Defaults.Exposed

Defaults.Exposed › Report

Il report sulle configurazioni errate di SPF: la maggior parte dei record SPF è troppo debole (2026)

Pubblicato 2026-06-29

Dati al 2026-06-29 · metodologia v7. Dati censuari aggregati sui 138.927.207 domini che pubblicano un record SPF, su 261 milioni di domini valutati. Vedi come valutiamo.

Avere l’SPF non equivale ad averlo impostato correttamente — e la maggior parte dei domini che pubblicano SPF lo ha impostato troppo debole per fare granché. Dei 139 milioni di domini con un record SPF, il 55,8% termina con ~all (softfail), l’impostazione permissiva che dice ai destinatari “potrebbe essere un falso, ma recapitalo comunque”. Solo il 39,3% usa il rigoroso -all. L’SPF è ampiamente adottato ma, il più delle volte, spuntato.

Il meccanismo “all”: dove l’SPF si vince o si perde

Ogni record SPF termina con un meccanismo “all” che indica cosa fare con la posta proveniente da server che non sono nel tuo elenco. È l’intero scopo dell’SPF — e il punto in cui viene indebolito più spesso:

TerminazioneSignificatoDomini con SPF
-all (hardfail)Rifiuta i mittenti non elencati — l’impostazione rigorosa e prevista39,3%
~all (softfail)“Probabilmente un falso, ma accettalo comunque”55,8%
?all (neutro)Nessuna opinione — di fatto nessuna protezione3,0%
+allAutorizza l’intero internet a inviare a tuo nome36.014 domini
altro / nessunoredirect/include-only o nessun all finale1,8%

Il dato saliente è che il softfail (~all) è l’impostazione più comune, al 55,8% — più del hardfail. Da solo, il softfail offre una protezione debole: chiede ai destinatari di non fidarsi della posta non elencata, ma non di rifiutarla.

I casi limite pericolosi

Il softfail è davvero un problema?

Non se è supportato da DMARC. La migliore pratica moderna è ~all più una policy DMARC di quarantine o reject — questo abbinamento ti dà un’applicazione rigorosa senza rompere la posta inoltrata. Il problema è la grande quota di domini su ~all senza un DMARC applicato alle spalle — solo il 10,59% di tutti i domini applica DMARC — il che lascia il softfail a non fare quasi nulla. L’SPF impostato su ~all è un mezzo per un fine; senza DMARC, è solo un suggerimento.

Domande frequenti

Qual è la differenza tra ~all e -all nell’SPF? -all (hardfail) dice ai destinatari di rifiutare la posta dai server che non sono nel tuo elenco. ~all (softfail) dice loro di accettarla comunque ma di contrassegnarla come sospetta. Il 55,8% dei domini con SPF usa ~all; il 39,3% usa -all.

È sicuro usare ~all (softfail)? Sì — ma solo se abbinato a una policy DMARC applicata (quarantine o reject). Da solo, il softfail offre una protezione debole.

Cosa fa +all? +all autorizza ogni server di internet a inviare posta a nome del tuo dominio — peggio che nessun SPF. 36.014 domini hanno questo valore, quasi sempre per errore.

Cos’è l’errore SPF “troppe query”? L’SPF consente al massimo 10 query DNS annidate; oltre quel limite, il record fallisce come “permerror” e viene ignorato. Riguarda 7958 domini.

Verifica che il tuo SPF sia impostato correttamente

Pubblicare l’SPF è metà del lavoro; impostarlo in modo rigoroso e supportarlo con DMARC è l’altra metà. Verifica il tuo dominio in modo privato e gratuito.

Verifica il tuo dominio → · Correggi SPF → · Correggi DMARC → · Perché le email finiscono nello spam → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.