Guida alla configurazione dei protocolli email di Red Sift
Errori SPF: Hard fail vs Soft fail
Che cos'è un errore SPF?
Un errore SPF si verifica quando l'indirizzo IP del mittente non è presente nel record SPF pubblicato. Gli errori incidono in modo significativo sulla consegna delle email, poiché fanno sì che il messaggio venga inviato nella posta indesiderata o eliminato del tutto. Questo può essere catastrofico per le aziende che si affidano all'email per raggiungere i clienti. Con i principali provider di posta elettronica che dal 2026 applicheranno requisiti di autenticazione obbligatori, gli errori SPF hanno conseguenze dirette sulla consegnabilità.
Esistono due tipi di errori SPF: SPF softfail e SPF hardfail. Un hardfail indica che un'email non è autorizzata, mentre un softfail segnala che un'email probabilmente non è stata autorizzata. Per il destinatario, questo determina il trattamento della mail; un hardfail richiede al destinatario di rifiutare l'email, mentre un softfail suggerisce di deviarla nello spam.
Useremo due esempi per mostrare visivamente la differenza tra le due modalità.
Esempio di SPF hardfail
v=spf1 ip4:192.168.0.1 -all
Nell'esempio sopra, il simbolo meno (davanti a all alla fine del record) significa che ogni mittente non presente in questo record SPF deve essere trattato come hardfail, ovvero non autorizzato, e quindi le email da questi mittenti devono essere scartate. In questo caso, solo l'indirizzo IP 192.168.0.1 è autorizzato a inviare email e nessun altro.
Esempio di SPF softfail
v=spf1 include:spf.protection.outlook.com ~all
Nell'esempio precedente, il simbolo tilde (davanti a all alla fine del record) significa che qualsiasi mittente non elencato in questo record SPF deve essere trattato come softfail, cioè la mail può essere consegnata ma deve essere contrassegnata come spam o sospetta. In questo caso, il meccanismo include:spf.protection.outook.com autorizza Microsoft 365 a inviare email. Qualsiasi email proveniente da altri server dovrebbe essere marcata come spam dai destinatari.
Non sei sicuro della tua configurazione SPF? Usa il nostro verificatore gratuito per iniziare.
Quale modalità di errore SPF utilizzare?
Visto che l'hardfail ("-all") segnala di rifiutare qualsiasi mittente non autorizzato non presente nel record SPF, potrebbe sembrare la scelta migliore. Tuttavia, la decisione è più complessa.
Prima dell'introduzione di DMARC, i record SPF usavano comunemente il meccanismo "-all" per applicare rigorosamente le regole sui mittenti, senza il livello aggiuntivo di DKIM e DMARC per autenticare le email legittime.
Tuttavia, le attuali linee guida di settore per il 2026 consigliano di preferire "~all" per bilanciare sicurezza e consegnabilità, evitando il rifiuto di email valide che potrebbero fallire SPF ma superare DKIM e DMARC.
Anche il settore riconosce che occorre attenzione con le modalità SPF; la specifica DMARC (RFC 7489) afferma che:
“Alcune architetture di ricezione potrebbero implementare SPF prima di qualsiasi operazione DMARC. Questo significa che un prefisso "-" su un meccanismo SPF sender, come "-all", potrebbe fare sì che il rifiuto venga applicato anticipatamente nella gestione, portando al rifiuto del messaggio prima che venga eseguita l'elaborazione DMARC. Gli operatori che scelgono di usare "-all" devono esserne consapevoli.”
Per questi motivi, suggeriamo quanto segue
- Usa "-all" per domini inattivi che non inviano email: Applica "-all" solo se il dominio non invia mai email. Questa impostazione blocca rigorosamente tutte le email non autorizzate ma rischia di respingere anche email legittime se il record SPF non è aggiornato.
- Usa "~all" per domini attivi che inviano email: Scegli "~all" se usi SPF insieme a DKIM e DMARC per contrastare phishing e spoofing. Questo perché “~all”, quando è implementato insieme a DMARC (a p=reject), comunque respinge le email non autenticate se SPF e DKIM falliscono. Questa modalità non blocca mail legittime, migliorando così la consegnabilità totale delle email.
