Che cos'è il record e-mail SPF? Funzione, sintassi ed errori

Sapevate che ogni 39 secondi a attacco informatico avviene da qualche parte nel mondo, spesso a partire da una semplice e-mail contraffatta? Le conseguenze possono essere devastanti. Le aziende rischiano di perdere la fiducia dei clienti e di subire un danno alla reputazione del marchio che potrebbe non essere più recuperato. Uno dei trucchi più comuni dietro questi attacchi è il domain spoofing, in cui i criminali impersonano domini affidabili per ingannare i destinatari.

La buona notizia è che il record di posta elettronica SPF, noto anche come Sender Policy Framework, può rappresentare la linea di difesa più forte. In questa guida scoprirete cos'è il record SPF, perché è importante e come può proteggere il vostro dominio dallo spoofing.

Che cos'è il record e-mail SPF?

Il criterio SPF, definito nel record DNSelenca i server di posta autorizzati a inviare messaggi per conto del vostro dominio. Più precisamente, il Sender Policy Framework (SPF) è un protocollo di autenticazione delle e-mail che funziona come una lista di ospiti per il vostro dominio. Immaginate di ospitare un evento esclusivo a cui possono accedere solo gli invitati. Allo stesso modo, SPF consente di creare un elenco di server ufficialmente autorizzati a inviare e-mail per conto del vostro dominio.

Lo scopo principale dell'SPF è quello di impedire a mittenti non autorizzati di spacciarsi per voi, bloccando così gli attacchi di spoofing delle e-mail. Inoltre, l'implementazione dell'SPF può migliorare la deliverability delle e-mail e rafforzare la reputazione del mittente, rendendo più probabile che le e-mail legittime raggiungano le caselle di posta anziché le cartelle di spam.

Da un punto di vista tecnico, SPF è un tipo di record TXT che viene pubblicato nel DNS (Domain Name System) del vostro dominio. Questo record informa i server di posta elettronica riceventi sulle fonti affidabili, garantendo che l'identità del vostro dominio non possa essere facilmente falsificata.

Come funziona effettivamente il controllo SPF delle e-mail?

SPF consente al proprietario di un dominio di pubblicare un record DNS TXT che elenca i server di posta per IP o hostname che possono inviare per conto del dominio. Si tratta di un elenco di mittenti approvati. 

Ecco come funziona la SPF passo dopo passo:

1. Pubblicare un record SPF nel proprio DNS

Le fondamenta dell'SPF iniziano con il Domain Name System (DNS). Il DNS è l'infrastruttura che mappa i nomi di dominio leggibili dall'uomo, come ad esempio example.com, agli indirizzi IP che computer e server utilizzano per comunicare. Garantisce che quando viene inviata un'e-mail, il server ricevente possa individuare e verificare il dominio da cui dichiara di provenire.

Affinché l'SPF funzioni, il proprietario del dominio deve pubblicare un record SPF nel DNS del proprio dominio. Questo record assume la forma di un record TXT che specifica quali server di posta, identificati da indirizzi IP o nomi di host, sono autorizzati a inviare e-mail per conto del dominio.

La pubblicazione del record SPF è un primo passo obbligatorio. Senza di esso, non esiste un punto di riferimento per i server di posta in ricezione, il che significa che i controlli SPF non possono essere eseguiti.

2. Inviare un'e-mail dal proprio dominio

Il processo di verifica SPF inizia nel momento in cui viene inviata un'e-mail. Ogni messaggio in uscita contiene informazioni sul dominio del mittente, soprattutto nell'indirizzo Return-Path (chiamato anche mittente della busta o indirizzo MAIL FROM). Questo indirizzo non solo indica dove devono essere rispedite le e-mail rimbalzate o non recapitabili, ma identifica anche il dominio che verrà verificato con il record SPF.

Questo passaggio è l'evento scatenante dell'intero flusso di lavoro di verifica SPF. Senza l'atto di invio e la dichiarazione del dominio nel percorso di ritorno, il server ricevente non ha nulla da convalidare. Da questo momento in poi, il server di posta del destinatario inizia il processo di verifica dell'autorizzazione del server di invio in base al record SPF pubblicato.

3. Identificare il dominio del mittente dall'intestazione dell'e-mail.

Una volta che l'e-mail raggiunge il server di posta del destinatario, il passo successivo consiste nel determinare quale dominio deve essere controllato. A tale scopo, il server esamina l'indirizzo Return-Path, noto anche come indirizzo del mittente della busta o MAIL FROM. Questo campo è importante perché specifica dove devono essere restituiti i messaggi rimbalzati o non recapitabili.

È importante notare che i controlli SPF si basano sull'indirizzo tecnico Return-Path, non sull'indirizzo "Da" visibile che appare nella casella di posta dell'utente. Gli aggressori cercano spesso di sfruttare questa differenza falsificando il campo "Da" visualizzato per ingannare i destinatari.

