Mi serve l'SPF se ho già DKIM e DMARC?

Sì. L'SPF è uno dei principali meccanismi di autenticazione utilizzati dal DMARC. Sebbene il DKIM possa essere considerato valido anche da solo, la presenza sia dell'SPF che del DKIM migliora l'affidabilità e la copertura. Molti destinatari si aspettano che tutti e tre siano configurati correttamente.

V=spf1: spiegazione, significato, sintassi, configurazione ed errori comuni

I punti chiave da prendere in considerazione

v=spf1 è il tag che attiva un record SPF; senza di esso, l'SPF non funziona.
SPF definisce quali server possono inviare e-mail per il tuo dominio utilizzando meccanismi come ip4 e include.
L'SPF segue la logica del "vince chi trova la prima corrispondenza", valutando da sinistra a destra.
È consentito un solo record SPF per dominio; la presenza di più record impedisce l'autenticazione.
Massimo 10 ricerche DNS; il superamento di questo limite provoca un errore permanente (PermError) e un fallimento della verifica SPF.
tra cui: aggiunge flessibilità ma aumenta il rischio di ricerca; ip4/ip6 sono più veloci ma richiedono manutenzione.
~tutto (softfail) serve per i test; -all (hardfail) impone un blocco rigoroso.
L'SPF da solo non basta a proteggere dallo spoofing: servono anche DKIM e DMARC.
L'SPF deve essere aggiornato regolarmente man mano che cambiano gli strumenti e i mittenti.

Quello che stai vedendo è un record DNS che inizia con v=spf1, e sai che è importante, ma modificarlo senza comprenderlo appieno può compromettere la consegna delle email su tutto il tuo dominio.

Basta un "include:" mancante, una ricerca di troppo o un errore di sintassi perché le e-mail non superino l'autenticazione, finiscano nella cartella dello spam o vengano respinte del tutto

L'SPF (Sender Policy Framework) è un elemento fondamentale dell'autenticazione delle e-mail. Indica ai server di destinazione quali mittenti sono autorizzati a inviare e-mail a tuo nome. Il tag v=spf1 è ciò che attiva tale politica, ma tutto ciò che segue determina se le tue email saranno considerate attendibili o bloccate.

La sfida sta nel fatto che l'SPF sembra semplice a prima vista, ma diventa complesso man mano che si aggiungono più fonti di invio, strumenti di marketing e infrastrutture. I limiti di ricerca, gli include annidati e i problemi di allineamento introducono punti di errore che non sono sempre visibili finché la deliverability non cala.

Questa guida spiega in dettaglio cosa v=spf1 , come sono strutturati i record SPF, come funziona la valutazione e come creare e mantenere un record che non fallisca in condizioni reali.

Come funziona la valutazione dell'SPF

La valutazione SPF è un processo di verifica graduale che viene eseguito ogni volta che si riceve un'e-mail. Essa determina se il server mittente è autorizzato a inviare messaggi per conto del dominio indicato nel campo Return-Path.

Ecco come funziona nella pratica:

Si riceve un'e-mail che dichiara di provenire dal proprio dominio: Il messaggio arriva al server di posta del destinatario con entrambe le intestazioni visibili (Da) e i dettagli di instradamento nascosti (Return-Path).
Il server ricevente estrae il dominio Return-Path: Questo è il dominio che l'SPF verifica effettivamente. Rappresenta il mittente utilizzato durante la trasmissione dell'e-mail.
Il server interroga il DNS per ottenere il record SPF (v=spf1): Cerca il record TXT pubblicato su quel dominio. Se non esiste alcun record SPF, il risultato è Nessuno (nessuna autenticazione).
L'indirizzo IP del server mittente viene confrontato con il record SPF: Il server elabora il record SPF da sinistra a destra:
- Verifica ogni meccanismo (ip4, include, a, ecc.)
- Esegue tutte le ricerche DNS necessarie
- Si ferma alla prima regola corrispondente
Viene generato un risultato in base alla corrispondenza: Tra i possibili esiti figurano:
- Pass → Il mittente è autorizzato
- Errore / Errore temporaneo → Il mittente non è autorizzato (gestione rigorosa vs. gestione permissiva)
- Neutro / Nessuno → Nessuna politica chiara o nessun record SPF
- Errore permanente / Errore temporaneo → Impossibile valutare l'SPF a causa di errori
Il risultato viene combinato con DKIM e DMARC: Il solo SPF non determina la consegna. Il server ricevente lo utilizza insieme a:
- DKIM (integrità dei messaggi)
- DMARC (allineamento + criteri)
  per decidere se accettare, filtrare o rifiutare il messaggio

