Verificare la consegna della posta ed evitare lo spoofing (SPF)

Proteggiti dalle email contraffatte e assicurati che i messaggi non siano contrassegnati come spam.

Sender Policy Framework (SPF) è un metodo di autenticazione delle email che specifica i server di posta autorizzati a inviare email per il tuo dominio. SPF contribuisce a proteggere il dominio dallo spoofing e ad assicurare che i messaggi vengano consegnati correttamente. I server di posta che ricevono posta dal tuo dominio utilizzano SPF per verificare se i messaggi che sembrano provenire dal tuo dominio provengono effettivamente dallo stesso.

  • SPF contribuisce a prevenire lo spoofing: gli spammer possono falsificare il tuo dominio o la tua organizzazione per inviare messaggi falsi che sembrano provenire dalla tua organizzazione. Questo tipo di attacco si chiama spoofing. I messaggi di spoofing possono essere utilizzati per scopi dannosi, ad esempio per comunicare informazioni false, inviare software dannoso o indurre con l'inganno le persone a fornire informazioni sensibili. SPF consente ai server di destinazione di verificare che la posta inviata dal tuo dominio provenga effettivamente dalla tua organizzazione e che sia inviata da un server di posta da te autorizzato.
  • SPF consente di recapitare i messaggi alla Posta in arrivo dei destinatari: SPF aiuta a impedire che i messaggi provenienti dal tuo dominio finiscano nella cartella dello spam. Se il tuo dominio non utilizza SPF, i server che ricevono la posta non sono in grado di verificare se i messaggi che sembrano provenire dal tuo dominio sono stati inviati effettivamente da te. I server di destinazione potrebbero inviare messaggi validi alle cartelle di spam dei destinatari o rifiutare messaggi validi.

Nota: se hai acquistato il dominio da un partner Google quando hai effettuato la registrazione a G Suite, potrebbe non essere necessario configurare i record SPF. Controlla se SPF è una delle impostazioni gestite dal tuo host del dominio.

Best practice relative all'autenticazione delle email

Ti consigliamo di configurare sempre questi metodi di autenticazione delle email per il tuo dominio:

  • SPF: consente ai server di verificare che i messaggi che sembrano provenire da un determinato dominio siano stati inviati da server autorizzati dal proprietario di quel dominio.
  • DKIM: aggiunge una firma digitale a ogni messaggio. Questo permette ai server che li ricevono di verificare che i messaggi non siano stati falsificati e che non siano stati modificati durante il transito.
  • DMARC: autentica i messaggi con SPF e DKIM e gestisce i messaggi in arrivo sospetti.
Per informazioni dettagliate sui passaggi, vedi Prevenzione di spoofing, phishing e spam.

Prima di iniziare

Leggi le informazioni in questa sezione prima di attivare SPF per la tua organizzazione.

Individuare il provider del dominio
Attiva SPF nella console di gestione del tuo provider di dominio, non nella Console di amministrazione Google. Se hai dubbi riguardo al provider di dominio, segui questi passaggi.

Se non riesci a trovare i documenti relativi alla fatturazione, puoi cercare l'host del dominio online. ICANN (Internet Corporation for Assigned Names and Numbers) è un'organizzazione non profit che raccoglie informazioni sui domini. Utilizza lo strumento di ricerca ICANN per trovare l'host del tuo dominio.

  1. Vai a lookup.icann.org.
  2. Nel campo di ricerca, inserisci il nome di dominio e fai clic su Lookup (Cerca).
  3. Nella pagina dei risultati, scorri fino a Registrar Information (Informazioni sul registrar). Di solito il registrar è l'host del tuo dominio.

Rivenditori di domini

Alcuni domini sono ospitati da rivenditori attraverso un registrar separato. Se non riesci ad accedere al registrar indicato o se il campo del registrar è vuoto, è possibile che l'host del tuo dominio sia un rivenditore.

  1. Nella pagina dei risultati della ricerca ICANN, scorri verso il basso fino alla sezione Raw Registry RDAP Response (Risposta RDAP registro dati non elaborati).
  2. Cerca la voce Reseller (Rivenditore).
  3. Vai al sito web del rivenditore.
  4. Accedi con le credenziali che hai utilizzato quando hai acquistato (o trasferito) il dominio.
    Se hai dimenticato la password, contatta il team di assistenza del rivenditore.

Se non vedi nessun indicazione relativa al rivenditore, contatta il team di assistenza del registrar.

