Che cos'è l'SPF per le e-mail?

SPF è l'acronimo di Sender Policy Framework. È un protocollo di autenticazione delle e-mail progettato per rilevare lo spoofing delle e-mail e impedire a mittenti non autorizzati di inviare messaggi a nome di un determinato dominio. Ogni 39 secondi si verifica un attacco informatico in tutto il mondo.la maggior parte dei quali può essere perpetrata attraverso la posta elettronica. L'SPF aiuta ad autorizzare i mittenti, in modo che il vostro dominio non possa essere manipolato da un mittente di posta elettronica di terze parti non autorizzato. SPF o Sender Policy Framework è un protocollo di autenticazione delle e-mail che consente solo a specifici IP di inviare e-mail utilizzando un nome di dominio. Qualsiasi indirizzo IP al di fuori dell'elenco non raggiungerà la casella di posta elettronica del destinatario, in quanto comporta il fallimento dell'SPF. Il criterio SPF, definito nel record DNS, elenca i server di posta autorizzati a inviare messaggi per conto del vostro dominio.

I record email SPF aiutano a mantenere un elenco di mittenti verificati per il vostro dominio che possono essere consultati pubblicamente e recuperati dai server di ricezione per autenticare le email e sono menzionati in RFC 7208. Proteggono i domini di posta elettronica dagli hacker per evitare attacchi di phishing, spamming e spoofing. Le tecniche di autenticazione delle e-mail come SPF sono ideali per mantenere protetto il vostro dominio e-mail.

Come funziona l'SPF?

L'SPF funziona consentendo ai proprietari dei domini di pubblicare un elenco di server e-mail autorizzati (indirizzi IP o nomi di host) che possono inviare e-mail per loro conto. Ecco come funziona SPF passo dopo passo: 

1. Pubblicare il record per SPF

Il proprietario del dominio pubblica un record SPF nel DNS (Domain Name System) del proprio dominio. Il DNS è un sistema che traduce nomi di host leggibili dall'uomo in indirizzi IP leggibili dalla macchina. Il record SPF è un record DNS TXT contenente un elenco di server autorizzati a inviare e-mail per quel dominio.

2. L'e-mail viene ricevuta

Quando un'e-mail viene inviata, contiene informazioni sul dominio del mittente, spesso contenute nell'indirizzo Return-Path (noto anche come indirizzo del mittente della busta o MAIL FROM), che specifica dove devono andare le e-mail rimbalzate.

3. Estrazione del dominio del mittente

Il server e-mail del destinatario estrae il dominio dall'indirizzo e-mail Return-Path nell'intestazione dell'e-mail.

4. Viene eseguita la ricerca DNS

Il server e-mail del destinatario esegue una ricerca DNS per recuperare il record SPF TXT del dominio del mittente identificato nel passaggio precedente.

5. Viene eseguita l'autenticazione SPF

Il record SPF contiene un criterio che definisce quali server sono autorizzati a inviare e-mail per il dominio. Il server di posta elettronica del destinatario confronta l'indirizzo IP del server che ha inviato l'e-mail con l'elenco dei server autorizzati specificato nel record SPF. L'indirizzo e-mail del percorso di ritorno viene sottoposto a un controllo incrociato da parte del destinatario per verificare se l'indirizzo IP di invio è elencato o meno nei record SPF.

6. Viene determinato il risultato finale dell'autenticazione

In base al controllo SPF, il server di posta elettronica del destinatario determina se l'e-mail proviene da un server autorizzato o meno (Pass, Fail, SoftFail, Neutral, ecc.).

7. Si interviene in base ai risultati

Il server di posta elettronica del destinatario agisce in base al risultato del controllo SPF e alla politica DMARC del dominio (se esiste). Può accettare l'e-mail, contrassegnarla come spam o rifiutarla completamente. Se l'approvazione è positiva, le e-mail vengono generalmente inviate alla casella di posta; in caso contrario, può verificarsi un fallimento dell'SPF.

Impostare l'SPF con PowerDMARC!

