Nova Uptime
Guidespf-lookupspf-record-checkspf-validation

Come Configurare i Record SPF: Guida all'Autenticazione Email

Esegui lookup e valida il tuo record SPF. Guida passo passo a sintassi SPF, limiti di lookup DNS, errori comuni e strumenti di test gratuiti.

SN
Sumit Nova Uptime
22 febbraio 2026 · 8 min read
Share:

Perché SPF Conta (Adesso)#

A febbraio 2026 è iniziata l'enforcement rigorosa dell'autenticazione email da parte di Gmail e Yahoo. Le email senza record SPF correttamente configurati vengono rifiutate a un tasso senza precedenti.

La realtà: se il tuo record SPF non è configurato correttamente, le tue email transazionali (reset password, conferme, fatture) vengono silenziosamente bloccate. I clienti pensano che il tuo servizio sia rotto. Tu non sai che c'è un problema finché non si lamentano.

Questa guida ti accompagna nella configurazione SPF in 15 minuti.

Cos'è SPF e Come Funziona?#

SPF (Sender Policy Framework) è un record DNS che dice: "Questi server sono autorizzati a inviare email per conto del mio dominio."

Il Problema che SPF Risolve#

Senza SPF, chiunque può inviare email che sembrano provenire dal tuo dominio:

From: tu@tuaazienda.com
Reply-To: attaccante@attaccante.com

L'email sembra provenire dalla tua azienda (male per il phishing). SPF previene questo validando che il server di invio sia effettivamente autorizzato.

Come Funziona la Validazione SPF#

  1. L'email arriva a Gmail
  2. Gmail controlla: "Qual è il record SPF per tuaazienda.com?"
  3. Il record SPF dice: "Solo mail.tuaazienda.com e SendGrid sono autorizzati"
  4. L'email è arrivata da: SendGrid (autorizzato)
  5. Risultato: SPF passa

Ora se attaccante.com prova a inviare email pretendendo di essere tuaazienda.com:

  1. L'email arriva a Gmail dal server dell'attaccante
  2. Gmail controlla: "Il server dell'attaccante è nel record SPF di tuaazienda.com?"
  3. Risposta: no
  4. Risultato: SPF fallisce

Formato e Sintassi del Record SPF#

Un record SPF è un record DNS TXT. Ha una sintassi specifica:

v=spf1 [meccanismi] [qualificatore]

Analizziamolo:

  • v=spf1: versione (inizia sempre con questo)
  • [meccanismi]: definisce i server autorizzati
  • [qualificatore]: come gestire i server non autorizzati

Meccanismi (i Più Comuni)#

MeccanismoSignificatoEsempio
include:Includi l'SPF di un altro dominioinclude:_spf.google.com
ip4:Autorizza un IPv4 specificoip4:203.0.113.50
ip6:Autorizza un IPv6 specificoip6:2001:db8::1
mxAutorizza il server MXmx
ptrAutorizza il reverse DNSptr (raramente usato, da evitare)
aAutorizza il record Aa

Qualificatori (Come Gestire i Fallimenti)#

QualificatoreSignificatoQuando Usarlo
+Pass (consenti)Esplicitamente autorizzato
-Fail (rifiuta)Esplicitamente non autorizzato
~Soft fail (accetta ma marca)Default per non autorizzati
?Neutro (nessuna policy)Raramente usato

Esempio Reale#

v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all

Cosa significa:

  • Includi il record SPF di Google (Gmail)
  • Includi il record SPF di SendGrid (SendGrid)
  • Autorizza anche l'IP 203.0.113.50 (il tuo mail server in ufficio)
  • Soft fail (~all) per tutti gli altri (marca come sospetto ma non rifiutare)

Step 1: Identifica Tutti i Tuoi Servizi di Invio Email#

Prima di scrivere il record SPF, elenca ogni servizio che invia email per conto tuo:

Domande a cui rispondere:

  • Usi Google Workspace?
  • Usi Microsoft 365?
  • Usi SendGrid, Mailgun o un altro servizio email?
  • Hai mail server on-premise?
  • Usi app di terze parti che inviano email (Zapier, strumenti di automazione)?

Scrivili tutti. Questo è l'errore #1 che la gente fa — dimenticare un servizio di invio, e poi le email da quel servizio falliscono SPF.

Servizi comuni e i loro include SPF:

# Google Workspace
include:_spf.google.com

# Microsoft 365
include:spf.protection.outlook.com

# SendGrid
include:sendgrid.net

# Mailgun
include:mailgun.org

# Klaviyo
include:klavan.net

# HubSpot
include:hstsrv.net

Step 2: Raccogli gli Statement di Include SPF#

Per ogni servizio, trova lo statement di include SPF ufficiale (dalla loro documentazione, non da siti random).

Fonti ufficiali:

  • Google Workspace: support.google.com
  • Microsoft 365: learn.microsoft.com
  • SendGrid: sendgrid.com/docs
  • Mailgun: mailgun.com/docs

NON fidarti di un blog post o di un sito random per questo. Vai sempre alla fonte ufficiale.

