Guida alla configurazione dei protocolli email di Red Sift
Scopri di più su SPF
Ho SPF, mi serve anche DMARC per proteggere il mio dominio? Cosa fa DMARC che SPF non fa?
Sì. Dal 2026, DMARC è richiesto dai principali provider di caselle di posta per chi invia grandi volumi di email ed è essenziale per una protezione completa del dominio.
Cosa fa SPF
- SPF autorizza gli indirizzi IPv4/IPv6 di invio.
- SPF protegge l’intestazione dell’email che non è visibile all’utente finale (nota come
Return-Path,MAIL FROM, "Envelope From" o indirizzo Bounce). Se questa intestazione manca, il controllo SPF verrà eseguito sull’indirizzoEHLO/HELO.
Cosa non fa SPF
- SPF non richiede alcun allineamento tra il dominio
Frome l’indirizzoReturn-Pathsopra menzionato che controlla, il che significa che i due non devono corrispondere dal punto di vista di SPF. - SPF non fornisce alcuna funzionalità di reportistica; il ricevente delle email non invierà alcun report al mittente con i risultati dell’autenticazione.
- SPF non sopravvive all’inoltro automatico e ai flussi di posta indiretti.
Questi limiti hanno portato all’introduzione di DMARC per indicare esplicitamente ai destinatari cosa fare e fornire rapporti di autenticazione. Questi report permettono al mittente di intraprendere le azioni necessarie per correggere i flussi di posta legittimi. Dal 2026, DMARC è diventato lo standard per l’autenticazione email, richiesto da Google, Yahoo e Microsoft per chi invia grandi volumi di email.
DMARC utilizza SPF come una delle sue basi ma aggiunge anche funzionalità aggiuntive poiché:
- Si concentra sull’intestazione
Fromche è visibile all’utente finale ("Header From"). - Richiede che il dominio usato da SPF sia allineato (corrisponda esattamente o sia un sottodominio) con il dominio trovato nell’indirizzo
Fromvisibile nell’email. - Ignora le differenze tra soft fail e hard fail nella tua configurazione SPF, ovvero
~alle-allsono trattati allo stesso modo come SPF fail. - Fornisce la funzionalità di reportistica per inviare i risultati dell’autenticazione email al proprietario del
Fromcosì che possa scoprire se il proprio dominio viene abusato. Aiuta anche nella risoluzione di problemi di consegna, poiché i report consentono di individuare eventuali errori di configurazione con i mittenti legittimi. - Fornisce una policy che indica ai destinatari cosa fare con le email che falliscono l’autenticazione. Questa policy viene applicata dai destinatari. Non c’è alcuna applicazione quando si usa solo SPF senza DMARC.
I principali provider di posta ora utilizzano segnali visivi nei loro client per mostrare se un’email è autenticata. Ad esempio, Gmail mostra un punto interrogativo (?) per le email non autenticate – vedi esempio sotto. Questo indicatore visivo è ormai standard tra i provider di caselle di posta nel 2026.
Esegui un controllo SPF gratuito con Red Sift, senza registrazione.
Cos’è una dichiarazione include SPF?
Un include è un meccanismo SPF che punta a un dominio da interrogare quando si controlla se l’IP mittente è autorizzato o meno. Se l’IP mittente fa parte dell’include, allora viene rilevata una corrispondenza e SPF ha esito positivo.
Ad esempio, se hai include:_spf.google.com come parte del tuo record SPF e l’IP d’origine di una mail è quello di Google, si otterrà una corrispondenza poiché hai autorizzato Google a inviare per tuo conto e l’IP mittente si trova nell’include.
Cosa sono le macro SPF?
Una macro SPF si riferisce a un meccanismo usato nei record SPF per definire insiemi riutilizzabili di indirizzi IP. Le macro SPF aumentano la flessibilità e la manutenibilità dei record SPF permettendoti di definire insiemi complessi di IP in un solo meccanismo, che poi può essere referenziato in più record SPF. Questo rende più facile gestire grandi insiemi di server autorizzati a inviare, senza duplicare le stesse informazioni in più punti.
Ad esempio, invece di elencare ogni singolo indirizzo IP autorizzato per i tuoi server di posta nel record SPF, puoi definire una macro come questa:
@spf.salesforce.com IN TXT "v=spf1 exists:%{i}.spf.mta.salesforce.com -all"
In questo esempio, la macro è il meccanismo %{i}, che richiama l’IP mittente dell’email. Il dominio diventa così qualcosa tipo 233.124.65.65._spf.mta.salesforce.com.
Gestire SPF in questo modo ti permette di controllare una lunga lista di IP senza superare il limite di ricerche SPF, e inoltre nasconde quali IP hai approvato da consultazioni pubbliche.
Il problema delle macro SPF
Il rischio con le macro SPF è che la maggior parte delle infrastrutture email legacy non le supporta, causando problemi catastrofici di recapitabilità. Sappiamo da studi tecnici e dalla nostra esperienza che solo circa il 75% dei server SMTP gestisce correttamente le macro. Per questo motivo, nel 2026 le organizzazioni adottano sempre più spesso la gestione dinamica di SPF invece di affidarsi alle macro o al flattening manuale.
