I 6 migliori strumenti SPF per aziende di fascia media nel 2026

Riepilogo esecutivo: Le aziende di fascia media utilizzano in media da 5 a 10 servizi per l'invio di email e SPF consente un massimo di 10 lookup DNS per ogni valutazione. Questa matematica non regge a lungo. Un singolo Google Workspace consuma già da solo 3-4 lookup. Se aggiungi Microsoft 365, un CRM e una piattaforma di marketing, superi il limite ancora prima di aver terminato l'onboarding.

Questa guida confronta 6 strumenti SPF pensati per team di fascia media che devono risolvere il limite dei 10 lookup, correggere record danneggiati e raggiungere la conformità DMARC senza un budget enterprise o un referente dedicato alla sicurezza email. Valutiamo ciascuno strumento in base a profondità diagnostica, gestione SPF dinamica, implementazione guidata, trasparenza dei prezzi e ampiezza della piattaforma.

Punti chiave:

• La maggior parte delle aziende di fascia media ha già raggiunto o si avvicina al limite dei 10 lookup SPF. Se non hai controllato di recente, sei probabilmente più vicino al limite di quanto pensi. Esegui un check gratuito con Red Sift's SPF Checker per scoprirlo in meno di un minuto.
• Il flattening manuale di SPF è una trappola. Sembra una soluzione rapida, ma la rotazione degli IP dei fornitori rende rapidamente obsoleti i record statici. Solo le soluzioni automatiche e dinamiche (Red Sift Dynamic SPF, EasyDMARC EasySPF, Valimail Instant SPF, Sendmarc SPF Optimization) sono approcci sostenibili nel lungo periodo.
• SPF da solo non basta. Google, Yahoo e Microsoft ora richiedono SPF, DKIM e DMARC per bulk senders. Scegli una piattaforma che copra l'intero stack di autenticazione, così non dovrai acquistare tre strumenti separati.
• Red Sift OnDMARC è la soluzione tutto-in-uno più completa per team di fascia media, coprendo SPF, DKIM, DMARC, BIMI e MTA-STS con implementazione guidata e un punteggio di 4.8/5 su G2. EasyDMARC è una valida alternativa se per te la priorità sono prezzi pubblici e supporto all'onboarding.
• Lo Shadow IT è il maggior rischio SPF per le aziende di fascia media. I team adottano tool SaaS che inviano email senza avvisare l'IT, e ciascuno aggiunge “include” SPF che consumano il tuo budget di lookup. Prepara un semplice processo di intake prima che il tuo record si rompa.

SPF (Sender Policy Framework) è un protocollo di autenticazione email che informa i server destinatari su quali indirizzi IP sono autorizzati a inviare email per conto del tuo dominio. È definito nella RFC 7208 e funziona tramite la pubblicazione di un record TXT DNS che elenca gli IP autorizzati [1].

Ecco il punto centrale per le aziende di fascia media: hai la complessità di una enterprise senza però le stesse risorse.

Un'organizzazione tipica di fascia media (da 100 a 1.000 dipendenti) utilizza in media 335 applicazioni SaaS [2]. Non tutte queste inviano email, ma molte lo fanno. Google Workspace o Microsoft 365 per la posta aziendale. HubSpot o Marketo per il marketing. Salesforce per le notifiche CRM. Zendesk o Freshdesk per i ticket di supporto. Aggiungi la fatturazione, notifiche HR, messaggi transazionali, e la maggior parte delle aziende di fascia media usa 5-10 servizi di invio email distinti.

Questo è importante perché SPF consente al massimo 10 lookup DNS per valutazione [1]. Se superi questo limite, i server destinatari restituiscono un PermError, segnalando che le tue email legittime non vengono autenticate. Un semplice include:_spf.google.com consuma da solo 3-4 lookup per via degli include nidificati. Aggiungi Microsoft 365 e due strumenti marketing e sei già al limite prima di aver finito la configurazione.

Questa è la vera sfida SPF per la fascia media: sei abbastanza complesso da raggiungere il limite dei 10 lookup ma probabilmente non hai un team dedicato per la sicurezza email che lo gestisca. Il tuo IT ha già altre venti priorità. E un record SPF danneggiato non impatta solo la sicurezza, ma anche la deliverability, la comunicazione con i clienti e l'allineamento DMARC.

I rischi sono concreti. Sei aziende di medie dimensioni su dieci nel Regno Unito hanno subito frodi, con perdite medie di £245.000 [3]. Quasi il 70% delle violazioni legate a phishing ora colpisce piccole e medie imprese [4]. E ora che Google, Yahoo e Microsoft richiedono SPF, DKIM e DMARC per i bulk sender [5, 6], la corretta configurazione dell'SPF non è più opzionale.