Come utilizzare l'SPF con la posta elettronica

Per utilizzare lo standard SPF per le e-mail, è necessario assicurarsi di averne compreso correttamente il funzionamento e verificare il supporto SPF del proprio dominio e del provider di servizi e-mail. In seguito, è possibile creare un record per SPF, pubblicare il record sul proprio DNS e, idealmente, combinare l'implementazione SPF DNS con DKIM e DMARC per prevenire lo spoofing. Va notato che SPF autentica il server di invio e non convalida necessariamente l'identità del mittente o il contenuto del messaggio. L'utilizzo di SPF con DKIM, DMARC e potenzialmente BIMI per un'autenticazione più approfondita delle e-mail può migliorare significativamente la sicurezza delle e-mail.

Come attivare l'SPF per le e-mail

Per creare un record SPF, è necessario seguire i seguenti passaggi generali:

Determinare i server e-mail autorizzati

Identificare gli indirizzi IP o i nomi host di tutti i server e-mail autorizzati a inviare e-mail per conto del vostro dominio. Questo include i server e-mail della vostra organizzazione, i fornitori di servizi e-mail di terze parti (come Google Workspace, Microsoft 365, SendGrid, Mailchimp, ecc.) e qualsiasi altro servizio che invia e-mail utilizzando il nome del vostro dominio. Raccogliere un elenco completo di tutti questi indirizzi IP e domini di invio.

Definire la politica SPF

Determinare la politica per l'SPF. Si tratta di specificare quali server sono autorizzati a inviare e-mail per il proprio dominio utilizzando i meccanismi SPF. È inoltre necessario decidere quanto strettamente i server riceventi debbano applicare la politica utilizzando dei qualificatori (ad esempio, `tutti` per Fail, `~tutti` per SoftFail).

Determinare il formato SPF

I record SPF vengono pubblicati come record TXT nel DNS del dominio. Il record deve avere un formato specifico, che inizia con `v=spf1` seguito da meccanismi, modificatori e un meccanismo finale `all` con un qualificatore.

Pubblicare il record SPF

Innanzitutto, generare il record SPF. Potete utilizzare il nostro strumento gratuito di generazione SPF o costruire manualmente il record in base ai vostri mittenti autorizzati e alla vostra politica. Quindi, accedete al sistema di gestione DNS del vostro dominio, che in genere è fornito dalla società di registrazione del dominio o dal provider di hosting. Individuate le impostazioni DNS del vostro dominio e aggiungete un nuovo record TXT. Specificate il nome dell'host (di solito "@" o vuoto per il dominio principale) e incollate la stringa completa del record SPF nel campo valore/dati.

Esempio di record SPF

Un record SPF TXT nel vostro DNS avrà un aspetto simile a questo:

Questo record definisce un insieme di host come mittenti validi. Ad esempio, `v=spf1 ip4:192.168.0.0/16 include:spf.example.com -all` significa:

• `v=spf1`: Specifica la versione SPF utilizzata.
• `ip4:192.168.0.0/16`: Autorizza le e-mail inviate da qualsiasi indirizzo IP compreso in questo intervallo.
• `include:spf.example.com`: Include il record SPF di `spf.example.com`, autorizzando di fatto tutti i mittenti elencati. Questo conta come una ricerca DNS.
• `-tutti': Indica che qualsiasi mittente che non corrisponde ai meccanismi precedenti deve fallire il controllo SPF (essere rifiutato).

La struttura comprende tipicamente meccanismi, modificatori e qualificatori:

Meccanismi:

Definiscono i server autorizzati a inviare e-mail. I meccanismi comuni includono: `a`, `mx`, `ip4`, `ip6`, `include`, `exists` e `all`.

1. `ALL`: Corrisponde sempre. Utilizzato per la fine del record (ad esempio, `-all`).
2. `A`: Corrisponde se l'IP del mittente corrisponde al record A o AAAA del dominio.
3. `IP4`: Corrisponde se l'IP del mittente rientra nell'intervallo IPv4 specificato.
4. `IP6`: Corrisponde se l'IP del mittente rientra nell'intervallo IPv6 specificato.
5. `MX`: Corrisponde se l'IP del mittente corrisponde a uno degli indirizzi IP dei record MX del dominio.
6. `PTR`: Corrisponde se il record PTR per l'IP del mittente punta a un dominio che si risolve all'IP del mittente. (L'uso è sconsigliato a causa dell'inefficienza e dell'inaffidabilità).
7. `EXISTS`: Corrisponde se il nome di dominio dato si risolve.
8. `INCLUDE`: Include il criterio da un altro dominio. Si verifica un'elaborazione ricorsiva.

