente, il server estrae il dominio dall'indirizzo MAIL FROM ed esegue una ricerca DNS per recuperare il record TXT SPF di quel dominio. Quindi legge il record da sinistra a destra, valutando ciascun meccanismo fino a quando non trova una corrispondenza o raggiunge la fine del record.

Quando incontra un'istruzione «include», succede quanto segue:

1. Il server ricevente esegue un'ulteriore ricerca DNS per recuperare il record TXT SPF del dominio in questione
2. Confronta il record SPF del dominio specificato con l'indirizzo IP del mittente
3. Se l'indirizzo IP corrisponde a una voce autorizzata nel record incluso, il meccanismo di inclusione restituisce un risultato positivo
4. Se non viene trovata alcuna corrispondenza, il server continua a valutare i restanti meccanismi presenti nel record originale

In che modo i conteggi vengono conteggiati ai fini del limite di ricerca DNS

Ogni istruzione «include» presente in un record SPF genera almeno una query DNS aggiuntiva. Questo è importante perché la convalida SPF è limitata a un massimo di dieci ricerche DNS per ogni controllo.

Ogni inclusione, insieme a meccanismi come mx e a, viene conteggiata ai fini di questo limite. Se il record SPF del dominio incluso contiene a sua volta ulteriori inclusioni, anche queste vengono conteggiate, creando una catena di ricerche che può aumentare rapidamente.

Il superamento del limite di dieci ricerche fa sì che l'SPF restituisca un PermError, che viene interpretato come un errore SPF dai server destinatari. Ciò può comportare il rifiuto delle e-mail o il loro inserimento nelle cartelle dello spam, anche quando la fonte di invio è del tutto legittima.

Sintassi dei record SPF: come scrivere correttamente un include SPF

È fondamentale che la sintassi sia corretta. Un solo errore nel tuo sintassi del record SPF può causare il fallimento dell'intero record, indipendentemente da quanto sia corretta la configurazione di tutto il resto.

La struttura di base di un record SPF

Tutti i record SPF seguono la stessa struttura di base:

v=spf1 [meccanismi] [qualificatore:tutti]

• v=spf1 dichiara la versione SPF e deve apparire all'inizio di ogni record TXT SPF
• meccanismi definiscono le fonti di invio autorizzate, che possono includere indirizzi IP, domini tramite include, record MX e altro ancora
• tutto è il meccanismo generico che determina cosa succede alle email che non corrispondono a nessuna delle fonti elencate

Scrivere un'istruzione SPF include

La sintassi corretta per un'istruzione include è:

include:domain.com

Si noti che non deve esserci spazio tra "include" e i due punti. Uno spazio causerebbe un errore di sintassi. Ecco un esempio completo di un record SPF con più inclusioni:

v=spf1 include:sendgrid.net include:mailchimp.com ip4:192.168.1.1 ~all

In questo documento:

• sendgrid.net e mailchimp.com sono autorizzati come mittenti di terze parti tramite include
• 192.168.1.1 è un indirizzo IP autorizzato individualmente
• ~tutto è un softfail, il che significa che le e-mail provenienti da fonti non autorizzate verranno segnalate ma non respinte del tutto

Errori sintattici comuni da evitare

• Pubblicazione di più di un record TXT SPF per lo stesso dominio. La presenza di più record SPF provoca un ciclo infinito di ricerche DNS che rende l'SPF completamente inefficace. È necessario raggruppare tutto in un unico record per dominio o sottodominio
• Aggiungere uno spazio dopo i due punti in un'istruzione include
• L'uso di qualificatori errati o di meccanismi in conflitto tra loro
• Dimenticare di terminare la registrazione con un comando "all"

Puoi utilizzare il generatore di record SPF per creare da zero un record formattato correttamente. In alternativa, esegui il tuo record esistente tramite una strumento di ricerca dei record SPF per verificare la presenza di errori prima che causino problemi di consegna.

Record SPF con più inclusioni: cosa c'è da sapere

L'uso di più inclusioni SPF è una pratica comune e spesso necessaria, ma comporta una complessità che deve essere gestita con attenzione. Ecco tutto ciò che c'è da sapere sulla gestione di un record SPF con più inclusioni.

Perché sono necessari più include

La maggior parte delle organizzazioni invia e-mail tramite più di una piattaforma. Una configurazione tipica potrebbe prevedere:

• Un server di posta principale per la posta elettronica interna ed in uscita
• Un servizio di email transazionali per conferme d'ordine e notifiche
• Una piattaforma di marketing per newsletter e campagne
• Uno strumento CRM o di helpdesk per la comunicazione con i clienti

Ciascuno di questi servizi deve essere autorizzato nel tuo record SPF, e il modo più pratico per farlo è utilizzare le istruzioni «include» che fanno riferimento al record SPF di ciascun provider.