4. Cercare il record SPF del dominio.

Una volta identificato il dominio del mittente, il server ricevente deve verificare quali server sono autorizzati a inviare e-mail per quel dominio. Per farlo, cerca il record SPF del dominio nel DNS. Il DNS, o Domain Name System, funziona come la rubrica pubblica di Internet, traducendo i nomi di dominio in informazioni che i server possono leggere.

Il server cerca in particolare un record TXT che inizia con v=spf1, che contiene l'elenco dei server di invio autorizzati. Questo record indica al server se l'e-mail proviene da una fonte approvata ed è un passo fondamentale nel processo di verifica SPF.

5. Confronto dell'indirizzo IP del mittente con il record

Il record SPF contiene un criterio che definisce quali server sono autorizzati a inviare e-mail per il dominio. Il server di posta elettronica del destinatario confronta l'indirizzo IP del server che ha inviato l'e-mail con l'elenco dei server autorizzati specificato nel record SPF. L'indirizzo e-mail del percorso di ritorno viene sottoposto a un controllo incrociato da parte del destinatario per verificare se l'indirizzo IP di invio è elencato o meno nei record SPF.

6. Determinare il risultato dell'autenticazione SPF

Dopo aver controllato il record SPF, il server ricevente determina il risultato dell'autenticazione.

I risultati possibili includono:

• Passare: L'indirizzo IP di invio è elencato come mittente autorizzato.
• Fallito: L'indirizzo IP di invio non è autorizzato e l'e-mail deve essere rifiutata.
• SoftFail: L'IP di invio è probabilmente non autorizzato, ma l'e-mail viene accettata con cautela.
• Neutro: Non viene fatta alcuna affermazione specifica sull'indirizzo IP di invio.
• Nessuno: Non esiste un record SPF per il dominio, quindi non è possibile effettuare alcuna verifica.

7. Intervenire in base ai risultati

Il server di posta elettronica del destinatario agisce in base al risultato del controllo SPF e alla politica DMARC del dominio (se esiste). Può accettare l'e-mail, contrassegnarla come spam o rifiutarla completamente. Se l'approvazione è positiva, le e-mail vengono generalmente inviate alla posta in arrivo; in caso contrario, può verificarsi un fallimento dell'SPF.

Impostare l'SPF con PowerDMARC!

Come attivare e utilizzare il record e-mail SPF

Prima di poter sfruttare l'SPF, è importante capire cosa fa e verificare che sia il vostro dominio che il vostro provider di servizi e-mail lo supportino. SPF da solo autentica il server di invio, ma non verifica l'identità effettiva del mittente o il contenuto del messaggio. Per questo motivo, SPF funziona meglio se combinato con altri protocolli come DKIM e DMARC, e persino BIMI, per creare un quadro di autenticazione delle e-mail più forte e completo.

Una volta pronti a implementare l'SPF, il processo prevede la creazione e la pubblicazione di un record SPF nel DNS del vostro dominio. Questo record definisce chiaramente quali server sono autorizzati a inviare e-mail utilizzando il vostro nome di dominio, aiutando i server di posta elettronica riceventi a filtrare i messaggi non autorizzati o spoofati.

Per abilitare l'SPF per la vostra posta elettronica, dovrete:

Determinare i server e-mail autorizzati

Identificare gli indirizzi IP o i nomi host di tutti i server e-mail autorizzati a inviare e-mail per conto del vostro dominio. Questo include i server e-mail della vostra organizzazione, i fornitori di servizi e-mail di terze parti (come Google Workspace, Microsoft 365, SendGrid, Mailchimp, ecc.) e qualsiasi altro servizio che invia e-mail utilizzando il nome del vostro dominio. Raccogliere un elenco completo di tutti questi indirizzi IP e domini di invio.

Definire la politica SPF

Determinare la politica per l'SPF. Si tratta di specificare quali server sono autorizzati a inviare e-mail per il proprio dominio utilizzando i meccanismi SPF. È inoltre necessario decidere quanto strettamente i server riceventi debbano applicare la politica utilizzando dei qualificatori (ad esempio, `tutti` per Fail, `~tutti` per SoftFail).

Costruire il formato SPF

I record SPF vengono pubblicati come record TXT nel DNS del dominio. Il record deve avere un formato specifico, che inizia con `v=spf1` seguito da meccanismi, modificatori e un meccanismo finale `all` con un qualificatore.

Pubblicare il record SPF

Innanzitutto, generare il record SPF. Potete utilizzare il nostro strumento gratuito di generazione SPF o costruire manualmente il record in base ai vostri mittenti autorizzati e alla vostra politica. Quindi, accedete al sistema di gestione DNS del vostro dominio, che in genere è fornito dalla società di registrazione del dominio o dal provider di hosting. Individuate le impostazioni DNS del vostro dominio e aggiungete un nuovo record TXT. Specificate il nome dell'host (di solito "@" o vuoto per il dominio principale) e incollate la stringa completa del record SPF nel campo valore/dati.

