Vai al contenuto principale
CaptainDNS
NUOVO·Monitoraggio della sicurezza e della recapitabilità email. Ricevi un avviso non appena una variazione di punteggio o di record DNS mette a rischio il tuo dominio.Scopri di più

Generatore SPF gratuito

Crea un record SPF valido per i tuoi provider email

Crea un record SPF corretto senza tirare a indovinare gli include né contare i lookup a mano. Scegli i tuoi provider email, aggiungi i tuoi IP, e il generatore risolve la catena in DNS per mostrare il numero reale di lookup e segnalare i void lookup. Controlla anche se uno SPF esiste già e ti dice se aggiungerlo, sostituirlo o non toccare nulla.

1Il tuo dominio e i tuoi fornitori di invio

Il dominio per cui generare il record SPF.

Fornitori che inviano per voi

Caricamento dei fornitori...

2Livello di protezione
3Sorgenti avanzatefacoltativo
Aggiungere IP, include o i meccanismi a / mx
Meccanismi del dominio

Da attivare se i vostri server di posta (A/MX del dominio) inviano anche email.

Budget di lookup DNS

Inserite un dominio per stimare il budget di lookup DNS.

Catalogo di provider

Google Workspace, Microsoft 365, Amazon SES, SendGrid, Brevo, Zoho e molti altri. Una ricerca copre tutto il catalogo per trovare il tuo con un clic.

Lookup DNS risolti

Stima rapida durante la compilazione, poi conteggio reale dopo la risoluzione della catena di include. Avviso non appena ti avvicini al limite di 10 (RFC 7208).

Rilevamento dei void lookup

Il generatore conta gli include che non si risolvono. Oltre i 2 void lookup, l'SPF va in permerror: lo vedi prima di pubblicare.

Add, replace o no change

Il generatore legge l'SPF già pubblicato sul tuo dominio e adatta le istruzioni: aggiungere, sostituire l'esistente oppure non cambiare nulla se il record è identico.

Passo logico verso DMARC

L'SPF da solo non basta. Il generatore rileva se esiste un DMARC e propone di verificarlo, altrimenti di configurarlo per completare l'autenticazione.

Cosa verifica davvero il generatore

Molti strumenti si limitano a incollare gli include uno dopo l'altro. Il nostro va oltre: risolve la configurazione in DNS prima di lasciarti pubblicare.

In concreto, al momento della generazione fa quattro cose.

Per prima cosa risolve la catena di include in DNS, con lo stesso motore del nostro verificatore di sintassi SPF. Un include:_spf.google.com non è una sola ricerca: ne contiene altri, che ne contengono altri ancora. Il generatore li segue tutti e mostra il numero reale di lookup, non una stima a occhio.

Poi conta i void lookup. Un void lookup è una ricerca DNS che non restituisce nulla: un include verso un dominio scomparso, un NXDOMAIN, una risposta vuota. La RFC 7208 §4.6.4 ne tollera 2. Al terzo, è permerror. Molti SPF rotti lo sono a causa di un vecchio provider il cui include non si risolve più, senza che nessuno se ne accorga.

Controlla anche il tuo SPF già pubblicato. Se ne trova uno, non ti lascia accumularne un secondo (sarebbe un permerror immediato). Ti propone di sostituire l'esistente, oppure ti dice che non cambia nulla se l'SPF in essere è già identico al risultato.

Infine, verifica il tuo DMARC. L'SPF da solo lascia delle falle; DMARC chiude il cerchio. Se un DMARC esiste già, il generatore propone di verificarlo; altrimenti, di configurarlo.

Stima durante la compilazione, conteggio reale alla generazione

Il modulo mostra una stima live dei lookup DNS mentre selezioni i tuoi provider. È rapida, basata sul catalogo, e dà subito un ordine di grandezza.

Il risultato finale, invece, mostra il conteggio reale dopo la risoluzione completa della catena. Può essere più alto della stima. Perché? Perché gli include annidati sono visibili solo una volta risolti in DNS. Un provider che «costa» 1 nel catalogo può consumarne tre una volta risolta la sua catena.

Fidati del numero finale prima di pubblicare. È quello che conta per il limite di 10.

Add, replace o no change: cosa raccomanda il generatore

Il generatore legge l'SPF attualmente pubblicato sul tuo dominio, poi adatta le sue istruzioni.

Situazione rilevataIstruzionePerché
Nessun SPF pubblicatoAggiungere un record TXTIl dominio non è protetto, bisogna creare l'SPF
Un SPF esiste e differisceSostituire il record esistenteDue SPF sullo stesso dominio provocano un permerror
Un SPF identico è già presenteNessuna modificaInutile ripubblicare lo stesso valore

La regola da ricordare sta in una frase: un dominio, un solo SPF. Se aggiungi un provider, modifichi il record esistente, non ne crei uno nuovo.

Cos'è un record SPF?

SPF (Sender Policy Framework) è un meccanismo di autenticazione email definito nella RFC 7208. Permette a un dominio di dichiarare quali server hanno il diritto di inviare email a suo nome.

Senza SPF, chiunque può scrivere un'email spacciandosi per il tuo dominio. Con uno SPF corretto, i server destinatari confrontano il mittente reale con la tua lista autorizzata e rifiutano o contrassegnano ciò che non corrisponde.

Configurare SPF serve a proteggere il tuo dominio dallo spoofing, a migliorare la deliverability delle tue email legittime e a posare uno dei due pilastri di DMARC (l'altro è DKIM). Gmail, Outlook e Yahoo verificano tutti l'SPF: non averlo significa partire con uno svantaggio.

