SPF (Sender Policy Framework): cos'è e come funziona
di
Ultimo aggiornamento: 7 Tempo di lettura: 7 minuti
I punti chiave da prendere in considerazione
- L'SPF (Sender Policy Framework) è un protocollo di autenticazione delle e-mail che consente ai proprietari di domini di pubblicare nel proprio DNS un elenco di server di posta autorizzati.
- Un record SPF è un record DNS di tipo TXT che elenca gli indirizzi IP e i servizi di invio autorizzati. Deve iniziare con v=spf1, rispettare la sintassi SPF corretta ed essere pubblicato come record singolo.
- SPF presenta dei limiti concreti. Non funziona correttamente con le e-mail inoltrate, non è in grado di proteggere l'indirizzo del mittente visibile agli utenti e ha un limite massimo di 10 ricerche DNS. Il superamento di tale limite provoca un errore PermError che può causare il silenzioso rifiuto di messaggi legittimi.
- L'SPF da solo non è sufficiente. Deve essere abbinato a DKIM e DMARC per garantire una protezione completa contro lo spoofing delle e-mail, gli attacchi di phishing e l'uso improprio dei domini.
Lo spoofing delle e-mail è uno dei trucchi più vecchi nel repertorio degli hacker, e continua a funzionare perché l'eccessivo numero di domini lo rende troppo facile. Lo Sender Policy Framework (SPF) rappresenta la prima linea di difesa. Si tratta di un protocollo fondamentale per l'autenticazione delle e-mail che indica ai server di posta in ricezione quali indirizzi IP sono effettivamente autorizzati a inviare e-mail a tuo nome.
Questa guida spiega cos'è l'SPF, come funziona il protocollo SPF, come configurarlo correttamente e quali sono i suoi limiti.
Che cos'è l'SPF (Sender Policy Framework)?
L'Sender Policy Framework (SPF) è un protocollo di autenticazione delle e-mail progettato per prevenire lo spoofing delle e-mail, una delle tecniche più comuni utilizzate negli attacchi di phishing e nelle campagne di spam.
Funziona consentendo ai proprietari dei domini di pubblicare nel proprio DNS un elenco di server di posta autorizzati, in modo che i server destinatari possano verificare se un messaggio in arrivo provenga effettivamente da una fonte approvata.
L'SPF è una componente fondamentale dell' autenticazione delle e-mail perché fornisce ai sistemi riceventi una risposta chiara e autorevole a una semplice domanda: questo server è autorizzato a inviare posta per questo dominio?
Il ruolo dell'SPF nel panorama generale della sicurezza della posta elettronica
L'SPF non funziona da solo. È uno dei tre principali protocolli di autenticazione della posta elettronica, insieme a DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication, Reporting, and Conformance (DMARC). Insieme, questi protocolli costituiscono una difesa completa contro le frodi via e-mail.
| Protocollo | Cosa verifica |
|---|---|
| SPF | Se il server mittente è autorizzato dal proprietario del dominio |
| DKIM | Se il contenuto del messaggio è stato modificato durante il trasferimento |
| DMARC | Se gli indicatori SPF e DKIM corrispondono all'indirizzo del mittente e cosa fare in caso contrario |
L'SPF è inoltre un componente indispensabile per la configurazione del DMARC. Senza un record SPF valido, il DMARC non può funzionare correttamente.
Lettura consigliata: SPF, DKIM e DMARC: come funzionano insieme
Come funziona il protocollo SPF
SPF funziona interamente tramite il DNS. Quando viene inviata un'e-mail, il server di posta ricevente esegue una serie di controlli per stabilire se il messaggio sia attendibile. Ecco come funziona questo processo dall'inizio alla fine.
Il processo di verifica dell'SPF
- Viene inviata un'e-mail da un server, che riporta il dominio del mittente nell'indirizzo Return-Path
- Il server ricevente identifica il dominio del mittente dall'indirizzo Return-Path
- Il server di ricezione esegue una ricerca del record SPF nel DNS del dominio per trovare il record SPF pubblicato
- L'indirizzo IP del server mittente viene confrontato con l'elenco degli indirizzi IP autorizzati contenuto nel record SPF
- Se c'è una corrispondenza, l'e-mail supera l'autenticazione SPF. Se non c'è corrispondenza, l'e-mail potrebbe essere contrassegnata come sospetta o respinta, a seconda delle politiche del dominio
Risultati dell'autenticazione SPF
| Risultato | Significato |
|---|---|
| Passo | L'indirizzo IP mittente è autorizzato nel record SPF |
| Bocciatura | L'invio da questo indirizzo IP non è autorizzato |
| SoftFail | L'IP non è autorizzato, ma il dominio non ne rifiuta l'accesso |
| Neutro | Il proprietario del dominio non ha fornito alcuna indicazione riguardo all'indirizzo IP di provenienza |
| Nessuno | Non è stato trovato alcun record SPF per il dominio |
| Errore temporaneo | Durante il controllo si è verificato un errore di ricerca DNS |
| Errore permanente | Il record SPF contiene un errore di sintassi o supera il limite di ricerca |
È importante sottolineare che l'SPF verifica solo l'indirizzo IP del server mittente. Non autentica l'identità effettiva del mittente né il contenuto del messaggio. È qui che entrano in gioco DKIM e DMARC colmano le lacune.
