Lo spoofing email è uno dei vettori d'attacco più comuni su internet. Qualcuno invia un'email che sembra provenire dal tuo dominio, ma in realtà parte da un server completamente diverso. Il destinatario vede il nome della tua azienda nel campo "Da" e si fida. SPF (Sender Policy Framework) è la prima linea di difesa contro questo, e configurarlo correttamente è una delle cose più importanti che puoi fare per la sicurezza email del tuo dominio.

Questa guida ti accompagna in tutto ciò che devi sapere sui record SPF: cosa sono, come funzionano e come configurarne uno per il tuo dominio.

Cos'è SPF e perché è importante?#

SPF, o Sender Policy Framework, è un protocollo di autenticazione email definito in RFC 7208. Permette ai proprietari di dominio di specificare quali server di posta sono autorizzati a inviare email per conto del loro dominio. Quando un server di posta ricevente riceve un'email che dichiara di provenire dal tuo dominio, controlla il tuo record SPF per verificare che il server mittente sia effettivamente autorizzato.

Perché SPF è importante#

Senza un record SPF, chiunque può inviare email che sembrano provenire dal tuo dominio. Questo crea diversi problemi seri:

Spoofing email e phishing: gli aggressori possono impersonare il tuo brand per ingannare i tuoi clienti, partner o dipendenti, facendoli rivelare informazioni sensibili o cliccare link malevoli.
Problemi di deliverability: i grandi provider email come Gmail, Outlook e Yahoo usano SPF come segnale per decidere se consegnare un'email all'inbox o spostarla nello spam. I domini senza record SPF hanno più probabilità di vedere le proprie email legittime filtrate.
Danni alla reputazione del brand: se gli spammer usano il tuo dominio per inviare junk mail di massa, il punteggio di reputazione del tuo dominio cala su tutte le reti dei provider email. Questo influenza la deliverability di tutte le tue email, comprese le comunicazioni aziendali legittime.
Requisiti di compliance: molti standard e regolamenti di settore si aspettano che le organizzazioni implementino l'autenticazione email. SPF è il punto di partenza.

Come funziona SPF#

Capire la meccanica di SPF ti aiuta a configurarlo correttamente e a risolvere i problemi quando emergono.

Il processo di verifica SPF#

La tua organizzazione invia un'email da tu@tuodominio.com usando il tuo server di posta autorizzato.
Il server di posta ricevente estrae il dominio dal mittente di busta (l'header Return-Path, non l'header From).
Il server ricevente esegue un lookup DNS TXT su tuodominio.com per recuperare il record SPF.
Il server confronta l'indirizzo IP del server mittente con la lista di IP e hostname autorizzati nel record SPF.
In base al confronto, il server restituisce uno di questi risultati:
- Pass: il server mittente è autorizzato. L'email procede normalmente.
- Fail: il server mittente non è autorizzato e il proprietario del dominio ha esplicitamente chiesto di rifiutare i mittenti non autorizzati.
- SoftFail: il server mittente non è autorizzato, ma il proprietario del dominio non è abbastanza sicuro da richiedere il rifiuto totale. L'email viene tipicamente accettata ma segnalata.
- Neutral: il proprietario del dominio non fa alcuna affermazione sul server mittente.

Il formato del record SPF#

Un record SPF è un record DNS TXT pubblicato sul tuo dominio. Segue una sintassi specifica:

v=spf1 [meccanismi] [qualificatore]

v=spf1 è obbligatorio e identifica il record come SPF versione 1.
I meccanismi definiscono quali server sono autorizzati.
Il qualificatore alla fine definisce la policy predefinita per i server che non corrispondono ad alcun meccanismo.

Ecco un esempio reale:

v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 -all

Questo record dice: consenti ai server di posta di Google, ai server di posta di SendGrid e all'indirizzo IP specifico 203.0.113.50 di inviare email per questo dominio. Rifiuta tutti gli altri.

Configurazione SPF passo passo#

Segui questi passaggi per creare e pubblicare un record SPF per il tuo dominio.

Passaggio 1: identifica tutti i tuoi servizi di invio email#

Prima di scrivere il tuo record SPF, ti serve una lista completa di ogni servizio e server che invia email per conto del tuo dominio. Questo è il passaggio più comunemente trascurato, e dimenticare una sorgente di invio causerà il fallimento dei controlli SPF per quelle email.