Se un server di posta non supporta le macro SPF, il comportamento può variare come segue:
Nessuna espansione
Se il server destinatario non supporta le macro SPF, non espanderà né processerà alcuna macro presente nel record SPF. Al contrario, tratterà il riferimento alla macro come una stringa letterale. Ciò significa che il record SPF perde la sua funzionalità prevista, portando potenzialmente a controlli SPF incompleti o non accurati. Anche se le macro non vengono utilizzate nei record SPF in produzione, il comportamento senza espansione è usato in server email come iCloud.
Possibili fallimenti SPF
A seconda di come è strutturato il record SPF con macro, la mancanza di espansione delle macro può portare a fallimenti SPF o risultati 'Neutral' (indicati dal meccanismo ?all). In entrambi i casi, potrebbe non avere l’effetto desiderato di autorizzare correttamente i server di invio legittimi.
Impatto sulla recapitabilità
Se le macro SPF svolgono un ruolo fondamentale nell’autorizzare server legittimi, le email potrebbero fallire più facilmente i controlli SPF o essere segnalate come sospette dai server riceventi che si affidano a SPF per l’autenticazione.
Domande frequenti: Guida alla configurazione dei protocolli email
In un'epoca pre-DMARC, i record SPF utilizzavano comunemente il meccanismo "-all" per applicare in modo rigoroso le policy dei mittenti. Tuttavia, le attuali linee guida del settore nel 2026 favoriscono "~all" per bilanciare sicurezza e deliverability, evitando il rifiuto non necessario di email valide che potrebbero fallire SPF ma superare DKIM e DMARC.
Questo perché "~all" se implementato insieme a DMARC (in p=reject) continuerà comunque a rifiutare le email non autenticate se falliscono sia SPF che DKIM, ma non blocca la posta legittima, migliorando così la deliverability complessiva.
La specifica DMARC (RFC 7489) afferma che un prefisso "-" su un meccanismo SPF del mittente, come "-all", potrebbe far scattare il rifiuto della mail troppo presto, prima che il processo DMARC abbia luogo. Usa "-all" solo per domini inattivi o che non inviano email (domini che non inviano alcuna email). DMARC ignora le differenze tra soft fail e hard fail nella configurazione SPF, trattandoli entrambi come insuccessi SPF.
DMARC non richiede solo che SPF o DKIM abbiano esito positivo, ma anche che almeno uno dei domini usati da SPF o DKIM sia allineato con il dominio trovato nell’header From. Un corretto allineamento è fondamentale per la deliverability delle email nel 2026, poiché i principali provider di caselle di posta applicano questi requisiti.
Nel caso di SPF, l’allineamento identifica che il controllo MAIL FROM/Return-PATH debba avere esito positivo e anche che la parte di dominio del MAIL FROM/Return-PATH sia allineata con il dominio trovato nell’indirizzo From. In modalità strict, i domini devono corrispondere esattamente, mentre in modalità relaxed sono ammessi anche i sottodomini purché appartengano allo stesso dominio organizzativo.
Ad esempio, se MAIL-FROM/RETURN-PATH è @ondmarc.com e l’header From è @knowledge.ondmarc.com, in allineamento strict non sono allineati. Tuttavia, in modalità relaxed, DMARC considererebbe la verifica superata.
Un report aggregato DMARC contiene informazioni sullo stato di autenticazione dei messaggi inviati per conto di un dominio. Si tratta di un feedback XML progettato per offrire visibilità su quali email hanno superato o fallito SPF e DKIM. Il report offre al proprietario del dominio una visione precisa di quali fonti inviano email per suo conto e della disposizione di tali email (la policy applicata dal ricevente).
I destinatari verificheranno il tag 'rua' del tuo record DMARC e invieranno i report lì. Puoi specificare l'intervallo di generazione dei report aggregati usando il tag ri nel tuo record DMARC (di default è impostato a 86400 secondi, cioè 24 ore). I report forensi contengono informazioni più dettagliate su singoli fallimenti di autenticazione. Qualsiasi informazione personale identificabile (PII) viene rimossa, ma vengono inclusi dati utili al troubleshooting del fallimento DMARC, come info su fallimenti SPF e DKIM, l’intero indirizzo From e l’Oggetto dell’email.
L’indirizzo per ricevere i report forensi DMARC viene specificato tramite il tag 'ruf' nel record DMARC. Non tutti i sistemi riceventi supportano l’invio di report forensi. Red Sift OnDMARC è una delle poche applicazioni DMARC sul mercato a ricevere report forensi grazie alla partnership con Yahoo.
