Evitare lo spoofing delle email con i record SPF

Prevenire email contraffatte che sembrano provenire dal tuo dominio

Gli spammer potrebbero inviare email che sembrano provenire dal tuo dominio. Questo tipo di attacco si chiama spoofing. Puoi aggiungere un record SPF (Sender Policy Framework) all'host del dominio per aiutare i destinatari a capire quale deve essere l'origine delle email del dominio e sapere che non sono vittime di spoofing.

Se al momento della registrazione a G Suite hai acquistato il dominio da un partner Google (GoDaddy.com, eNom.com e DomainDiscount24.com), potresti non avere bisogno di eseguire questa operazione. Per maggiori dettagli, consulta Impostazioni gestite dal tuo host di dominio.

Aggiungere un record TXT SPF all'host del dominio

L'host del tuo dominio utilizza impostazioni di testo chiamate record DNS che indirizzano il traffico web al tuo dominio. In un record TXT SPF sono elencati i server di posta che possono inviare email dal tuo dominio. Se un messaggio viene inviato da un server non incluso nel record, il server del destinatario potrebbe considerarlo spam.

Nota: un dominio può avere un solo record SPF, ma nel record possono essere inclusi più server. Per maggiori dettagli, vedi Aggiungere più server a un record SPF.

  1. Accedi all'account del tuo dominio presso l'host (non alla Console di amministrazione Google).
  2. Vai alla pagina per l'aggiornamento dei record DNS del dominio.
    Il nome della pagina potrebbe essere DNS management (Gestione DNS), Name server management (Gestione server dei nomi) o Advanced settings (Impostazioni avanzate).
  3. Individua i record TXT e verifica se per il dominio esiste un record SPF.
    Il record SPF inizia con "v=spf1".
  4. Se nel tuo dominio è già presente un record SPF, rimuovilo. In caso contrario, vai al passaggio 5.
  5. Crea un record TXT con questi valori:
    • Name/Host/Alias (Nome/Host/Alias): inserisci @ o lascia il campo vuoto.
      Altri record DNS per il tuo dominio possono indicare la voce corretta.
    • Time to Live (TTL): inserisci 3600 o lascia il valore predefinito.
    • Value/Answer/Destination (Valore/Risposta/Destinazione): inserisci v=spf1 include:_spf.google.com ~all
  6. Salva il record.

Il nuovo record SPF diventa attivo entro 48 ore.

Gestire il record SPF

Apri tutto  |  Chiudi tutto

Verificare il record SPF
Verifica il record SPF utilizzando l'app Verifica MX, che fa parte degli Strumenti per G Suite:
  1. Vai a Strumenti per G Suite.
  2. Inserisci il nome del tuo dominio.
  3. Fai clic su Esegui i controlli.
  4. Al termine della verifica, fai clic su Intervalli di validità degli indirizzi SPF.
  5. Verifica i risultati.
    Devono includere:
    • _spf.google.com
    • _netblocks.google.com seguito da diversi indirizzi IP
    • _netblocks2.google.com seguito da diversi indirizzi IP
    • _netblocks3.google.com seguito da diversi indirizzi IP
Aggiungere più server a un record SPF
Il tuo dominio può avere un solo record SPF. Tuttavia, puoi aggiornare questo record in modo che includa tutti i tuoi server di posta. Ad esempio, se imposti un gateway di posta in uscita, il record SPF include l'indirizzo del server Gmail e l'indirizzo del server SMTP del gateway in uscita.
Per aggiungere un server di posta a un record SPF esistente, inserisci l'indirizzo IP del server prima dell'argomento ~all. Utilizza il formato ip4:indirizzo o ip6:indirizzo come indicato in questo esempio:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
Per aggiungere un dominio di server di posta, utilizza un'istruzione "include" per ogni dominio. Ad esempio:
v=spf1 include:serverdomain.com include:_spf.google.com ~all

Argomenti correlati

Gestire meccanismi e qualificatori
I meccanismi di un record SPF identificano i server autorizzati a inviare posta per conto del dominio. Ogni meccanismo viene valutato da sinistra a destra nel record SPF.
Ecco un esempio di record SPF:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
Questi meccanismi identificano gli indirizzi IP che possono inviare email da un dominio:
  • a
  • mx
  • ip4
  • ip6
  • include
  • all

Se un server non corrisponde a uno dei meccanismi del record SPF, il meccanismo all stabilisce se l'email può superare il controllo SPF. 

Puoi aggiungere qualificatori ai meccanismi nel tuo record SPF per personalizzare le dinamiche di superamento del controllo SPF da parte delle email.
Qualificatore Descrizione
Pass (+) Le email provenienti da un server che corrisponde a un meccanismo con il qualificatore + (o nessun qualificatore) superano il controllo SPF. Il server destinatario dovrebbe accettare l'email.
Fail (-) Le email provenienti da un server che corrisponde a un meccanismo con il qualificatore - non superano il controllo SPF. Il server destinatario dovrebbe rifiutare l'email.
Softfail (~) Le email provenienti da un server che corrisponde a un meccanismo con il qualificatore ~ superano il controllo SPF, ma sono considerate sospette.
Neutral (?) I meccanismi con il qualificatore ? non influiscono sul superamento del controllo SPF da parte dell'email.
Limiti di ricerca DNS e controlli SPF
SPF supporta al massimo dieci ricerche DNS. Le ricerche nidificate concorrono al raggiungimento di questo limite. Oltre il limite di dieci ricerche del record SPF, i meccanismi vengono considerati come non validi e il controllo SPF non viene superato.
Puoi verificare il numero di ricerche del tuo record SPF con l'app Verifica MX.

Meccanismi e modificatori del record SPF

I meccanismi e i modificatori utilizzati nel record SPF possono impedirgli di raggiungere il massimo di dieci ricerche DNS.
Conteggiati ai fini del numero massimo di ricerche Non conteggiati ai fini del numero massimo di ricerche
  • a
  • exists
  • include
  • mx
  • ptr
  • require
  • all
  • exp
  • ip4
  • ip6

 

Per ridurre il numero di ricerche nel tuo record SPF:

  • Evita istruzioni include non necessarie.
  • Se possibile, utilizza il meccanismo ip4 o ip6 anziché "include".
  • Evita di utilizzare il meccanismo ptr, che genera molte ricerche DNS.
  • Rimuovi meccanismi duplicati o che si risolvono nello stesso dominio.
  • Fai riferimento solo ai domini che effettuano attivamente invii.
  • Rimuovi eventuali istruzioni include nei record SPF dei partner che non inviano più posta dal tuo dominio.

Argomenti correlati

Utilizzare SPF con DKIM e DMARC
Oltre a SPF, ti consigliamo di configurare DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance):
  • SPF specifica i server che possono inviare email per un dominio.
  • DKIM verifica che il contenuto del messaggio sia autentico e non sia stato modificato.
  • DMARC specifica in che modo il tuo dominio gestisce le email in arrivo sospette.

Argomenti correlati

 Argomenti correlati

È stato utile?
Come possiamo migliorare l'articolo?