Che aspetto ha un record SPF?
Un record SPF è un record DNS TXT pubblicato nelle impostazioni DNS del tuo dominio. Segue una sintassi specifica di meccanismi e qualificatori che definiscono quali server sono autorizzati a inviare email per il tuo dominio.
Struttura di base del record SPF
v=spf1 ip4:192.0.2.0/24 include:mailprovider.com -all
| Componente | Significato |
|---|---|
| v=spf1 | Il tag della versione deve comparire per primo in ogni record SPF |
| ip4: | Autorizza un indirizzo IPv4 specifico o un intervallo di indirizzi |
| ip6: | Autorizza un indirizzo IPv6 specifico o un intervallo di indirizzi |
| includono: | Autorizza il record SPF di un mittente terzo |
| a: | Autorizza l'indirizzo IP del record A del dominio |
| mx: | Autorizza i server di posta del dominio |
| -tutti | Errore grave: rifiuta tutte le e-mail che non corrispondono al record |
| ~tutto | Errore non grave: segnala l'errore ma consegna comunque l'e-mail che non corrisponde al record |
| ?tutti | Neutro: nessuna politica per la posta non corrispondente |
Record SPF per domini che non inviano messaggi
Per i domini che non inviano mai e-mail, è comunque opportuno pubblicare un record SPF restrittivo per impedire che vengano oggetto di spoofing:
v=spf1 -all
Questo indica ai server destinatari di respingere tutte le e-mail che dichiarano di provenire da quel dominio.
Il limite di 10 ricerche DNS
SPF prevede un limite di 10 ricerche DNS per ogni valutazione di record. Ciascuna include:, a:, mx:, e redirect: innesca una ricerca.
Il superamento di questo limite genera un errore PermError, che può impedire l'autenticazione SPF delle e-mail legittime fallire l'autenticazione SPF senza alcun avviso. Questo è uno dei problemi di configurazione SPF più comuni e spesso trascurati, in particolare per le organizzazioni con ambienti di posta elettronica complessi.
Impostare l'SPF con PowerDMARC!Perché scegliere PowerDMARC rispetto ad altri strumenti SPF?
|
Come creare e pubblicare un record SPF
La creazione e la pubblicazione di un record SPF rappresentano uno dei passaggi più importanti per proteggere la posta elettronica del proprio dominio.
Se configurato correttamente, indica a ogni server di posta in arrivo quali mittenti sono autorizzati a inviare messaggi a tuo nome. Se configurato in modo errato, può compromettere silenziosamente l'autenticazione delle tue e-mail legittime. Ecco come configurarlo correttamente.
Fase 1: Verifica tutte le tue fonti di invio delle e-mail
Prima di scrivere anche solo una riga del tuo record SPF, individua tutti i servizi e i sistemi che inviano e-mail dal tuo dominio. Questo è il passaggio che la maggior parte delle organizzazioni trascura, ed è il motivo più comune per cui i record SPF non funzionano dopo la pubblicazione.
La vostra verifica dovrebbe riguardare:
- Il tuo server di posta principale
- Piattaforme di email marketing
- Strumenti CRM e di vendita
- Software di assistenza e supporto
- Servizi di fatturazione e di posta elettronica transazionale
- Qualsiasi fornitore terzo che effettui invii per vostro conto
Per ogni fonte, raccogliere gli indirizzi IP di provenienza specifici oppure la stringa SPF fornita da quel servizio.
Fase 2: Crea il tuo record SPF
Raggruppare tutti i mittenti autorizzati in un unico record TXT DNS utilizzando la sintassi SPF corretta. Ecco un esempio di base:
v=spf1 ip4:192.0.2.1 include:sendingservice.com include:marketingplatform.com -all
Regole fondamentali da seguire durante la stesura:
| Regola | Perché è importante |
|---|---|
| Inizia sempre con v=spf1 | Questo è il tag della versione obbligatorio. Senza di esso, il record non è valido |
| Utilizzare un solo record | La presenza di più record SPF sullo stesso dominio genera un errore PermError e impedisce l'autenticazione |
| Non superare le 10 ricerche DNS | Ogni meccanismo include:, a: e mx: viene conteggiato ai fini del limite. Il superamento di tale limite provoca un PermError |
| Terminare con -all o ~all | Definisce cosa succede alla posta che non soddisfa i criteri. Utilizzare -all per applicare rigorosamente il rifiuto |
Passaggio 3: Pubblica il record nel tuo DNS
Una volta creato il record, accedi al tuo provider DNS e aggiungilo come record TXT al tuo dominio principale.