Provider email di terze parti

I messaggi validi inviati da provider email di terze parti per conto del tuo dominio potrebbero non superare i controlli SPF. In questo caso, il server di destinazione potrebbe inviare i messaggi dei provider di terze parti alla cartella dello spam.

Per garantire che i messaggi inviati dai provider di terze parti superino i controlli SPF:

  • Verifica i record SPF del provider.
  • Indirizza i messaggi attraverso il dominio o la rete configurando l'inoltro SMTP.
Record TXT per SPF

Per attivare SPF per il tuo dominio, aggiorna il record TXT per SPF nella console di gestione del tuo provider di dominio. 

I record TXT sono un tipo di record DNS (Domain Name System) contenente informazioni di testo per server e altre fonti esterne al dominio. Ulteriori informazioni sui record TXT.

Per la procedura dettagliata, vedi Attivare SPF per il dominio.

(Facoltativo) Controllare il record TXT attuale per SPF

È possibile che tu abbia già configurato un record TXT per SPF con il tuo provider di dominio. Per controllare, utilizza la funzionalità Verifica MX negli Strumenti per G Suite:

  1. Vai a Strumenti per G Suite.
  2. Inserisci il nome del tuo dominio.
  3. Fai clic su Esegui i controlli.
  4. Al termine del test, fai clic su Intervalli di validità degli indirizzi SPF.
  5. Verifica i risultati SPF. Devono includere:
    • _spf.google.com
    • _netblocks.google.com seguito da diversi indirizzi IP
    • _netblocks2.google.com seguito da diversi indirizzi IP
    • _netblocks3.google.com seguito da diversi indirizzi IP

Passaggio 1: crea il record TXT per SPF

Un record TXT per SPF definisce i server di posta autorizzati a inviare email per il tuo dominio.

Un singolo dominio può avere un solo record TXT per SPF. Tuttavia, il record TXT di un dominio può specificare più server e domini autorizzati a inviare email per il dominio.

Contenuti del record TXT

Se tutte le email della tua organizzazione vengono inviate da G Suite, utilizza questa riga di testo per il record TXT:

v=spf1 include:_spf.google.com ~all

Se invii la posta utilizzando uno o più dei metodi seguenti, oltre a G Suite, devi creare un record TXT personalizzato per SPF:

  • Invii la posta da altri server.
  • Utilizzi un provider email di terze parti.
  • Il tuo sito web utilizza un servizio che genera email automatiche, ad esempio tramite un modulo "Contattaci".

Crea il tuo record TXT utilizzando le informazioni contenute nelle sezioni Informazioni sul server per il record TXT e Formato del record TXT.

Informazioni sul server per il record TXT
Il record TXT per SPF deve includere le informazioni sui tuoi server di posta.

Indirizzi IP di tutti i tuoi server di posta

Identifica gli indirizzi IP per tutti i server che inviano posta per la tua organizzazione. Questi server potrebbero includere:

  • Server web
  • Server di posta on-premise, ad esempio Microsoft Exchange
  • Server di posta utilizzati dal tuo fornitore di servizi
  • Qualsiasi provider o servizio di terze parti che invia email per conto del tuo dominio

Tutti i domini controllati dalla tua organizzazione

Identifica tutti i domini controllati dalla tua organizzazione, anche quelli che non utilizzi per inviare email. Gli spammer potrebbero provare a eseguire lo spoofing dei domini che non utilizzi per inviare posta, specialmente se hai protetto i tuoi domini di invio con SPF.

Formato del record TXT

Un record TXT è costituito da una riga di testo normale, ovvero un elenco di tag e valori. I tag sono chiamati meccanismi. Gli altri tag facoltativi, chiamati qualificatori, specificano l'azione da eseguire in caso di corrispondenza con un meccanismo.

Di seguito sono riportati alcuni esempi di record TXT per SPF. Sostituisci gli indirizzi IP e i domini degli esempi con i tuoi indirizzi e nomi di dominio.

v=spf1 ip4:192.168.0.1/16 -all

Questo record TXT autorizza qualsiasi indirizzo IP compreso tra 192.168.0.1 e 192.168.255.255 a inviare posta per il tuo dominio.

v=spf1 -all

Questo record TXT impedisce lo spoofing dei domini che non inviano posta.

Meccanismi del record TXT per SPF

I tag utilizzati per creare un record TXT per SPF sono detti meccanismi.

