Fallimento dell'SPF: Cosa significa e come risolverlo

Il Sender Policy Framework (SPF) è un protocollo di autenticazione delle e-mail progettato per prevenire lo spoofing delle e-mail verificando che i messaggi siano inviati da server di posta autorizzati. Se configurato correttamente, SPF aiuta a ridurre lo spam e i tentativi di phishing, consentendo ai server di posta in ricezione di verificare se un'e-mail proviene da una fonte legittima.

Tuttavia, se qualcosa va storto nella configurazione o durante il processo di verifica, si può incorrere in un errore SPF. Un fallimento SPF significa che il server del destinatario non ha potuto confermare l'autorizzazione del mittente, il che spesso porta a contrassegnare le e-mail come spam o a rifiutarle del tutto.

In questo post analizzeremo le cause più comuni di fallimento dell'SPF e come risolverle.

Che cos'è l'SPF nell'autenticazione delle e-mail?

Sender Policy Framework (SPF) è un metodo di autenticazione delle e-mail che aiuta a verificare se un'e-mail viene inviata da un server di posta autorizzato. Si tratta di un elenco di "mittenti approvati" pubblicato nei record DNS di un dominio.

Il ruolo principale dell'SPF è quello di prevenire lo spoofing delle e-mail, in cui i malintenzionati falsificano l'indirizzo "Da" per far credere ai destinatari che l'e-mail sia legittima. Controllando i record SPF, i server di posta ricevuti possono confermare se un messaggio proviene veramente dal dominio che dichiara di rappresentare.

Ecco come funziona l'SPF durante il processo di consegna delle e-mail:

• Il dominio mittente pubblica un record SPF nel proprio DNS, specificando quali server di posta sono autorizzati a inviare e-mail per suo conto.
• Quando si riceve un'e-mail, il server di posta del destinatario consulta il record SPF del dominio.
• Il server controlla se l'indirizzo IP del server di invio corrisponde alle fonti autorizzate elencate.
• In base al risultato, il server decide se accettare, contrassegnare o rifiutare l'e-mail.

In breve, l'SPF funge da punto di controllo per tenere le e-mail fraudolente fuori dalle caselle di posta.

Che cosa significa "SPF fallito"?

Un errore SPF si verifica quando il server di posta del destinatario determina che il server di invio non è autorizzato a inviare e-mail per conto del dominio. Questo accade se l'indirizzo IP del server di invio non corrisponde alle fonti elencate nel record SPF del dominio.

I server di posta elettronica interpretano i risultati SPF utilizzando i meccanismi definiti dalla politica SPF. I risultati principali includono:

• Passo: L'e-mail proviene da un server autorizzato.
• Non funziona: L'e-mail non è esplicitamente autorizzata e viene spesso rifiutata.
• Softfail: Il server non è elencato, ma il proprietario del dominio lascia passare il messaggio con sospetto (spesso contrassegnato come spam).
• Neutrale: Non viene fornita una politica chiara, quindi il server non prende una decisione rigida.

Quando l'SPF fallisce, molti provider di posta elettronica rifiutano l'e-mail in toto o la indirizzano alla cartella spam, riducendo in modo significativo la deliverability.

Stop ai fallimenti SPF con PowerDMARC!

Perché si verificano i fallimenti dell'SPF? 

I fallimenti dell'SPF possono essere dovuti ai seguenti motivi:

• L'MTA ricevente non trova un record SPF pubblicato nel vostro DNS.
• È stato configurato più di un record SPF per lo stesso dominio. 
• I vostri fornitori di servizi e-mail hanno modificato o aggiunto nuovi indirizzi IP che non avete incluso nel vostro record SPF.
• È stato superato il limite di 10 ricerche DNS per SPF.
• Si sta superando il limite massimo di 2 ricerche di nullità consentite.
• La lunghezza del record SPF appiattito supera il limite di 255 caratteri SPF.

Quando l'SPF non funziona per le vostre e-mail, il passo successivo dovrebbe essere quello di identificare il motivo alla base del problema, in modo da poterlo risolvere. Questo è possibile monitorando regolarmente i rapporti DMARC. PowerDMARC vi aiuta a leggere facilmente i rapporti sui fallimenti dell'autenticazione SPF con il nostro analizzatore DMARC. analizzatore DMARC.

Tipi di fallimento dell'SPF

I seguenti sono tipi di SPF fail ognuno dei quali viene aggiunto come prefisso prima del meccanismo SPF:

"+" "Passato"
"-" "Bocciato"
"~" "Softfail"
"?" "Neutro"

Che importanza hanno? Wn una situazione in cui il vostro messaggio di posta elettronica viene rifiutato, è possibile scegliere con quale rigore gestire i destinatari. Si può specificare un qualificatore per "passare" i messaggi che hanno ricevuto un SPF "Non passare" i messaggi che hanno ricevuto una consegna SPF, "non passare" i messaggi che hanno ricevuto una consegna SPF, o "Neutro" (non fare nulla).

