Defaults.Exposed › Correzioni › SPF (Sender Policy Framework)

Come correggere SPF (Sender Policy Framework)

L'SPF è la riga nelle impostazioni del tuo dominio che elenca quali servizi di posta sono autorizzati a inviare email a nome della tua azienda. Senza, chiunque nel mondo può inviare email che sembrano arrivare da te — e le tue email autentiche hanno più probabilità di finire nello spam dei clienti.

In sintesi per la tua attività: Chiunque può inviare email fingendosi la tua azienda — ai tuoi clienti, ai tuoi dipendenti, ai tuoi fornitori — fatture, richieste di cambio coordinate bancarie, qualsiasi cosa. E allo stesso tempo i tuoi preventivi e le tue fatture reali finiscono più facilmente nel cestino, così le trattative si bloccano in silenzio.

Cosa può costarti

Un truffatore invia a un tuo cliente una fattura «a tuo nome» con le proprie coordinate bancarie, e si fa pagare. Lo scopri settimane dopo, quando il cliente chiede dov'è la merce — e a quel punto è la tua reputazione in gioco, e forse anche la tua responsabilità.
I tuoi preventivi, le tue fatture e le tue risposte finiscono in silenzio nello spam dei clienti, perché i grandi provider non riescono a verificare che siano davvero tue. Le trattative si raffreddano e non capisci mai il perché.
Un truffatore si finge il titolare o il responsabile amministrativo e scrive ai dipendenti chiedendo un pagamento urgente o dei buoni regalo — il messaggio sembra davvero arrivare dal tuo dominio, così qualcuno paga.
L'ufficio IT o sicurezza di un cliente più grande controlla il tuo dominio, non trova alcuna protezione del mittente, e o ti scarta o ti obbliga a sistemare prima di firmare — facendoti perdere la trattativa o settimane di tempo.
Pensi di essere protetto perché un record SPF esiste — ma è impostato su «soft fail» senza nulla che lo faccia rispettare, oppure è rotto in silenzio, così la posta contraffatta passa comunque.

Perché è importante. Falsificare l'indirizzo del mittente di un'email è banalmente facile e non costa nulla a chi attacca. L'SPF è il modo più economico e veloce per rendere il tuo dominio più difficile da impersonare e per tenere la tua posta legittima fuori dallo spam. Google e Yahoo ora cestinano o rifiutano attivamente la posta dei domini non autenticati, quindi non è più facoltativo — è il minimo indispensabile anche solo per far recapitare le tue email.

In breve

In questo momento, a meno che tu non abbia configurato correttamente l’SPF, chiunque nel mondo può inviare email che sembrano arrivare dalla tua azienda. Possono mandare ai tuoi clienti fatture false, ai tuoi dipendenti finte richieste di pagamento, e ai tuoi fornitori messaggi come se fossi tu — e i messaggi sembreranno autentici, perché nulla sul tuo dominio dice il contrario.

L’SPF (Sender Policy Framework) è la soluzione. È una singola riga di testo nelle impostazioni del tuo dominio che elenca quali servizi di posta sono effettivamente autorizzati a inviare email a tuo nome. I provider di posta riceventi — Gmail, Outlook, tutti — controllano quell’elenco prima di decidere se un messaggio è reale. Nessun elenco, o uno debole, e non hanno nulla su cui basarsi.

Questa pagina riguarda due cose che devono essere entrambe corrette: se esista o meno un record SPF, e se sia impostato in modo abbastanza rigoroso da fare davvero il suo lavoro.

Quanto può costarti

Questi sono i modi concreti, di tutti i giorni, in cui un record SPF mancante o debole si traduce in soldi e fiducia che escono dalla porta. Non nominiamo mai un’azienda reale — sono gli schemi che vediamo nei dati.

