Sender Policy Framework (SPF) รจ un metodo di autenticazione delle email che specifica i server di posta autorizzati a inviare email per il tuo dominio. SPF contribuisce a proteggere il dominio dallo spoofing e ad assicurare che i messaggi vengano consegnati correttamente. I server di posta che ricevono posta dal tuo dominio utilizzano SPF per verificare se i messaggi che sembrano provenire dal tuo dominio provengono effettivamente dallo stesso.
- SPF contribuisce a prevenire lo spoofing: gli spammer possono falsificare il tuo dominio o la tua organizzazione per inviare messaggi falsi che sembrano provenire dalla tua organizzazione. Questo tipo di attacco si chiama spoofing. I messaggi di spoofing possono essere utilizzati per scopi dannosi, ad esempio per comunicare informazioni false, inviare software dannoso o indurre con l'inganno le persone a fornire informazioni sensibili. SPF consente ai server di destinazione di verificare che la posta inviata dal tuo dominio provenga effettivamente dalla tua organizzazione e che sia inviata da un server di posta da te autorizzato.
- SPF consente di recapitare i messaggi alla Posta in arrivo dei destinatari: SPF aiuta a impedire che i messaggi provenienti dal tuo dominio finiscano nella cartella dello spam. Se il tuo dominio non utilizza SPF, i server che ricevono la posta non sono in grado di verificare se i messaggi che sembrano provenire dal tuo dominio sono stati inviati effettivamente da te. I server di destinazione potrebbero inviare messaggi validi alle cartelle di spam dei destinatari o rifiutare messaggi validi.
Nota: se hai acquistato il dominio da un partner Google quando hai effettuato la registrazione a G Suite, potrebbe non essere necessario configurare i record SPF. Controlla se SPF รจ una delle impostazioni gestite dal tuo host del dominio.
Best practice relative all'autenticazione delle email
Ti consigliamo di configurare sempre questi metodi di autenticazione delle email per il tuo dominio:
- SPF: consente ai server di verificare che i messaggi che sembrano provenire da un determinato dominio siano stati inviati da server autorizzati dal proprietario di quel dominio.
- DKIM: aggiunge una firma digitale a ogni messaggio. Questo permette ai server che li ricevono di verificare che i messaggi non siano stati falsificati e che non siano stati modificati durante il transito.
- DMARC: autentica i messaggi con SPF e DKIM e gestisce i messaggi in arrivo sospetti.
Prima di iniziare
Leggi le informazioni in questa sezione prima di attivare SPF per la tua organizzazione.
Se non riesci a trovare i documenti relativi alla fatturazione, puoi cercare l'host del dominio online. ICANN (Internet Corporation for Assigned Names and Numbers) รจ un'organizzazione non profit che raccoglie informazioni sui domini. Utilizza lo strumento di ricerca ICANN per trovare l'host del tuo dominio.
- Vai a lookup.icann.org.
- Nel campo di ricerca, inserisci il nome di dominio e fai clic su Lookup (Cerca).
- Nella pagina dei risultati, scorri fino a Registrar Information (Informazioni sul registrar). Di solito il registrar รจ l'host del tuo dominio.
Rivenditori di domini
Alcuni domini sono ospitati da rivenditori attraverso un registrar separato. Se non riesci ad accedere al registrar indicato o se il campo del registrar รจ vuoto, รจ possibile che l'host del tuo dominio sia un rivenditore.
- Nella pagina dei risultati della ricerca ICANN, scorri verso il basso fino alla sezione Raw Registry RDAP Response (Risposta RDAP registro dati non elaborati).
- Cerca la voce Reseller (Rivenditore).
- Vai al sito web del rivenditore.
- Accedi con le credenziali che hai utilizzato quando hai acquistato (o trasferito) il dominio.
Se hai dimenticato la password, contatta il team di assistenza del rivenditore.
Se non vedi nessun indicazione relativa al rivenditore, contatta il team di assistenza del registrar.
