Defaults.Exposed

Defaults.Exposed › Report

SPF non basta: i 119 milioni di domini che non applicano mai l'autenticazione

Pubblicato 2026-07-03 · aggiornato 2026-07-03

Dati aggiornati al 2026-06-29 · metodologia v7. Dati del censimento che uniscono i controlli per dominio su 261 milioni di domini valutati. “In applicazione” = una policy DMARC di tipo quarantine o reject; “pienamente protetto” = SPF e DKIM entrambi presenti, più DMARC in applicazione — la triade completa di autenticazione della posta. Tutti i dati sono aggregati — non pubblichiamo mai la valutazione di una singola azienda.

Il conteggio: quanti domini si affidano al solo SPF

SPF da solo non basta a fermare l’impersonificazione via email — e il censimento può ora contare quanti domini vi si affidano comunque: 119.212.005 (119 milioni) pubblicano SPF ma non applicano mai DMARC. Si tratta del 85,8% di ogni dominio che si è preso la briga di configurare SPF. Il suo articolo companion, SPF senza DMARC, spiega il meccanismo — perché SPF non può difendere l’indirizzo “Da” che una persona vede realmente; questo articolo misura la popolazione — quanti domini quella lacuna lascia esposti, e quale forma ha l’esposizione.

In breve: configurare SPF è l’atto di sicurezza della posta più comune su internet, e per la stragrande maggioranza dei domini che l’hanno fatto, è anche l’ultimo.

Le tre popolazioni

139 milioni di domini — 138.911.937 di essi — pubblicano un record SPF. Suddivisi in base a cosa vi sta dietro:

PopolazioneDominiQuota tra chi pubblica SPF
SPF pubblicato, nessun record DMARC84.638.43060,9%
SPF pubblicato, DMARC presente ma mai applicato (sovrainsieme, include la riga sopra)119.212.00585,8%
SPF + DKIM, sostenuti da DMARC in applicazione10.092.481

Le righe non sommano al totale SPF: il resto sono domini che pubblicano SPF il cui DMARC è effettivamente in applicazione ma il cui DKIM non è pienamente presente — in applicazione, ma senza la triade completa che conta la riga in basso.

La riga centrale è il titolo: circa 119 milioni di domini hanno fatto il lavoro di dichiarare i propri mittenti legittimi e poi non hanno mai detto alle caselle di posta del mondo di agire di conseguenza. E la riga in basso è la battuta finale: su tutti i 261 milioni di domini valutati, solo il 3,87% — circa 10 milioni — è pienamente protetto per la posta. La protezione completa non è un traguardo tecnicamente elevato; è semplicemente la conclusione di un percorso che 119 milioni di domini hanno iniziato e poi interrotto.

Perché il conteggio è così sbilanciato

SPF è il punto da cui inizia ogni guida di configurazione, dove termina l’onboarding della maggior parte dei provider di posta, e ciò che la maggior parte delle checklist di conformità verifica realmente. Produce un artefatto visibile — un record TXT — e una spunta verde in qualunque strumento lo abbia controllato. DMARC in applicazione produce l’esperienza opposta: richiede una progressione (pubblicare, osservare, identificare i mittenti, quindi applicare), e la sua ricompensa è invisibile — la posta contraffatta che silenziosamente smette di arrivare.

Così internet ha ottimizzato per la spunta. Il censimento mostra come appare tutto ciò su larga scala: 85 milioni di domini (84.638.430) hanno SPF e nessun record DMARC di alcun tipo — nemmeno un segnaposto p=none. Questi proprietari non sono pigri; hanno seguito le istruzioni che erano state loro date, e le istruzioni si sono fermate troppo presto.

Cosa significa davvero “coperto” qui

Conseguenza, non paura: un dominio con SPF e senza DMARC in applicazione può comunque essere impersonato nell’unico posto in cui gli esseri umani guardano — la riga “Da” visibile. SPF consente ai server di ricezione di verificare quali macchine possano inviare per conto del dominio dell’envelope, ma senza DMARC non esiste alcun requisito che il mittente visibile corrisponda a qualcosa che SPF ha controllato, né alcuna istruzione di rifiutare la posta che fallisce. La fattura contraffatta, il falso reset della password, il reindirizzamento di un pagamento a un fornitore — tutti restano recapitabili ai vostri clienti e fornitori a vostro nome, nonostante il record SPF.

Nelle sei fasi di maturità DMARC, questi 119 milioni di domini sono bloccati nelle Fasi 1–3 — le fondamenta sono costruite, o costruite in parte, e la porta non è mai stata montata. La distanza da lì alla protezione è ben compresa e per lo più procedurale; ciò che questo censimento aggiunge è la consapevolezza che quasi nessuno la percorre.

Se il tuo dominio è uno dei 119 milioni

  1. Mantieni SPF — è un prerequisito, non un errore. (Correggi SPF →.)
  2. Aggiungi DKIM in modo che la tua posta sia firmata oltre che tracciata all’origine. (Correggi DKIM →.)
  3. Pubblica DMARC con reportistica, poi applica — prima p=none con rua=, identifica ogni mittente legittimo, quindi passa a quarantine e reject. Questo è il passaggio che converte “configurato” in “protetto”. (Correggi DMARC →.)

Domande frequenti

SPF basta a proteggere un dominio dallo spoofing? No. SPF convalida i server di invio rispetto al dominio dell’envelope; non controlla l’indirizzo “Da” visibile né dice ai destinatari di rifiutare i fallimenti. Solo una policy DMARC in applicazione fa entrambe le cose — e 119.212.005 domini pubblicano SPF senza averla.

Quanti domini hanno SPF ma nessun DMARC? 84.638.430 — il 60,9% di tutti coloro che pubblicano SPF non ha alcun record DMARC di alcun tipo, nemmeno in modalità di monitoraggio.

Quanti domini sono pienamente protetti? 10.092.481 — il 3,87% dei 261 milioni di domini valutati combina SPF e DKIM con una policy DMARC di tipo quarantine o reject.

Avere SPF aiuta almeno? Sì — è la base su cui DMARC effettua la valutazione, e migliora la recapitabilità della tua posta legittima. Semplicemente non protegge nulla da solo; è il primo passo di tre, e il censimento mostra che la maggior parte di internet lo ha trattato come l’intera scala.

Verifica in quale popolazione si trova il tuo dominio

“Abbiamo configurato SPF” descrive 139 milioni di domini; “siamo protetti” ne descrive 10 milioni. Scoprire quale dei due sei richiede un minuto, in modo privato e gratuito — vedi quali dei 34 controlli superi e come correggere quelli che non superi.

Controlla il tuo dominio → · Le 6 fasi di maturità DMARC → · Il pilastro DMARC → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.