Le guide all'acquisto enterprise parlano di funzionalità che oggi non ti servono e di prezzi che fanno rabbrividire un CFO. Ecco cosa conta davvero gestendo l'email in una realtà di fascia media:

• Conteggio accurato dei lookup DNS. Lo strumento deve contare in modo ricorsivo tutti i meccanismi che interrogano DNS (include, a, mx, ptr, exists, redirect) e mostrare se sei entro il limite di 10. I lookup nidificati da “include” di terze parti devono essere visibili, non nascosti. Questa è la base minima per qualsiasi strumento SPF.
• Gestione del limite dei 10 lookup. Controllare il record è una cosa, risolverlo è un'altra. Le aziende di fascia media hanno bisogno di strumenti che vadano oltre la diagnostica e risolvano davvero il limite tramite flattening dinamico, approcci basati su macro o segmentazione dei sottodomini. Oggi sei a 8 lookup, dopo il prossimo acquisto SaaS arriverai a 12.
• Velocità nel raggiungere valore. Non hai tre mesi né un team dedicato per l'implementazione. I migliori strumenti SPF per la fascia media ti portano a uno stato ottimizzato in pochi giorni o settimane, non trimestri.
• Configurazione guidata e indicazioni chiare. Il tuo IT generalista deve capire cosa non funziona e come risolverlo. Gli strumenti SPF che restituiscono solo output DNS grezzi senza contesto non aiutano se hai altre 47 responsabilità oltre l'SPF.
• Prezzi ragionevoli e trasparenti. I budget nella fascia media sono reali. Strumenti con prezzi pubblici o prova self-service ti consentono di valutare senza dover parlare subito con un commerciale. E il prezzo per dominio conta se gestisci 5-20 domini, non centinaia.
• Integrazione con autenticazione email più ampia. SPF non vive da solo. Funziona insieme a DKIM e DMARC. I migliori strumenti per la fascia media danno visibilità su tutti e tre i protocolli e mostrano come l'allineamento SPF influenza la postura DMARC. Comprare tre strumenti separati per tre protocolli correlati è una perdita di tempo e soldi.
• Monitoraggio continuo. I record SPF cambiano quando i fornitori ruotano IP, quando i team aggiungono servizi senza avvisare l'IT o quando la propagazione DNS introduce errori. Serve un monitoraggio che intercetti i problemi prima che le email del CEO tornino indietro.

Ideale per: Organizzazioni di fascia media che vogliono gestione SPF completa con implementazione guidata e Dynamic SPF

Red Sift offre due punti di ingresso per l'SPF: il SPF Checker gratuito per un'analisi istantanea del record senza registrazione e la piattaforma OnDMARC completa, che include gestione dell'SPF con tecnologia Dynamic SPF.

Caratteristiche chiave:

• Visualizzazione interattiva dell'albero SPF con tutti i meccanismi, i lookup e gli include nidificati in un diagramma cliccabile e codificato a colori
• Contatore lookup DNS in tempo reale con chiara indicazione di superamento o meno del limite dei 10
• Rilevamento lookup void (il meno noto limite dei 2 void lookup che molti strumenti ignorano)
• Rilevamento attacchi SubdoMailing, identificando include compromessi che espongono il tuo dominio a spoofing [7]
• Validazione sintattica con segnalazione di record duplicati, meccanismi deprecati e qualificatori errati
• Analisi completa di DMARC, DKIM, BIMI e MTA-STS tramite Red Sift Investigate

L'SPF Checker gratuito è il miglior strumento diagnostico standalone di questa lista. Ma il valore aggiunto di Red Sift si vede nella fase successiva, quando trovi problemi.

Dynamic SPF risolve in modo definitivo il limite dei 10 lookup. Invece dei record SPF tradizionali che referenziano i domini dei fornitori (ognuno dei quali consuma lookup), Dynamic SPF mantiene un unico record ottimizzato che Red Sift aggiorna automaticamente in tempo reale. Se un fornitore come Google o Microsoft cambia i propri IP mittenti, Red Sift rileva la modifica e aggiorna il record in pochi minuti. Niente flattening manuale. Niente IP obsoleti che rompono l'autenticazione nottetempo [8].

Per i team di fascia media, questo è il punto di forza: puoi aggiungere servizi di invio email a mano a mano che l'azienda cresce senza preoccuparti del limite di 10 lookup. L'IT non deve monitorare manualmente i cambi di IP dei fornitori né mantenere spreadsheet di include SPF.

OnDMARC offre implementazione DMARC guidata che porta le organizzazioni alla piena enforcement (p=reject) in 6-8 settimane. La piattaforma scopre tutti i tuoi servizi invio email (anche quelli dimenticati), mostra come configurare ciascuno e ti avvisa subito in caso di problemi. Questo approccio guidato rende OnDMARC accessibile anche a chi non può permettersi un esperto di sicurezza email dedicato.