Step 3: Costruisci il Tuo Record SPF#

Inizia con:

v=spf1 [meccanismi] ~all

Aggiungi ogni include:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Aggiungi eventuali indirizzi IP:

v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all

Step 4: Pubblica nel DNS#

Accedi al tuo provider DNS (Cloudflare, GoDaddy, Route 53, ecc.) e:

  1. Vai su DNS Records o TXT Records

  2. Aggiungi un nuovo record TXT con:

    • Name: @ (o il nome del tuo dominio, a seconda del provider)
    • Value: il tuo record SPF
    • TTL: 3600 (1 ora, va bene per il test)

  3. Salva e aspetta 5-15 minuti per la propagazione

Step 5: Testa il Tuo Record SPF#

Usa uno di questi strumenti per verificare che il tuo record sia corretto:

Opzioni gratuite:

Cosa cercare:

  • Record SPF trovato
  • Nessun errore di sintassi
  • Conteggio lookup ≤ 10 (di più e fallisce)

Step 6: Monitora nel Tempo#

Pubblica con ~all (soft fail) inizialmente:

  • Settimana 1: monitora la consegna delle email
  • Verifica se le email passano
  • Controlla la cartella spam

Se tutto sembra ok dopo una settimana, puoi passare a -all (hard fail):

v=spf1 include:_spf.google.com include:sendgrid.net -all

Errori Comuni di SPF e Come Evitarli#

Errore 1: Superare 10 Lookup DNS#

La specifica SPF limita i lookup DNS a 10. Se superi questo limite, SPF restituisce PermError (errore permanente) e le email vengono rifiutate.

Come risolvere:

  • Sostituisci include: con ip4: dove possibile
  • Usa strumenti di SPF flattening
  • Consolida i servizi email (meno servizi = meno include)

Errore 2: Usare +all Invece di -all o ~all

+all significa "accetta chiunque dica di essere questo dominio" — vanifica SPF.

Uso corretto:

  • ~all: soft fail (marca come sospetto ma consegna)
  • -all: hard fail (rifiuta)

Usa ~all inizialmente, poi passa a -all dopo aver verificato.

Errore 3: Più Record SPF Multipli#

La specifica DNS consente UN solo record TXT per nome. Se crei più record TXT SPF, il DNS legge solo il primo — gli altri vengono ignorati.

Approccio corretto:

  • Crea UN solo record SPF
  • Combina tutti i meccanismi al suo interno:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all

NON tre record separati.

Errore 4: Typo negli Statement di Include#

include:sendgrid.com vs include:sendgrid.net — un carattere sbagliato rompe tutto.

Fix:

  • Copia-incolla dalla documentazione ufficiale, non digitare a mano
  • Verifica con uno strumento DNS dopo la pubblicazione

Errore 5: Dimenticare un Servizio di Invio#

Aggiungi l'SPF di SendGrid ma dimentichi Klaviyo. Le email Klaviyo falliscono SPF.

Fix:

  • Audita TUTTI i servizi che inviano email
  • Aggiungi ogni singolo

SPF vs DKIM vs DMARC#

SPF è una parte dell'autenticazione email. Per protezione completa, ti servono tutti e tre:

  • SPF: "Il server di invio è autorizzato?"
  • DKIM: "Il contenuto del messaggio è autentico (non falsificato)?"
  • DMARC: "Entrambi passano E il dominio si allinea?"

Nova Uptime monitora tutti e tre automaticamente. Controlla la salute della tua email con l'Email Health Checker di Nova Uptime.

Testare che SPF Funzioni in Scenari Reali#

Dopo aver pubblicato SPF:

  1. Invia email di test dal tuo dominio
  2. Controlla gli header: cerca SPF: PASS o SPF: FAIL
  3. Monitora la cartella spam: le email vanno ancora nello spam? Controlla DKIM/DMARC
  4. Usa strumenti di verifica email: inoltra a servizi email temporanei che mostrano gli header
  1. Elenca tutti i servizi di invio email
  2. Ottieni gli include SPF ufficiali da ciascuno
  3. Combina in un unico record SPF iniziando con ~all
  4. Pubblica nel record DNS TXT
  5. Testa con strumenti di verifica email
  6. Monitora per 1 settimana
  7. Passa a -all se tutto funziona
  8. Aggiungi DKIM e DMARC per autenticazione completa

La reputazione della tua email si costruisce in mesi e si distrugge in giorni. Una corretta configurazione SPF è la base.

Monitora la salute della tua email automaticamente con l'Email Health Checker di Nova Uptime — verifica SPF, DKIM, DMARC, record MX e stato blacklist.

Letture correlate#

Monitor Your Website Before It Goes Down

Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.

Start Monitoring Free

Articoli correlati

Deliverability email18 mar 2026

SPF, DKIM e DMARC: La Guida Completa all'Autenticazione Email

Guida ai tre pilastri dell'autenticazione email. Come SPF, DKIM e DMARC lavorano insieme per proteggere il tuo dominio e l'inbox placement.

7 min readLeggi
Guide23 feb 2026

Configurazione Policy DMARC: Previeni lo Spoofing Email

Test DMARC gratuito + guida alla configurazione. Imposta p=none, p=quarantine, p=reject. Allinea SPF/DKIM. Richiesto da Gmail e Yahoo da feb 2026.

8 min readLeggi
Guide22 feb 2026

Guida alla Configurazione DKIM: Setup Completo Passo-Passo

Configura DKIM in 20 minuti: trova il selettore, genera le chiavi, aggiungi i record DNS. Validator DKIM gratuito. Richiesto da Gmail e Yahoo da feb 2026.

6 min readLeggi