Strumenti diagnostici di rete

Verifica SPF

Valida il tuo record Sender Policy Framework

Che cos'è un record SPF?

SPF (Sender Policy Framework) comunica ai server di posta in ricezione quali host sono autorizzati a inviare email per il tuo dominio. Un record SPF difettoso — duplicato, con troppe interrogazioni DNS o privo del meccanismo 'all' — fa finire nello spam anche la posta legittima. IPeek individua il tuo record SPF, analizza ogni meccanismo e segnala i problemi che compromettono la recapitabilità.

Come funziona un record SPF

SPF risiede come record TXT sul dominio radice e inizia con v=spf1. Quando un server riceve un messaggio che dichiara di provenire da te, consulta quel record e verifica se l'IP mittente è autorizzato. Un record come v=spf1 include:_spf.google.com ip4:198.51.100.10 -all significa "autorizza gli host di Google e questo singolo IP, rifiuta tutto il resto". I meccanismi vengono valutati da sinistra a destra e vince la prima corrispondenza. Il meccanismo finale all è il catch-all che determina l'esito predefinito per qualsiasi host non elencato esplicitamente.

Hardfail, softfail e il limite di 10 lookup

Il meccanismo all definisce la tua policy: -all è un hardfail (rifiuta i mittenti non elencati), ~all è un softfail (accetta ma contrassegna come sospetto) e +all autorizza chiunque — da non usare mai. SPF impone inoltre un limite di 10 lookup totali ai meccanismi che interrogano il DNS (include, a, mx, ptr, exists, redirect); se lo superi, il risultato è un permerror, trattato come un fallimento. Anche gli include annidati vengono conteggiati, quindi aggiungere più fornitori consuma silenziosamente il budget. IPeek conta ogni lookup e ti avvisa prima che tu raggiunga il limite.

Come SPF si integra con DKIM e DMARC

SPF da solo non basta. Autentica il mittente di buste (il return-path), non l'indirizzo From visibile che gli utenti vedono, quindi un truffatore può superare SPF pur falsificando il tuo brand. DMARC colma questa lacuna richiedendo l'allineamento tra il dominio SPF e il dominio From, e abbinando SPF a DKIM in modo che uno dei due possa autenticare un messaggio. Considera SPF uno dei tre livelli: SPF autorizza gli host, DKIM firma il contenuto e DMARC li lega al tuo dominio From e applica la policy.

Domande frequenti

Quanti lookup DNS può avere un record SPF?

SPF consente un massimo di 10 meccanismi che interrogano il DNS per ogni valutazione. I meccanismi include, a, mx, ptr, exists e redirect consumano ciascuno un lookup, e gli include annidati rientrano nello stesso limite. Superare 10 produce un permerror, che i destinatari trattano come un fallimento di autenticazione. Appiattisci o consolida gli include per restare entro il limite.

Qual è la differenza tra -all e ~all in SPF?

La differenza sta nell'applicazione. -all è un hardfail che indica ai destinatari di rifiutare la posta da qualsiasi host non elencato nel record, mentre ~all è un softfail che li invita ad accettarla ma a trattarla come sospetta. Usa ~all durante i test, poi passa a -all una volta confermato che ogni mittente legittimo è autorizzato. Evita +all, che autorizza chiunque.

Perché le mie email finiscono nello spam anche se ho un record SPF?

Un record SPF da solo non garantisce la consegna in posta in arrivo. Le cause più comuni sono il superamento del limite di 10 lookup (permerror), un meccanismo all mancante o troppo permissivo, un host mittente che non è realmente autorizzato o record SPF duplicati sullo stesso dominio. SPF inoltre non protegge l'indirizzo From visibile — servono DKIM e DMARC al suo fianco per una recapitabilità solida.

Un dominio può avere più di un record SPF?

No. Un dominio deve pubblicare esattamente un record TXT SPF (v=spf1). Due o più record SPF causano un permerror e i destinatari possono rifiutare la posta o farla fallire in autenticazione. Se devi autorizzare più mittenti, combinali in un unico record usando ulteriori meccanismi include o ip4/ip6, anziché aggiungere un secondo record.

SPF verifica l'indirizzo From che vedono gli utenti?

No. SPF autentica il mittente di buste (il return-path o MAIL FROM), non l'intestazione From che i destinatari vedono effettivamente. È per questo che SPF da solo non può fermare lo spoofing del tuo brand. DMARC aggiunge l'allineamento SPF, richiedendo che il dominio SPF coincida con il dominio From visibile: è questo che colma il divario tra i controlli a livello di protocollo e ciò che gli utenti leggono.

Strumenti correlati

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어