In sintesi, il softfail trova un equilibrio tra la massima sicurezza (che potrebbe bloccare email valide) e una maggiore flessibilità nella consegna della posta, assicurando che le email vengano recapitate anche in caso di incroci occasionali errati nel record SPF.
Come viene trattato il softfail SPF dalle società di rating della cybersecurity?
È possibile che alcune società di rating penalizzino i domini configurati con softfail SPF. Tuttavia, riteniamo che abbassare il punteggio di sicurezza di un dominio a causa della presenza di un softfail possa distorcere la reale valutazione del rischio e penalizzare involontariamente le organizzazioni che seguono le best practice consigliate dal settore per una buona gestione e sicurezza dell'email. Nel 2026, un'implementazione DMARC corretta con p=reject fornisce lo strato di enforcement che risponde a qualsiasi preoccupazione relativa al softfail SPF.
D'altra parte, servizi di rating come Security Scorecard riconoscono che DMARC (quando impostato con policy di quarantine o reject) è un controllo “compensativo” per il softfail SPF.
Se in un audit di sicurezza informatica ti viene penalizzato l'uso del softfail SPF, rivolgiti direttamente alla società di rating per spiegare la tua strategia di autenticazione email e la sua adesione alle migliori pratiche del settore. Sostieni un approccio più articolato alle valutazioni della sicurezza, che consideri il contesto completo delle tue misure di sicurezza email e non penalizzi singole configurazioni prese separatamente.
Perché SPF non basta e serve comunque DMARC
Indipendentemente dalla modalità di errore specificata nel record SPF, è improbabile che i server riceventi onorino sempre la tua policy indicata. Ecco perché DMARC è diventato obbligatorio per i principali provider di posta elettronica dal 2026. Ciò accade perché SPF presenta questi limiti:
- Non richiede l'allineamento tra il dominio nel campo
Frome l'indirizzoReturn-Pathche controlla. Dal punto di vista SPF, non è necessario che coincidano. - SPF non offre funzioni di reportistica, ossia il destinatario non invia report al mittente con i risultati dell'autenticazione email.
- SPF non regge contro l'inoltro automatico e i flussi di posta indiretti, il che può causare problemi di autenticazione.
Per questi motivi, DMARC (Domain-based Message Authentication, Reporting, and Conformance) è stato introdotto come standard aggiuntivo per l'autenticazione delle email. DMARC colma le lacune di SPF e offre questi miglioramenti:
- DMARC si concentra sull'header visibile
From, visualizzato dagli utenti finali. - DMARC richiede allineamento tra il dominio utilizzato da SPF e quello visibile nel campo
Fromdell'email. - DMARC ignora le sfumature tra softfail e hardfail nella configurazione SPF, trattandoli entrambi come errori SPF.
- DMARC fornisce funzionalità di reportistica, consentendo l'invio dei risultati dell'autenticazione email al proprietario del dominio
From. Questo aiuta a identificare un uso improprio del dominio e a correggere eventuali errori nelle configurazioni per mittenti autorizzati. - DMARC include una policy che indica ai destinatari come trattare le email che non superano l'autenticazione, e i destinatari applicano questa policy. Al contrario, SPF da solo non offre meccanismi di enforcement.
DMARC è ormai largamente adottato e richiesto come standard di autenticazione, poiché supera i limiti di SPF e DKIM, blocca le impersonificazioni email esatte e migliora la consegnabilità delle email. Dal 2026, DMARC è obbligatorio per i mittenti di posta elettronica massiva su Google, Yahoo e Microsoft, rafforzando il suo ruolo di standard per l'autenticazione delle email.
Controlla gratuitamente il tuo record SPF, senza registrazione.
Domande frequenti: Guida alla configurazione dei protocolli email
In un'epoca pre-DMARC, i record SPF utilizzavano comunemente il meccanismo "-all" per applicare in modo rigoroso le policy dei mittenti. Tuttavia, le attuali linee guida del settore nel 2026 favoriscono "~all" per bilanciare sicurezza e deliverability, evitando il rifiuto non necessario di email valide che potrebbero fallire SPF ma superare DKIM e DMARC.