Oltre l'SPF:

• Red Sift Radar usa l'AI per analizzare i report DMARC e suggerire correzioni, rendendo il troubleshooting 10 volte più veloce rispetto ai file XML grezzi
• DNS Guardian monitora le vulnerabilità dei sottodomini che gli attaccanti potrebbero sfruttare
• Brand Trust ti avvisa di domini simili registrati per impersonare la tua azienda

Prezzi: Prezzi flessibili con prova gratuita di 14 giorni di OnDMARC. Inizia con SPF Checker e Investigate gratuiti (senza registrazione).

Miglior caso d'uso per la fascia media: Aziende in crescita con 5+ servizi email che devono superare il limite dei 10 lookup e cercano una singola piattaforma per SPF, DKIM, DMARC, BIMI e MTA-STS. Implementazione guidata e supporto dedicato significano che non serve competenza interna nell'autenticazione email.

Ideale per: Aziende di fascia media che vogliono autenticazione email guidata con prezzi accessibili e supporto pratico

EasyDMARC offre uno SPF Checker gratuito e EasySPF, strumento a pagamento di flattening dinamico dell'SPF che semplifica la gestione dei record tramite una piattaforma centralizzata.

Caratteristiche chiave:

• Lookup gratuito del record SPF con visualizzazione ad albero e identificazione delle sorgenti invio
• Generatore di record SPF che crea record validi da interfaccia guidata
• Validatore record SPF per controlli di sintassi pre-pubblicazione
• Contatore dei lookup DNS che segnala il superamento del limite di 10
• EasySPF (a pagamento): flattening dinamico che converte automaticamente i domain include in IP
• Analizzatore report DMARC basato su AI con dashboard semplificate
• Monitoraggio reputazione con tracciamento blacklist

La proposta EasyDMARC per la fascia media è l'accessibilità. La piattaforma è pensata per team senza competenze avanzate di autenticazione email, con un'interfaccia guidata che ti accompagna passo passo nella configurazione SPF. Invece di modificare record DNS grezzi, selezioni le sorgenti email da un menu. Questo riduce il rischio di errori sintattici che possono rompere il record.

EasySPF risolve il limite dei 10 lookup con flattening dinamico: trasforma i domain include in IP ed aggiorna automaticamente il record quando i fornitori cambiano indirizzi. Basta un cambio DNS per puntare a EasySPF, e da lì il mantenimento è automatico.

Lato supporto, le recensioni sottolineano l'assegnazione dedicata di ingegneri DMARC che seguono il cliente durante la configurazione, molto utile per chi implementa DMARC per la prima volta. Claim: 83.000+ organizzazioni servite e punteggio G2 di 4.8/5 con oltre 151 recensioni.

Limitazioni d'uso per la fascia media:

Lo checker SPF gratuito è funzionale ma non offre la visualizzazione interattiva come quello di Red Sift, né il rilevamento SubdoMailing. EasySPF è disponibile solo su piani a pagamento, quindi serve un impegno sulla piattaforma per accedere al flattening. La piattaforma copre DMARC, SPF e DKIM, ma non include gestione BIMI o MTA-STS. Alcune recensioni notano che il prezzo sale se aumentano i domini gestiti. EasyDMARC non offre API pubblica, limitando così l'integrazione per team più tecnici.

Prezzi: Piano gratuito (1 dominio, 10.000 email/mese, 14 giorni di dati). A pagamento da 17,99$/mese (Plus) e 35,99$/mese (Premium) fatturati annualmente. Prezzi enterprise via commerciale. EasySPF incluso nei piani a pagamento.

Miglior caso d'uso fascia media: Aziende con team IT snello che implementano DMARC per la prima volta e valorizzano onboarding guidato e supporto pratico. Ottimo se cerchi prezzi pubblici self-service e non hai bisogno di gestione BIMI o MTA-STS.

Ideale per: Verifica rapida dell'SPF durante modifiche DNS

MXToolbox è da anni uno strumento diagnostico DNS di riferimento. Il suo checker SPF è veloce, gratuito e non richiede setup.

Caratteristiche chiave:

• Lookup istantaneo del record SPF e validazione
• Visualizzazione del numero di lookup DNS
• Rilevamento lookup void
• Rilevamento di record duplicati, meccanismi deprecati ed errori di sintassi
• Rilevamento di caratteri dopo la direttiva all
• Parte di una suite diagnostica DNS più ampia (MX, DMARC, blacklist, SMTP)

MXToolbox è lo strumento che l'IT usa per un controllo rapido. Hai pubblicato un nuovo record SPF? Verificalo con MXToolbox per confermare che la sintassi sia corretta. Problemi di recapito? Controlla la validità del record SPF. È l'equivalente del correttore ortografico per i tuoi record DNS.

L'ecosistema MXToolbox include anche strumenti per la deliverability, monitoraggio blacklist e diagnostica SMTP. I piani a pagamento aggiungono il monitoraggio e alert, utili se vuoi essere avvisato in caso di cambi ai record DNS.