Sintassi di un record SPF

Un record SPF è un record DNS TXT che inizia sempre con v=spf1:

v=spf1 include:_spf.google.com include:sendgrid.net ip4:192.0.2.1 ~all

Meccanismi SPF

MeccanismoDescrizioneEsempioLookup DNS
include:Include l'SPF di un altro dominioinclude:_spf.google.com
ip4:Autorizza un indirizzo o intervallo IPv4ip4:192.0.2.1 o ip4:192.0.2.0/24No
ip6:Autorizza un indirizzo o intervallo IPv6ip6:2001:db8::1No
aAutorizza l'IP del record A del dominioa o a:mail.captaindns.com
mxAutorizza i server MX del dominiomx
allDefinisce il comportamento di default-all, ~all, ?allNo

Qualificatori di policy

PolicySintassiSignificatoRaccomandazione
Fail-allRifiutare gli invii non autorizzatiProduzione, dopo i test
Softfail~allContrassegnare come sospetti, senza bloccarePer iniziare
Neutral?allNessuna indicazioneSconsigliato

Il ?all merita una nota. Lato valutazione, non protegge quasi nulla: un server destinatario lo tratta quasi come l'assenza di SPF. Da evitare, se non per la brevissima durata di una diagnosi.

Il limite dei 10 lookup DNS

La RFC 7208 fissa a 10 il numero di ricerche DNS durante la valutazione di uno SPF. Limite rigido: superarlo provoca un permerror e il fallimento della validazione.

Cosa conta come lookup

MeccanismoConta?Nota
include:Sì, più i lookup annidatiUn include può nasconderne diversi
a
mxPiù 1 per ogni record MX risolto
redirect=
exists:
ip4: / ip6:NoDa preferire per risparmiare
allNo

La trappola classica: un include che sembra innocuo. include:_spf.google.com contiene a sua volta diversi include. È qui che il conteggio reale del generatore fa la differenza rispetto a una stima approssimativa.

Provider email supportati

Il generatore conosce i principali provider email e aggiunge il loro include nel formato corretto non appena li selezioni. Una ricerca copre l'intero catalogo, oltre i provider più diffusi mostrati per impostazione predefinita. Ecco alcuni esempi tra i provider supportati:

ProviderInclude SPF
Google Workspace_spf.google.com
Microsoft 365spf.protection.outlook.com
Amazon SESamazonses.com
SendGridsendgrid.net
Mailgunmailgun.org
Brevo (ex-Sendinblue)spf.sendinblue.com
Zohospf.zoho.com
Mailchimpservers.mcsv.net
Postmarkspf.mtasv.net
HubSpotspf.hubspot.com
Salesforce_spf.salesforce.com
Infomaniakspf.infomaniak.ch

Il tuo provider non è nella lista? Cerca il suo nome nel generatore: il catalogo va ben oltre questi pochi esempi.

FAQ - Domande frequenti

D: Come creare un record SPF per il mio dominio?

R: Scegli i tuoi provider email, aggiungi i tuoi IP se necessario, poi seleziona la policy (~all per iniziare). Il generatore risolve gli include, mostra il numero reale di lookup DNS e ti dice se aggiungere uno SPF o sostituire quello che esiste già. Copia il record TXT e pubblicalo nella tua zona DNS.

D: Cos'è un void lookup in SPF?

R: Una ricerca DNS che non restituisce nulla: include verso un dominio scomparso, NXDOMAIN, risposta vuota. La RFC 7208 §4.6.4 ne consente 2 al massimo. Oltre, la valutazione fallisce in permerror. Il generatore li rileva e li conta mentre risolve la catena.

D: Il generatore mostra il numero reale di lookup?

R: Durante la compilazione, è una stima rapida basata sul catalogo. Alla generazione, risolve realmente la catena di include in DNS, con lo stesso motore del nostro verificatore di sintassi SPF. Il conteggio finale è esatto, e a volte più alto della stima, perché segue gli include annidati.

D: Il generatore può rilevare il mio SPF attuale?

R: Sì. Legge l'SPF pubblicato sul tuo dominio. Nessun SPF: propone di aggiungerne uno. SPF esistente e diverso: propone di sostituirlo, mai di crearne un secondo. SPF già identico: nessuna modifica.

D: Posso avere più record SPF?

R: No. Un solo SPF per dominio. Pubblicarne due provoca un permerror. Combina gli include dei tuoi provider in un unico record.

D: Che differenza c'è tra ~all e -all?

R: ~all (softfail) contrassegna come sospetti gli invii non autorizzati senza bloccarli. -all (fail) li rifiuta. Inizia con ~all durante la fase di convalida, poi passa a -all.

D: Come risolvere l'errore too many DNS lookups?

R: Rimuovi gli include inutili, sostituisci alcuni include con IP diretti (ip4/ip6 non contano), oppure appiattisci il record con il nostro SPF Flattener. Il generatore mostra il contatore dei lookup reali per evitare di arrivare a quel punto.

Strumenti complementari

StrumentoUtilità
SPF Record CheckVerifica il tuo SPF pubblicato e la sua validità
SPF FlattenerAppiattisci il tuo SPF per restare sotto i 10 lookup DNS
SPF Syntax CheckConvalida la sintassi SPF prima della pubblicazione
DKIM GeneratorCrea le tue chiavi DKIM (RSA/Ed25519)
DMARC GeneratorConfigura DMARC per completare l'autenticazione
Mail TesterTesta la deliverability delle tue email

Risorse utili