Il problema del limite delle ricerche DNS

È proprio qui che l'uso di più file di inclusione comporta dei rischi.

Ogni istruzione «include» attiva almeno una ricerca DNS, e alcuni record SPF di terze parti contengono a loro volta ulteriori istruzioni «include», aggiungendo così altre ricerche. Quando si sono autorizzate quattro o cinque piattaforme, è possibile che si stia già raggiungendo o superando il limite di dieci ricerche.

Ecco un esempio semplificato di come si sommano i calcoli:

• include:sendgrid.net = 1 ricerca, oltre a eventuali ricerche all'interno del record di SendGrid
• include:mailchimp.com = 1 ricerca, più eventuali risultati presenti nel database di Mailchimp
• include: salesforce.com = 1 riferimento, oltre a quelli presenti nei record di Salesforce
• ricerca con mx = 1
• Il totale può facilmente raggiungere o superare i 10

Quando il limite viene superato, il server ricevente restituisce un PermError e considera l'e-mail come un errore di autenticazione SPF.

Come rispettare il limite di ricerca DNS

• Verifica il tuo attuale record SPF e calcola il numero totale di ricerche DNS che esso genera, comprese le ricerche annidate all'interno dei record inclusi
• Elimina tutte le istruzioni «include» relative ai servizi che non utilizzi più
• Ove possibile, sostituire i meccanismi di inclusione con voci IPv4 o IPv6 dirette per i servizi i cui intervalli IP sono statici e ben documentati
• Usa lo strumento di livellamento SPF di PowerDMARC SPF che risolve automaticamente le catene di include e le sostituisce con indirizzi IP diretti, riducendo il numero totale di ricerche
• Controlla regolarmente i tuoi dati ogni volta che aggiungi o elimini una piattaforma di invio

Un record SPF per dominio, sempre

Una regola fondamentale che vale indipendentemente dal numero di include che gestisci: non pubblicare mai più di un record TXT SPF per lo stesso dominio o sottodominio.

La presenza di più record SPF causa un errore immediato e non può essere risolta da nessun server ricevente. È necessario raggruppare tutti i record in un unico record.

Se invii messaggi da sottodomini, ogni sottodominio deve avere un proprio record TXT SPF.

Errori comuni relativi all'SPF e come evitarli

I record SPF sono potenti ma non perdonano. Una singola configurazione errata può causare errori di autenticazione nell'intero flusso di posta elettronica, e la cosa più frustrante è che molti di questi errori non generano un messaggio di errore evidente. Sia che stiate configurando l'SPF per la prima volta o che stiate verificando un record esistente, ecco gli errori a cui prestare attenzione e come evitarli.

Inclusione dell'SPF e conformità DMARC

Gli SPF Include non funzionano in modo isolato. Il modo in cui li configuri ha un impatto diretto sulla tua conformità DMARC, e comprendere la relazione tra i due è fondamentale per garantire una consegna delle e-mail costante.

Come si integra l'SPF nel DMARC

DMARC si basa su SPF e DKIM per consentire ai proprietari dei domini di controllare come vengono gestite le loro e-mail in caso di autenticazione fallita. Affinché un'e-mail superi il controllo DMARC, deve verificarsi almeno una delle seguenti condizioni:

• L'SPF viene superato e il dominio dell'intestazione corrisponde al dominio del mittente
• Il controllo DKIM ha esito positivo e il dominio di firma DKIM corrisponde al dominio del mittente

Ciò significa che anche un record SPF configurato correttamente con tutti gli include necessari non è di per sé sufficiente. Anche l'allineamento SPF deve essere valido, ovvero il dominio nel percorso di ritorno deve corrispondere al dominio "Da" in base alle impostazioni di allineamento DMARC.

In che modo l'inclusione di SPF influisce sull'allineamento

Quando un mittente terzo utilizza il proprio dominio nel campo "Da", il suo dominio potrebbe essere presente nel tuo record SPF e l'SPF potrebbe tecnicamente risultare valido per quel dominio, ma non corrisponderà al tuo dominio "Da".

In questo scenario, DMARC continuerà a fallire il controllo SPF. È fondamentale configurare il servizio di terze parti in modo che utilizzi un percorso di ritorno personalizzato sotto il proprio dominio oppure garantire che sia attivo l'allineamento DKIM come soluzione alternativa.