1. SPF Nessun risultato restituito

Nel primo caso, se il server di posta elettronica ricevente esegue una ricerca DNS e non è in grado di trovare il nome di dominio nel DNS, viene restituito un risultato nullo. Nessuno viene restituito anche nel caso in cui non venga trovato alcun record SPF nel DNS del mittente, il che implica che il mittente non ha configurato l'autenticazione SPF per questo dominio. In questo caso, l'autenticazione SPF per le vostre e-mail fallisce, come indicato da "-all".

Generate subito il vostro record SPF senza errori con il nostro generatore gratuito di record SPF per evitare questo problema.

2. Risultato SPF neutro restituito

Durante la configurazione dell'SPF per il vostro dominio, se avete apposto un meccanismo "?all" al vostro record SPF, significa che a prescindere dai risultati dei controlli di autenticazione SPF per le vostre e-mail in uscita, l'MTA ricevente restituisce un risultato neutro. Questo accade perché quando il vostro SPF è in modalità neutrale, non state specificando gli indirizzi IP autorizzati a inviare e-mail per vostro conto e consentite anche agli indirizzi IP non autorizzati di inviarle.

3. Risultato SPF Softfail restituito

Simile a SPF neutro, SPF softfail è identificato dal meccanismo ~all che implica che l'MTA ricevente accetterebbe la posta e la consegnerebbe nella casella di posta del destinatario, ma verrebbe contrassegnata come spam, nel caso in cui l'indirizzo IP non sia elencato nel record SPF trovato nel DNS, che può essere una ragione per cui l'autenticazione SPF fallisce per la vostra email. Di seguito è riportato un esempio di SPF softfail:

 v=spf1 include:spf.google.com ~all

4. Risultato SPF Hardfail restituito

SPF hardfail è quando gli MTA riceventi scartano le e-mail provenienti da qualsiasi fonte di invio non elencata nel vostro record SPF. Si consiglia di configurare SPF hardfail nel record SPF se si vuole ottenere una protezione contro l'impersonificazione dei domini e lo spoofing delle e-mail. 

Esempio: v=spf1 include:spf.google.com -all

Imparate la differenza specifica tra SPF softfail vs hardfail

5. SPF Temperror (errore temporaneo SPF)

Un motivo comune e spesso innocuo per cui l'autenticazione SPF fallisce è SPF Temperror (errore temporaneo). Questo è causato da un errore del DNS, come ad esempio un timeout DNS. Si tratta quindi, proprio come suggerisce il nome, di un errore temporaneo che restituisce un codice di stato 4xx e che può causare un fallimento temporaneo di SPF. Quando si riprova in un secondo momento, si ottiene un risultato SPF positivo.

6. SPF Permerror (errore permanente SPF)

Un altro errore comune che i domini devono affrontare è un Permerrore SPF. Si tratta di un errore permanente. Ciò accade quando il record SPF viene invalidato dall'MTA ricevente. Ci sono molte ragioni per cui SPF potrebbe rompersi ed essere reso non valido dall'MTA durante l'esecuzione di ricerche DNS:

• Superamento del limite di 10 ricerche SPF
• Sintassi del record SPF non corretta
• Più di un record SPF per lo stesso dominio
• Superamento del limite di lunghezza del record SPF di 255 caratteri
• Se il tuo record SPF non è aggiornato con le modifiche apportate dai tuoi ESP

Nota: Quando un MTA esegue un controllo SPF su un'email, interroga il DNS o esegue una ricerca DNS per verificare l'autenticità dell'origine dell'email. Idealmente, in SPF è consentito un massimo di 10 ricerche DNS, il cui superamento causerà l'interruzione di SPF e la restituzione di un risultato di tipo Permerror. Questo è un problema molto comune che porta al fallimento di SPF.

Come risolvere un errore SPF per i messaggi di posta elettronica

Per una consegna senza problemi, è importante assicurarsi che l'SPF non fallisca per le vostre e-mail. Per risolvere i problemi di SPF, potete seguire queste best practice: 

1. Rimanere entro i limiti della SPF

Se l'autenticazione fallisce a causa di ricerche DNS che superano i limiti specificati da RFC, cercate di rimanere entro i limiti per evitare il fallimento. PowerDMARC aiuta i clienti a ottimizzare i loro record SPF per rimanere al di sotto di questi limiti rigidi attraverso le macro. Spesso sono più efficaci dell'appiattimento SPF. appiattimento SPF. Tuttavia, se si sceglie di utilizzare l'appiattimento SPF, gli strumenti di appiattimento SPF possono semplificare il processo, anche se richiedono comunque aggiornamenti manuali ogni volta che il provider di servizi e-mail modifica la propria infrastruttura. Le macro nel vostro record DNS SPF vi aiutano a evitare di superare i limiti di vuoto e di ricerca DNS in ogni momento.

2. Evitare errori di sintassi e di configurazione

L'implementazione manuale dei record SPF spesso porta a errori di sintassi e li fa fallire. Per assicurarsi di utilizzare la sintassi corretta per SPF, generare il record con l'aiuto di un generatore automatico di record SPF. generatore di record SPF strumento.