Questo perché "~all" se implementato insieme a DMARC (in p=reject) continuerà comunque a rifiutare le email non autenticate se falliscono sia SPF che DKIM, ma non blocca la posta legittima, migliorando così la deliverability complessiva.
La specifica DMARC (RFC 7489) afferma che un prefisso "-" su un meccanismo SPF del mittente, come "-all", potrebbe far scattare il rifiuto della mail troppo presto, prima che il processo DMARC abbia luogo. Usa "-all" solo per domini inattivi o che non inviano email (domini che non inviano alcuna email). DMARC ignora le differenze tra soft fail e hard fail nella configurazione SPF, trattandoli entrambi come insuccessi SPF.
DMARC non richiede solo che SPF o DKIM abbiano esito positivo, ma anche che almeno uno dei domini usati da SPF o DKIM sia allineato con il dominio trovato nell’header From. Un corretto allineamento è fondamentale per la deliverability delle email nel 2026, poiché i principali provider di caselle di posta applicano questi requisiti.
Nel caso di SPF, l’allineamento identifica che il controllo MAIL FROM/Return-PATH debba avere esito positivo e anche che la parte di dominio del MAIL FROM/Return-PATH sia allineata con il dominio trovato nell’indirizzo From. In modalità strict, i domini devono corrispondere esattamente, mentre in modalità relaxed sono ammessi anche i sottodomini purché appartengano allo stesso dominio organizzativo.
Ad esempio, se MAIL-FROM/RETURN-PATH è @ondmarc.com e l’header From è @knowledge.ondmarc.com, in allineamento strict non sono allineati. Tuttavia, in modalità relaxed, DMARC considererebbe la verifica superata.
Un report aggregato DMARC contiene informazioni sullo stato di autenticazione dei messaggi inviati per conto di un dominio. Si tratta di un feedback XML progettato per offrire visibilità su quali email hanno superato o fallito SPF e DKIM. Il report offre al proprietario del dominio una visione precisa di quali fonti inviano email per suo conto e della disposizione di tali email (la policy applicata dal ricevente).
I destinatari verificheranno il tag 'rua' del tuo record DMARC e invieranno i report lì. Puoi specificare l'intervallo di generazione dei report aggregati usando il tag ri nel tuo record DMARC (di default è impostato a 86400 secondi, cioè 24 ore). I report forensi contengono informazioni più dettagliate su singoli fallimenti di autenticazione. Qualsiasi informazione personale identificabile (PII) viene rimossa, ma vengono inclusi dati utili al troubleshooting del fallimento DMARC, come info su fallimenti SPF e DKIM, l’intero indirizzo From e l’Oggetto dell’email.
L’indirizzo per ricevere i report forensi DMARC viene specificato tramite il tag 'ruf' nel record DMARC. Non tutti i sistemi riceventi supportano l’invio di report forensi. Red Sift OnDMARC è una delle poche applicazioni DMARC sul mercato a ricevere report forensi grazie alla partnership con Yahoo.
Una macro SPF è un meccanismo utilizzato nei record SPF per definire insiemi riutilizzabili di indirizzi IP. Le macro SPF aumentano la flessibilità e la manutenzione dei record SPF, permettendoti di definire insiemi complessi di IP in un singolo meccanismo, che può poi essere richiamato in più record SPF. Ad esempio, invece di elencare singolarmente tutti gli IP autorizzati, puoi definire una macro come "%{i}", che richiama l’IP del mittente dell’email. Gestendo SPF in questo modo, puoi controllare una lunga lista di IP senza superare il limite di lookup e anche nascondere gli IP autorizzati a chi fa query pubbliche.
Tuttavia, a seconda di come è strutturato il record SPF con le macro, la mancanza di espansione delle macro può causare insuccessi SPF o risultati "Neutral" (indicati dal meccanismo ?all). Se le macro SPF sono critiche per autorizzare server di invio legittimi, l’email potrebbe più facilmente fallire i controlli SPF o essere segnalata come sospetta dai riceventi che si basano su SPF per l’autenticazione.