Sintassi del record SPF

Un record SPF ha una struttura specifica che i server di posta elettronica riceventi utilizzano per verificare i mittenti autorizzati.

Le parti principali di un record SPF comprendono:

• v=spf1: Specifica la versione SPF utilizzata.
• Meccanismi: Definisce quali server sono autorizzati a inviare e-mail per il proprio dominio. I meccanismi più comuni sono `a`, `mx`, `ip4`, `ip6`, `include`, `exists` e `all`.
• Qualificatori: Indicano il grado di severità con cui il meccanismo deve essere applicato. Esempi sono `+` (Pass), `-` (Fail), `~` (SoftFail) e `?` (Neutral).
• Modificatori: Forniscono istruzioni aggiuntive o eccezioni alle regole, come `redirect` o `exp`.

Ciascuno di questi componenti è spiegato in dettaglio nella guida completa alla sintassi SPF, che include anche esempi di record SPF validi e di come strutturarli per diversi scenari.

Come controllare il record e-mail SPF

Una volta impostato il record SPF, potrebbe essere necessario un po' di tempo (fino a 48 ore, anche se spesso molto meno) perché le modifiche DNS si propaghino su Internet. Utilizzate il nostro controllo del record SPF per convalidare e testare il record. In questo modo è possibile verificare la correttezza della sintassi e garantire il riconoscimento da parte dei server DNS.

È importante notare che i record SPF possono essere complessi, a seconda dei requisiti specifici della vostra infrastruttura e-mail. Se non si è sicuri della sintassi o si ha bisogno di configurazioni più avanzate, si consiglia di consultare l'amministratore di sistema, il supporto IT o un esperto di autenticazione e-mail per ottenere assistenza nella creazione corretta del record SPF.

Evitare gli errori più comuni delle e-mail SPF

Una configurazione errata può rendere inefficace il criterio SPF o bloccare le e-mail legittime.

Evitate queste insidie comuni:

• Utilizzo di più record SPF: Combinare tutti i servizi di invio in un unico record per evitare errori di convalida.
• Sintassi errata: Assicurarsi che la sintassi e l'uso del meccanismo siano corretti per evitare l'invalidazione del record.
• Non sono inclusi tutti i mittenti autorizzati: Elencare tutti i server e i servizi di terze parti che inviano e-mail per il vostro dominio.
• Superamento del limite di 10 ricerche DNS: Mantenere i meccanismi al di sotto del limite di ricerca per garantire il corretto funzionamento dell'SPF.
• Superamento dei limiti di caratteri: Rimanere entro i limiti di 255 caratteri per stringa e di dimensione complessiva del DNS.
• Utilizzo del tipo di record sbagliato: Pubblicare sempre l'SPF come record TXT, non come un tipo di SPF deprecato.
• Mancato aggiornamento: Aggiornare il record SPF ogni volta che si aggiungono o rimuovono servizi o server e-mail.

Rendete più potenti i vostri criteri SPF per le e-mail con PowerDMARC

L'implementazione di un record di posta elettronica SPF è un passo fondamentale per proteggere il vostro dominio da spoofing, phishing o spam via e-mail. Impostando e mantenendo correttamente il vostro record SPF, vi assicurate che solo i server autorizzati possano inviare e-mail a vostro nome e salvaguardate la reputazione del vostro marchio.

Comprendere la sintassi SPF, evitare le configurazioni errate più comuni e combinare SPF con DKIM e DMARC rafforza la vostra strategia di autenticazione delle e-mail e riduce il rischio che e-mail fraudolente raggiungano i vostri destinatari.

Per coloro che desiderano migliorare la sicurezza delle proprie e-mail, l'approfondimento dell'SPF e l'utilizzo di strumenti affidabili possono fare la differenza. PowerDMARC offre soluzioni facili da usare per monitorare, gestire e ottimizzare i record SPF, aiutandovi a mantenere il vostro dominio sicuro e le vostre e-mail affidabili.

Domande frequenti

Quali sono le limitazioni dei record email SPF?

SPF può verificare solo il server di invio, non l'identità del mittente o il contenuto dell'e-mail. Inoltre, ha un limite di 10 ricerche DNS e requisiti di sintassi molto rigidi.

SPF è la stessa cosa di DKIM?

No. SPF convalida il server di invio, mentre DKIM utilizza firme crittografiche per verificare che il contenuto del messaggio non sia stato alterato.

Perché un'email non è riuscita a superare l'SPF?

Un'e-mail può fallire se viene inviata da un server non autorizzato, se il record SPF presenta errori di sintassi o se viene superato il limite di ricerca DNS.

• Informazioni su
• Ultimi messaggi

Maitham Al Lawati

Esperto di sicurezza informatica, CEO di PowerDMARC

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

• Politica d'uso accettabile: Elementi chiave ed esempi - 9 settembre 2025
• Che cos'è il CASB? Spiegazione del broker di sicurezza per l'accesso al cloud - 8 settembre 2025
• Come risolvere il problema "Nessun record DKIM trovato"? - 5 settembre 2025