La guida definitiva di Red Sift alla sicurezza delle email

Il Sender Policy Framework (SPF) è un protocollo di autenticazione email progettato per impedire agli aggressori di inviare email che sembrano provenire dal tuo dominio. Una policy SPF comunica ai server di posta in arrivo quali fonti di invio sono legittime per il tuo dominio, contribuendo a prevenire spoofing email, phishing e impersonificazione del dominio. Dal 2026, SPF è un requisito di base per le organizzazioni che inviano email di massa.

La policy SPF viene pubblicata nel tuo Domain Name System (DNS) come record TXT, che elenca i mail server (indirizzi IP) autorizzati a inviare email per tuo conto. Quando viene inviata un’email, il server di posta del destinatario verifica questa policy per confermare se l’indirizzo IP del mittente è approvato. Se combacia, il messaggio viene consegnato; in caso contrario, può essere contrassegnato come spam o rifiutato.

Una verifica SPF avviene quando il DNS che riceve l’email deve “verificare” gli indirizzi IP presenti in qualsiasi dichiarazione include all'interno del tuo record, per controllare se corrispondono all’IP che sta inviando la tua email.

Un include SPF è una funzionalità dei record SPF che permette ai proprietari di domini di includere i record SPF di altri domini nella propria policy SPF. Questo semplifica la gestione e assicura che le policy di invio email dei domini inclusi vengano considerate durante la determinazione della legittimità delle email inviate dal dominio includente.

Il limite di verifiche SPF è il numero massimo di volte che un DNS destinatario può effettuare una verifica per un dominio, che è fissato a 10.

Puoi aggiungere un numero illimitato di indirizzi IP singoli al tuo record senza incorrere in ulteriori verifiche DNS, poiché sono direttamente visibili nel record.

Ma ciò non vale per le dichiarazioni include: il numero di indirizzi IP presenti in ciascun include corrisponde al numero di verifiche che il DNS ricevente dovrà effettuare. Questo contribuisce al totale massimo di 10.

Per esempio, potresti avere 3 indirizzi IP elencati direttamente nel tuo record SPF, una dichiarazione include per Google (che contiene 4 indirizzi IP) e una per Mimecast (con 6). Il DNS ricevente non deve effettuare verifiche per gli IP visibili, ma deve farlo per le dichiarazioni include di Google e Mimecast. Quindi, in questo caso, hai già raggiunto il limite totale di 10.

Nella realtà, 10 verifiche non sono sufficienti, perché la maggior parte delle aziende utilizza diversi strumenti che inviano email per loro conto. Ciascuno di questi avrà le proprie dichiarazioni include, che includeranno indirizzi IP e quindi richiederanno verifiche. Se superi il limite, probabilmente fallirai l'autenticazione e la tua deliverability ne risentirà. Dal 2026, le soluzioni SPF dinamiche sono diventate l’approccio consigliato per gestire questa limitazione, sostituendo i metodi manuali di flattening dell’SPF che richiedevano continua manutenzione.

Una delle motivazioni principali per cui il record SPF potrebbe fallire per il traffico email è l’errore “troppi DNS lookup”. La specifica SPF fissa il limite di verifiche DNS a 10. Se il tuo record SPF causa più di 10 verifiche DNS, SPF fallirà. I meccanismi SPF che conteggiano ai fini del limite di lookup sono: a, ptr, mx, include, redirect ed exists. “ip4”, “ip6” e “all” non sono conteggiati.

Se tutto ciò sembra troppo tecnico, pensa a questo esempio. Solo G Suite consuma 4 lookup DNS; aggiungi Hubspot per il marketing che usa 7 lookup e già superi il limite di 10! Non appena superi i 10 lookup SPF, il tuo traffico email inizierà a non superare casualmente la validazione. Ecco perché nel 2026 le organizzazioni stanno passando a una gestione dinamica di SPF invece che a una manutenzione manuale di record flattened.

DKIM sta per DomainKeys Identified Mail, un protocollo di autenticazione email progettato per impedire la modifica dei messaggi durante il transito, una tecnica spesso utilizzata nel phishing e nelle truffe email.

DKIM è uno standard più recente e più complesso dello SPF. Il suo funzionamento si basa sull’uso della crittografia asimmetrica nelle parti di firma dell’email. Esiste una chiave privata memorizzata sul server che invia l’email (mai leggibile dall’utente finale) e una chiave pubblica che viene pubblicata nel DNS del dominio mittente e utilizzata per decifrare le firme email.

In altre parole, quando viene composta un’email, l’intestazione e il corpo vengono firmati usando la chiave privata del mittente per creare una firma digitale, che viene inviata come campo header insieme all’email. Dal lato del destinatario (se DKIM è attivo), il server recupera la chiave pubblica e verifica che l’email sia stata effettivamente firmata dal dominio mittente. Se la firma viene validata con successo, si dimostra che il dominio mittente ha inviato il messaggio e che intestazione e corpo non sono stati modificati durante la trasmissione.

Una firma DKIM è un valore crittografico univoco inserito nell’intestazione di un’email in uscita. Generata tramite la chiave privata DKIM del mittente, questa firma permette al server di posta del destinatario di recuperare la chiave pubblica dal DNS e confermare che il messaggio è stato inviato da una fonte autorizzata e che il suo contenuto non è stato alterato durante la trasmissione.

Una chiave DKIM è la coppia di chiavi crittografiche utilizzata nell’autenticazione DKIM. La chiave privata viene conservata in modo sicuro sul server mittente e usata per generare, per ogni email in uscita, la firma DKIM. La chiave pubblica è pubblicata nel DNS del dominio mittente come record TXT e serve ai server destinatari per verificare la firma e confermare integrità e autenticità delle email.

Scopri tutti i dettagli tecnici su DKIM nella nostra guida di configurazione tecnica.

Sì. DKIM (DomainKeys Identified Mail) è un protocollo di autenticazione email fondamentale che protegge da spoofing, phishing e manomissione dei messaggi. Aggiunge una firma crittografica a ogni email in uscita, permettendo ai server destinatari di verificare che il contenuto dell’email non sia stato modificato e che provenga da un dominio autorizzato. DKIM è anche una componente centrale del processo di verifica DMARC, lavorando insieme a SPF per imporre l’allineamento del dominio e rafforzare la sicurezza delle email. I principali provider di posta ora richiedono DKIM per l’invio di email massivo, rendendolo indispensabile per la deliverability nel 2026.

SPF (Sender Policy Framework) verifica che un’email sia inviata da un indirizzo IP autorizzato dal record SPF del dominio mittente. DKIM (DomainKeys Identified Mail) utilizza una firma crittografica, validata tramite una chiave pubblica nel DNS, per confermare che il contenuto dell’email non sia stato alterato e che l’email provenga da un dominio autorizzato. SPF si concentra sull’autorizzazione dell’origine, mentre DKIM garantisce integrità e autenticità del messaggio.