Mail Transfer Agent Strict Transport Security (MTA-STS) è uno standard che consente la crittografia dei messaggi inviati tra due server di posta. Specifica ai server mittenti che le email possono essere inviate solo tramite una connessione crittografata Transport Layer Security (TLS), impedendo così che possano essere intercettate da cybercriminali.
L’adozione di MTA-STS è cresciuta significativamente, con le organizzazioni che nel 2026 riconoscono la sicurezza del trasporto come essenziale per proteggere le email in transito. Per abilitare MTA-STS, i domini riceventi devono annunciare il supporto a MTA-STS tramite DNS e pubblicare un file di configurazione della policy sul proprio sito web.
L’attivazione di MTA-STS va eseguita con cautela per evitare il blocco della consegna delle email. Si dovrebbe prima implementare MTA-STS in modalità test, permettendo ai report TLS di evidenziare eventuali errori da correggere prima di passare alla modalità enforcement definitiva. Questo approccio graduale diventerà probabilmente pratica standard nel 2026 per le organizzazioni che implementano la sicurezza del trasporto.
SMTP TLS Reporting (o TLS-RPT) consente la reportistica dei problemi di connettività TLS riscontrati dai server mittenti (MTA) ed è definito nella RFC8460. Proprio come DMARC, TLS-RPT invia report via email per notificare ai proprietari di dominio eventuali problemi di consegna dovuti a TLS. Questi report includono policy MTA-STS rilevate, statistiche sul traffico, connessioni non riuscite e motivi dei fallimenti.
Con la funzionalità MTA-STS di Red Sift OnDMARC, non devi preoccuparti di un’implementazione complessa. Basta aggiungere gli Smart Records MTA-STS forniti da OnDMARC al tuo DNS e Red Sift si occuperà di tutto il lavoro, come ospitare il file di policy MTA-STS, mantenere il certificato SSL e segnalare eventuali violazioni della policy tramite il report TLS. Le moderne piattaforme DMARC nel 2026 includono sempre più spesso MTA-STS ospitato come funzionalità standard, semplificando il deployment della sicurezza del trasporto.
Pubblicato con la RFC 7671, DANE (DNS-based Authentication of Named Entities) introduce un nuovo standard Internet per instaurare la comunicazione TLS tra client e server, senza dipendere dalle Certificate Authority (CA) fidate.
Il modello tradizionale delle CA per TLS permette a qualsiasi CA di emettere certificati per qualsiasi dominio. DANE opera diversamente affidandosi all’infrastruttura DNSSEC (Domain Name System Security Extensions) per vincolare un dominio a un certificato. DANE si serve dell’attuale protocollo DNSSEC per assicurarsi che i dati ricevuti siano autentici e non manomessi.
DANE introduce anche un nuovo tipo di record DNS chiamato TLSA che segnala al client che un server supporta TLS. Si consiglia di implementare sia MTA-STS sia DANE. DANE è un requisito di molti enti pubblici — per esempio, spesso le agenzie pubbliche dell’UE sono obbligate ad implementarlo.
DANE e MTA-STS sono efficaci solo se il mittente li supporta; poiché molti supportano solo uno dei due, implementarli entrambi migliora la sicurezza complessiva. Nel 2026, le organizzazioni spesso implementano prima MTA-STS per compatibilità più ampia e in seguito aggiungono DANE per una sicurezza avanzata quando richiesto.
La subdomain policy consente agli amministratori di dominio di proteggere i vari domini e sottodomini a seconda dello stadio in cui si trovano nel percorso DMARC. Per esempio, se tutti i servizi che inviano email per conto del tuo dominio principale sono configurati correttamente con SPF e DKIM, puoi proteggere il dominio principale con una policy DMARC p=reject lasciando i sottodomini su p=none, e viceversa.
Ancora, se hai un servizio di invio email che non è compatibile con DMARC (non supporta SPF o DKIM), potresti decidere di attribuirgli un sottodominio che avrà una policy DMARC diversa, senza impedirti di proteggere gli altri domini. In questo modo puoi suddividere il traffico tra vari sottodomini e proteggere ciascuno separatamente.