Il dirottamento della fattura. Un criminale invia a un tuo cliente un’email che sembra arrivare esattamente da te, allegando una fattura realistica con il proprio conto corrente. Il tuo cliente la paga. La prima cosa che senti è un sollecito che chiede dove sia l’ordine. Ora c’è un cliente arrabbiato, un pagamento finito a un criminale, e una conversazione difficile su chi si accolla la perdita.
La truffa al titolare/all’amministrazione. Qualcuno scrive alla tua contabilità «a nome» del titolare: «Piccolo favore — riesci a far passare questo pagamento entro fine giornata?» Poiché il messaggio sembra davvero arrivare dal tuo dominio, non insospettisce nessuno. Il denaro lascia l’azienda.
La tassa silenziosa sulla recapitabilità. I tuoi preventivi e le tue fatture cominciano a finire nello spam dei clienti perché Gmail e Yahoo non riescono a verificare che siano davvero tuoi. Non ricevi un rimbalzo, non ricevi un errore — le trattative semplicemente si zittiscono. Stai perdendo affari e non riesci nemmeno a vederlo accadere.
Il contratto perso. L’ufficio acquisti o sicurezza di un cliente più grande fa un controllo di base sul tuo dominio nell’ambito dell’onboarding. Non vede alcuna autenticazione del mittente e ti segnala come rischio. Nel migliore dei casi corri a sistemare sotto pressione; nel peggiore, scelgono un concorrente che ha superato il controllo.
L’ondata che avvelena il marchio. Il tuo dominio viene usato in una campagna di phishing rivolta al pubblico. Le persone scottate ora diffidano di ogni email con il tuo nome — così persino le tue offerte e i tuoi rinnovi autentici vengono ignorati o segnalati.

Il filo conduttore di tutto questo: chi attacca non spende nulla, e la tua azienda si accolla il costo e la colpa.

Cos’è davvero

Quando arriva un’email, il server di posta ricevente vuole sapere una cosa: questo messaggio arriva davvero da chi dice di arrivare? L’SPF risponde a una parte di questa domanda.

Pubblichi una breve riga di testo nelle impostazioni DNS del tuo dominio — un «record TXT» — che indica quali servizi di posta sono autorizzati a inviare per tuo conto. Qualcosa come:

v=spf1 include:_spf.google.com include:sendgrid.net -all

In parole semplici, significa: «La posta autentica da noi arriva dai server di Google e di SendGrid — rifiuta tutto il resto che dichiara di essere noi.»

Le due parti che contano per la tua valutazione:

Il record esiste? Questo è il punto cruciale (ha il peso maggiore tra tutti i singoli controlli email). Nessun record significa che i riceventi non hanno alcun elenco da consultare, quindi l’impersonificazione è spalancata. C’è anche una modalità di guasto subdola: se il tuo dominio ha due o più record SPF, le regole stabiliscono che tutti sono invalidi — quindi di fatto non hai alcun SPF, anche se sembra di sì.
La policy è abbastanza rigorosa? Un record può esistere ma essere comunque senza denti. La parte finale — il meccanismo «all» — è l’istruzione ai riceventi:
- -all (hard fail) — rifiuta tutto ciò che non è nell’elenco. La più forte. Punteggio pieno.
- ~all (soft fail) + DMARC impostato su reject — la configurazione moderna raccomandata. Protezione equivalente all’hard fail, senza il rischio che la posta legittima inoltrata venga rifiutata. Punteggio pieno.
- ~all + DMARC impostato su quarantine — accettabile, leggermente più debole; sposta il DMARC su reject per la protezione completa.
- ~all da solo (senza far rispettare il DMARC) — debole. Dice «probabilmente falso, recapita comunque». La posta contraffatta passa lo stesso. È la trappola in cui cadono molte aziende, credendosi protette.
- ?all (neutro) — non offre alcuna protezione.
- +all — attivamente pericoloso: dice al mondo che chiunque può inviare a tuo nome. Non usarlo mai.