Limitazioni per la fascia media:

MXToolbox non offre la visualizzazione ad albero dell'SPF, quindi non puoi vedere la struttura dei record complessi. Nessun flattening o gestione dinamica. L'interfaccia mostra i risultati ma non ti guida nella risoluzione dei problemi. I piani di monitoraggio partono da 129$/mese, costosi per chi desidera solo strumenti focalizzati sull'SPF.

Prezzi: Gratuito per check singoli. Monitoraggio a pagamento da 129$/mese tramite il Delivery Center.

Miglior caso d'uso fascia media: Team IT che hanno bisogno di uno strumento di validazione veloce e gratuito per controlli spot dopo modifiche DNS. Da usare insieme a una piattaforma di gestione SPF dedicata.

Ideale per: Ambienti Google Workspace che vogliono validare la configurazione SPF

La Admin Toolbox di Google include Check MX, che valida i record DNS (inclusi SPF) dei domini con Google Workspace.

Caratteristiche chiave:

• Validazione record SPF con visualizzazione degli indirizzi autorizzati
• Verifica che i server Google siano autorizzati nel record SPF
• Validazione DKIM e DMARC nello stesso strumento
• Controllo del record MTA-STS
• Verifica coerenza degli NS su tutti i name server
• Rilevamento di meccanismi deprecati ed errori comuni di configurazione

Se la tua azienda usa Google Workspace, con questo strumento puoi verificare che il record SPF autorizzi correttamente l'infrastruttura Google. Analizza gli include nel record SPF mostrando i reali IP autorizzati. Inoltre controlla la salute generale del DNS in una sola passata (MX, DKIM, DMARC, MTA-STS, coerenza NS).

Google nelle proprie guide ufficiali fa riferimento a questo strumento per troubleshooting SPF [9], rendendolo punto di riferimento per gli amministratori Workspace.

Limitazioni fascia media:

Lo strumento è pensato per Google Workspace e segnala problemi da questa prospettiva. Non esiste la visualizzazione ad albero dell'SPF, né flattening né monitoraggio continuo. L'interfaccia è minimale: ottima per controlli veloci ma limitante se i record hanno 10+ include. Se non usi Google Workspace, questo tool offre poco di più rispetto agli altri checker gratuiti.

Prezzi: Gratuito.

Miglior caso d'uso fascia media: Amministratori Google Workspace che desiderano validare SPF e la configurazione DNS generale. Da usare insieme a uno strumento SPF dedicato per una copertura completa.

Ideale per: Organizzazioni di fascia media su Microsoft 365 che vogliono automazione e gestione SPF basata su macro

Valimail offre uno checker SPF gratuito e Instant SPF, una soluzione brevettata che supera il limite dei 10 lookup usando macro SPF.

Caratteristiche chiave:

• Checker gratuito per dominio che mostra lo stato SPF, DMARC e BIMI in un unico report
• Indicatore chiaro “Protetto” o “Non protetto”
• Contatore dei lookup DNS con allerta sul limite di 10
• Rilevamento di range IP troppo permissivi
• Instant SPF (a pagamento) usa tecnologia brevettata a macro per generare risposte SPF dinamiche per ogni email
• Tier gratuito di monitoraggio DMARC (Valimail Monitor) con tracciamento dei lookup SPF per dominio

Instant SPF di Valimail adotta un approccio diverso rispetto al limite di interrogazione. Invece di appiattire le direttive include in elenchi IP statici, utilizza le macro SPF per generare dinamicamente la risposta SPF corretta al momento della valutazione. Il record è sempre aggiornato, mai obsoleto, e non supera mai il limite di interrogazioni indipendentemente dal numero di servizi utilizzati.

Il livello gratuito Monitor è un solido punto di ingresso. Fornisce report DMARC con visibilità sui mittenti e include il conteggio delle interrogazioni SPF su tutti i tuoi domini. Valimail offre anche una forte integrazione con Microsoft 365 con rilevamento automatico dei servizi per ambienti M365.

Limitazioni per l'uso mid-market:

Il checker gratuito non offre l’analisi visiva ad albero dello SPF. Instant SPF è disponibile solo nei livelli a pagamento (Valimail Enforce) e i prezzi non sono pubblicati, richiedendo una conversazione commerciale. Questo rappresenta una barriera per gli acquirenti mid-market che desiderano valutare le opzioni in modo indipendente. L’approccio basato su macro crea anche una dipendenza dall’infrastruttura di Valimail. La risoluzione SPF passa dai loro server, quindi ti affidi alla loro disponibilità e alle loro prestazioni DNS.

Prezzi: Checker e livello Monitor gratuiti. Instant SPF fa parte del prodotto a pagamento Enforce (contatta il commerciale per un preventivo).

Migliore caso d’uso mid-market: Aziende fortemente legate a Microsoft 365 che desiderano la gestione automatica dello SPF e sono a proprio agio con un processo di acquisto guidato dal commerciale. Il livello Monitor gratuito consente di valutare prima di impegnarsi.

