Defaults.Exposed

Defaults.Exposed › Report

Il Modello di Maturità dell'Adozione di SPF (SPFAMM): le 6 fasi di SPF (2026)

Pubblicato 2026-07-03

Dati aggiornati al 2026-06-29 · metodologia v7. Un modello di riferimento sostenuto da un censimento ricorrente di 261 milioni di domini valutati; ogni edizione rimisura la stessa popolazione, così i numeri possono essere seguiti nel tempo. Tutti i dati sono aggregati — non pubblichiamo mai il record di una singola azienda.

A che fase si trova internet?

Fase 2,4 di 6. Misurato su 261 milioni di domini, il dominio medio non ha ancora raggiunto una recinzione SPF funzionante — e internet nel suo complesso ottiene 29 su 100 in solidità SPF. Pubblicare SPF è l’atto di sicurezza email più comune che esista (lo fa il 53,21% dei domini), eppure la maggior parte di quei record si ferma a un’impostazione che chiede comunque ai destinatari di consegnare le contraffazioni.

Il problema non è l’adozione — è che la maggior parte delle indicazioni sulla maturità si ferma a “abbiamo pubblicato SPF”, come se il record stesso fosse il traguardo. Un record SPF può autorizzare l’intera internet, non esprimere alcuna opinione, annullarsi silenziosamente, o restare per sempre in softfail perché rafforzarlo comporta un lavoro che nessuno ha pianificato. Un modello utile dà un nome a ciascuno di questi stati. Questo lo fa: il Modello di Maturità dell’Adozione di SPF — SPFAMM, sei fasi, una mossa ciascuna, e un nome che puoi citare. È il complemento SPF a le sei fasi della maturità di DMARC.

Quali sono le sei fasi della maturità di SPF?

Ognuno dei 261 milioni di domini valutati si trova esattamente in una delle fasi 1–5, e quelle cinque popolazioni sommano con precisione al totale del censimento; la fase 6 è il sottoinsieme rafforzato conteggiato all’interno della fase 5. È questo che rende SPFAMM una misurazione anziché un poster.

FaseNomeDominiQuota
1Non protetto121.145.60946,4%
2Permissivo o guasto7.798.3663,0%
3Recinzione morbida70.368.60027,0%
4Rigido42.514.53216,3%
5Allineato19.259.1257,4%
6Rafforzato10.092.4813,87%

(La fase 6 è il sottoinsieme rafforzato dei domini allineati della fase 5, quindi le fasi 1–5 partizionano il censimento e la fase 6 si colloca all’interno della fase 5.)

Fase 1 — Non protetto. Nessun record v=spf1. Nessun destinatario controlla nulla; contraffare il dominio sul fronte SPF è facile. La mossa: pubblica un record v=spf1 che elenca i tuoi mittenti reali, terminante con un qualificatore di fail.

Fase 2 — Permissivo o guasto. Esiste un record ma non protegge nulla. Questa fase raccoglie le terminazioni senza denti — ?all neutrale (3,0% dei publisher) e il tappetino di benvenuto +all — insieme ai record guasti: record v=spf1 multipli, che lo standard annulla completamente, e record frammentari senza una terminazione utilizzabile. Un’eccezione: circa 2,1 milioni di record terminano con redirect=, che è una delega valida — la loro vera policy risiede nella destinazione, e li conteggiamo qui solo perché il loro stesso record non porta alcun verdetto. La mossa: un solo record, una sola terminazione reale — ~all o -all.

Fase 3 — Recinzione morbida. Il record termina con ~all (softfail) senza nulla che imponga alle spalle — 70,4 milioni di domini, la popolazione più numerosa di qualsiasi fase con SPF pubblicato. Il softfail è una recinzione reale con un cancello aperto: dice ai destinatari “la posta proveniente da altrove è probabilmente contraffatta”, e chiede loro di consegnarla comunque. La mossa: scala il muro — rendi conto di ogni mittente, poi imbocca uno dei due percorsi verso l’alto (sotto).

Fase 4 — Rigido. Il record termina con -all: 42,5 milioni di domini che pubblicano un netto “rifiuta tutti gli altri”, senza ancora alcuna imposizione DMARC alle spalle. Un onesto avvertimento che la nostra stessa misurazione ora quantifica: un record -all che supera il limite di 10 lookup è nullo per quanto rigido possa sembrare — almeno 112.215 dei record -all di internet si trovano in questo stato. La mossa: metti una policy DMARC che imponga alle spalle del record, così che i fallimenti vengano gestiti ovunque.

Fase 5 — Allineato. SPF — morbido o rigido — si colloca dietro DMARC p=quarantine o p=reject. Questa è la fase in cui lo spoofing del tuo esatto dominio si ferma davvero presso ogni grande provider di caselle di posta: 19,3 milioni di domini, di cui 7,1 milioni abbinano ~all all’imposizione (lo schema raccomandato dalle linee guida per i mittenti di Google) e 12,1 milioni vi abbinano -all. La mossa: aggiungi DKIM e continua a sorvegliare — i record si deteriorano.