C’è un’altra modalità di guasto invisibile: l’SPF è autorizzato a innescare fino a 10 interrogazioni DNS quando viene valutato. Accumula troppe voci include: e il record supera quel limite, momento in cui i riceventi considerano l’intera cosa come rotta — e torni a non avere protezione. È un problema comune e silenzioso per le aziende che usano molti strumenti di marketing e SaaS.

Com’è fatto un «buono»: esattamente un record SPF, che elenca ogni servizio che invia legittimamente posta a tuo nome, terminante con -all (o ~all abbinato a un DMARC su p=reject), e che resta comodamente sotto il limite delle 10 interrogazioni.

Come sistemarlo (gratis, ~10 minuti)

Passa questa sezione a chi gestisce il tuo dominio o il tuo sito — e nota che la correzione è gratuita. È la modifica di un’impostazione DNS, non un prodotto da acquistare. Facciamo pagare solo il monitoraggio nel tempo, perché resti corretto, non la modifica in sé.

Passo 1 — Elenca ogni servizio che invia email a tuo nome. È la parte che la gente sbaglia. Scrivili tutti: il tuo provider di caselle (Google Workspace, Microsoft 365, ecc.), più qualsiasi strumento di newsletter, CRM, helpdesk, piattaforma e-commerce, app di fatturazione/contabilità, e sistema di prenotazioni. Se un servizio invia posta con il tuo nome e lo dimentichi, il tuo SPF ne bloccherà la posta quando irrigidirai la policy.

Passo 2 — Pubblica un record TXT sul tuo dominio radice. Combina le righe «include» di tutti i tuoi mittenti in un unico record. Per piattaforma comune:

Google Workspace: include:_spf.google.com
Microsoft 365: include:spf.protection.outlook.com
SendGrid: include:sendgrid.net
Mailchimp: include:servers.mcsv.net
Zoho: include:zoho.eu (o il dominio della regione appropriata)

Un record combinato si presenta così:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

Dove aggiungerlo, per provider:

Cloudflare: DNS → Records → Add record → Tipo TXT, Nome @, Contenuto = il valore qui sopra.
Microsoft 365 / Google admin: pubblicano la stringa include esatta da usare nella loro procedura guidata di configurazione; copiala nel record TXT del tuo host DNS.
GoDaddy / la maggior parte degli host: Gestione DNS → Aggiungi → TXT, Host/Nome @, Valore = il record.

Passo 3 — Parti in sicurezza, poi fai rispettare. Mentre verifichi che il tuo elenco di mittenti sia completo, pubblica con ~all (soft fail) così nulla di legittimo viene bloccato per sbaglio. Una volta confermato che tutta la tua posta autentica continua a scorrere, irrigidisci a -all (hard fail) — o, meglio, mantieni ~all e aggiungi una policy DMARC su p=reject, che è l’abbinamento moderno raccomandato.

Passo 4 — Assicurati di avere esattamente UN record. Se esiste già un vecchio record SPF, modifica quello invece di aggiungerne un secondo. Due record v=spf1 si annullano a vicenda e ti lasciano senza protezione.

Passo 5 — Tieni d’occhio il conteggio delle interrogazioni. Se hai molti mittenti, puoi superare il limite delle 10 interrogazioni. Se succede, consolida — alcuni provider offrono lo «SPF flattening», oppure elimina i mittenti che non usi più.

Passo 6 — Ricontrolla il tuo dominio per confermare che ora superi il test, con il record presente e la policy rigorosa.

Errori comuni

Due record SPF. Il guasto silenzioso più comune. Aggiungere un nuovo record invece di modificare quello esistente invalida entrambi. Deve essercene esattamente uno.
Fermarsi a ~all credendo di aver finito. Il soft fail senza un DMARC alle spalle è la via di mezzo debole — sembra configurato ma protegge a malapena. O passi a -all, o abbini ~all a un DMARC p=reject.
Dimenticare un mittente. Irrigidire a -all prima di aver elencato la tua app di fatturazione, il CRM o lo strumento di newsletter inizierà a bloccare la tua posta legittima. Elenca tutto prima.
Sforare il limite delle 10 interrogazioni. Ogni include: può concatenare altre interrogazioni. Troppe e il record viene considerato rotto. Tienilo snello.
Usare +all. Autorizza esplicitamente l’intera rete a inviare a tuo nome. È peggio che non avere alcun record. Non pubblicarlo mai.