Provider email di terze parti
I messaggi validi inviati da provider email di terze parti per conto del tuo dominio potrebbero non superare i controlli SPF. In questo caso, il server di destinazione potrebbe inviare i messaggi dei provider di terze parti alla cartella dello spam.
Per garantire che i messaggi inviati dai provider di terze parti superino i controlli SPF:
- Verifica i record SPF del provider.
- Indirizza i messaggi attraverso il dominio o la rete configurando l'inoltro SMTP.
Per attivare SPF per il tuo dominio, aggiorna il record TXT per SPF nella console di gestione del tuo provider di dominio.
I record TXT sono un tipo di record DNS (Domain Name System) contenente informazioni di testo per server e altre fonti esterne al dominio. Ulteriori informazioni sui record TXT.
Per la procedura dettagliata, vedi Attivare SPF per il dominio.
(Facoltativo) Controllare il record TXT attuale per SPF
ร possibile che tu abbia giร configurato un record TXT per SPF con il tuo provider di dominio. Per controllare, utilizza la funzionalitร Verifica MX negli Strumenti per G Suite:
- Vai a Strumenti per G Suite.
- Inserisci il nome del tuo dominio.
- Fai clic su Esegui i controlli.
- Al termine del test, fai clic su Intervalli di validitร degli indirizzi SPF.
- Verifica i risultati SPF. Devono includere:
_spf.google.com_netblocks.google.comseguito da diversi indirizzi IP_netblocks2.google.comseguito da diversi indirizzi IP_netblocks3.google.comseguito da diversi indirizzi IP
Passaggio 1: crea il record TXT per SPF
Un record TXT per SPF definisce i server di posta autorizzati a inviare email per il tuo dominio.
Un singolo dominio puรฒ avere un solo record TXT per SPF. Tuttavia, il record TXT di un dominio puรฒ specificare piรน server e domini autorizzati a inviare email per il dominio.
Contenuti del record TXT
Se tutte le email della tua organizzazione vengono inviate da G Suite, utilizza questa riga di testo per il record TXT:
v=spf1 include:_spf.google.com ~all
Se invii la posta utilizzando uno o piรน dei metodi seguenti, oltre a G Suite, devi creare un record TXT personalizzato per SPF:
- Invii la posta da altri server.
- Utilizzi un provider email di terze parti.
- Il tuo sito web utilizza un servizio che genera email automatiche, ad esempio tramite un modulo "Contattaci".
Crea il tuo record TXT utilizzando le informazioni contenute nelle sezioni Informazioni sul server per il record TXT e Formato del record TXT.
Indirizzi IP di tutti i tuoi server di posta
Identifica gli indirizzi IP per tutti i server che inviano posta per la tua organizzazione. Questi server potrebbero includere:
- Server web
- Server di posta on-premise, ad esempio Microsoft Exchange
- Server di posta utilizzati dal tuo fornitore di servizi
- Qualsiasi provider o servizio di terze parti che invia email per conto del tuo dominio
Tutti i domini controllati dalla tua organizzazione
Identifica tutti i domini controllati dalla tua organizzazione, anche quelli che non utilizzi per inviare email. Gli spammer potrebbero provare a eseguire lo spoofing dei domini che non utilizzi per inviare posta, specialmente se hai protetto i tuoi domini di invio con SPF.
Un record TXT รจ costituito da una riga di testo normale, ovvero un elenco di tag e valori. I tag sono chiamati meccanismi. Gli altri tag facoltativi, chiamati qualificatori, specificano l'azione da eseguire in caso di corrispondenza con un meccanismo.
Di seguito sono riportati alcuni esempi di record TXT per SPF. Sostituisci gli indirizzi IP e i domini degli esempi con i tuoi indirizzi e nomi di dominio.
v=spf1 ip4:192.168.0.1/16 -all
v=spf1 -all
Meccanismi del record TXT per SPF
I tag utilizzati per creare un record TXT per SPF sono detti meccanismi.
Importante: un record TXT per SPF puรฒ contenere fino a 10 ricerche. I meccanismi che generano una ricerca nel record TXT sono a, mx e include. Se il record TXT contiene piรน di 10 ricerche, i messaggi provenienti dal tuo dominio non supereranno l'autenticazione SPF da parte del server di destinazione. Questi messaggi potrebbero essere inviati alla cartella dello spam. Per informazioni dettagliate, vedi Controllare le ricerche DNS per il record SPF.