Quando si configura SPF nel DNS, utilizzare sempre il tipo di risorsa "TXT". Se si configura un tipo di risorsa sbagliato, come "CNAME" o addirittura "SPF", si verificheranno errori di configurazione e un fallimento di SPF. 

3. Autorizzare tutte le fonti di invio

Assicuratevi di autorizzare correttamente tutte le fonti di invio, compresi i fornitori terzi, nel vostro record SPF. I vostri fornitori cambiano o aggiungono spesso il loro elenco di IP di invio. Dovete assicurarvi di essere al corrente di tali modifiche e di implementarle nel vostro record SPF. La mancanza di fonti di invio autorizzate porta spesso a fallimenti SPF ingiustificati. 

4. Combinare più record SPF 

Più di un record SPF per lo stesso dominio può invalidare l'implementazione SPF e portare al fallimento dell'SPF. In questi casi, è meglio combinare più record in un unico record utilizzando il meccanismo "include". 

Migliori pratiche per evitare il fallimento dell'SPF

I proprietari di domini che rispettano le best practice SPF sopra citate possono ridurre significativamente le possibilità di fallimenti SPF ingiustificati. 

Inoltre, ecco alcune pratiche consigliate che le aziende dovrebbero seguire per rafforzare la loro posizione di sicurezza generale delle e-mail:

• Utilizzate il DKIM per evitare il fallimento dell'SPF per le e-mail inoltrate: L'inoltro spesso interrompe l'SPF, ma il DKIM (DomainKeys Identified Mail) può aiutare a preservare l'autenticazione.
• Utilizzare DMARC e DKIM insieme: Anche se SPF fallisce ma DKIM passa, il DMARC (Domain-based Message Authentication, Reporting, and Conformance) può comunque convalidare l'e-mail.
• Abilita la segnalazione DMARC: Monitorate i fallimenti SPF e identificatene le cause principali attraverso rapporti DMARC dettagliati.
• Mantenere aggiornati i record SPF: Rivedete e aggiornate il vostro record SPF ogni volta che aggiungete o rimuovete servizi e-mail di terzi.
• Verifica e test dei record DNS con regolarità: Programmate controlli periodici per assicurarvi che i vostri record DNS siano corretti, coerenti e non superino i limiti di ricerca SPF.

I fallimenti di autenticazione delle e-mail non sono mai una buona notizia per la reputazione e la credibilità del vostro dominio. Seguire queste pratiche aiuta a minimizzare il rischio di fallimenti SPF e garantisce una migliore deliverability delle e-mail.

Conclusione

La correzione degli errori SPF è fondamentale per mantenere la fiducia, proteggere la reputazione del vostro marchio e garantire una consegna affidabile delle e-mail. Senza una corretta configurazione SPF, è più probabile che le vostre e-mail vengano segnalate come spam, rifiutate o sfruttate dagli aggressori per lo spoofing.

L'approccio migliore è quello proattivo: monitorare regolarmente il proprio dominio, mantenere aggiornati i record SPF e utilizzare più protocolli di autenticazione delle e-mail come SPF, DKIM e DMARC insieme. Questa difesa a strati migliora notevolmente le possibilità di superare i controlli di autenticazione e di proteggere il canale e-mail.

Volete assicurarvi che il vostro SPF sia configurato correttamente ed evitare costosi fallimenti? Provate oggi stesso le funzioni di PowerDMARC per rafforzare la sicurezza delle vostre e-mail e proteggere il vostro dominio dagli abusi.

Domande frequenti

Come faccio a sapere se i miei messaggi di posta elettronica non hanno superato l'SPF?

È possibile controllare le intestazioni delle e-mail per verificare i risultati SPF o utilizzare strumenti come i rapporti DMARC e i verificatori SPF. Questi strumenti mostrano se i messaggi passano o non passano la convalida SPF.

Un errore SPF può causare il rimbalzo delle e-mail?

Sì. Quando l'SPF fallisce con un risultato "hard fail", i server di ricezione spesso rifiutano completamente il messaggio, causando rimbalzi. In altri casi, possono accettare il messaggio ma indirizzarlo alla cartella spam.

Ho bisogno di DKIM e DMARC se ho SPF?

Assolutamente sì. L'SPF da solo non è in grado di proteggere le e-mail inoltrate o di fornire report a livello di dominio. Il DKIM garantisce l'integrità delle e-mail e il DMARC unisce SPF e DKIM, offrendo visibilità e una maggiore protezione contro lo spoofing.

• Informazioni su
• Ultimi messaggi

Maitham Al Lawati

Esperto di sicurezza informatica, CEO di PowerDMARC

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

• Fallimento dell'SPF: Cosa significa e come risolverlo - 29 settembre 2025
• Politica d'uso accettabile: Elementi chiave ed esempi - 9 settembre 2025
• Che cos'è il CASB? Spiegazione del broker di sicurezza per l'accesso al cloud - 8 settembre 2025