Sorgenti comuni di invio email includono:

Il tuo provider email: Google Workspace, Microsoft 365, Zoho Mail, ProtonMail, ecc.
Servizi di email transazionali: SendGrid, Mailgun, Amazon SES, Postmark, Resend, ecc.
Piattaforme di email marketing: Mailchimp, HubSpot, ActiveCampaign, ConvertKit, ecc.
Il tuo web server: se il tuo sito invia email direttamente (invii dei moduli di contatto, reset password, conferme d'ordine).
Strumenti CRM e di supporto: Zendesk, Freshdesk, Intercom, Salesforce, ecc.
Altri strumenti SaaS: qualsiasi applicazione che invia email usando il tuo dominio.

Annota ogni servizio. Verifica con i diversi reparti della tua organizzazione. Il marketing potrebbe usare una piattaforma che engineering non conosce, e viceversa.

Passaggio 2: raccogli i valori SPF include#

Ogni provider di servizi email pubblica il proprio dominio SPF include. Ecco i valori include per i provider comuni:

Provider	SPF Include
Google Workspace	`include:_spf.google.com`
Microsoft 365	`include:spf.protection.outlook.com`
SendGrid	`include:sendgrid.net`
Mailgun	`include:mailgun.org`
Amazon SES	`include:amazonses.com`
Mailchimp	`include:servers.mcsv.net`
Postmark	`include:spf.mtasv.net`
Zoho Mail	`include:zoho.com`
HubSpot	`include:hubspot-email.com`
Freshdesk	`include:email.freshdesk.com`

Controlla la documentazione del tuo provider per il valore include esatto. I provider li aggiornano occasionalmente, quindi verifica sempre con la documentazione corrente.

Passaggio 3: costruisci il tuo record SPF#

Combina il tag versione, tutti i tuoi meccanismi include e un qualificatore in un singolo record.

Template:

v=spf1 [include:provider1] [include:provider2] [ip4:tuo.server.ip] [qualificatore]

Esempio per un'azienda che usa Google Workspace e SendGrid:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Esempio per un'azienda che usa Microsoft 365, Mailchimp e un server di posta personalizzato:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net ip4:198.51.100.25 -all

Passaggio 4: scegli il tuo qualificatore#

Il qualificatore alla fine del tuo record SPF definisce cosa succede quando un'email proviene da un server non elencato nel tuo record:

-all (Fail): i server non autorizzati devono essere rifiutati. Questa è l'impostazione consigliata per la massima protezione. Dice ai server riceventi che sei sicuro della tua lista e qualsiasi email da un server non elencato è fraudolenta.
~all (SoftFail): i server non autorizzati devono essere trattati con sospetto ma non rifiutati apertamente. Usalo durante la configurazione iniziale o il test, quando non sei ancora certo di aver elencato tutte le sorgenti di invio legittime.
?all (Neutral): nessuna affermazione viene fatta. Fornisce quasi nessuna protezione e non è consigliato.
+all (Pass): tutti sono autorizzati. Questo annulla completamente lo scopo di SPF. Non usarlo mai.

Raccomandazione: inizia con ~all durante il rollout iniziale e il periodo di test. Una volta confermato che tutta l'email legittima sta superando i controlli SPF, passa a -all per la protezione completa.

Passaggio 5: pubblica il record nel DNS#

Accedi al tuo provider DNS (Cloudflare, Route53, GoDaddy, Namecheap, ecc.) e aggiungi o aggiorna il record TXT:

Vai alla pagina di gestione DNS del tuo dominio.
Aggiungi un nuovo record TXT (o modifica il record SPF esistente se ne esiste uno).
Imposta Host/Nome su @ (rappresenta il tuo dominio root).
Imposta Valore/Contenuto sulla stringa completa del tuo record SPF.
Imposta il TTL su 3600 (1 ora) o il valore predefinito del tuo provider.
Salva il record.

Le modifiche DNS possono richiedere fino a 48 ore per propagarsi globalmente, anche se la maggior parte delle modifiche è visibile entro 15 minuti o un'ora.

Passaggio 6: verifica il tuo record SPF#

Dopo la pubblicazione, verifica che il record sia configurato correttamente. Puoi usare l'Email Health Checker di Nova Uptime per eseguire un controllo completo sulla configurazione email del tuo dominio, inclusa la validazione SPF. Lo strumento controlla la sintassi del tuo record SPF, valuta la policy del qualificatore, conta i lookup DNS e identifica problemi potenziali.

Puoi anche verificare dalla riga di comando:

dig TXT tuodominio.com +short

oppure

nslookup -type=TXT tuodominio.com

Cerca il record TXT che inizia con v=spf1. Conferma che tutti i meccanismi include attesi siano presenti e il qualificatore sia corretto.

Comprendere i meccanismi SPF#

I record SPF supportano diversi tipi di meccanismi che ti danno flessibilità nel definire i mittenti autorizzati.

