La guida completa di Red Sift alla sicurezza e-mail

Il Sender Policy Framework (SPF) è un protocollo di autenticazione email progettato per impedire che gli aggressori possano inviare email che sembrano provenire dal tuo dominio. Una policy SPF indica ai server di posta destinatari quali fonti di invio sono legittime per il tuo dominio, aiutando così a prevenire furti d'identità, phishing e impersonificazione di dominio. Dal 2026, SPF è un requisito fondamentale per le organizzazioni che inviano email di massa.

La tua policy SPF viene pubblicata nel tuo Domain Name System (DNS) come record TXT e indica quali server di posta (indirizzi IP) sono autorizzati a inviare email per conto tuo. Quando viene inviata una email, il server destinatario esamina questa policy per confermare se l'indirizzo IP del mittente è permesso. Se lo è, il messaggio viene recapitato; altrimenti può essere contrassegnato come spam o rifiutato.

Una richiesta SPF (lookup) indica il processo in cui il DNS destinatario deve "cercare" gli indirizzi IP elencati nel comando include del tuo record per verificare se coincidono con l’indirizzo IP da cui sta partendo la tua email.

Un SPF include è un meccanismo nei record SPF attraverso cui il proprietario del dominio può includere i record SPF di altri domini all'interno della propria policy SPF. Questo semplifica la gestione e garantisce che le policy di invio dei domini inclusi vengano considerate durante la validazione delle email spedite dal dominio principale.

Il limite di richieste SPF rappresenta il numero massimo di richieste che un DNS destinatario può effettuare per un dominio. Questo limite è fissato a 10.

Puoi inserire un numero illimitato di singoli indirizzi IP nel tuo record senza generare richieste DNS aggiuntive, poiché sono visibili direttamente nel record.

Questa regola però non si applica ai comandi include: ogni IP incluso comporta una richiesta aggiuntiva al DNS destinatario. Tutte queste richieste vengono conteggiate nel limite massimo di 10.

Ad esempio, puoi specificare 3 indirizzi IP direttamente nel tuo record SPF, un comando include per Google (con 4 IP) e uno per Mimecast (con 6 IP). Per gli IP diretti non sono necessarie richieste, ma per gli include di Google e Mimecast sì. In questo caso raggiungi il massimo di 10 richieste.

In realtà, 10 richieste non bastano perché la maggior parte delle aziende utilizza molteplici strumenti per inviare email, ognuno con il proprio comando include che a sua volta contiene indirizzi IP e quindi crea altre richieste. Se superi il limite, probabilmente l'autenticazione fallirà e il tuo tasso di recapito ne risentirà. Dal 2026 si consigliano soluzioni SPF dinamiche per gestire questo vincolo, evitando la gestione manuale e il flattening costante dei record SPF.

Un motivo principale per cui il record SPF delle tue email fallisce è il messaggio di errore "troppe richieste DNS". La specifica SPF limita il numero di richieste DNS a un massimo di 10. Se il tuo record ne genera più di 10, SPF fallirà. I meccanismi SPF che contano come richieste sono: a, ptr, mx, include, redirect ed exists. I meccanismi "ip4", "ip6" e "all" non contano per questo limite.

Se tutto questo ti sembra troppo tecnico, ecco un esempio: G Suite da sola richiede quattro richieste DNS, Hubspot per il marketing ne richiede altre sette – e hai già superato il limite! Oltrepassando la soglia, rischi che alcune tue email non superino i controlli. Per questo dal 2026 le organizzazioni si affidano a una gestione SPF dinamica invece di mantenere e "flattenare" i record manualmente.

DKIM sta per DomainKeys Identified Mail ed è un protocollo di autenticazione email che impedisce che i messaggi vengano alterati durante il transito – una pratica spesso utilizzata nel phishing e nelle frodi.

DKIM è uno standard più recente e complesso rispetto a SPF. Si basa su crittografia asimmetrica per firmare alcune parti dell’email. La chiave privata viene conservata in modo sicuro sul server mittente ed è invisibile all’utente finale. La chiave pubblica viene pubblicata nel DNS del dominio mittente per consentire la verifica della firma dell’email.

In pratica significa che, quando viene creata una email, header e contenuto vengono firmati con la chiave privata del mittente. Questa firma digitale viene inserita nell’header del messaggio. Alla ricezione (se DKIM è attivo), il server destinatario recupera la chiave pubblica e verifica che la mail sia stata effettivamente firmata dal mittente. La verifica riuscita dimostra che il dominio mittente è davvero l’origine e che header e contenuti non sono stati alterati durante il transito.

Una firma DKIM è un valore crittografico univoco inserito nell’header di ciascuna email in uscita. Questo valore è generato a partire dalla chiave privata DKIM del mittente e consente al server ricevente di ottenere la chiave pubblica dal DNS e verificare che il messaggio provenga da una fonte autorizzata e non sia stato modificato durante il transito.

Una chiave DKIM consiste in una coppia di chiavi usata per l’autenticazione DKIM. La chiave privata è custodita in sicurezza sul server di posta mittente e genera la firma DKIM per ogni email in uscita. La chiave pubblica viene pubblicata come record TXT nel DNS del dominio mittente, così i server riceventi possono verificare la firma e assicurare l’integrità e autenticità dell’email.

Tutti i dettagli tecnici su DKIM sono disponibili nella nostra guida tecnica di configurazione.

Sì. DKIM (DomainKeys Identified Mail) è un protocollo di autenticazione fondamentale per le email, protegge contro spoofing, phishing e manipolazione delle email. Ogni email inviata viene firmata con una firma crittografica, che consente ai server riceventi di verificare che il contenuto non sia stato alterato e provenga da un dominio autorizzato. DKIM è anche parte integrante della verifica DMARC e lavora insieme a SPF per garantire l’allineamento dei domini ed elevare la sicurezza delle email. I principali provider email hanno reso DKIM obbligatorio per le email di massa – rendendolo, dal 2026, indispensabile per la consegna.

SPF (Sender Policy Framework) verifica che una email provenga da un indirizzo IP autorizzato dal record SPF del dominio del mittente. DKIM (DomainKeys Identified Mail) usa una firma crittografica, verificata tramite chiave pubblica pubblicata sul DNS, per garantire che il contenuto del messaggio non sia stato alterato e la mail sia davvero stata inviata da un dominio autorizzato. SPF si focalizza sull’autorizzazione dell’invio, mentre DKIM assicura l’integrità e l’autenticità del messaggio.