Migliore per: Gestione SPF con appiattimento integrato e una piattaforma DMARC più ampia

Sendmarc offre una suite di strumenti gratuiti di verifica DNS, affiancati da una piattaforma a pagamento che include gestione SPF, appiattimento SPF (SPF Optimization), DKIM ed enforcement DMARC.

Caratteristiche principali:

• Verificatore gratuito dei record SPF che valida sintassi, IP autorizzati e include di terze parti
• Tester gratuito delle policy SPF che controlla indirizzi IP specifici rispetto al record SPF di un dominio
• Contatore di interrogazioni DNS che mostra il totale delle interrogazioni e lo stato del limite
• SPF Optimization (a pagamento) che risolve automaticamente tutte le direttive include in indirizzi IP quando si raggiunge il limite
• Monitoraggio continuo che rileva cambi IP dei provider e aggiorna i record appiattiti
• Piattaforma estesa che include enforcement DMARC, gestione DKIM e reportistica

SPF Optimization di Sendmarc adotta un approccio pratico. Quando il record raggiunge il limite di 10 interrogazioni, risolve automaticamente tutte le direttive DNS in indirizzi IP e pubblica la versione ottimizzata. La risoluzione è continua, quindi se un provider cambia gli IP di invio, Sendmarc lo rileva e aggiorna il record.

Il tester gratuito delle policy SPF è una funzione utile per il mid-market. Ti consente di testare un indirizzo IP specifico rispetto al tuo record, utile per verificare se un nuovo strumento SaaS è stato correttamente autorizzato.

Limitazioni per l’uso mid-market:

Gli strumenti gratuiti sono checker di base senza analisi visiva ad albero o rilevamento SubdoMailing. SPF Optimization è disponibile solo per i clienti paganti. La piattaforma è più giovane di alcuni concorrenti, con una base di recensioni G2 limitata. I prezzi pubblicati richiedono una demo, che può rallentare l’iter di valutazione per gli acquirenti mid-market che preferiscono prove self-service.

Prezzi: Strumenti checker gratuiti. La piattaforma a pagamento con SPF Optimization richiede una demo (prezzi non pubblici).

Migliore caso d’uso mid-market: Aziende che cercano una piattaforma integrata per la gestione SPF e l’enforcement DMARC, preferendo l’appiattimento integrato in un set di strumenti più ampio rispetto a una soluzione SPF standalone.

• 3-5 servizi che inviano email (record semplice): Probabilmente sei sotto il limite di 10 interrogazioni, ma dovresti verificare. Usa il SPF Checker gratuito di Red Sift per l’analisi visiva ad albero e MXToolbox o Google Admin Toolbox per controlli rapidi. Se sei già a 7-8 interrogazioni, inizia a pianificare una soluzione di gestione prima che il prossimo acquisto SaaS ti faccia superare il limite.
• 5-8 servizi che inviano email (vicini al limite): Sei probabilmente al limite delle 10 interrogazioni o quasi. Qui rientra la maggior parte delle aziende mid-market. Analizza il tuo dominio con lo SPF Checker di Red Sift per conoscere il conteggio esatto; poi valuta Dynamic SPF (Red Sift OnDMARC), EasySPF (EasyDMARC) o Instant SPF (Valimail) per restare sotto il limite man mano che cresci.
• 8+ servizi che inviano email (oltre il limite): Ora è necessario adottare una soluzione di gestione attiva. Red Sift Dynamic SPF, EasyDMARC EasySPF, Valimail Instant SPF o Sendmarc SPF Optimization sono le opzioni disponibili. Dai priorità a piattaforme che coprano l’intero stack di autenticazione (SPF + DKIM + DMARC) per evitare di dover acquistare tre strumenti separati.

Piccolo team IT (1-3 persone per tutto): L’implementazione guidata di Red Sift OnDMARC oppure l’onboarding assistito di EasyDMARC riducono la curva di apprendimento. Entrambe le piattaforme ti dicono cosa correggere, per quale servizio e in quale ordine. Il prezzo pubblicato di EasyDMARC a partire da $17,99/mese può attrarre i budget più stretti; la prova gratuita di 14 giorni di Red Sift ti permette di valutare prima l’intera piattaforma.

Responsabile IT security dedicato: Red Sift OnDMARC offre il toolkit più completo con SPF, DKIM, DMARC, BIMI e MTA-STS in una sola piattaforma. Valimail Enforce è un’alternativa se la tua organizzazione investe molto su Microsoft 365.

IT esternalizzato o MSP: Il supporto multi-dominio e il programma MSP di Red Sift OnDMARC lo rendono pratico per team esterni che gestiscono i domini dei clienti. Anche EasyDMARC e Sendmarc si propongono come soluzioni MSP-friendly.