Modificatori:

Questi forniscono informazioni aggiuntive o modificano il funzionamento del record. I principali modificatori sono `redirect` (punta al record SPF di un altro dominio, sostituendo quello attuale) e `exp` (fornisce una spiegazione per i fallimenti SPF). I modificatori appaiono alla fine, dopo i meccanismi.

Qualificati:

Prefisso ai meccanismi per indicare come trattare una corrispondenza:

• `+`: Pass (predefinito)
• `-`: Fallito (l'e-mail deve essere rifiutata)
• `~`: SoftFail (L'email dovrebbe essere accettata ma segnata/scrutinata)
• `?`: Neutro (Nessuna politica affermata; trattare come Nessuna)

Come controllare e verificare l'SPF?

Una volta impostato il record SPF, potrebbe essere necessario un po' di tempo (fino a 48 ore, anche se spesso molto meno) perché le modifiche DNS si propaghino su Internet. Utilizzate il nostro controllo del record SPF per convalidare e testare il record. In questo modo è possibile verificare la correttezza della sintassi e garantire il riconoscimento da parte dei server DNS.

È importante notare che i record SPF possono essere complessi, a seconda dei requisiti specifici della vostra infrastruttura e-mail. Se non si è sicuri della sintassi o si ha bisogno di configurazioni più avanzate, si consiglia di consultare l'amministratore di sistema, il supporto IT o un esperto di autenticazione e-mail per ottenere assistenza nella creazione corretta del record SPF.

SPF per fornitori terzi

Che cos'è l'SPF per i fornitori terzi? Per autorizzare terze parti (come piattaforme di marketing, CRM, helpdesk) a inviare e-mail per vostro conto, dovete includere i loro indirizzi IP specifici o i loro domini designati per la gestione SPF (utilizzando il meccanismo `include:`) nel singolo record SPF del vostro dominio. Ma attenzione, non si devono creare più record SPF per lo stesso dominio, in quanto ciò invalida completamente l'SPF! Tutti i mittenti autorizzati devono essere elencati in un unico record consolidato.

Ad esempio, se si utilizza SuperEmails.net come mittente di posta elettronica e il suo dominio di gestione SPF è spf.superemails.net, il record SPF potrebbe essere:

v=spf1 include:spf.superemails.net -all

Se utilizzate anche AnotherSender.com, i cui IP sono 1.2.3.4 e 5.6.7.8, dovrete combinarli:

v=spf1 ip4:1.2.3.4 ip4:5.6.7.8 include:spf.superemails.net -all

Perché il Sender Policy Framework è importante per le e-mail?

L'SPF è importante per garantire che le e-mail inviate dal vostro dominio siano autentiche e non false esche create dai cyberattaccanti per ingannare i vostri clienti, dipendenti o partner. Con miliardi di e-mail di spam inviate ogni giorno, l'SPF è un passo fondamentale per proteggere il vostro dominio. Ecco alcuni dei principali vantaggi dell'SPF: 

Riduzione dello spoofing delle e-mail e prevenzione dei cyberattacchi

L'SPF aiuta a combattere lo spoofing delle e-mail verificando l'autenticità del server di invio. I malintenzionati utilizzano spesso indirizzi spoofed per il phishing, lo spamming e altri attacchi informatici. Un record SPF correttamente configurato rende molto più difficile per loro impersonare con successo il vostro dominio.

Miglioramento della deliverability delle e-mail e riduzione della frequenza di rimbalzo

L'implementazione dell'SPF può migliorare i tassi di recapito delle e-mail. Quando i server dei destinatari eseguono un controllo SPF e scoprono che il server di invio è autorizzato, è più probabile che accettino l'e-mail piuttosto che contrassegnarla come spam o rifiutarla. I domini privi di record SPF corretti possono registrare tassi di rimbalzo più elevati o far finire le e-mail nelle cartelle di spam.

