Cos'è un record SPF?
SPF (Sender Policy Framework) è un meccanismo di autenticazione email definito nella RFC 7208. Permette a un dominio di dichiarare quali server sono autorizzati a inviare email per suo conto.
Perché configurare SPF:
- Proteggere il tuo dominio — Impedisce lo spoofing delle tue email
- Migliorare la deliverability — Le email legittime vengono accettate più facilmente dai destinatari
- Prerequisito per DMARC — SPF è uno dei due pilastri dell'autenticazione DMARC (insieme a DKIM)
- Standard industriale — Tutti i grandi provider (Gmail, Outlook, Yahoo) verificano SPF
Sintassi di un record SPF
Un record SPF è un record DNS TXT che inizia sempre con v=spf1:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:192.0.2.1 ~all
Meccanismi SPF
| Meccanismo | Descrizione | Esempio | DNS Lookup |
|---|---|---|---|
include: | Include l'SPF di un altro dominio | include:_spf.google.com | Sì |
ip4: | Autorizza un indirizzo o range IPv4 | ip4:192.0.2.1 o ip4:192.0.2.0/24 | No |
ip6: | Autorizza un indirizzo o range IPv6 | ip6:2001:db8::1 | No |
a | Autorizza l'IP del record A del dominio | a o a:mail.esempio.com | Sì |
mx | Autorizza i server MX del dominio | mx | Sì |
all | Definisce il comportamento di default | -all, ~all, ?all | No |
Qualificatori di policy
| Policy | Sintassi | Significato | Consiglio |
|---|---|---|---|
| Fail | -all | Rifiuta le email non autorizzate | Produzione (dopo i test) |
| Softfail | ~all | Contrassegna come sospetto ma accetta | Consigliato per iniziare |
| Neutral | ?all | Nessuna policy (protezione debole) | Non consigliato |
Il limite dei 10 DNS lookup
La RFC 7208 impone un massimo di 10 DNS lookup durante la valutazione di un record SPF. È un limite rigido che, se superato, provoca un errore permerror e il fallimento della validazione.
Cosa conta come lookup
| Meccanismo | Conta come lookup? | Note |
|---|---|---|
include: | Sì (+ lookup annidati) | Google = ~4 lookup |
a | Sì | |
mx | Sì | + 1 per ogni MX risolto |
redirect= | Sì | |
exists: | Sì | |
ip4: / ip6: | No | Usali per risparmiare |
all | No |
Esempio di conteggio
v=spf1 include:_spf.google.com include:sendgrid.net include:servers.mcsv.net mx ~all
| Meccanismo | Lookup |
|---|---|
include:_spf.google.com | 4 |
include:sendgrid.net | 1 |
include:servers.mcsv.net | 1 |
mx | 1 |
| Totale | 7 / 10 |
Il nostro generatore mostra questo contatore in tempo reale per aiutarti a restare sotto il limite.
Provider email preconfigurati
Il nostro generatore include 14 provider con i loro include SPF ufficiali:
| Provider | Include SPF | DNS Lookup |
|---|---|---|
| Google Workspace | _spf.google.com | ~4 |
| Microsoft 365 | spf.protection.outlook.com | ~2 |
| SendGrid | sendgrid.net | 1 |
| Mailchimp | servers.mcsv.net | 1 |
| Amazon SES | amazonses.com | 1 |
| Brevo (Sendinblue) | sendinblue.com | 1 |
| Mailgun | mailgun.org | 1 |
| Postmark | spf.mtasv.net | 1 |
| HubSpot | spf.hubspot.com | 1 |
| Salesforce | _spf.salesforce.com | ~2 |
| Zendesk | mail.zendesk.com | 1 |
| Freshdesk | email.freshdesk.com | 1 |
| Zoho | zoho.com | 1 |
| Klaviyo | _spf.klaviyo.com | 1 |
FAQ - Domande frequenti
D: Come creo un record SPF per il mio dominio?
R: Usa il nostro generatore: 1) Seleziona i tuoi provider email, 2) Aggiungi i tuoi IP personalizzati se necessario, 3) Scegli la policy (~all consigliato), 4) Copia il record TXT e aggiungilo nella tua zona DNS.
D: Qual è il limite dei 10 DNS lookup SPF?
R: La RFC 7208 impone un massimo di 10 DNS lookup. Ogni include, a, mx, redirect ed exists conta. Gli ip4/ip6 non contano. Superare questo limite provoca un errore permerror.
D: Che differenza c'è tra ~all e -all?
R: ~all (softfail) contrassegna le email non autorizzate come sospette. -all (fail) le rifiuta. Inizia con ~all per testare, poi passa a -all in produzione.
D: Posso avere più record SPF?
R: No, un dominio deve avere un solo SPF. Più SPF provocano un errore permerror. Combina i tuoi provider in un unico record.
D: Come configuro SPF per Google Workspace?
R: Aggiungi include:_spf.google.com. Il nostro generatore lo fa automaticamente. Questo include equivale a ~4 DNS lookup.
D: Come configuro SPF per Microsoft 365?
R: Aggiungi include:spf.protection.outlook.com. Il nostro generatore lo aggiunge quando selezioni Microsoft 365. Equivale a ~2 lookup.
D: Come risolvo "too many DNS lookups"?
R: 1) Rimuovi gli include non utilizzati, 2) Sostituisci alcuni include con IP diretti (ip4/ip6), 3) Usa un servizio di SPF flattening. Il nostro generatore mostra il contatore per prevenire questo problema.
Strumenti complementari
| Strumento | Utilità |
|---|---|
| SPF Record Check | Verifica il tuo SPF pubblicato e la sua validità |
| SPF Syntax Check | Valida la sintassi SPF prima della pubblicazione |
| DKIM Generator | Crea le tue chiavi DKIM (RSA/Ed25519) |
| DMARC Generator | Configura DMARC per completare l'autenticazione |
| Mail Tester | Testa la deliverability delle tue email |
Risorse utili
- RFC 7208 - Sender Policy Framework (SPF) — Specifica ufficiale SPF
- RFC 7489 - DMARC — Come SPF si integra con DMARC
- Google Workspace - Configurare SPF — Guida ufficiale Google
- Microsoft 365 - Configurare SPF — Guida ufficiale Microsoft