Dove si colloca

L’SPF è la fondamenta, ma è uno di tre strati. Il DKIM aggiunge una firma crittografica che dimostra che un messaggio non è stato manomesso, e il DMARC è l’istruzione che lega insieme SPF e DKIM e dice ai riceventi cosa fare concretamente con la posta che fallisce — incluso bloccare l’impersonificazione del nome del mittente visibile che vedono i tuoi clienti. Sistema prima l’SPF (è la vittoria più rapida e ha il peso maggiore), poi aggiungi DKIM e DMARC per chiudere completamente la porta. Tutte e tre le correzioni sono gratuite.

Configuralo sul tuo host

Passo per passo per i provider più diffusi:

FAQ

Non sono una persona tecnica — posso occuparmene da solo?

Non serve capire i dettagli. La modifica è una o due righe aggiunte alle impostazioni del tuo dominio, fatta da chi gestisce il tuo sito o dal tuo fornitore IT. Passa loro la sezione «Come sistemarlo» qui sotto — di solito richiede pochi minuti ed è gratuita. Facciamo pagare solo il monitoraggio nel tempo, perché resti corretto.

Abbiamo già un record SPF — non significa che siamo coperti?

Non necessariamente. Avere un record è la prima metà; averlo impostato in modo rigoroso è la seconda. Un record che termina con «~all» (soft fail) senza un DMARC alle spalle dice ai server riceventi «questo potrebbe essere falso, ma recapitalo comunque» — il che offre una protezione minima. Due record SPF, o uno che fa troppe interrogazioni, vengono considerati rotti e non offrono alcuna protezione, pur sembrando esistere. Entrambe le metà devono essere giuste.

Sistemando questo rischio di bloccare per sbaglio le mie email?

Può succedere se il record dimentica un mittente legittimo — per esempio la tua app di fatturazione o lo strumento per le newsletter che inviano posta a tuo nome. È esattamente per questo che l'approccio sicuro è elencare prima ogni servizio che invia posta a tuo nome, pubblicare con un soft «~all» mentre verifichi che non manchi nulla, e poi passare all'hard fail. Fatto in quest'ordine non rompe niente.

Qual è la differenza tra «~all» e «-all», e quale dovremmo usare?

«-all» (hard fail) dice ai riceventi di rifiutare tutto ciò che non è nell'elenco — l'impostazione più forte. «~all» (soft fail) dice «probabilmente non è legittimo, ma accettalo lo stesso». La buona pratica moderna raccomanda «~all» combinato con una policy DMARC impostata su «reject» — questa coppia offre la stessa protezione di «-all» senza il rischio che la posta inoltrata venga rifiutata. «~all» da solo, senza un DMARC che lo faccia rispettare, è la configurazione debole da evitare.

L'SPF ferma da solo tutta la contraffazione delle email?

No — è il primo strato essenziale, non la risposta completa. L'SPF dice quali server possono inviare a tuo nome, ma non dice ai riceventi cosa fare quando un messaggio fallisce, e non copre il nome del mittente visibile che l'utente vede. Per blindare completamente l'impersonificazione servono anche DKIM e DMARC. L'SPF è il primo passo più veloce e di maggior impatto, quindi parti da qui, poi aggiungi gli altri due.

Quanto ci vuole perché abbia effetto, e potrebbe costare qualcosa?

Le modifiche DNS di solito hanno effetto entro pochi minuti o qualche ora. La correzione in sé è sempre gratuita — è solo la modifica di un'impostazione presso il tuo provider DNS. Chiunque ti dica che aggiungere un record SPF richiede un prodotto a pagamento si sbaglia.