Riduzione dei falsi positivi

Identificando con precisione i server e-mail autorizzati, l'SPF riduce la probabilità che le e-mail legittime vengano erroneamente contrassegnate come spam dai sistemi di ricezione. Questo aiuta a prevenire i falsi positivi e garantisce che le comunicazioni importanti raggiungano le caselle di posta dei destinatari.

Reputazione del mittente migliorata

L'SPF svolge un ruolo importante nella costruzione e nel mantenimento di una reputazione positiva del mittente presso i provider di caselle di posta elettronica. Implementando l'SPF, i proprietari dei domini dimostrano il loro impegno verso le migliori pratiche di sicurezza e autenticazione delle e-mail, che gli ISP apprezzano.

Mitigazione di phishing e spam

L'SPF contribuisce a ridurre l'efficacia dei tentativi di phishing e delle campagne di spam che si basano sull'impersonificazione dei domini. L'SPF rende più difficile per gli attori malintenzionati inviare e-mail fraudolente sostenendo di provenire da domini affidabili.

Conformità agli standard e-mail e DMARC

Molti fornitori di servizi di posta elettronica e organizzazioni incoraggiano o richiedono l'uso di SPF come parte delle loro politiche di posta elettronica. Inoltre, SPF è un componente fondamentale del DMARC (Domain-based Message Authentication, Reporting, and Conformance). Il DMARC si basa sull'allineamento SPF (e/o DKIM) per determinare come i server di ricezione debbano gestire la posta non autenticata, rendendo SPF essenziale per la conformità al DMARC.

Quali sono i limiti dell'SPF?

L'SPF è uno strumento prezioso, ma ha dei limiti:

• **Problemi di inoltro delle e-mail:** SPF può incontrare problemi con l'inoltro delle e-mail. Quando un'e-mail viene inoltrata da un server a un altro, l'autenticazione SPF originale può fallire perché l'indirizzo IP del server di inoltro non è elencato nel record SPF del dominio del mittente originale. Il DMARC aiuta a mitigare questo problema, ma rimane una limitazione fondamentale dell'SPF.
• **Complessità e gestione:** Con l'aumento del numero di server e-mail autorizzati e di servizi di terze parti, cresce la complessità della gestione e del mantenimento del singolo record SPF.
• **Limite di 10 ricerche DNS:** I record SPF sono limitati a un massimo di 10 ricerche DNS (meccanismi come `include`, `a`, `mx`, `ptr`, `exists` e `redirect` contano per questo limite). Il superamento di questo limite causa un errore permanente (PermError), rendendo il record SPF inefficace. Le organizzazioni che utilizzano molti fornitori di terze parti spesso raggiungono questo limite. Strumenti come l'appiattimento SPF possono contribuire a mitigare questo problema sostituendo i lookup con indirizzi IP statici, ma richiedono una gestione attenta.
• **Un singolo record TXT nel DNS ha un limite di 255 caratteri. Sebbene i record SPF possano includere più stringhe all'interno di un singolo record TXT, i record troppo complessi possono diventare difficili da gestire e potenzialmente superare i limiti di dimensione dei record DNS. Il superamento del limite di caratteri della stringa SPF all'interno di una singola stringa invaliderà anche il record.
• **SPF si concentra esclusivamente sulla verifica dell'autenticità del server di invio in base al dominio del percorso di ritorno. Non fornisce la crittografia, né verifica l'integrità del contenuto del messaggio (come fa DKIM ), né autentica direttamente l'indirizzo "Da" visibile all'utente che i destinatari vedono. Gli aggressori possono talvolta aggirare l'SPF utilizzando un server autorizzato ma falsificando l'indirizzo "Da".
• **SPF di per sé non fornisce visibilità o feedback al proprietario del dominio sui risultati dell'autenticazione o su potenziali abusi. È qui che il DMARC diventa cruciale, in quanto sfrutta i risultati dell'SPF e fornisce una segnalazione.