Di seguito รจ riportato un elenco dei meccanismi da utilizzare nel record TXT. I meccanismi sono selezionati nell'ordine in cui compaiono nel record TXT. Se esiste una corrispondenza di meccanismi e non viene utilizzato alcun qualificatore, l'azione predefinita รจ Pass (Autorizzato).
Nota: gli indirizzi e i domini in questa tabella sono puramente esemplificativi. Sostituisci i valori di esempio con gli indirizzi IP e i domini dei tuoi server di posta e delle tue organizzazioni.
| Meccanismo | Descrizione e valori consentiti |
|---|---|
| v | Versione di SPF. Deve essere spf1. Questo tag รจ obbligatorio e deve essere il primo tag del record. |
| ip4 | Specifica uno o piรน server di posta in base all'indirizzo o all'intervallo di indirizzi IPv4. Il valore deve essere un indirizzo IPv4 in formato standard, ad esempio:ip4:192.168.0.1 |
| ip6 | Specifica uno o piรน server di posta in base all'indirizzo o all'intervallo di indirizzi IPv6. Il valore deve essere un indirizzo IPv6 in formato standard, ad esempio:ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF |
| a | Specifica un server di posta in base al nome di dominio, ad esempio:a:solarmora.com |
| mx |
Specifica uno o piรน server di posta facendo riferimento a un record MX di dominio, ad esempio: La specifica di un dominio con questo meccanismo รจ facoltativa. Se non specifichi un dominio, il valore predefinito corrisponde ai record MX del dominio in cui viene utilizzato il record SPF. |
| include |
Specifica i server di posta di un dominio diverso dal tuo, ad esempio: Utilizza questo meccanismo per consentire mittenti di posta di terze parti. |
| all | Se utilizzato, deve essere l'ultimo tag del record. I controlli SPF ignorano qualsiasi meccanismo dopo all. Consigliamo di utilizzare questo meccanismo con un qualificatore Soft fail (Autorizzazione parziale): ~all |
Qualificatori del record TXT per SPF
I tag facoltativi chiamati classificatori definiscono l'azione da eseguire quando esiste una corrispondenza con un meccanismo del record TXT per SPF.
I meccanismi sono selezionati nell'ordine in cui compaiono nel record TXT. Se non utilizzi i qualificatori, l'azione predefinita รจ Pass (Autorizzato). Il valore predefinito dell'azione รจ Neutral (Neutrale) quando non esiste una corrispondenza di meccanismi.
Di seguito รจ riportato un elenco di qualificatori che possono essere utilizzati in un record TXT. Un qualificatore รจ un prefisso facoltativo che puoi aggiungere a qualsiasi meccanismo del record. I qualificatori specificano l'azione da eseguire in caso di corrispondenza con un valore di meccanismo.
Ti consigliamo di utilizzare ~all nel record TXT per SPF.
| Qualificatore | Descrizione |
|---|---|
| + | Pass (Verifica superata). Il server con indirizzo IP o dominio corrispondente รจ autorizzato a inviare email per conto del dominio. Pass รจ l'impostazione predefinita quando non vengono utilizzati i qualificatori. |
| - | Fail (Verifica non superata). Il server con indirizzo IP o dominio corrispondente non รจ autorizzato a inviare email per conto del dominio. Il record SPF non include l'indirizzo IP o il dominio del server di invio. |
| ~ | Soft fail (Autorizzazione parziale). Il server con indirizzo IP o dominio corrispondente potrebbe essere autorizzato a inviare email per conto del dominio. Il server di destinazione generalmente accetta i messaggi e li contrassegna come sospetti. |
| ? | Neutral (Neutro). Il record SPF non indica esplicitamente che l'indirizzo IP o il dominio รจ autorizzato a inviare email per conto del dominio. I record SPF con risultati neutrali spesso includono ?all. |
Passaggio 2: attiva SPF per il tuo dominio
Attiva SPF per il tuo provider di dominio aggiungendo un record TXT DNS per SPF.