Lo SPF è solo un pezzo del puzzle. Google, Yahoo e Microsoft ora richiedono SPF, DKIM e DMARC per i mittenti di volumi elevati [5]. Microsoft ha iniziato a far rispettare questi requisiti nel maggio 2025, unendosi a Google e Yahoo che applicano tali regole dal 2024 [6]. Se risolvi lo SPF isolatamente, stai facendo solo metà del lavoro.

Red Sift OnDMARC copre l’intero stack. EasyDMARC copre SPF, DKIM, DMARC e BIMI. Gli altri strumenti citati gestiscono specificamente lo SPF o fanno parte di pacchetti di autenticazione più ristretti. Rifletti se desideri una piattaforma che cresca con te o se preferisci assemblare strumenti separati.

Perché succede: Nelle aziende mid-market, i team adottano rapidamente strumenti SaaS. Il marketing si iscrive a una nuova piattaforma email, le vendite aggiungono uno strumento di prospecting, il customer success integra un servizio di sondaggi. Ognuno deve inviare email dal tuo dominio e ha bisogno di un include SPF dedicato. Ma nessuno lo comunica all’IT. Un semplice include:_spf.google.com consuma 3-4 interrogazioni a causa degli include annidati. Se aggiungi Microsoft 365, Salesforce e HubSpot, superi le 10 interrogazioni prima ancora di coprire metà dei servizi di invio.

L’impatto: I server riceventi restituiscono un PermError e le email legittime falliscono l’autenticazione SPF. DMARC tratta il PermError come fail a prescindere dalla policy [1]. Le mail del CEO vengono messe in quarantena mentre tu cerchi di capire cosa sia cambiato.

Come risolvere: Passa il tuo dominio al SPF Checker di Red Sift per conoscere il tuo conteggio attuale. Se hai superato 10 interrogazioni, implementa Dynamic SPF tramite Red Sift OnDMARC o EasySPF con EasyDMARC. Poi crea un processo semplice: ogni team che acquista uno strumento SaaS che invia email deve segnalarlo all’IT prima di andare in produzione. Per approfondire leggi la guida di Red Sift per superare il limite di 10 interrogazioni.

Perché succede: Le aziende mid-market cambiano spesso strumenti. Passi da Mailchimp a HubSpot o da un provider hosting condiviso a Google Workspace. Gli include SPF vecchi rimangono nel record perché nessuno li rimuove durante la migrazione. Peggio, a volte vengono pubblicati due record SPF per lo stesso dominio se la guida di setup del nuovo strumento dice “aggiungi questo record TXT” e qualcuno ne crea un secondo invece di unirli.

L’impatto: RFC 7208 richiede un solo record SPF per dominio. Due record causano un PermError e tutte le email vengono rifiutate dallo SPF [1]. Gli include orfani sprecano preziose interrogazioni dal tuo budget di 10 e possono autorizzare IP che non inviano più email per te.

Come risolvere: Verifica il record SPF rispetto all’infrastruttura reale di invio almeno ogni trimestre. Interroga i record TXT del tuo dominio e cerca più voci che iniziano con v=spf1. Confronta ogni include con un servizio realmente utilizzato. Passa il record revisionato al SPF Checker di Red Sift prima di pubblicarlo.

Perché succede: Quando i team mid-market valutano un nuovo SaaS, guardano a funzionalità, prezzi e integrazioni. L’impatto sullo SPF non entra quasi mai tra le priorità. Poi lo strumento va in produzione, l’IT aggiunge l’include SPF richiesto e il record supera il limite delle 10 interrogazioni. Ora ti trovi a risolvere problemi di deliverability per uno strumento già attivo da due settimane.

L’impatto: La gestione reattiva dello SPF genera cicli di rottura e fix d’emergenza. Ogni nuovo tool diventa un incendio invece di una configurazione pianificata.

Come risolvere: Aggiungi una domanda alla checklist di acquisto SaaS: “Questo strumento invia email dal nostro dominio e quali include SPF richiede?” Se la risposta introduce nuove interrogazioni, valuta un sistema SPF dinamico prima di andare in produzione. Piattaforme come Red Sift OnDMARC ed EasyDMARC rendono pratico questo approccio proattivo, in quanto Dynamic SPF ed EasySPF assorbono i nuovi servizi senza raggiungere il limite.

Perché succede: Il generalista IT che ha configurato lo SPF sei mesi fa ora si sta occupando di altre venti priorità. Nel frattempo, i fornitori terzi cambiano regolarmente gli IP di invio, i team aggiungono nuovi servizi senza aggiornare lo SPF e i record DNS possono essere modificati accidentalmente per altri motivi.

L’impatto: I record SPF si allontanano dalla reale infrastruttura di invio. Le mail legittime iniziano a fallire in modo intermittente e la causa non è semplice da tracciare perché nessuno monitora lo stato SPF. Quando qualcuno se ne accorge, il problema potrebbe andare avanti già da settimane.

