Defaults.Exposed

Defaults.Exposed › Report

Pubblicare SPF non basta: il falso senso di sicurezza delle email (2026)

Pubblicato 2026-06-29

Dati al 2026-06-29 · metodologia v7. Dati censuari aggregati che uniscono i controlli per dominio su 261 milioni di domini valutati. «In applicazione» = una policy DMARC di quarantine o reject. Vedi come valutiamo.

Il posto più pericoloso nella sicurezza della posta elettronica è sentirsi protetti. Il 32,4% dei domini pubblica SPF ma non ha alcun DMARC — e il 45,7% ha SPF non sostenuto da alcuna applicazione. Questi proprietari hanno fatto qualcosa, hanno visto «SPF: configurato» e si sono fermati. Ma SPF da solo non impedisce a nessuno di falsificare il tuo indirizzo «Da» visibile — solo un DMARC applicato lo fa. Al 2026-06-29, solo il 3,87% dei domini è pienamente protetto sulla posta.

Il divario tra «configurato» e «protetto»

SPF verifica quali server possono inviare per tuo conto. Non governa l’indirizzo «Da» che una persona vede realmente, e non dice ai destinatari cosa fare in caso di fallimento. Questo è compito di DMARC. Quindi SPF senza una policy DMARC in applicazione è una serratura senza porta dietro:

StatoQuota di dominiRealmente protetto?
SPF pubblicato, nessun record DMARC32,4%No
SPF pubblicato, DMARC non in applicazione45,7%No
Pienamente protetto sulla posta (SPF + DMARC applicato)3,87%

Rileggi la riga centrale: il 45,7% di tutti i domini ha SPF ma nessuna applicazione — quasi la maggioranza di internet nella zona della falsa sicurezza. Ai fini di un attaccante, sono falsificabili — e il 89,4% dei domini in totale lo è.

La versione peggiore: posta in entrata, nessuna guardia alla porta

Diventa più netto per i domini che ricevono davvero posta. Il 42,7% dei domini accetta posta (ha record MX) ma non ha alcuna autenticazione email funzionante — nessuna applicazione SPF, nessun DMARC. Sono domini attivi e in uso i cui proprietari inviano e ricevono ogni giorno, completamente impersonabili. È proprio questa attività a renderli bersagli appetibili per le frodi sulle fatture e le truffe ai fornitori.

Perché «abbiamo SPF» è diventata la trappola

SPF è più vecchio, più semplice e la prima cosa che la maggior parte delle guide di configurazione menziona — quindi è la casella che viene spuntata. DMARC è arrivato dopo, suona più avanzato e richiede una progressione deliberata verso l’applicazione. Il risultato è un’enorme popolazione che ha adottato il passo uno e non ha mai compiuto il passo due, continuando poi a credere che il lavoro fosse fatto. Il censimento rende visibile per la prima volta la portata di questo equivoco: 32,4% con SPF e nessun DMARC.

Come proteggersi davvero

  1. Mantieni il tuo SPF, ma non affidarti solo a esso. (Correggi SPF.)
  2. Aggiungi DKIM così la tua posta è firmata. (Correggi DKIM.)
  3. Pubblica DMARC e portalo in applicazione (p=nonequarantinereject). È il passo che converte «configurato» in «protetto». (Correggi DMARC.)

Domande frequenti

SPF è sufficiente per fermare lo spoofing della posta? No. SPF non protegge l’indirizzo «Da» visibile né dice ai destinatari di rifiutare le falsificazioni — solo una policy DMARC in applicazione lo fa. Il 45,7% dei domini ha SPF senza quell’applicazione.

Ho un record SPF — sono protetto? Non da solo. Sei protetto solo quando SPF (e idealmente DKIM) è sostenuto da DMARC impostato su quarantine o reject. Solo il 3,87% dei domini ci arriva.

Quale quota di domini può ancora essere impersonata? Il 89,4% — perché manca loro un DMARC in applicazione, che pubblichino SPF o meno.

Perché avere posta (MX) senza autenticazione è particolarmente rischioso? Il 42,7% dei domini invia e riceve attivamente posta ma non ha autenticazione funzionante — domini attivi e affidabili che chiunque può falsificare, esattamente ciò che cercano i truffatori.

Verifica se sei davvero protetto

«Abbiamo SPF» non è la stessa cosa di protetto. Verifica il tuo dominio gratis e in privato — vedi se la tua posta può ancora essere falsificata.

Verifica il tuo dominio → · Correggi DMARC → · Il punteggio di esposizione del dominio → · p=none non è protezione → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.