Perché il solo SPF non basta

SPF, DKIM e DMARC sono progettati per funzionare insieme. SPF convalida la fonte di invio ma smette di funzionare durante l'inoltro.

Il DKIM firma il messaggio stesso e rimane valido anche in caso di inoltro. Il DMARC integra entrambi questi meccanismi e offre visibilità e controllo su ciò che accade quando uno dei due non funziona correttamente. La configurazione di tutti e tre questi elementi è l'unico modo per creare un sistema di autenticazione delle e-mail solido e resiliente.

Configurazione di DMARC insieme a SPF

Se hai configurato correttamente le tue inclusioni SPF ma non hai ancora implementato DMARC, la configurazione di DMARC è il passo logico successivo.

Inizia con una politica di tipo "p=none" per monitorare i flussi di posta elettronica senza compromettere la deliverability, poi passa alla quarantena e infine al rifiuto man mano che aumenta la tua fiducia nella configurazione dell'autenticazione.

Scegli il tuo SPF con PowerDMARC

La gestione di SPF Include è semplice quando si lavora con una o due piattaforme di invio. Tuttavia, man mano che l'infrastruttura di posta elettronica cresce, aumenta anche la complessità.

Un numero maggiore di piattaforme comporta un numero maggiore di inclusioni, più ricerche DNS e più possibilità che qualcosa si guasti silenziosamente in background senza che te ne accorga, finché la deliverability non inizia a calare.

PowerDMARC ti offre gli strumenti e la visibilità necessari per stare al passo con i tempi. Ti aiuta a generare e convalidare il tuo record SPF, oltre a monitorare l'allineamento e i risultati dell'autenticazione per ogni fonte di invio.

L'opinione di un cliente:

“PowerDMARC ci ha aiutato a consolidare 15 diversi servizi di posta elettronica in un unico record SPF ottimizzato. La nostra deliverability è migliorata del 23% già nel primo mese.” – Direttore IT, azienda SaaS inclusa nella lista Fortune 500

Se sei pronto a gestire la tua autenticazione e-mail e assicurarti che i tuoi record SPF funzionino esattamente come dovrebbero, inizia la tua prova gratuita.

Domande frequenti

1. Cosa succede se supero le 10 ricerche DNS nel mio record SPF?

Se il tuo record SPF supera le 10 ricerche DNS, verrà generato un errore PermError, causando il completo fallimento dell'autenticazione SPF. Ciò può comportare il rifiuto di email legittime o la loro classificazione come spam. Utilizza l'appiattimento SPF o le macro per rimanere entro il limite.

2. Posso inserire lo stesso dominio più volte nel mio record SPF?

Sebbene sia tecnicamente possibile, includere lo stesso dominio più volte è ridondante e comporta uno spreco di ricerche DNS. Ogni istruzione «include» dovrebbe essere unica e avere uno scopo specifico nella vostra strategia di autenticazione delle e-mail.

3. Con quale frequenza dovrei controllare i miei file .include SPF?

Controlla il tuo record SPF ogni tre mesi o ogni volta che aggiungi o elimini servizi di posta elettronica. Configura un monitoraggio automatico per rilevare modifiche non autorizzate o aggiornamenti dei fornitori di servizi che potrebbero influire sull'autenticazione.

4. Qual è la differenza tra ~all e -all nei record SPF?

~all (softfail) indica che le e-mail provenienti da mittenti non autorizzati devono essere contrassegnate come sospette, ma comunque recapitate. -all (hardfail) ordina ai server destinatari di respingere completamente le e-mail provenienti da mittenti non autorizzati. La maggior parte delle organizzazioni inizia con ~all e passa a -all dopo aver effettuato dei test.

5. L'SPF può influire sulla consegna delle e-mail?

Sì, un file SPF configurato in modo errato può influire in modo significativo sulla deliverability. L'assenza di inclusioni relative a servizi legittimi può causare il fallimento dell'autenticazione delle e-mail, mentre un numero eccessivo di inclusioni può superare i limiti di ricerca DNS e causare errori permanenti.

• Informazioni su
• Ultimi messaggi

Yunes Tarada

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.

Ultimi messaggi di Yunes Tarada (vedi tutti)

• Il formato del numero di serie SOA non è valido: cause e soluzioni - 13 aprile 2026
• Come inviare email sicure su Gmail: guida passo passo - 7 aprile 2026
• Come inviare e-mail sicure in Outlook: guida passo passo - 2 aprile 2026