Come risolvere: Implementa un monitoraggio continuo tramite piattaforme come Red Sift OnDMARC o EasyDMARC che ti avvertono quando qualcosa cambia nello SPF o quando si impennano i fallimenti di autenticazione. Al minimo, programma audit SPF mensili usando lo strumento Investigate di Red Sift.

Perché succede: Quando i team mid-market raggiungono il limite delle 10 interrogazioni, una soluzione fai-da-te comune è sostituire manualmente gli include con gli indirizzi IP risolti per eliminare le interrogazioni DNS. Sembra furbo il primo giorno.

L’impatto: L’appiattimento manuale produce un’istantanea che invecchia subito. Quando Google, Microsoft o qualsiasi provider SaaS cambia i propri IP di invio (succede spesso), il record appiattito fa ancora riferimento agli indirizzi vecchi. Le mail legittime da nuovi IP falliscono lo SPF. Hai solo scambiato un problema con un altro, ma ora non sai nemmeno quando si verifica il guasto.

Come risolvere: Usa soluzioni automatiche che mantengano sincronizzati i record appiattiti. Dynamic SPF di Red Sift, EasySPF di EasyDMARC, Instant SPF di Valimail e SPF Optimization di Sendmarc automatizzano questo processo. Per le aziende mid-market, gli approcci dinamici automatizzati sono l’unica opzione realmente sostenibile.

Visita il SPF Checker di Red Sift ed inserisci il tuo dominio principale. Non è necessaria la registrazione. Vedrai il tuo record SPF visualizzato a albero, il conteggio esatto delle interrogazioni DNS, eventuali errori di sintassi e se il record contiene include compromessi da attacchi come SubdoMailing.

Poi verifica il dominio con Red Sift Investigate per una panoramica completa di SPF, DKIM, DMARC, BIMI e MTA-STS in un unico report.

Hai superato il limite di 10 interrogazioni? Hai errori di sintassi o meccanismi deprecati? Ci sono include che non riconosci? Quanti servizi inviano email per la tua azienda e sono tutti autorizzati correttamente? Le risposte determinano la prossima mossa.

Percorso A: Approccio piattaforma completa (raccomandato per la maggior parte delle aziende mid-market)

1. Iscriviti per una prova di 14 giorni di Red Sift OnDMARC
2. Abilita Dynamic SPF e risolvi per sempre il limite di 10 interrogazioni
3. Segui l’implementazione guidata per SPF, DKIM e DMARC
4. Raggiungi l’enforcement DMARC completo in 6-8 settimane con supporto dedicato

Percorso B: Configurazione guidata con prezzi pubblicati

1. Inizia con il piano gratuito di EasyDMARC per valutare il tuo dominio
2. Passa al piano a pagamento a partire da 17,99$/mese per l’appiattimento EasySPF
3. Usa l’interfaccia guidata e il supporto di un DMARC engineer dedicato per l’implementazione
4. Prevedi di aggiungere BIMI e MTA-STS separatamente man mano che maturi

Percorso C: Validazione rapida con strumenti gratuiti

1. Usa Red Sift SPF Checker per l’analisi visiva
2. Usa il checker gratuito di EasyDMARC per una seconda opinione
3. Usa MXToolbox o Google Admin Toolbox per controlli spot
4. Pianifica una piattaforma di gestione mano a mano che crescono i servizi di invio email

1. Gli strumenti gratuiti fissano il livello. Lo SPF Checker offre analisi visuale ad albero e rilevamento SubdoMailing che nessun altro tool gratuito offre. Investigate verifica tutto il tuo assetto di autenticazione email in una sola passata. Nessuna registrazione. Nessuna carta di credito.

2. Dynamic SPF risolve il problema di scalabilità mid-market. La maggior parte delle aziende mid-market raggiunge il limite di 10 interrogazioni man mano che cresce. Dynamic SPF di Red Sift lo risolve in modo permanente e automatico. Niente appiattimento manuale, niente record obsoleti, nessun cambio IP dei provider che rompe l’autenticazione.

3. Un’unica piattaforma, copertura completa. OnDMARC copre SPF, DKIM, DMARC, BIMI e MTA-STS. Red Sift Radar usa l’AI per analizzare i report e suggerire correzioni. Brand Trust monitora i domini simili al tuo. Meno fornitori, meno fatture e meno complessità di integrazione.

4. Enforcement completo in 6-8 settimane. Red Sift porta le organizzazioni al DMARC p=reject in 6-8 settimane. Altri approcci richiedono 3-6 mesi. La differenza: implementazione guidata e un team Customer Success Engineering dedicato che lo ha già fatto per oltre 1.200 organizzazioni.

5. Validazione G2 a 4.8/5. Red Sift OnDMARC ha un rating di 4.8/5 su G2 ed è primo in EMEA per DMARC. Gli acquirenti mid-market possono fidarsi della validazione di terze parti, non solo delle promesse del fornitore.