Che cos'è un record SPF?

Un record SPF è un record DNS di tipo TXT che definisce tutti i server e i servizi autorizzati a inviare e-mail per conto del proprio dominio. Quando viene ricevuta un'e-mail, il server ricevente verifica questo record per accertarsi che il mittente sia autorizzato.

Cosa significa v=spf1?

Il v=spf1 è l'identificatore che indica ai server di posta riceventi che questo record DNS TXT è una politica SPF. Segnala che il record deve essere analizzato e valutato utilizzando le regole SPF definite nella RFC 7208.

Senza questo tag, il record non viene considerato come SPF, non viene eseguita alcuna verifica e il dominio non dispone di alcuna protezione SPF.

Quando un server di ricezione effettua la ricerca del tuo dominio:

Cerca tra i record TXT quello che inizia con v=spf1
Ai fini della valutazione SPF viene preso in considerazione solo quel record
Tutto ciò che segue viene interpretato come regole di autorizzazione (meccanismi, qualificatori, modificatori)

Affinché SPF funzioni correttamente, v=spf1 deve soddisfare requisiti rigorosi:

Deve comparire proprio all'inizio del record
Deve essere scritto esattamente così v=spf1 (senza errori di battitura, senza spazi extra)
Deve esistere un solo record SPF per dominio

Se il tag della versione presenta un errore, l'intero record viene rifiutato:

Assenza totale → SPF restituisce Nessuno (nessun record trovato)
Errore ortografico (v=spf 1, v=spf2, v=SPF1) → Sintassi non valida → PermError
Se seguito da un altro valore → Il record viene ignorato in quanto non valido

I server di ricezione non riescono a interpretare la tua politica SPF e l'autenticazione fallisce per tutte le e-mail.

Anatomia di un record SPF: analisi completa della sintassi

Ogni record SPF segue una struttura coerente, con una serie di regole che vengono eseguite in sequenza. Capire in che modo ogni parte contribuisce a tale valutazione è ciò che permette di evitare errori di configurazione.

Un record SPF inizia sempre con un tag di versione (v=spf1), seguito da una serie di meccanismi che definiscono i mittenti autorizzati. Questi meccanismi possono essere combinati con qualificatori, che controllano come vengono gestite le corrispondenze, e talvolta con modificatori, che regolano il modo in cui il record viene valutato. Tutto questo è racchiuso in una singola riga di testo, ma ogni elemento influisce direttamente sul modo in cui i server di ricezione interpretano le email del tuo dominio.

Esempio di record

v=spf1 ip4:192.0.2.0/24 include:_spf.google.com include:spf.protection.outlook.com -all

ip4:192.0.2.0/24 (dove /24 rappresenta un intervallo di 256 indirizzi IP utilizzando la notazione CIDR (Classless Inter-Domain Routing))

Funzione di ciascuna parte

v=spf1 identifica il record come una politica SPF e abilita la valutazione
ip4:192.0.2.0/24 consente esplicitamente un intervallo IP noto, in genere la propria infrastruttura
include:_spf.google.com autorizza Google Workspace facendo riferimento al proprio record SPF
include:spf.protection.outlook.com fa lo stesso per Microsoft 365
-tutti definisce la politica predefinita: qualsiasi mittente non corrispondente a quelli precedenti non è consentito

Questa combinazione crea un modello di autorizzazione completo: sono consentite solo fonti specifiche, mentre tutto il resto viene negato.