Una macro SPF è un meccanismo utilizzato nei record SPF per definire insiemi riutilizzabili di indirizzi IP. Le macro SPF aumentano la flessibilità e la manutenzione dei record SPF, permettendoti di definire insiemi complessi di IP in un singolo meccanismo, che può poi essere richiamato in più record SPF. Ad esempio, invece di elencare singolarmente tutti gli IP autorizzati, puoi definire una macro come "%{i}", che richiama l’IP del mittente dell’email. Gestendo SPF in questo modo, puoi controllare una lunga lista di IP senza superare il limite di lookup e anche nascondere gli IP autorizzati a chi fa query pubbliche.
Tuttavia, a seconda di come è strutturato il record SPF con le macro, la mancanza di espansione delle macro può causare insuccessi SPF o risultati "Neutral" (indicati dal meccanismo ?all). Se le macro SPF sono critiche per autorizzare server di invio legittimi, l’email potrebbe più facilmente fallire i controlli SPF o essere segnalata come sospetta dai riceventi che si basano su SPF per l’autenticazione.
Mail Transfer Agent Strict Transport Security (MTA-STS) è uno standard che consente la crittografia dei messaggi inviati tra due server di posta. Specifica ai server mittenti che le email possono essere inviate solo tramite una connessione crittografata Transport Layer Security (TLS), impedendo così che possano essere intercettate da cybercriminali.
L’adozione di MTA-STS è cresciuta significativamente, con le organizzazioni che nel 2026 riconoscono la sicurezza del trasporto come essenziale per proteggere le email in transito. Per abilitare MTA-STS, i domini riceventi devono annunciare il supporto a MTA-STS tramite DNS e pubblicare un file di configurazione della policy sul proprio sito web.
L’attivazione di MTA-STS va eseguita con cautela per evitare il blocco della consegna delle email. Si dovrebbe prima implementare MTA-STS in modalità test, permettendo ai report TLS di evidenziare eventuali errori da correggere prima di passare alla modalità enforcement definitiva. Questo approccio graduale diventerà probabilmente pratica standard nel 2026 per le organizzazioni che implementano la sicurezza del trasporto.
SMTP TLS Reporting (o TLS-RPT) consente la reportistica dei problemi di connettività TLS riscontrati dai server mittenti (MTA) ed è definito nella RFC8460. Proprio come DMARC, TLS-RPT invia report via email per notificare ai proprietari di dominio eventuali problemi di consegna dovuti a TLS. Questi report includono policy MTA-STS rilevate, statistiche sul traffico, connessioni non riuscite e motivi dei fallimenti.
Con la funzionalità MTA-STS di Red Sift OnDMARC, non devi preoccuparti di un’implementazione complessa. Basta aggiungere gli Smart Records MTA-STS forniti da OnDMARC al tuo DNS e Red Sift si occuperà di tutto il lavoro, come ospitare il file di policy MTA-STS, mantenere il certificato SSL e segnalare eventuali violazioni della policy tramite il report TLS. Le moderne piattaforme DMARC nel 2026 includono sempre più spesso MTA-STS ospitato come funzionalità standard, semplificando il deployment della sicurezza del trasporto.
Pubblicato con la RFC 7671, DANE (DNS-based Authentication of Named Entities) introduce un nuovo standard Internet per instaurare la comunicazione TLS tra client e server, senza dipendere dalle Certificate Authority (CA) fidate.
Il modello tradizionale delle CA per TLS permette a qualsiasi CA di emettere certificati per qualsiasi dominio. DANE opera diversamente affidandosi all’infrastruttura DNSSEC (Domain Name System Security Extensions) per vincolare un dominio a un certificato. DANE si serve dell’attuale protocollo DNSSEC per assicurarsi che i dati ricevuti siano autentici e non manomessi.
DANE introduce anche un nuovo tipo di record DNS chiamato TLSA che segnala al client che un server supporta TLS. Si consiglia di implementare sia MTA-STS sia DANE. DANE è un requisito di molti enti pubblici — per esempio, spesso le agenzie pubbliche dell’UE sono obbligate ad implementarlo.
DANE e MTA-STS sono efficaci solo se il mittente li supporta; poiché molti supportano solo uno dei due, implementarli entrambi migliora la sicurezza complessiva. Nel 2026, le organizzazioni spesso implementano prima MTA-STS per compatibilità più ampia e in seguito aggiungono DANE per una sicurezza avanzata quando richiesto.
La subdomain policy consente agli amministratori di dominio di proteggere i vari domini e sottodomini a seconda dello stadio in cui si trovano nel percorso DMARC. Per esempio, se tutti i servizi che inviano email per conto del tuo dominio principale sono configurati correttamente con SPF e DKIM, puoi proteggere il dominio principale con una policy DMARC p=reject lasciando i sottodomini su p=none, e viceversa.
Ancora, se hai un servizio di invio email che non è compatibile con DMARC (non supporta SPF o DKIM), potresti decidere di attribuirgli un sottodominio che avrà una policy DMARC diversa, senza impedirti di proteggere gli altri domini. In questo modo puoi suddividere il traffico tra vari sottodomini e proteggere ciascuno separatamente.