Defaults.Exposed › Configurazione › SPF

Come configurare l'SPF su AWS Route 53

Aggiungi un record SPF nella tua hosted zone di Route 53 così che i provider di posta sappiano distinguere le tue email vere dalle falsificazioni.

Perché è importante per la tua attività

L’SPF (Sender Policy Framework) è una breve nota nel DNS del tuo dominio che elenca quali server di posta sono autorizzati a inviare email a tuo nome. Quando qualcuno riceve un messaggio che sostiene di provenire da te, il suo provider di posta controlla quell’elenco. Se il server mittente non c’è, il messaggio appare sospetto — e finisce nello spam o viene bloccato.

In parole povere: l’SPF rende più difficile a chiunque impersonare la tua attività via email, e aiuta le tue email autentiche ad arrivare nella casella di posta invece che nella cartella della posta indesiderata. È un solo record, è gratis e richiede pochi minuti.

Prima di iniziare: è davvero Route 53 a gestire il tuo DNS?

È il passaggio che la maggior parte delle persone sbaglia. Un record DNS funziona solo se è Route 53 a rispondere alle richieste DNS per il tuo dominio.

Route 53 è un gestore DNS, non un provider di caselle di posta — risponde alle richieste DNS ma non gestisce le tue caselle. Qui contano due cose:

• La hosted zone deve essere quella attiva. Nella console di Route 53, apri Hosted zones e seleziona il tuo dominio. Annota i quattro valori NS (nameserver) mostrati per quella zona.
• I nameserver del tuo dominio devono puntare a quei valori. Se hai registrato il dominio tramite Route 53 (in Registered domains), di solito è già tutto allineato. Ma se l’hai registrato altrove, o hai più di una hosted zone per lo stesso dominio, i nameserver attivi potrebbero puntare a tutt’altro — e nulla di ciò che aggiungi qui avrà effetto. Controlla i nameserver presso il tuo registrar e assicurati che corrispondano ai quattro valori NS di questa hosted zone. Se non corrispondono, aggiungi il record SPF là dove risiede davvero il tuo DNS.

Scopri prima un dato: chi invia la tua posta?

L’SPF deve nominare ogni servizio che invia posta per il tuo dominio. Esempi comuni sono Google Workspace, Microsoft 365 o qualunque provider ospiti le tue caselle. Ciascuno pubblica un valore da inserire nel record SPF (spesso qualcosa come include:_spf.google.com per Google o include:spf.protection.outlook.com per Microsoft 365). Controlla le pagine di assistenza del tuo provider di posta per il valore esatto — è la parte che devi azzeccare.

Se invii tramite Amazon SES (il servizio di invio email di Amazon), SES usa per impostazione predefinita un meccanismo diverso e l’SPF per SES è facoltativo — ma se hai configurato un dominio MAIL FROM personalizzato in SES, segui le istruzioni SES esatte per quel caso. SES è un servizio separato da Route 53; Route 53 si limita a memorizzare il record DNS.

Passo dopo passo su Route 53

1. Accedi alla console AWS e apri Route 53.
2. Nel menu a sinistra, scegli Hosted zones, poi clicca il nome del tuo dominio.
3. Clicca Create record.
4. Se vedi una procedura guidata con opzioni di routing policy, passa al modulo semplice (cerca Quick create record) — l’SPF non ha bisogno di alcuna funzione di routing avanzata.
5. Lascia vuoto il campo Record name. Un nome vuoto significa «il dominio stesso». La console mostra il tuo dominio accanto al campo, così non devi riscriverlo.
6. Imposta Record type su TXT.
7. Nel campo Value, inserisci il testo SPF racchiuso tra virgolette doppie: "v=spf1 include:_spf.google.com ~all" Sostituisci la parte include: con il valore (o i valori) indicati dal tuo effettivo provider di posta. Le virgolette intorno sono obbligatorie in Route 53 — vedi gli errori comuni qui sotto.
8. Lascia il TTL sul valore predefinito (300 secondi vanno bene).
9. Clicca Create records.

Errori comuni su Route 53

• I valori TXT devono essere tra virgolette doppie. A differenza di alcuni gestori DNS che aggiungono le virgolette per te, Route 53 si aspetta che le scriva tu. Inserisci "v=spf1 ... ~all", non v=spf1 ... ~all. Dimenticare le virgolette è di gran lunga l’errore più comune su Route 53.
• Lascia vuoto il Record name per il dominio radice. Un nome vuoto significa il dominio stesso. Se scrivi il nome completo del dominio nel campo Name, Route 53 accoda di nuovo la zona e ti ritrovi con tuodominio.com.tuodominio.com — un record che non viene mai controllato.
• Un solo record SPF per dominio. Non puoi avere due record TXT v=spf1 — i provider di posta lo considereranno guasto. Se alla radice esiste già un record TXT, modificalo per aggiungere il nuovo servizio invece di creare un secondo record SPF.
• Hosted zone giusta, account giusto. Se hai diverse hosted zone (o diversi account AWS), è facile modificare quella sbagliata. Assicurati che la zona che stai modificando sia quella i cui valori NS corrispondono ai tuoi nameserver attivi.
• ~all contro -all. ~all (softfail) significa «tutto ciò che non è elencato è sospetto»; -all (hardfail) significa «rifiuta tutto ciò che non è elencato». Parti con ~all mentre verifichi che tutto invii correttamente, poi passa a -all quando sei certo che l’elenco sia completo.
• Le modifiche non sono istantanee. Gli aggiornamenti DNS possono richiedere da qualche minuto fino a un paio d’ore per propagarsi.

Verifica che abbia funzionato

Dopo aver salvato il record e atteso un po’ che entri in vigore, verificalo con il controllo gratuito su questo sito. Ti dirà in parole semplici se il tuo record SPF è presente e ben formato.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.