Come funziona effettivamente la valutazione

L'SPF viene elaborato in modo rigoroso e prevedibile:

Il server ricevente legge il record da sinistra a destra
Ogni meccanismo viene valutato in sequenza rispetto all'indirizzo IP del server mittente
Non appena viene trovato una corrispondenza, la valutazione si interrompe immediatamente
Il qualificatore associato a tale meccanismo determina il risultato

Se nessun meccanismo corrisponde:

Il tutto meccanismo funge da decisione di ripiego

Ciò significa che l'SPF non è un sistema del tipo «controlla tutto e poi decidi». È un sistema in cui vince la prima corrispondenza.

Spiegazione dei meccanismi dell'SPF

I meccanismi costituiscono il cuore di un record SPF. Essi definiscono quali fonti di invio sono autorizzate e costituiscono la logica che il server ricevente utilizza per valutare l'indirizzo IP del mittente. Ogni meccanismo aggiunge una regola e, insieme, creano la lista di autorizzazioni del tuo dominio.

Ciò che conta nella pratica non è solo la funzione di ciascun meccanismo, ma anche il modo in cui si comporta durante la valutazione e l'impatto che ha sui limiti e sull'affidabilità.

I meccanismi vengono valutati in ordine e il primo che corrisponde all'IP di provenienza determina il risultato. Ciò significa che ogni meccanismo aggiunto influisce sia sulla copertura dell'autorizzazione che sulla complessità della valutazione.

Alcuni meccanismi effettuano la corrispondenza diretta degli indirizzi IP, mentre altri richiedono ricerche DNS per ottenere ulteriori dati.

Come funzionano i diversi meccanismi

Meccanismo	Cosa fa	È necessaria una ricerca DNS?	Esempio
includono:	Autorizza il record SPF di un altro dominio	Sì	include:_spf.google.com
ip4:	Consente di specificare un indirizzo IPv4 o un intervallo di indirizzi IPv4	No	ip4:192.0.2.0/24
ip6:	Consente un indirizzo IPv6 specifico o un intervallo	No	ip6:2001:db8::/32
a	Autorizza gli indirizzi IP presenti nei record A/AAAA del dominio	Sì (1)	a
mx	Autorizza gli indirizzi IP indicati nei record MX del dominio	Sì (1)	mx
ptr	Utilizza la ricerca DNS inversa (obsoleta)	Sì	ptr
esiste:	Viene restituito un risultato positivo se il dominio è risolvibile nel DNS	Sì	exists:%{i}._spf.example.com
tutti	Corrisponde a tutti i mittenti (da usare con i qualificatori)	No	-tutti

Tra includono: è il meccanismo più comunemente utilizzato e quello che più facilmente causa problemi di limite di ricerca a causa di query DNS annidate.

SPF consente un massimo di 10 ricerche DNS per ogni valutazione. I meccanismi che contribuiscono al raggiungimento di questo limite sono:

includono:
a
mx
esiste:
reindirizza a=
ptr

Meccanismi che non:

ip4:
ip6:

Ciò comporta un compromesso pratico:

Comodità (tra cui:) → maggiore costo di ricerca
Controllo (IPv4/IPv6) → costo di ricerca inferiore ma maggiore manutenzione

Spiegazione delle qualificazioni SPF

I qualificatori definiscono quale azione intraprendere quando un meccanismo viene soddisfatto. Mentre i meccanismi stabiliscono «chi è autorizzato», i qualificatori stabiliscono «cosa deve succedere dopo». Insieme, determinano il livello di rigore con cui viene applicata la politica SPF.

A ogni meccanismo può essere anteposto un qualificatore. Se non viene specificato alcun qualificatore, il valore predefinito è "pass" (+). Il qualificatore influenza direttamente il modo in cui il server ricevente interpreta la corrispondenza e il grado di fiducia o di rifiuto del messaggio.