Importante: un record TXT per SPF può contenere fino a 10 ricerche. I meccanismi che generano una ricerca nel record TXT sono a, mx e include. Se il record TXT contiene più di 10 ricerche, i messaggi provenienti dal tuo dominio non supereranno l'autenticazione SPF da parte del server di destinazione. Questi messaggi potrebbero essere inviati alla cartella dello spam. Per informazioni dettagliate, vedi Controllare le ricerche DNS per il record SPF.

Di seguito è riportato un elenco dei meccanismi da utilizzare nel record TXT. I meccanismi sono selezionati nell'ordine in cui compaiono nel record TXT. Se esiste una corrispondenza di meccanismi e non viene utilizzato alcun qualificatore, l'azione predefinita è Pass (Autorizzato).

Nota: gli indirizzi e i domini in questa tabella sono puramente esemplificativi. Sostituisci i valori di esempio con gli indirizzi IP e i domini dei tuoi server di posta e delle tue organizzazioni.

Meccanismo Descrizione e valori consentiti
v Versione di SPF. Deve essere spf1. Questo tag è obbligatorio e deve essere il primo tag del record.
ip4 Specifica uno o più server di posta in base all'indirizzo o all'intervallo di indirizzi IPv4. Il valore deve essere un indirizzo IPv4 in formato standard, ad esempio:
ip4:192.168.0.1
ip6 Specifica uno o più server di posta in base all'indirizzo o all'intervallo di indirizzi IPv6. Il valore deve essere un indirizzo IPv6 in formato standard, ad esempio:
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
a Specifica un server di posta in base al nome di dominio, ad esempio:
a:solarmora.com
mx

Specifica uno o più server di posta facendo riferimento a un record MX di dominio, ad esempio:
mx:mail.solarmora.com

La specifica di un dominio con questo meccanismo è facoltativa. Se non specifichi un dominio, il valore predefinito corrisponde ai record MX del dominio in cui viene utilizzato il record SPF.

include

Specifica i server di posta di un dominio diverso dal tuo, ad esempio:
include:sparkpostmail.com

Utilizza questo meccanismo per consentire mittenti di posta di terze parti.

all Se utilizzato, deve essere l'ultimo tag del record. I controlli SPF ignorano qualsiasi meccanismo dopo all. Consigliamo di utilizzare questo meccanismo con un qualificatore Soft fail (Autorizzazione parziale): ~all

Qualificatori del record TXT per SPF

I tag facoltativi chiamati classificatori definiscono l'azione da eseguire quando esiste una corrispondenza con un meccanismo del record TXT per SPF.

I meccanismi sono selezionati nell'ordine in cui compaiono nel record TXT. Se non utilizzi i qualificatori, l'azione predefinita è Pass (Autorizzato). Il valore predefinito dell'azione è Neutral (Neutrale) quando non esiste una corrispondenza di meccanismi.

Di seguito è riportato un elenco di qualificatori che possono essere utilizzati in un record TXT. Un qualificatore è un prefisso facoltativo che puoi aggiungere a qualsiasi meccanismo del record. I qualificatori specificano l'azione da eseguire in caso di corrispondenza con un valore di meccanismo.

Ti consigliamo di utilizzare ~all nel record TXT per SPF.

Qualificatore Descrizione
+ Pass (Verifica superata). Il server con indirizzo IP o dominio corrispondente è autorizzato a inviare email per conto del dominio. Pass è l'impostazione predefinita quando non vengono utilizzati i qualificatori.
- Fail (Verifica non superata). Il server con indirizzo IP o dominio corrispondente non è autorizzato a inviare email per conto del dominio. Il record SPF non include l'indirizzo IP o il dominio del server di invio.
~ Soft fail (Autorizzazione parziale). Il server con indirizzo IP o dominio corrispondente potrebbe essere autorizzato a inviare email per conto del dominio. Il server di destinazione generalmente accetta i messaggi e li contrassegna come sospetti.
? Neutral (Neutro). Il record SPF non indica esplicitamente che l'indirizzo IP o il dominio è autorizzato a inviare email per conto del dominio. I record SPF con risultati neutrali spesso includono ?all.

Passaggio 2: attiva SPF per il tuo dominio

Attiva SPF per il tuo provider di dominio aggiungendo un record TXT DNS per SPF.

  • I nomi dei campi nel passaggio 4 di seguito potrebbero essere diversi per il tuo provider. I nomi dei campi dei record TXT DNS possono variare leggermente da provider a provider.
  • Se la tua organizzazione o il tuo dominio inviano tutte le email da G Suite, utilizza il valore del record TXT indicato nel passaggio 4 di seguito. Se hai creato un record TXT diverso, inserisci tale valore.