Il record dovrebbe essere aggiunto in @ oppure tuodominio.com, non in un sottodominio, a meno che non si stia creando specificatamente un record separato per un sottodominio.
Se si utilizzano sottodomini distinti per diversi servizi di invio, ogni sottodominio deve disporre di un proprio record SPF. Si tratta inoltre di una tecnica utile per non superare il limite di 10 ricerche quando si gestiscono più mittenti di terze parti.
Passaggio 4: Verifica il tuo record dopo la pubblicazione
La pubblicazione del tuo record non è l'ultimo passo. Verificalo sempre dopo la pubblicazione per assicurarti che:
- Il file è formattato correttamente e non contiene errori di sintassi
- Sono presenti tutti gli indirizzi IP autorizzati e le stringhe incluse
- Il limite di ricerca DNS non è stato superato
- Non esistono record SPF duplicati sullo stesso dominio
Utilizza lo strumento di ricerca SPF di PowerDMARC per eseguire questo controllo subito dopo la pubblicazione e di nuovo ogni volta che apporti delle modifiche.
Passaggio 5: Mantieni aggiornato il tuo registro
Un record SPF non è una configurazione che si imposta una volta per tutte.
Ogni volta che si aggiunge una nuova piattaforma di invio, si cambia provider di servizi di posta elettronica o si disattiva una piattaforma esistente, è necessario aggiornare il record SPF. Un record non aggiornato che fa riferimento a indirizzi IP obsoleti o a servizi non più disponibili è una delle cause più comuni per cui le e-mail legittime non superano l'autenticazione SPF.
Stabilisci una frequenza regolare per controllare il tuo record SPF, soprattutto dopo eventuali modifiche all'infrastruttura di posta elettronica.
SPF e deliverability delle e-mail
Uno dei vantaggi più immediati derivanti dall'implementazione dell'SPF è migliore deliverability delle email. Ecco come l'SPF influisce sul percorso che le tue email compiono dall'invio alla posta in arrivo.
In che modo l'SPF migliora la deliverability
- I server di ricezione della posta e i provider di caselle di posta utilizzano l'SPF come indicatore di affidabilità per decidere se consegnare, filtrare o respingere la posta in arrivo
- Un record SPF valido riduce il rischio che le e-mail legittime vengano contrassegnate come spam
- Un'autenticazione SPF costante contribuisce a migliorare la reputazione del dominio nel tempo, riducendo il rischio che le tue e-mail vengano bloccate o deviate nelle cartelle della posta indesiderata
- L'implementazione dell'SPF dimostra agli ISP l'impegno a garantire la sicurezza delle e-mail, contribuendo positivamente alla reputazione del mittente
In che modo un SPF configurato in modo errato può compromettere la deliverability
| Problema | Impatto |
|---|---|
| Manca il record SPF | Il dominio può essere facilmente falsificato; non vi è alcun segnale di affidabilità per i destinatari |
| Errore permanente (limite di ricerca superato) | Le e-mail legittime potrebbero non superare l'autenticazione SPF |
| Indirizzi IP autorizzati non più validi | Le e-mail provenienti da mittenti nuovi o modificati non superano il controllo SPF |
| Record SPF multipli | Genera un errore PermError, compromettendo completamente l'autenticazione |
| Troppo permissivo ~tutto o ?tutto | Riduce il valore protettivo del documento |
Mantenere un record SPF accurato e aggiornato è fondamentale per proteggere la reputazione del proprio dominio e garantire una consegna costante delle e-mail.
I limiti dell'SPF
L'SPF è un metodo fondamentale metodo di autenticazione delle e-mail , ma presenta dei limiti ben documentati che ogni proprietario di dominio dovrebbe comprendere. Affidarsi esclusivamente all'SPF lascia notevoli lacune nella sicurezza della posta elettronica.
Cosa non può fare l'SPF
| Limitazione | Perché è importante |
|---|---|
| Impossibile nascondere l'indirizzo del mittente visibile | SPF verifica l'autenticità del campo Return-Path, non dell'intestazione From che vedono i destinatari |
| Interruzioni nelle e-mail inoltrate | L'indirizzo IP del server di inoltro non è presente nel record SPF originale, causando errori |
| Impossibile verificare il contenuto del messaggio | SPF verifica solo l'indirizzo IP del mittente, non se il messaggio sia stato modificato |
| Impossibile bloccare il phishing su domini simili | Gli hacker possono registrare un dominio simile con un proprio record SPF valido |
| Con un limite di 10 ricerche DNS | Gli ambienti complessi possono superare il limite, causando errori PermError |
L'SPF è solo l'inizio, non la fine
L'SPF da solo non è in grado di proteggere l'indirizzo del mittente visibile agli utenti, non resiste all'inoltro e non è in grado di autenticare il contenuto del messaggio.