Come si comportano i qualificatori durante la valutazione

Quando un meccanismo corrisponde:

Il predicato che lo accompagna determina immediatamente il risultato
La valutazione dell'SPF si ferma a quel punto
Tale risultato viene poi utilizzato (insieme a DKIM e DMARC) per determinare la gestione del messaggio

Ciò significa che le qualificazioni sono segnali decisivi nel processo SPF.

Cosa fa effettivamente ogni operatore (nel contesto)

Qualificatore	Simbolo	Significato	Quando utilizzarlo
Passo	+	Il mittente è espressamente autorizzato	Comportamento predefinito (raramente specificato esplicitamente)
Errore (errore irreversibile)	-	Il mittente non è autorizzato; il messaggio deve essere respinto	Da utilizzare dopo la configurazione completa dell'SPF con DMARC
SoftFail	~	Il mittente potrebbe non essere autorizzato; accettare ma contrassegnare come sospetto	Da utilizzare durante l'installazione e il collaudo
Neutro	?	Nessuna indicazione sul mittente	Da evitare in produzione

Nella maggior parte dei record SPF, i qualificatori vengono applicati al tutte per definire la politica predefinita.

Come vengono solitamente utilizzati i qualificatori nei record SPF

La maggior parte dei record SPF si basa su qualificatori presenti in un unico punto: il all alla fine.

~tutti → Impostazione predefinita: applicazione flessibile (fase di monitoraggio)
-tutto → Impostazione predefinita: applicazione rigorosa (policy pronta per la produzione)

Questa regola finale definisce come trattare i mittenti che non sono stati esplicitamente identificati in precedenza.

Consigli pratici

Inizia con ~tutto durante la configurazione: Questo ti permette di osservare i risultati SPF senza bloccare mittenti legittimi che potresti aver tralasciato.
Vai a -tutto una volta completato il record: Dopo aver verificato che tutte le fonti valide siano incluse, passa a hardfail per l'applicazione completa.
Evita ?tutto :Non fornisce una protezione significativa né indicazioni ai server destinatari.
Non usare mai +all: Questo permette a qualsiasi mittente di superare l'autenticazione SPF, disabilitando di fatto l'autenticazione per il tuo dominio.

I modificatori SPF spiegati (chiariti)

I modificatori costituiscono una parte piccola ma importante della sintassi SPF. A differenza dei meccanismi, non definiscono chi è autorizzato a inviare messaggi. Al contrario, modificano il modo in cui viene gestita la valutazione SPF una volta che il record viene elaborato.

Sono facoltative e vengono utilizzate in casi specifici in cui le regole standard basate su meccanismi non sono sufficienti.

Come si comportano i modificatori durante la valutazione

I modificatori vengono valutati dopo l'elaborazione dei meccanismi e influenzano il modo in cui viene determinato o presentato il risultato complessivo.

Non corrispondono agli indirizzi IP di provenienza
Non autorizzano né rifiutano direttamente i mittenti
Regolano il portata o risultato della valutazione SPF

Per questo motivo, i modificatori vengono solitamente utilizzati solo in configurazioni avanzate o strutturate, non nei record SPF di base.

redirect= – delega completa della valutazione SPF

Il modificatore redirect= trasferisce la valutazione SPF a un altro dominio.

Indica al server ricevente: «Ignora il resto di questo record e valuta l'SPF utilizzando la politica definita su un altro dominio».
A differenza di includono::
- include: aggiunge un'altra politica alla tua valutazione
- redirect= sostituisce completamente la tua valutazione

Esempio:

v=spf1 redirect=_spf.example.com

In questo caso:

Il tuo dominio non definisce le proprie regole SPF
Tutte le operazioni di valutazione vengono gestite da _spf.example.com

Quando usarlo:

Gestione di più domini con una politica SPF centralizzata
Garantire la coerenza tra i vari ambiti senza duplicare i record

exp= – spiegazione personalizzata per gli errori

Il modificatore exp= fornisce una spiegazione comprensibile all'utente quando SPF fallisce.