Per attivare SPF, aggiorna il record TXT DNS per SPF del tuo provider di dominio.

  1. Recupera il file o la riga di testo che definisce il record TXT.
  2. Accedi alla console di gestione dell'host del tuo dominio. Se non sai con certezza chi sia l'host del tuo dominio, segui la procedura descritta in Individuare l'host del dominio.
  3.  Individua la pagina in cui aggiornare i record TXT per il dominio.
  4. Aggiungi un nuovo record TXT per i server di posta di G Suite:
    Nome/Host/Alias Durata (TTL) Record TXT DNS da aggiornare Priorità Valore/Risposta/Destinazione
    @
    (o lascia vuoto)
    3600 SPF 1 v=spf1 include:_spf.google.com ~all
  5. Salva le modifiche. Possono trascorrere fino a 48 ore prima che SPF inizi a proteggere il tuo dominio dallo spoofing e a garantire il recapito della posta.
  6. (Facoltativo) Ripeti questi passaggi per ogni dominio che gestisci per la tua organizzazione. 

Aggiungere un nuovo server di posta o dominio ai record SPF

Aggiorna il record TXT per SPF presso il provider di dominio ogni volta che:

  • Aggiungi nuovi server di posta all'organizzazione.
  • Inizi a utilizzare nuovi mittenti di terze parti.

Se non aggiorni il record TXT con le informazioni sul nuovo server o mittente, i messaggi inviati da nuovi server o mittenti potrebbero finire nella cartella dello spam.

Per prima cosa, aggiorna il record TXT con i nuovi server o domini seguendo le istruzioni riportate nel Passaggio 1: crea il record TXT per SPF. Quindi, aggiorna il record SPF presso il provider di dominio seguendo le istruzioni riportate nel Passaggio 2: attiva SPF per il tuo dominio.

Risoluzione dei problemi relativi ai record SPF

Se i messaggi inviati dal tuo dominio continuano a essere inseriti nella cartella dello spam, anche dopo l'attivazione di SPF, prova questi suggerimenti per la risoluzione dei problemi.

Verificare che i messaggi superino il controllo SPF

Per verificare che il record SPF funzioni come previsto e che i messaggi provenienti dal tuo dominio superino il controllo SPF, esamina un messaggio inviato dal tuo dominio.
Chiedi a qualcuno che ha ricevuto un messaggio dal tuo dominio di aprirlo e di visualizzare le intestazioni complete dell'email. Quindi, controlla i risultati SPF nell'intestazione del messaggio. Se l'intestazione indica che il controllo SPF non è stato superato, verifica che non ci sono errori nel record SPF. Assicurati che il record includa riferimenti a tutti i server e i domini che inviano posta per la tua organizzazione.
Innanzitutto, rivedi il Passaggio 1: crea il record TXT per SPF e apporta le modifiche necessarie al record TXT. Quindi, aggiorna il record nell'host del dominio seguendo la procedura illustrata nel Passaggio 2: attiva SPF per il tuo dominio.
Controllare le ricerche DNS per il record TXT

I record TXT per SPF sono limitati a 10 ricerche. Pertanto, il record non può includere più di 10 riferimenti ad altri domini. Se il tuo record TXT contiene più di 10 ricerche, i messaggi provenienti dal tuo dominio non supereranno il controllo SPF del server di destinazione. I messaggi potrebbero essere inviati alla cartella dello spam.

Ogni istanza di questi tag nel record TXT genera una ricerca: a, mx, include, ptr.

Le ricerche nidificate concorrono al raggiungimento del limite di 10. Quindi, se un dominio a cui si fa riferimento in un tag include contiene riferimenti a domini nel proprio record TXT per SPF, tali domini concorrono al raggiungimento del limite.

Se i messaggi continuano a essere inviati nella cartella dello spam, controlla il numero di ricerche nel tuo record TXT utilizzando la funzionalità Verifica MX inclusa negli Strumenti per G Suite.

Per ridurre il numero di ricerche nel tuo record TXT:

  • Non utilizzare i tag include se non necessario.
  • Se possibile, utilizza il tag ip4 o ip6 anziché include.
  • Rimuovi i tag duplicati o quelli che fanno riferimento allo stesso dominio.

Fai riferimento solo ai domini che effettuano attivamente invii per la tua organizzazione. Rimuovi eventuali istruzioni include per i partner che non inviano più posta per conto del tuo dominio.

Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?
Come possiamo migliorare l'articolo?