Guida Red Sift alla configurazione dei protocolli email
Scopri di più su SPF
Ho SPF, mi serve anche DMARC per proteggere il mio dominio? Cosa fa DMARC che SPF non fa?
Sì. Dal 2026, DMARC è richiesto dai principali provider di caselle di posta per chi invia grandi volumi di email ed è essenziale per una protezione completa del dominio.
Cosa fa SPF
- SPF autorizza gli indirizzi IPv4/IPv6 di invio.
- SPF protegge l’intestazione dell’email che non è visibile all’utente finale (nota come
Return-Path,MAIL FROM, "Envelope From" o indirizzo Bounce). Se questa intestazione manca, il controllo SPF verrà eseguito sull’indirizzoEHLO/HELO.
Cosa non fa SPF
- SPF non richiede alcun allineamento tra il dominio
Frome l’indirizzoReturn-Pathsopra menzionato che controlla, il che significa che i due non devono corrispondere dal punto di vista di SPF. - SPF non fornisce alcuna funzionalità di reportistica; il ricevente delle email non invierà alcun report al mittente con i risultati dell’autenticazione.
- SPF non sopravvive all’inoltro automatico e ai flussi di posta indiretti.
Questi limiti hanno portato all’introduzione di DMARC per indicare esplicitamente ai destinatari cosa fare e fornire rapporti di autenticazione. Questi report permettono al mittente di intraprendere le azioni necessarie per correggere i flussi di posta legittimi. Dal 2026, DMARC è diventato lo standard per l’autenticazione email, richiesto da Google, Yahoo e Microsoft per chi invia grandi volumi di email.
DMARC utilizza SPF come una delle sue basi ma aggiunge anche funzionalità aggiuntive poiché:
- Si concentra sull’intestazione
Fromche è visibile all’utente finale ("Header From"). - Richiede che il dominio usato da SPF sia allineato (corrisponda esattamente o sia un sottodominio) con il dominio trovato nell’indirizzo
Fromvisibile nell’email. - Ignora le differenze tra soft fail e hard fail nella tua configurazione SPF, ovvero
~alle-allsono trattati allo stesso modo come SPF fail. - Fornisce la funzionalità di reportistica per inviare i risultati dell’autenticazione email al proprietario del
Fromcosì che possa scoprire se il proprio dominio viene abusato. Aiuta anche nella risoluzione di problemi di consegna, poiché i report consentono di individuare eventuali errori di configurazione con i mittenti legittimi. - Fornisce una policy che indica ai destinatari cosa fare con le email che falliscono l’autenticazione. Questa policy viene applicata dai destinatari. Non c’è alcuna applicazione quando si usa solo SPF senza DMARC.
I principali provider di posta ora utilizzano segnali visivi nei loro client per mostrare se un’email è autenticata. Ad esempio, Gmail mostra un punto interrogativo (?) per le email non autenticate – vedi esempio sotto. Questo indicatore visivo è ormai standard tra i provider di caselle di posta nel 2026.
Esegui un controllo SPF gratuito con Red Sift, senza registrazione.
Cos’è una dichiarazione include SPF?
Un include è un meccanismo SPF che punta a un dominio da interrogare quando si controlla se l’IP mittente è autorizzato o meno. Se l’IP mittente fa parte dell’include, allora viene rilevata una corrispondenza e SPF ha esito positivo.
Ad esempio, se hai include:_spf.google.com come parte del tuo record SPF e l’IP d’origine di una mail è quello di Google, si otterrà una corrispondenza poiché hai autorizzato Google a inviare per tuo conto e l’IP mittente si trova nell’include.
Cosa sono le macro SPF?
Una macro SPF si riferisce a un meccanismo usato nei record SPF per definire insiemi riutilizzabili di indirizzi IP. Le macro SPF aumentano la flessibilità e la manutenibilità dei record SPF permettendoti di definire insiemi complessi di IP in un solo meccanismo, che poi può essere referenziato in più record SPF. Questo rende più facile gestire grandi insiemi di server autorizzati a inviare, senza duplicare le stesse informazioni in più punti.
Ad esempio, invece di elencare ogni singolo indirizzo IP autorizzato per i tuoi server di posta nel record SPF, puoi definire una macro come questa:
@spf.salesforce.com IN TXT "v=spf1 exists:%{i}.spf.mta.salesforce.com -all"
In questo esempio, la macro è il meccanismo %{i}, che richiama l’IP mittente dell’email. Il dominio diventa così qualcosa tipo 233.124.65.65._spf.mta.salesforce.com.
Gestire SPF in questo modo ti permette di controllare una lunga lista di IP senza superare il limite di ricerche SPF, e inoltre nasconde quali IP hai approvato da consultazioni pubbliche.