Indica un record DNS contenente un messaggio di testo
In caso di errore, tale messaggio può essere rinviato al server mittente

Esempio:

v=spf1 -all exp=explain._spf.example.com

Questo ti permette di inserire una spiegazione personalizzata del tipo:

Perché il messaggio non è andato a buon fine
Cosa dovrebbe fare ora il mittente

Come creare un record SPF

Creazione di un record SPF è un processo controllato e graduale. L'obiettivo è elencare accuratamente ogni fonte di invio legittima, mantenendo il record valido, efficiente e applicabile.

Ogni passaggio è importante perché l'SPF viene valutato esattamente come è scritto. L'omissione di un mittente o l'inserimento di una logica errata possono influire direttamente sulla consegna.

Inizia con v=spf1: Questo attiva l'SPF per il tuo dominio. Senza di esso, il record viene ignorato e non avviene alcuna autenticazione.
Aggiungi la tua infrastruttura di invio (ip4: / ip6:): Includi tutti i server che controlli direttamente, come i server di posta transazionale o i sistemi interni. Queste sono le voci più affidabili perché non dipendono da ricerche DNS esterne.
Aggiungi il tuo provider di posta elettronica principale (includere:): Se utilizzi una piattaforma come Google Workspace o Microsoft 365, devi includere il relativo record SPF. Ciò garantisce che l'intera infrastruttura di invio sia autorizzata a tuo nome.

Servizio	Valore SPF	Note
Spazio di lavoro Google	include:_spf.google.com	Copre l'infrastruttura di invio di Gmail e Google Workspace
Microsoft 365	includere: spf.protection.outlook.com	Requisiti per Outlook / Exchange Online
Mailchimp	include:servers.mcsv.net	Utilizzato per campagne di marketing
SendGrid	includere:sendgrid.net	Piattaforma per l'invio di email transazionali e in massa
HubSpot	includere: spf.hubspot.com	Automazione del marketing ed e-mail CRM
Salesforce	includere:_spf.salesforce.com	CRM e flussi di lavoro automatizzati
Zendesk	tra cui: mail.zendesk.com	E-mail relative ai ticket di assistenza
Freshdesk	tra cui: spf.freshdesk.com	Piattaforma di assistenza clienti

Tra questi include: aggiunge almeno una ricerca DNS e può introdurre ulteriori ricerche annidate a seconda della struttura SPF del provider.

Aggiungi tutti i mittenti di terze parti: Ciò include strumenti di marketing, CRM, piattaforme di assistenza e qualsiasi servizio che invii email utilizzando il tuo dominio. Ciascuno di essi deve essere autorizzato esplicitamente, poiché SPF non si fida automaticamente dei servizi esterni.
Concludi con la tua politica (~tutto o -tutti): Questo definisce come trattare i mittenti non elencati sopra:
- ~tutti → accetta ma considera come sospetto (utilizzato durante la configurazione)
- -tutti → rifiuta i mittenti non autorizzati (utilizzato una volta completata la convalida)
Pubblica come singolo record TXT DNS: SPF consente un solo record per dominio. Tutti i meccanismi devono essere combinati in quell'unica voce.
Verifica prima e dopo la pubblicazione: Verifica la presenza di errori di sintassi, i limiti di ricerca e le fonti mancanti. Verifica anche il record DNS attivo, non solo ciò che è stato inserito.

La gestione manuale dell'SPF diventa complessa man mano che si aggiungono nuove fonti di invio. Ciascuna di esse comporta una maggiore complessità di ricerca e i provider possono modificare gli indirizzi IP senza preavviso.

Strumenti come PowerSPF (Hosted SPF) di PowerDMARC automatizzano questo processo:

Rimanere entro il limite di 10 ricerche
Aggiornamento automatico delle modifiche all'indirizzo IP da parte dei provider
Riduzione degli errori umani e degli interventi di manutenzione

Questo contribuisce a garantire che il tuo record SPF rimanga valido e che la deliverability non ne risenta nel tempo.