[1] RFC 7208 - Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1

[2] Oltre 60 statistiche SaaS da conoscere (2025)

[3] 50 statistiche sul phishing da conoscere nel 2025

[4] 33 statistiche sul phishing nel 2025 che ogni MSP dovrebbe conoscere

[5] Requisiti per invii di massa di Google e Yahoo

[6 ]400.000 domini DMARC in più dopo l’aggiornamento di Microsoft per gli invii ad alto volume

[7] SPF Checker gratuito e lookup SPF

[8] Capire i problemi SPF: come superare il limite di 10 interrogazioni

[9] Risolvere i problemi SPF - Guida Google Workspace Admin

La specifica SPF (RFC 7208) richiede che la valutazione SPF non superi i 10 meccanismi e modificatori che eseguono interrogazioni DNS per ciascun controllo [1]. I meccanismi conteggiati sono include, a, mx, ptr, exists e redirect. I meccanismi all, ip4 e ip6 non consumano interrogazioni. Le aziende mid-market raggiungono abitualmente questo limite perché usano 5-10 strumenti SaaS, ciascuno con relativi include SPF. Quando si supera il limite, i server riceventi restituiscono un PermError e le email non vengono autenticate.

Red Sift OnDMARC ed EasyDMARC offrono implementazione guidata pensata per team senza competenze dedicate in sicurezza email. Red Sift offre la piattaforma più completa (SPF, DKIM, DMARC, BIMI, MTA-STS) con prova gratuita di 14 giorni. EasyDMARC pubblica prezzi a partire da $17,99/mese ed assegna un DMARC engineer dedicato per l’onboarding. Entrambe le soluzioni sono valide; la scelta dipende se si dà priorità alla completezza della piattaforma (Red Sift) o alla trasparenza dei prezzi (EasyDMARC).

L’appiattimento manuale dello SPF è rischioso perché sostituisce include dinamici con IP statici che diventano rapidamente obsoleti quando i provider cambiano i propri IP. Gli strumenti automatici come Dynamic SPF di Red Sift, EasySPF di EasyDMARC, Instant SPF di Valimail e SPF Optimization di Sendmarc eliminano questo rischio monitorando continuamente gli IP dei fornitori e aggiornando automaticamente il record. Per le aziende mid-market, gli approcci dinamici automatizzati sono l’unica opzione davvero sostenibile.

La maggior parte delle piattaforme DMARC include una qualche validazione SPF, ma la profondità varia molto. Red Sift OnDMARC offre una gestione SPF completa con Dynamic SPF integrato. EasyDMARC include EasySPF per l’appiattimento. Altre piattaforme DMARC possono mostrare solo i tassi di successo/fallimento SPF nei report senza analisi specifiche o gestione del limite di interrogazioni. Verifica che la tua piattaforma includa analisi visuale ad albero SPF, conteggio interrogazioni e flattening prima di considerarti coperto.

Almeno mensilmente. L’ideale è un monitoraggio continuo che avvisi subito quando cambia la configurazione SPF. I team aggiungono nuovi strumenti email, i fornitori cambiano IP e i record DNS vengono modificati senza considerare lo SPF. Red Sift OnDMARC ed EasyDMARC offrono entrambi monitoraggio continuo. Se non sei pronto per una piattaforma a pagamento, programma un controllo mensile con lo SPF Checker gratuito di Red Sift.

Sì, e molti team mid-market lo fanno. Un approccio pratico: usa il SPF Checker di Red Sift per analisi visuale ad albero e rilevamento SubdoMailing, il checker gratuito EasyDMARC per una validazione aggiuntiva e MXToolbox per controlli rapidi. Per la gestione continua, abbina un checker gratuito a una piattaforma di gestione come Red Sift OnDMARC o i piani a pagamento di EasyDMARC.

Lo SPF si rompe quando le email vengono inoltrate, perché l’IP del server di inoltro non è autorizzato nel record SPF originale. Questo è uno dei motivi per cui esiste DKIM. Le firme DKIM resistono ai forward perché sono legate al contenuto del messaggio, non all’IP di invio. Per le organizzazioni mid-market, significa che lo SPF da solo non basta. Serve la combinazione di SPF, DKIM e DMARC. Usa Red Sift Investigate per controllare tutti e tre i protocolli contemporaneamente.

Dal 2024, Google e Yahoo richiedono ai mittenti di grandi volumi (oltre 5.000 messaggi al giorno ai loro utenti) la presenza di record SPF, DKIM e DMARC validi. Microsoft si è aggiunta all’obbligo nel maggio 2025 [5, 6]. Chi non è conforme rischia limiti di invio, spam o rifiuto delle email. La maggior parte delle aziende mid-market che inviano campagne marketing, notifiche transazionali e supporto superano la soglia delle 5.000 email. Lo SPF è solo il primo passo: tutti e tre i protocolli vanno configurati correttamente.