Il problema delle macro SPF
Il rischio con le macro SPF è che la maggior parte delle infrastrutture email legacy non le supporta, causando problemi catastrofici di recapitabilità. Sappiamo da studi tecnici e dalla nostra esperienza che solo circa il 75% dei server SMTP gestisce correttamente le macro. Per questo motivo, nel 2026 le organizzazioni adottano sempre più spesso la gestione dinamica di SPF invece di affidarsi alle macro o al flattening manuale.
Se un server di posta non supporta le macro SPF, il comportamento può variare come segue:
Nessuna espansione
Se il server destinatario non supporta le macro SPF, non espanderà né processerà alcuna macro presente nel record SPF. Al contrario, tratterà il riferimento alla macro come una stringa letterale. Ciò significa che il record SPF perde la sua funzionalità prevista, portando potenzialmente a controlli SPF incompleti o non accurati. Anche se le macro non vengono utilizzate nei record SPF in produzione, il comportamento senza espansione è usato in server email come iCloud.
Possibili fallimenti SPF
A seconda di come è strutturato il record SPF con macro, la mancanza di espansione delle macro può portare a fallimenti SPF o risultati 'Neutral' (indicati dal meccanismo ?all). In entrambi i casi, potrebbe non avere l’effetto desiderato di autorizzare correttamente i server di invio legittimi.
Impatto sulla recapitabilità
Se le macro SPF svolgono un ruolo fondamentale nell’autorizzare server legittimi, le email potrebbero fallire più facilmente i controlli SPF o essere segnalate come sospette dai server riceventi che si affidano a SPF per l’autenticazione.
Domande frequenti: Guida alla configurazione dei protocolli email
Prima di DMARC, nei record SPF era spesso usato il meccanismo “-all” per applicare restrizioni rigorose alle policy dei mittenti. Tuttavia, le attuali raccomandazioni del settore per il 2026 privilegiano “~all” per bilanciare sicurezza e deliverability ed evitare il rifiuto non necessario di email legittime che falliscono SPF, ma superano DKIM e DMARC.
Il motivo è che “~all” in combinazione con DMARC (in p=reject) consente comunque di non recapitare email non autenticate quando SPF e DKIM falliscono, senza bloccare email legittime – migliorando così la deliverability complessiva.
Le specifiche DMARC (RFC 7489) affermano che un prefisso “-” nel meccanismo SPF del mittente – come “-all” – può comportare il rifiuto di un’email già nella fase iniziale, cioè prima che venga applicato DMARC. Utilizza “-all” solo per domini inattivi che non inviano mai email. DMARC non distingue tra Soft Fail e Hard Fail su SPF: considera entrambi semplicemente come un errore SPF.
DMARC richiede non solo che SPF o DKIM abbiano esito positivo, ma anche che almeno uno dei domini usati con SPF o DKIM corrisponda al dominio presente nell'intestazione From. Un corretto allineamento è fondamentale nel 2026 per la consegna delle email, perché i principali provider ora richiedono questa verifica.
Per SPF, l’allineamento significa che la verifica di MAIL FROM/Return-PATH è andata a buon fine e la parte dominio di MAIL FROM/Return-PATH coincide con il dominio dell’indirizzo From. In modalità Strict le due devono essere identiche; in modalità Relaxed vengono accettate anche le sottodomini se appartengono alla stessa organizational domain.
Esempio: se MAIL-FROM/RETURN-PATH è @ondmarc.com e il From-header è @knowledge.ondmarc.com, non sono allineati in modalità Strict, ma DMARC li considererebbe validi in modalità Relaxed.
Un report aggregato DMARC contiene informazioni sullo stato di autenticazione dei messaggi inviati per conto di un dominio. Si tratta di un bounce report in XML che riepiloga quali email hanno superato o fallito SPF e DKIM. Permette ai possessori di dominio di avere una panoramica precisa delle fonti che inviano email a loro nome e cosa succede (policy del destinatario).
I destinatari usano il tag 'rua' del record DMARC per inviare i report. Puoi definire la frequenza usando il tag ri nel record DMARC (valore predefinito: 86400 secondi, ovvero 24h). I report forensi forniscono dettagli molto più precisi su ogni fallimento di autenticazione. I dati personali vengono rimossi, ma tutte le informazioni utili alla risoluzione dei problemi, come header SPF/DKIM e indirizzo mittente completo e oggetto, sono trasmesse.
L’indirizzo di ricezione dei report forensi DMARC si indica tramite il tag 'ruf'. Non tutti i sistemi supportano questi report. Red Sift OnDMARC è tra le poche soluzioni che può ricevere report forensi – grazie alla partnership con Yahoo.