Esempio di record

v=spf1 ip4:203.0.113.5 include:_spf.google.com include:servers.mcsv.net -all

Cosa fa effettivamente questo disco

Autorizza un server dedicato (ip4:203.0.113.5)
Autorizza Google Workspace (include:_spf.google.com)
Autorizza Mailchimp (include:servers.mcsv.net)
Rifiuta qualsiasi mittente non espressamente indicato (-all)

In questo modo si crea una politica rigorosa e applicabile: solo le fonti autorizzate possono inviare dati, mentre tutto il resto viene bloccato.

Il limite di 10 ricerche

I seguenti meccanismi attivano le ricerche DNS:

includono:
a
mx
esiste:
reindirizza a=
ptr (obsoleto, ma viene comunque conteggiato se utilizzato)

Questi meccanismi richiedono che il server ricevente interpellino il DNS per risolvere ulteriori dati prima di proseguire con la valutazione.

Cosa NON conta

Questi vengono valutati direttamente e non generano query DNS:

ip4:
ip6:
tutti
v=spf1

La difficoltà sta nel fatto che i problemi relativi all'SPF non sono sempre evidenti a prima vista. Inclusioni annidate, mittenti inattivi e intervalli di IP nascosti possono far superare il limite al tuo record senza che ci siano segni evidenti.

Come si espande il conteggio delle ricerche

Anche un record SPF di piccole dimensioni può superare i limiti a causa di inclusioni annidate. Ecco come si moltiplicano i conteggi delle ricerche nella pratica:

Servizio	Includi SPF	Ricerche dirette	Ricerche annidate	Contributo complessivo
Spazio di lavoro Google	include:_spf.google.com	1	2–3	3–4
Microsoft 365	includere: spf.protection.outlook.com	1	1–2	2–3
HubSpot	includere: spf.hubspot.com	1	0–1	1–2
Salesforce	includere:_spf.salesforce.com	1	1	2
Totale	—	4	4–7	8–11

Sebbene siano solo quattro includono: meccanismi, il conteggio totale delle ricerche può superare il limite di 10 ricerche una volta valutati i record annidati.

Limite di ricerca dei valori nulli (spesso trascurato)

SPF impone non solo un limite di 10 ricerche DNS, ma anche un limite di due ricerche non valide.

Si parla di ricerca senza risultati quando una query DNS non restituisce alcun risultato, ad esempio una risposta di dominio inesistente (NXDOMAIN) o una risposta DNS vuota.

Si parla di ricerca senza risultati quando una query DNS non restituisce alcun risultato, come nel caso di una risposta "Dominio inesistente" (NXDOMAIN) o di una risposta DNS vuota.

Cause comuni:

Errati o non aggiornati includono: domini
Errori tipografici nei meccanismi SPF
Riferimenti a domini che non esistono più

Se durante la valutazione dell'SPF si verificano più di due ricerche non valide:

SPF restituisce un PermError
L'intero controllo SPF fallisce
Le e-mail legittime potrebbero non superare l'autenticazione

A differenza dei problemi legati al numero di ricerche, le ricerche nulle sono spesso più difficili da individuare perché derivano da riferimenti DNS non validi o obsoleti piuttosto che da una complessità visibile.

Non sai quante ricerche DNS effettua il tuo record SPF?

Soluzioni come SPF Analytics e Reporting di PowerDMARC offrono:

Visibilità su tutte le origini di invio e gli indirizzi IP (anche quelli annidati)
Individuazione di problemi relativi ai limiti di ricerca e di configurazioni errate
Diagnosi chiare con soluzioni concrete

In questo modo è più facile capire quale sia la funzione effettiva del proprio record SPF e in quali punti sia necessario ottimizzarlo.

Conclusione

SPF è un livello di controllo che definisce chi può inviare e-mail utilizzando il tuo dominio. Il tag v=spf1 avvia tale processo, ma l'affidabilità della tua configurazione dipende da quanto bene il record sia costruito, mantenuto e tenuto entro i limiti.