`include`

Fa riferimento al record SPF di un altro dominio. Questo è il meccanismo più comune perché è il modo in cui i provider di servizi email pubblicano i loro range IP autorizzati.

include:_spf.google.com

Quando il server ricevente lo incontra, esegue un lookup DNS aggiuntivo per recuperare il record SPF di Google e controlla l'IP mittente rispetto ai range autorizzati di Google.

`ip4` e `ip6`

Specifica indirizzi IP individuali o range CIDR autorizzati a inviare email.

ip4:203.0.113.50
ip4:198.51.100.0/24
ip6:2001:db8::/32

Usalo per i tuoi server di posta o qualsiasi servizio di cui conosci gli indirizzi IP specifici.

`a`

Autorizza l'indirizzo IP a cui punta il record A del tuo dominio. Se il tuo web server invia anche email, questo è un modo conciso per autorizzarlo.

`mx`

Autorizza gli indirizzi IP dei server MX (mail exchange) del tuo dominio. Poiché i server MX ricevono email, spesso devono anche inviarle (risposte, bounces, forward).

mx

`redirect`

Punta interamente al record SPF di un altro dominio, sostituendo il tuo. Diverso da include perché sostituisce invece di integrare.

redirect=_spf.example.com

Errori SPF comuni e come evitarli#

Errore 1: superare il limite di 10 lookup DNS#

La specifica SPF (RFC 7208) limita il numero totale di lookup DNS a 10. Ogni meccanismo include, a, mx e redirect conta come un lookup. Anche gli include annidati (un include che a sua volta contiene include) contano per questo limite.

Se il tuo record supera 10 lookup, il controllo SPF restituisce un risultato PermError, e molti server riceventi lo trattano come se non avessi alcun record SPF.

Come risolvere:

Sostituisci i meccanismi include con ip4/ip6 dove possibile (i meccanismi IP non contano come lookup DNS).
Usa strumenti di SPF flattening per risolvere gli include nei loro indirizzi IP sottostanti.
Consolida i servizi email dove fattibile.
Rimuovi gli include per i servizi che non usi più.

Errore 2: pubblicare più record SPF#

Un dominio deve avere esattamente un record SPF. Se pubblichi due record TXT che iniziano entrambi con v=spf1, il controllo SPF restituisce un PermError. Questo accade comunemente quando qualcuno aggiunge un nuovo record SPF senza rimuovere o aggiornare quello esistente.

Come risolvere: Unisci tutti i tuoi mittenti autorizzati in un singolo record SPF.

Sbagliato:

v=spf1 include:_spf.google.com -all
v=spf1 include:sendgrid.net -all

Corretto:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Errore 3: usare `+all`

Impostare +all come qualificatore significa che ogni server al mondo è autorizzato a inviare email come tuo dominio. Questo nega completamente lo scopo di SPF ed è un grave rischio di sicurezza.

Errore 4: dimenticare di aggiornare dopo aver cambiato provider#

Quando cambi provider email, migri piattaforme di marketing o aggiungi nuovi strumenti SaaS, il tuo record SPF deve essere aggiornato. Vecchi include per servizi che non usi più sprecano lookup DNS, e include mancanti per nuovi servizi causano il fallimento delle email legittime.

Errore 5: non testare dopo le modifiche#

Ogni volta che modifichi il tuo record SPF, testalo. Invia email di prova da tutti i tuoi servizi e verifica che superino i controlli SPF. Usa strumenti come l'Email Health Checker di Nova Uptime per validare la sintassi e la configurazione del tuo record.

SPF e il quadro più ampio dell'autenticazione email#

SPF è uno dei tre principali protocolli di autenticazione email. Per una protezione completa, dovresti implementarli tutti e tre:

SPF + DKIM + DMARC#

SPF verifica che il server mittente sia autorizzato per il dominio.
DKIM (DomainKeys Identified Mail) aggiunge una firma crittografica alle email in uscita, verificando che il messaggio non sia stato alterato in transito e sia stato inviato da una parte autorizzata.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) lega SPF e DKIM con una policy che dice ai server riceventi cosa fare quando l'autenticazione fallisce. Fornisce anche reportistica così puoi vedere chi sta inviando email come tuo dominio.

Insieme, questi tre protocolli forniscono una protezione robusta contro spoofing email e phishing. SPF da solo è un ottimo inizio, ma è più efficace quando combinato con DKIM e DMARC.

Testare il tuo record SPF#

Dopo aver configurato il tuo record SPF, un test approfondito è essenziale. Ecco una checklist di test:

Verifica DNS: conferma che il record esista e sia sintatticamente corretto usando strumenti di lookup DNS.
Invia email di test: invia email da ogni servizio autorizzato e controlla gli header email lato ricevente per spf=pass.
Controlla il conteggio dei lookup: assicurati che il totale dei tuoi lookup DNS sia 10 o meno.
Verifica che esista un solo record SPF: controlla di non avere record TXT SPF duplicati.
Testa con un server non autorizzato: se possibile, invia un'email da una sorgente non autorizzata e conferma che fallisca o soft-failisca SPF.