Fase 6 — Rafforzato. SPF più DKIM più DMARC in imposizione — l’insieme completamente protetto, 10.092.481 domini, 3,87% di internet — più la disciplina del monitoraggio della deriva: le catene include: cambiano, i provider spostano gli IP, qualcuno collega un nuovo strumento che invia a tuo nome. La mossa: resta qui. È una pratica, non un distintivo.

La corsia senza posta. Un dominio che non invia posta può saltare in cima con una sola modifica: SPF -all più DMARC p=reject. Non avere nulla di legittimo da proteggere significa nessun muro da scalare — e chiude uno dei vettori di impersonificazione più comuni che esistano.

Perché la fase 3 è dove internet si arena?

Perché quasi ogni altra mossa è una piccola modifica al DNS, mentre uscire dalla fase 3 è lavoro: enumerare ogni sistema che invia legittimamente a tuo nome — provider di caselle di posta, piattaforma di newsletter, CRM, strumento di fatturazione, quella cosa che il marketing ha attivato la scorsa primavera — e farli entrare in un solo record senza far saltare il budget di 10 lookup. Questo è il muro. ~all è l’ultimo gradino raggiungibile senza farlo, ed è per questo che 70,4 milioni di domini si fermano lì.

Dalla cima del muro ci sono due percorsi verso l’alto, ed entrambi arrivano alla fase 5:

Il censimento mostra quanto raramente uno dei due percorsi venga portato a termine: dei 77,5 milioni di record softfail, solo 7,1 milioni — circa 1 su 11 — hanno l’imposizione alle spalle.

Come si calcola il punteggio di solidità SPF?

In modo semplice, e manteniamo costanti i pesi così che il punteggio sia comparabile di mese in mese: credito pieno per i domini in cui qualcosa impone (fasi 5–6), mezzo credito per una recinzione reale su cui nessuno agisce (fasi 3–4), niente per i record assenti, permissivi o guasti. Su questa scala internet ottiene 29/100 al 2026-06-29. Quasi metà della popolazione contribuisce con zero perché non pubblica assolutamente nulla.

Come trovo la fase del mio dominio?

Le fasi 1–4 sono leggibili direttamente dal tuo record DNS; la fase 5 aggiunge la tua policy DMARC; la fase 6 aggiunge DKIM. L’unica cosa che uno sguardo non può dirti è se un record rigido sia segretamente oltre il limite di lookup — questo richiede di risolvere la catena, cosa che il nostro checker fa per te.

Domande frequenti

Cos’è SPFAMM? Il Modello di Maturità dell’Adozione di SPF — il modello a sei fasi di questa pagina: Non protetto, Permissivo/guasto, Recinzione morbida, Rigido, Allineato, Rafforzato. La fase di ogni dominio è calcolabile dal suo DNS: le fasi 1–5 partizionano esattamente il censimento di 261 milioni di domini, e la fase 6 è il sottoinsieme rafforzato all’interno della fase 5.

A che fase si trova la maggior parte dei domini? Fase 1 — il 46,4% dei domini non pubblica alcun SPF. Tra i domini che invece lo pubblicano, la fase 3 (softfail senza imposizione) è il luogo di sosta più comune, con 70,4 milioni di domini. La media ponderata sulla popolazione è la fase 2,4.

Il softfail ~all è sufficiente? Solo con una policy DMARC in imposizione alle spalle — quell’abbinamento è la fase 5 ed è lo schema raccomandato dalle linee guida per i mittenti di Google. Da solo è la fase 3: recinzione reale, cancello aperto. Il confronto completo è in ~all vs -all.

Devo per forza raggiungere -all per essere al sicuro? No. La fase 4 è uno di due percorsi, non un requisito — mantenere ~all e imporre con DMARC p=reject arriva alla stessa protezione presso i destinatari che valutano DMARC. Ciò che è richiesto è il muro: conoscere ogni mittente prima che qualcosa imponga.

Quanti domini completano tutte e sei le fasi? 10.092.481 — il 3,87% di internet — detengono insieme SPF, DKIM e una policy DMARC in imposizione. Ogni transizione di fase è gratuita; i dettagli sono in i pochi protetti.

Verifica a che punto si trova il tuo dominio

Il tuo dominio si trova esattamente in una di queste sei fasi, e la mossa successiva è conoscibile in 30 secondi — gratis, e ogni correzione lungo la scala è una modifica al DNS, non un acquisto.

Verifica il tuo dominio → · Correggi SPF → · ~all vs -all · Il report SPF PermError → · Le 6 fasi della maturità di DMARC → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.