La maggior parte dei problemi relativi agli SPF non deriva da una configurazione errata, bensì da scostamenti, dall'aggiunta di nuovi strumenti senza gli aggiornamenti necessari, da file di inclusione inutilizzati rimasti in circolo o dal superamento dei limiti di ricerca nel corso del tempo. Questi errori spesso passano inosservati finché non compromettono la consegna dei messaggi.

Per garantire il corretto funzionamento di SPF:

Assicurati che i tuoi dati siano accurati ed essenziali
Controlla regolarmente le fonti di invio
Rispettare i limiti di ricerca
Verifica le modifiche prima e dopo la pubblicazione

SPF funziona al meglio se gestito come una configurazione attiva piuttosto che come un'impostazione una tantum. Se gestito correttamente, fornisce ai server destinatari un segnale chiaro e coerente di cui possono fidarsi e che favorisce direttamente la deliverability e l'autenticazione nell'intero sistema di posta elettronica.

Non aspettare che gli errori SPF compromettano la consegna delle tue e-mail.

Ottieni una visibilità completa sul tuo record SPF, risolvi eventuali problemi di ricerca e mantieni la configurazione aggiornata man mano che la tua infrastruttura di invio si evolve.

Scopri come puoi monitorare e gestire facilmente l'SPF con PowerDMARC.

Domande frequenti

1. Cosa succede se il mio record SPF manca o non è configurato?

Se non esiste alcun record SPF, i server di ricezione restituiscono un Nessuno . Ciò significa che il tuo dominio non dispone di autenticazione basata su SPF e i destinatari si affidano ad altri segnali come DKIM o ai filtri antispam. In pratica, questo aumenta il rischio di spoofing e può influire negativamente sulla deliverability.

2. Posso avere più di un record SPF sul mio dominio?

No. Un dominio deve avere esattamente un solo record SPF. Se più record TXT iniziano con v=spf1, la valutazione SPF restituisce un PermErrore l'autenticazione fallisce per tutte le email. Unisci sempre tutte le fonti di invio in un unico record.

3. Come faccio a sapere se il mio record SPF è corretto?

Devi verificare tre cose:

La sintassi è corretta (non ci sono errori di battitura né problemi di formattazione)
Sono incluse tutte le fonti di invio legittime
Il numero di ricerche DNS rimane entro il limite di 10

Utilizza uno strumento di verifica dell'SPF e controlla i risultati effettivi tramite i report DMARC per assicurarti che tutto funzioni come previsto.

4. Qual è la differenza tra SPF Pass, Fail e PermError?

Pass → Il server mittente è autorizzato
Errore / Errore temporaneo → Il mittente non è autorizzato (gestione rigorosa vs. gestione permissiva)
Errore permanente → L'SPF non funziona a causa di un errore di configurazione (ad es. troppe ricerche, sintassi non valida)

L'errore "PermError" è il più grave, poiché indica che l'SPF non può essere valutato in alcun modo.

5. Ho bisogno di SPF se dispongo già di DKIM e DMARC?

Sì. L'SPF è uno dei principali meccanismi di autenticazione utilizzati dal DMARC. Sebbene il DKIM possa essere superato autonomamente, la presenza sia dell'SPF che del DKIM migliora l'affidabilità e la copertura. Molti destinatari si aspettano che tutti e tre siano configurati correttamente.

6. L'SPF protegge dallo spoofing delle e-mail?

Non da solo. L'SPF verifica solo il dominio del campo "Return-Path", non l'indirizzo "Da" visibile. Un malintenzionato può comunque falsificare l'intestazione "Da" e superare il controllo SPF utilizzando il proprio dominio. Per garantire l'allineamento e impedire che ciò accada, è necessario il DMARC.

Informazioni su
Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

Che cos'è v=spf1? A cosa serve? - 5 maggio 2026
Caso di studio DMARC per MSP: come Digital Infinity IT Group ha ottimizzato la gestione DMARC e DKIM dei propri clienti con PowerDMARC - 21 aprile 2026
Che cos'è DANE? Spiegazione dell'autenticazione delle entità denominate basata sul DNS (2026) - 20 aprile 2026

Che cos'è v=spf1? A cosa serve?