Defaults.Exposed › Report
Il report sulle configurazioni errate di SPF: la maggior parte dei record SPF è troppo debole (2026)
Pubblicato 2026-06-29
Dati al 2026-06-29 · metodologia v7. Dati censuari aggregati sui 138.927.207 domini che pubblicano un record SPF, su 261 milioni di domini valutati. Vedi come valutiamo.
Avere l’SPF non equivale ad averlo impostato correttamente — e la maggior parte dei domini che pubblicano SPF lo ha impostato troppo debole per fare granché. Dei 139 milioni di domini con un record SPF, il 55,8% termina con ~all (softfail), l’impostazione permissiva che dice ai destinatari “potrebbe essere un falso, ma recapitalo comunque”. Solo il 39,3% usa il rigoroso -all. L’SPF è ampiamente adottato ma, il più delle volte, spuntato.
Il meccanismo “all”: dove l’SPF si vince o si perde
Ogni record SPF termina con un meccanismo “all” che indica cosa fare con la posta proveniente da server che non sono nel tuo elenco. È l’intero scopo dell’SPF — e il punto in cui viene indebolito più spesso:
| Terminazione | Significato | Domini con SPF |
|---|---|---|
-all (hardfail) | Rifiuta i mittenti non elencati — l’impostazione rigorosa e prevista | 39,3% |
~all (softfail) | “Probabilmente un falso, ma accettalo comunque” | 55,8% |
?all (neutro) | Nessuna opinione — di fatto nessuna protezione | 3,0% |
+all | Autorizza l’intero internet a inviare a tuo nome | 36.014 domini |
| altro / nessuno | redirect/include-only o nessun all finale | 1,8% |
Il dato saliente è che il softfail (~all) è l’impostazione più comune, al 55,8% — più del hardfail. Da solo, il softfail offre una protezione debole: chiede ai destinatari di non fidarsi della posta non elencata, ma non di rifiutarla.
I casi limite pericolosi
+all— 36.014 domini. Questo è il peggior valore SPF possibile: dice esplicitamente al mondo che qualsiasi server è autorizzato a inviare posta a nome del dominio. È quasi sempre un incidente di copia-incolla, ed è rigorosamente peggio che non avere alcun SPF.- Troppe query DNS — 7958 domini. L’SPF consente al massimo 10 query DNS annidate; superandole, il record diventa un “permerror” che i destinatari trattano come rotto. È più raro di quanto si tema (0,01% dei record SPF), ma quando colpisce, annulla silenziosamente del tutto il tuo SPF.
Il softfail è davvero un problema?
Non se è supportato da DMARC. La migliore pratica moderna è ~all più una policy DMARC di quarantine o reject — questo abbinamento ti dà un’applicazione rigorosa senza rompere la posta inoltrata. Il problema è la grande quota di domini su ~all senza un DMARC applicato alle spalle — solo il 10,59% di tutti i domini applica DMARC — il che lascia il softfail a non fare quasi nulla. L’SPF impostato su ~all è un mezzo per un fine; senza DMARC, è solo un suggerimento.
Domande frequenti
Qual è la differenza tra ~all e -all nell’SPF?
-all (hardfail) dice ai destinatari di rifiutare la posta dai server che non sono nel tuo elenco. ~all (softfail) dice loro di accettarla comunque ma di contrassegnarla come sospetta. Il 55,8% dei domini con SPF usa ~all; il 39,3% usa -all.
È sicuro usare ~all (softfail)?
Sì — ma solo se abbinato a una policy DMARC applicata (quarantine o reject). Da solo, il softfail offre una protezione debole.
Cosa fa +all?
+all autorizza ogni server di internet a inviare posta a nome del tuo dominio — peggio che nessun SPF. 36.014 domini hanno questo valore, quasi sempre per errore.
Cos’è l’errore SPF “troppe query”? L’SPF consente al massimo 10 query DNS annidate; oltre quel limite, il record fallisce come “permerror” e viene ignorato. Riguarda 7958 domini.
Verifica che il tuo SPF sia impostato correttamente
Pubblicare l’SPF è metà del lavoro; impostarlo in modo rigoroso e supportarlo con DMARC è l’altra metà. Verifica il tuo dominio in modo privato e gratuito.
Verifica il tuo dominio → · Correggi SPF → · Correggi DMARC → · Perché le email finiscono nello spam → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.