Defaults.Exposed › Report
Cos'è il meccanismo SPF ptr — e perché è ancora presente in 950.631 record? (2026)
Pubblicato 2026-07-03
Dati aggiornati al 2026-06-29 · metodologia v7. Censimento aggregato su 261 milioni di domini classificati. Tutti i valori sono aggregati — mai il record di una singola azienda. Vedi come classifichiamo.
ptr è un meccanismo SPF che autorizza i mittenti tramite ricerca DNS inversa — e lo standard SPF stesso dice “non usarlo” dal 2014. 12 anni dopo, 950.631 domini lo pubblicano ancora. Si tratta di circa 1 su 146 dei 139 milioni di record SPF su internet che portano un meccanismo che la specifica ha deprecato prima ancora che alcuni di quei domini fossero registrati.
Cosa avrebbe dovuto fare ptr
ptr dice: “accetta la posta da qualsiasi server il cui DNS inverso risolve nel mio dominio.” Sembra elegante — nessuna lista di IP da mantenere. In pratica richiede che il destinatario esegua una ricerca inversa sull’IP che si connette, e poi confermi in avanti ogni hostname restituito. La RFC 7208 (§5.5) lo ha deprecato con parole chiare: il meccanismo è “lento, non è affidabile come altri meccanismi in caso di errori DNS, e impone un elevato fabbisogno di risorse ai name server .arpa” — e stabilisce che “NON DOVREBBE essere usato.”
Perché è ancora una trappola nel 2026
Tre motivi per cui un meccanismo deprecato 12 anni fa è ancora rilevante:
- Consuma il tuo budget di lookup. Ogni
ptrconta nel tetto massimo di SPF di 10 ricerche DNS per controllo — il limite che, una volta superato, invalida l’intero record con un PermError. Un meccanismo che non fa nulla di affidabile ti costa comunque il budget di cui i tuoi veri meccanismiinclude:hanno bisogno. - Fallisce in modo imprevedibile. Il DNS inverso è l’angolo meno curato della maggior parte delle reti. Quando la ricerca
ptrva in timeout o la conferma in avanti fallisce, la tua posta legittima perde il pass SPF su cui contava. - Alcuni destinatari lo ignorano del tutto. Poiché lo standard lo deprecata, alcune implementazioni semplicemente ignorano
ptr— quindi i mittenti che avrebbe dovuto autorizzare non sono mai stati protetti fin dall’inizio.
Da dove viene
Quasi nessuno sceglie ptr oggi. Arriva per eredità: una guida di configurazione scritta nel 2009, un template copiato da una vecchia configurazione di server, un record “funzionante” migrato intatto attraverso tre cambi di hosting. È lo schema che il nostro censimento osserva in ogni meccanismo deprecato-ma-presente: i vecchi consigli non muoiono, vengono copiati e incollati. I domini che portano ptr non sono negligenti — stanno seguendo istruzioni ritirate 12 anni fa.
Come risolverlo — gratis, cinque minuti
- Trova il tuo record SPF (
dig TXT iltuodominio.comoppure controlla gratis). - Se contiene
ptr, individua quali server ci facevano affidamento. - Sostituisci il
ptrcon la forma precisa: un bloccoip4:/ip6:per i server che controlli, oppure l’include:documentato dal tuo provider. - Già che ci sei, verifica che il record termini con un qualificatore reale — vedi
~allvs-all.
Domande frequenti
Cosa significa ptr in un record SPF? Autorizza qualsiasi server il cui DNS inverso risolve nel tuo dominio. La RFC 7208 §5.5 lo ha deprecato nel 2014 in quanto lento e inaffidabile, e afferma che NON DOVREBBE essere usato — eppure 950.631 domini lo pubblicano ancora al 2026-06-29.
Il meccanismo SPF ptr è mai valido?
Viene ancora interpretato, e alcuni destinatari lo valutano ancora — ma lo standard ne sconsiglia l’uso in tutti i casi, alcuni destinatari lo ignorano, e consuma una delle tue dieci ricerche DNS. Non esiste alcuna configurazione moderna in cui ptr sia la risposta giusta.
Cosa dovrei usare al posto di ptr?
Blocchi ip4:/ip6: per i server che controlli, oppure l’include: documentato dal tuo provider. Entrambi sono deterministici, veloci e affidabili — tutto ciò che ptr non è.
ptr conta nel limite di 10 lookup di SPF?
Sì — ogni ptr costa almeno una delle dieci ricerche DNS che un destinatario eseguirà prima di rinunciare con un PermError. Su record già carichi di meccanismi include:, il meccanismo morto può essere quello che ti fa sforare.
Controlla il tuo record alla ricerca di fantasmi
Un meccanismo deprecato 12 anni fa, ancora presente nel tuo DNS, è esattamente il tipo di cosa che nessuno va a cercare. Cercarlo richiede mezzo minuto.
Controlla il tuo dominio → · Correggi SPF → · Due record SPF = nessuno → · Il modello di maturità SPF → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.