Defaults.Exposed › Report
Pubblicare SPF non basta: il falso senso di sicurezza delle email (2026)
Pubblicato 2026-06-29
Dati al 2026-06-29 · metodologia v7. Dati censuari aggregati che uniscono i controlli per dominio su 261 milioni di domini valutati. «In applicazione» = una policy DMARC di
quarantineoreject. Vedi come valutiamo.
Il posto più pericoloso nella sicurezza della posta elettronica è sentirsi protetti. Il 32,4% dei domini pubblica SPF ma non ha alcun DMARC — e il 45,7% ha SPF non sostenuto da alcuna applicazione. Questi proprietari hanno fatto qualcosa, hanno visto «SPF: configurato» e si sono fermati. Ma SPF da solo non impedisce a nessuno di falsificare il tuo indirizzo «Da» visibile — solo un DMARC applicato lo fa. Al 2026-06-29, solo il 3,87% dei domini è pienamente protetto sulla posta.
Il divario tra «configurato» e «protetto»
SPF verifica quali server possono inviare per tuo conto. Non governa l’indirizzo «Da» che una persona vede realmente, e non dice ai destinatari cosa fare in caso di fallimento. Questo è compito di DMARC. Quindi SPF senza una policy DMARC in applicazione è una serratura senza porta dietro:
| Stato | Quota di domini | Realmente protetto? |
|---|---|---|
| SPF pubblicato, nessun record DMARC | 32,4% | No |
| SPF pubblicato, DMARC non in applicazione | 45,7% | No |
| Pienamente protetto sulla posta (SPF + DMARC applicato) | 3,87% | Sì |
Rileggi la riga centrale: il 45,7% di tutti i domini ha SPF ma nessuna applicazione — quasi la maggioranza di internet nella zona della falsa sicurezza. Ai fini di un attaccante, sono falsificabili — e il 89,4% dei domini in totale lo è.
La versione peggiore: posta in entrata, nessuna guardia alla porta
Diventa più netto per i domini che ricevono davvero posta. Il 42,7% dei domini accetta posta (ha record MX) ma non ha alcuna autenticazione email funzionante — nessuna applicazione SPF, nessun DMARC. Sono domini attivi e in uso i cui proprietari inviano e ricevono ogni giorno, completamente impersonabili. È proprio questa attività a renderli bersagli appetibili per le frodi sulle fatture e le truffe ai fornitori.
Perché «abbiamo SPF» è diventata la trappola
SPF è più vecchio, più semplice e la prima cosa che la maggior parte delle guide di configurazione menziona — quindi è la casella che viene spuntata. DMARC è arrivato dopo, suona più avanzato e richiede una progressione deliberata verso l’applicazione. Il risultato è un’enorme popolazione che ha adottato il passo uno e non ha mai compiuto il passo due, continuando poi a credere che il lavoro fosse fatto. Il censimento rende visibile per la prima volta la portata di questo equivoco: 32,4% con SPF e nessun DMARC.
Come proteggersi davvero
- Mantieni il tuo SPF, ma non affidarti solo a esso. (Correggi SPF.)
- Aggiungi DKIM così la tua posta è firmata. (Correggi DKIM.)
- Pubblica DMARC e portalo in applicazione (
p=none→quarantine→reject). È il passo che converte «configurato» in «protetto». (Correggi DMARC.)
Domande frequenti
SPF è sufficiente per fermare lo spoofing della posta? No. SPF non protegge l’indirizzo «Da» visibile né dice ai destinatari di rifiutare le falsificazioni — solo una policy DMARC in applicazione lo fa. Il 45,7% dei domini ha SPF senza quell’applicazione.
Ho un record SPF — sono protetto?
Non da solo. Sei protetto solo quando SPF (e idealmente DKIM) è sostenuto da DMARC impostato su quarantine o reject. Solo il 3,87% dei domini ci arriva.
Quale quota di domini può ancora essere impersonata? Il 89,4% — perché manca loro un DMARC in applicazione, che pubblichino SPF o meno.
Perché avere posta (MX) senza autenticazione è particolarmente rischioso? Il 42,7% dei domini invia e riceve attivamente posta ma non ha autenticazione funzionante — domini attivi e affidabili che chiunque può falsificare, esattamente ciò che cercano i truffatori.
Verifica se sei davvero protetto
«Abbiamo SPF» non è la stessa cosa di protetto. Verifica il tuo dominio gratis e in privato — vedi se la tua posta può ancora essere falsificata.
Verifica il tuo dominio → · Correggi DMARC → · Il punteggio di esposizione del dominio → · p=none non è protezione → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.