- I nomi dei campi nel passaggio 4 di seguito potrebbero essere diversi per il tuo provider. I nomi dei campi dei record TXT DNS possono variare leggermente da provider a provider.
- Se la tua organizzazione o il tuo dominio inviano tutte le email da G Suite, utilizza il valore del record TXT indicato nel passaggio 4 di seguito. Se hai creato un record TXT diverso, inserisci tale valore.
Per attivare SPF, aggiorna il record TXT DNS per SPF del tuo provider di dominio.
- Recupera il file o la riga di testo che definisce il record TXT.
- Accedi alla console di gestione dell'host del tuo dominio. Se non sai con certezza chi sia l'host del tuo dominio, segui la procedura descritta in Individuare l'host del dominio.
- Individua la pagina in cui aggiornare i record TXT per il dominio.
- Aggiungi un nuovo record TXT per i server di posta di G Suite:
Nome/Host/Alias Durata (TTL) Record TXT DNS da aggiornare Prioritร Valore/Risposta/Destinazione @
(o lascia vuoto)3600 SPF 1 v=spf1 include:_spf.google.com ~all - Salva le modifiche. Possono trascorrere fino a 48 ore prima che SPF inizi a proteggere il tuo dominio dallo spoofing e a garantire il recapito della posta.
- (Facoltativo) Ripeti questi passaggi per ogni dominio che gestisci per la tua organizzazione.
Aggiungere un nuovo server di posta o dominio ai record SPF
Aggiorna il record TXT per SPF presso il provider di dominio ogni volta che:
- Aggiungi nuovi server di posta all'organizzazione.
- Inizi a utilizzare nuovi mittenti di terze parti.
Se non aggiorni il record TXT con le informazioni sul nuovo server o mittente, i messaggi inviati da nuovi server o mittenti potrebbero finire nella cartella dello spam.
Per prima cosa, aggiorna il record TXT con i nuovi server o domini seguendo le istruzioni riportate nel Passaggio 1: crea il record TXT per SPF. Quindi, aggiorna il record SPF presso il provider di dominio seguendo le istruzioni riportate nel Passaggio 2: attiva SPF per il tuo dominio.
Risoluzione dei problemi relativi ai record SPF
Se i messaggi inviati dal tuo dominio continuano a essere inseriti nella cartella dello spam, anche dopo l'attivazione di SPF, prova questi suggerimenti per la risoluzione dei problemi.
Verificare che i messaggi superino il controllo SPF
I record TXT per SPF sono limitati a 10 ricerche. Pertanto, il record non puรฒ includere piรน di 10 riferimenti ad altri domini. Se il tuo record TXT contiene piรน di 10 ricerche, i messaggi provenienti dal tuo dominio non supereranno il controllo SPF del server di destinazione. I messaggi potrebbero essere inviati alla cartella dello spam.
Ogni istanza di questi tag nel record TXT genera una ricerca: a, mx, include, ptr.
Le ricerche nidificate concorrono al raggiungimento del limite di 10. Quindi, se un dominio a cui si fa riferimento in un tag include contiene riferimenti a domini nel proprio record TXT per SPF, tali domini concorrono al raggiungimento del limite.
Se i messaggi continuano a essere inviati nella cartella dello spam, controlla il numero di ricerche nel tuo record TXT utilizzando la funzionalitร Verifica MX inclusa negli Strumenti per G Suite.
Per ridurre il numero di ricerche nel tuo record TXT:
- Non utilizzare i tag include se non necessario.
- Se possibile, utilizza il tag ip4 o ip6 anzichรฉ include.
- Rimuovi i tag duplicati o quelli che fanno riferimento allo stesso dominio.
Fai riferimento solo ai domini che effettuano attivamente invii per la tua organizzazione. Rimuovi eventuali istruzioni include per i partner che non inviano piรน posta per conto del tuo dominio.
Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di societร e prodotti sono marchi delle rispettive societร a cui sono associati.