Evitare gli errori comuni di configurazione dell'SPF

Una configurazione errata può rendere inefficace il criterio SPF o addirittura bloccare le e-mail legittime. Evitate queste comuni insidie:

• **Un dominio DEVE avere un solo record SPF TXT. Più record causano errori di convalida. Consolidare tutti i mittenti autorizzati in un unico record.
• **Sintassi non corretta:** I record SPF hanno requisiti sintattici rigorosi. Errori di battitura, l'uso di meccanismi non corretti (ad esempio, l'uso di `TXT` invece di `ip4` o `include`) o elementi mal posizionati possono invalidare il record. Convalidare sempre il record prima di pubblicarlo.
• **Non includere tutti i mittenti autorizzati:** Se si dimentica di elencare un servizio di terze parti legittimo o un server di posta interno, le e-mail inviate da tali fonti non supereranno i controlli SPF, con conseguente impatto sulla deliverability. Mantenere un inventario completo.
• **Come già detto nelle limitazioni, l'aggiunta di troppi meccanismi `include`, `a`, `mx` e così via, interromperà l'SPF. Monitorare attentamente le ricerche, soprattutto quando si aggiungono nuovi fornitori.
• **Superamento dei limiti di caratteri:** Assicuratevi che il vostro record rispetti il limite di 255 caratteri per stringa e i limiti di dimensione complessiva dei record DNS.
• **Usare il tipo di record sbagliato:** I record SPF devono essere pubblicati come record TXT nel DNS. Alcuni vecchi sistemi utilizzavano un tipo di record SPF dedicato, ma questo è deprecato e non deve essere utilizzato.
• **Se cambiate provider di posta elettronica, aggiungete nuovi servizi o dismettete vecchi server, dovete aggiornare il vostro record SPF di conseguenza. I record non aggiornati possono bloccare la posta legittima o lasciare spazi vuoti per gli abusi.

Rendere l'SPF ancora migliore con PowerDMARC

L'SPF di per sé è efficace, ma ha dei limiti. I criminali informatici hanno trovato il modo di aggirare i semplici controlli degli indirizzi IP, in particolare prendendo di mira l'indirizzo "Da" visibile all'utente, che l'SPF non protegge direttamente. La tecnologia SPF diventa molto più potente e rilevante se incorporata nel DMARC.

Abbiniamo SPF con DKIM e DMARC

Il DMARC richiede l'allineamento, ovvero il dominio utilizzato per l'SPF (nel percorso di ritorno) e/o il dominio utilizzato per la firma DKIM devono corrispondere al dominio nell'intestazione "Da" visibile. PowerDMARC vi aiuta a configurare correttamente il DMARC, sfruttando i risultati SPF e DKIM per un'autenticazione solida. Inoltre, l'intelligenza delle minacce basata sull'intelligenza artificiale consente di identificare gli attacchi di spoofing anche quando i controlli di base vengono superati.

Rapporti e feedback

Né l'SPF né il DKIM da soli forniscono al proprietario del dominio un feedback sulle e-mail che non superano l'autenticazione o sui potenziali modelli di abuso. DMARC consente ai server di posta riceventi di inviare rapporti DMARC dettagliati, aggregati (RUA) e forensi (RUF), al proprietario del dominio. La piattaforma PowerDMARC elabora questi complessi report XML in grafici, tabelle e avvisi di facile lettura, fornendo una visibilità cruciale sull'ecosistema e-mail, sulla conformità dei mittenti e sulle minacce. Grazie a questi dati analitici, è possibile perfezionare le configurazioni SPF/DKIM e adattare la strategia di posta elettronica.

Controllare cosa succede alle e-mail non autenticate

Il DMARC consente al proprietario del dominio di specificare una politica per la gestione da parte dei destinatari delle e-mail che non superano i controlli SPF e DKIM (o che non riescono ad allinearsi). È possibile scegliere `p=none` (solo monitoraggio), `p=quarantena` (invio allo spam) o `p=rifiuto` (blocco totale dell'e-mail). Con PowerDMARC, la gestione e l'avanzamento della politica DMARC verso l'applicazione diventa molto più semplice, spesso realizzabile grazie a una guida chiara e a facili controlli dell'interfaccia.

• Informazioni su
• Ultimi messaggi

Maitham Al Lawati

Esperto di sicurezza informatica, CEO di PowerDMARC

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

• Cos'è il DMARC? Una semplice guida alla protezione delle e-mail - 11 luglio 2025
• Come leggere i rapporti DMARC: Tipi, strumenti e suggerimenti - 10 luglio 2025
• Come creare e pubblicare un record DMARC - 3 marzo 2025