L'Email Health Checker di Nova Uptime automatizza la maggior parte di questi controlli. Inserisci il tuo dominio e ottieni un report istantaneo sul tuo record SPF, inclusa la forza della policy specifica, eventuali problemi di sintassi e raccomandazioni per il miglioramento. Controlla anche la tua configurazione DKIM e DMARC così puoi vedere la tua postura completa di autenticazione email in un solo posto.

Mantenere il tuo record SPF#

SPF non è una configurazione "imposta e dimentica". Pianifica revisioni regolari:

Audit trimestrali: rivedi il tuo record SPF rispetto alla tua lista corrente di servizi di invio email. Rimuovi i vecchi include e aggiungi quelli nuovi.
Dopo qualsiasi cambio infrastrutturale: ogni volta che aggiungi, rimuovi o cambi un provider di servizi email, aggiorna immediatamente il tuo record SPF.
Dopo problemi di deliverability: se noti email che finiscono nello spam, controlla prima il tuo record SPF. Un record mal configurato è una delle cause più comuni.
Monitoraggio automatizzato: usa uno strumento di monitoring email health per controllare continuamente la tua configurazione SPF e avvisarti se si rompe.

Riepilogo#

Configurare SPF correttamente è uno dei miglioramenti a più alto impatto e minimo sforzo che puoi fare per la sicurezza email e la deliverability del tuo dominio. Per riassumere:

Elenca ogni servizio che invia email come tuo dominio.
Raccogli i valori SPF include per ogni servizio.
Costruisci un singolo record SPF combinando tutti i mittenti autorizzati.
Inizia con ~all e passa a -all una volta confermato che tutto funziona.
Pubblica il record TXT nel DNS.
Verifica con l'Email Health Checker di Nova Uptime.
Rivedi e aggiorna trimestralmente.

La reputazione della tua email viene costruita in mesi e può essere distrutta in giorni. Un record SPF correttamente configurato è la fondazione che la mantiene protetta.

Domande frequenti#

Come verifico il mio record SPF?#

Usa uno strumento SPF checker gratuito per cercare e validare il tuo record SPF. Inserisci il tuo dominio e lo strumento interroga il DNS per il tuo record TXT, valida la sintassi, conta i lookup DNS (massimo 10 consentiti) e controlla la tua policy di enforcement. Puoi anche controllare con dig TXT tuodominio.com o nslookup -type=TXT tuodominio.com.

Cosa fa un controllo SPF?#

Un controllo SPF verifica che il server che invia email per conto del tuo dominio sia autorizzato nel tuo record DNS SPF. I server di posta riceventi eseguono questo controllo automaticamente. Se l'IP mittente non è elencato nel tuo record SPF, l'email può essere marcata come spam o rifiutata a seconda della tua policy DMARC.

Come testo il mio record SPF?#

Dopo aver pubblicato il tuo record SPF, testalo: (1) eseguendo un SPF check gratuito, (2) inviando un'email di test a Gmail e controllando gli header "Mostra originale" per spf=pass, oppure (3) usando nslookup -type=TXT tuodominio.com per verificare che il record sia pubblicato correttamente.

Cos'è il limite SPF di 10 lookup?#

I record SPF sono limitati a 10 lookup DNS. Ogni meccanismo include:, a:, mx:, ptr: e redirect= conta come un lookup. Superare questo limite causa un fallimento SPF permanente (permerror), il che significa che tutta la tua email fallisce SPF. Usa l'SPF Checker per contare i tuoi lookup attuali.

Devo usare -all o ~all nel mio record SPF?#

Usa -all (hard fail) per la massima protezione: dice ai server riceventi di rifiutare email da sorgenti non autorizzate. Usa ~all (soft fail) durante la configurazione iniziale o la migrazione. Una volta confermato che tutti i mittenti legittimi sono inclusi, passa a -all. Il nostro Email Health Checker controlla la tua policy SPF e raccomanda l'impostazione appropriata.

Letture correlate#

Guida al lookup e validazione record SPF — Configurazione SPF avanzata e troubleshooting
Guida completa SPF, DKIM e DMARC — Come SPF si inserisce nello stack di autenticazione completo
Checklist deliverability email — 15 passi inclusa la configurazione SPF
Configurazione DMARC: da None a Reject — Configura DMARC dopo aver pronto SPF
SPF Checker gratuito — Valida il tuo record SPF istantaneamente