Per garantire una protezione completa contro lo spoofing dei domini e gli attacchi di phishing, è necessario combinare SPF con DKIM e DMARC. DMARC colma proprio quella lacuna lasciata aperta da SPF, richiedendo che l'indirizzo del mittente corrisponda alle informazioni autenticate relative al mittente.
| Consiglio dell'esperto: Consiglio sempre ai clienti di tenere un registro delle modifiche SPF in cui documentare tutte le modifiche, specialmente in ambienti complessi con più servizi di posta elettronica. Questo previene le discrepanze di configurazione e semplifica notevolmente la risoluzione dei problemi. |
Proteggi il tuo dominio con SPF e PowerDMARC
L'SPF è il punto di partenza dell'autenticazione delle e-mail, ma è solo uno dei tasselli del puzzle.
Configurare correttamente il record SPF, mantenerlo aggiornato man mano che la tua infrastruttura di invio si evolve e abbinarlo a DKIM e DMARC è ciò che protegge effettivamente il tuo dominio da spoofing, phishing e problemi di consegna.
Un cliente racconta:
«PowerDMARC ha semplificato la gestione dell'SPF per il nostro team IT. La deliverability e la sicurezza delle nostre e-mail sono migliorate da un giorno all'altro.» – CISO, istituto finanziario
PowerDMARC semplifica l'intero processo. Dalla generazione e convalida del record SPF al monitoraggio dei risultati di autenticazione su tutti i tuoi domini di invio, fino all'applicazione completa dello standard DMARC, PowerDMARC ti offre la visibilità e il controllo necessari per gestire il tutto correttamente sin dall'inizio e mantenerlo nel lungo periodo.
Inizia oggi stesso con PowerDMARC oggi stesso!
Domande frequenti
1. Che cos'è l'SPF (Sender Policy Framework)?
L'SPF (Sender Policy Framework) è un protocollo di autenticazione delle e-mail che consente ai proprietari di domini di specificare quali server di posta sono autorizzati a inviare e-mail per conto del proprio dominio. Funziona tramite la pubblicazione di un record DNS TXT che elenca le fonti di invio approvate, aiutando i server destinatari a verificare l'autenticità delle e-mail e a prevenire lo spoofing.
2. In che modo l'SPF si differenzia dal DKIM e dal DMARC?
SPF verifica l'indirizzo IP del server mittente, DKIM utilizza firme crittografiche per verificare l'integrità del messaggio e DMARC garantisce l'applicazione delle politiche e la generazione di report. SPF controlla il mittente dell'involucro, DKIM verifica che il contenuto del messaggio non sia stato alterato e DMARC indica ai server destinatari come comportarsi in caso di fallimento di SPF o DKIM. Tutti e tre i sistemi operano in sinergia per garantire un'autenticazione completa delle e-mail.
3. Come si utilizza il Sender Policy Framework?
Identifica tutti i servizi che inviano e-mail dal tuo dominio, raccogli i loro indirizzi IP autorizzati e pubblica un unico record DNS TXT che inizi con v=spf1. Verificalo dopo la pubblicazione e mantienilo aggiornato man mano che la tua infrastruttura di invio subisce modifiche.
4. Quali sono alcune limitazioni dei record e-mail SPF?
SPF verifica solo il server mittente, non l'identità del mittente né il contenuto del messaggio. Non funziona con le e-mail inoltrate e prevede un limite rigido di 10 ricerche DNS che, se superato, può compromettere l'autenticazione senza alcun avviso.
5. L'SPF è la stessa cosa del DKIM?
No. L'SPF verifica l'indirizzo IP del server mittente. Il DKIM utilizza una firma crittografica per verificare che il contenuto del messaggio non sia stato alterato durante il trasferimento.
6. Perché un'e-mail potrebbe non superare il controllo SPF?
Le cause più comuni sono un server di invio non autorizzato, un record SPF non aggiornato in cui manca un mittente legittimo, errori di sintassi nel record o il superamento del limite di 10 ricerche DNS.
Esperto di sicurezza informatica, CEO di PowerDMARC
Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.
Ultimi messaggi di Maitham Al Lawati (vedi tutti)
- Statistiche relative al phishing via e-mail e al DMARC: tendenze 2026 in materia di sicurezza delle e-mail - 6 gennaio 2026
- Come risolvere il problema "Nessun record SPF trovato" nel 2026 - 3 gennaio 2026
- SPF Permerror: come risolvere il problema di un numero eccessivo di ricerche DNS - 24 dicembre 2025