Una macro SPF è un meccanismo nei record SPF che consente di definire insiemi riutilizzabili di indirizzi IP. Le macro SPF offrono maggiore flessibilità e mantenibilità: puoi definire set complessi di IP in un unico meccanismo e referenziarli in vari record. Ad esempio, invece di elencare ogni IP autorizzato, puoi usare una macro come “%{i}”, che richiama l’IP in uscita dell’email. In questo modo puoi gestire facilmente grandi elenchi IP senza superare il limite di lookup SPF e rendere meno evidenti le autorizzazioni IP durante le interrogazioni DNS.
A seconda della struttura della macro nel record SPF, una mancata espansione della macro può causare errori SPF o un risultato neutro (?all). Se l’invio di email legittime dipende dalle macro SPF, queste ultime possono portare a maggiori fallimenti o a segnalare come sospetto il traffico verso sistemi che si basano su SPF.
Mail Transfer Agent Strict Transport Security (MTA-STS) è uno standard per la cifratura dei messaggi tra due server di posta. Comunica ai server mittenti che le email devono essere recapitate solo tramite connessione sicura, tramite Transport Layer Security (TLS), proteggendo così dai tentativi di intercettazione da parte dei criminali informatici.
L’adozione di MTA-STS è cresciuta rapidamente e nel 2026 la sicurezza dei trasporti sarà considerata essenziale per la protezione della posta in transito. Per attivare MTA-STS su un dominio ricevente, occorre dichiarare il supporto tramite DNS e rendere disponibile un file di policy sul proprio sito.
MTA-STS va attivato con cautela per non causare blocchi accidentalmente. Si consiglia di iniziare con la modalità Test: in questo modo, grazie ai rapporti TLS, puoi identificare e risolvere eventuali errori prima di passare alla modalità strict. Questo approccio graduale sarà probabilmente lo standard per la protezione della posta in transito nel 2026.
SMTP TLS Reporting (TLS-RPT), secondo RFC8460, serve a segnalare problemi di connettività TLS dai server MTA mittenti. Proprio come per DMARC, anche qui vengono inviati report via email al titolare del dominio quando problemi TLS ostacolano la consegna. I report contengono le policy MTA-STS rilevate, statistiche di traffico, connessioni fallite e motivi di errore.
Con la funzione MTA-STS in Red Sift OnDMARC non dovrai preoccuparti delle complesse implementazioni. Basta aggiungere gli MTA-STS Smart Record forniti da OnDMARC al proprio DNS e Red Sift si occuperà dell’hosting del file di policy, la gestione del certificato SSL e l’invio automatico di segnalazioni di violazione via report TLS. Nel 2026, l’MTA-STS in hosting è sempre più uno standard previsto nelle moderne piattaforme DMARC, rendendo più semplice l’integrazione della cifratura nei trasporti.
Secondo RFC 7671, DANE (DNS-based Authentication of Named Entities) è un nuovo standard Internet per la creazione di comunicazioni TLS tra client e server senza dipendere dalle autorità di certificazione (CA) tradizionali.
Nel modello attuale, qualsiasi CA può rilasciare un certificato per qualunque dominio. DANE adotta un altro approccio, sfruttando l’infrastruttura DNSSEC (Domain Name System Security Extensions) per associare in modo crittografico un nome di dominio a un certificato. DANE si basa sul protocollo DNSSEC esistente per garantire autenticità e integrità della ricezione.
DANE introduce inoltre un nuovo tipo di record DNS, TLSA, che segnala al client il supporto server a TLS. È raccomandato implementare sia MTA-STS sia DANE. DANE è d’obbligo per molti enti pubblici, in particolare in UE.
MTA-STS e DANE sono efficaci solo se anche il server mittente li supporta – molti implementano solo uno dei due. Attivare entrambi aumenta la sicurezza generale. Nel 2026 le organizzazioni adottano spesso MTA-STS prima, per massima compatibilità, e aggiungono DANE per livelli di sicurezza superiori quando richiesto.
La policy per le sottodomini permette agli amministratori di proteggere in modo differenziato diversi domini e sottodomini a seconda dello stadio di implementazione di DMARC. Ad esempio, se tutti i servizi di invio associati al dominio principale sono già protetti da SPF e DKIM, puoi impostare una policy DMARC p=reject sul dominio principale e p=none sulle sottodomini – o viceversa.
Se un servizio di invio non supporta DMARC (cioè non implementa SPF o DKIM) puoi assegnargli una sottodominio separata con una policy DMARC propria, senza compromettere la protezione dei domini restanti. Ciò consente di distribuire il traffico tra diverse sottodomini e proteggerle separatamente secondo le esigenze.