Che cos'è il Sender Policy Framework (SPF)?

Dicembre 8, 2025

Il Sender Policy Framework (SPF) è uno standard di autenticazione della posta elettronica che aiuta a prevenire lo spoofing della posta elettronica.

che cos'è il quadro normativo del mittente

Che cos'è il Sender Policy Framework?

Il framework delle policy del mittente è un'e-mail autenticazione protocollo che utilizza Record DNS per indicare quale mail servers sono autorizzati a inviare e-mail per uno specifico dominioIl proprietario del dominio pubblica un record SPF nel dominio DNS zona come una voce TXT formattata in modo speciale. Questo record elenca i dati autorizzati Gli indirizzi IP o nomi host e include regole su come ricevere la posta servers dovrebbe valutare i messaggi che affermano di provenire da quel dominio.

Quando si riceve un'e-mail, la posta del destinatario server controlla il dominio del mittente della busta nel SMTP transazione e cerca il suo record SPF nel DNS. Quindi confronta l'invio serverl'indirizzo IP di alle fonti autorizzate definite in quel record e restituisce un risultato come "superato", "fallito", "softfail" o "neutrale". In base a questo risultato, il sistema ricevente accetta, contrassegna o rifiuta il messaggio.

Verificando che le email provengano da infrastrutture legittime, SPF aiuta a prevenire lo spoofing del dominio, supportando una maggiore accuratezza carne in scatola filtraggio e rafforza la sicurezza complessiva della posta elettronica quando utilizzato insieme ad altri meccanismi come DKIM e DMARC.

Come funziona il Sender Policy Framework?

Il framework dei criteri del mittente consente di ricevere posta servers per verificare se un'e-mail è stata inviata da un server Autorizzato dal proprietario del dominio. Si basa sui record DNS e sui controlli eseguiti durante l'handshake SMTP, prima che il messaggio venga completamente accettato. Ecco come si svolge il processo passo dopo passo:

  1. Il proprietario del dominio pubblica un record SPFIl processo inizia quando il proprietario del dominio crea una policy SPF e la pubblica come record TXT nel DNS. Questo record elenca gli indirizzi IP o i nomi host dei server di posta. servers autorizzati a inviare email per quel dominio. Questo passaggio stabilisce la "fonte di verità" ufficiale per i mittenti legittimi.
  2. posta del mittente server si collega al destinatario serverQuando qualcuno invia un'e-mail, l'e-mail di invio server apre una connessione SMTP alla posta del destinatario serverDurante questa stretta di mano iniziale, l'invio server indica il dominio del mittente della busta (il dominio nel comando MAIL FROM). Questa informazione è quella che il destinatario utilizza per determinare quale record SPF controllare.
  3. del destinatario server cerca il record SPF nel DNS. La ricezione server Estrae il dominio del mittente dell'envelope ed esegue una query DNS per recuperare il record SPF di quel dominio. Questa ricerca recupera la voce TXT pubblicata che contiene la policy SPF. A questo punto, il destinatario dispone di tutte le regole necessarie per valutare il mittente.
  4. La politica SPF viene valutata in base all'IP del mittenteIl destinatario server confronta l'indirizzo IP della posta in arrivo server all'elenco di IP, nomi host o meccanismi consentiti definiti nel record SPF. Elabora il record da sinistra a destra, verificando meccanismi come IP4, IP6, A, MX o INCLUDE. Questa valutazione determina se il mittente corrisponde a una fonte autorizzata.
  5. Viene generato un risultato SPFSulla base della valutazione, la ricezione server Produce un risultato SPF come "pass", "fail", "softfail", "neutral", "temperror" o "permerror". Un risultato "pass" indica che il mittente è autorizzato, mentre un risultato "fail" indica che il mittente non è esplicitamente autorizzato. Altri risultati indicano condizioni incerte o temporanee.
  6. Il destinatario applica le policy di posta elettronica localiIl sistema di posta utilizza quindi il risultato SPF per decidere come gestire il messaggio. Potrebbe accettarlo normalmente, inserirlo nello spam, aggiungere un'intestazione di avviso o rifiutarlo direttamente se il risultato è "fallito" e le policy locali sono rigorose. Questo passaggio trasforma la valutazione SPF in un'azione pratica che aiuta a bloccare email contraffatte o sospette.
  7. Il risultato SPF viene registrato per i controlli a valleInfine, il risultato SPF viene solitamente aggiunto alle intestazioni delle email in modo che i filtri downstream, i gateway di sicurezza e il provider di posta elettronica dell'utente possano vedere come è andato il controllo SPF. Queste informazioni possono essere combinate con altri segnali, come i risultati DKIM e DMARC, per rendere più accurati i risultati di spam e phishing decisioni.

Che cos'è un esempio di Policy Sender Framework?

esempio di spf

Un esempio di framework di policy del mittente è un semplice record SPF pubblicato per un dominio che utilizza una posta specifica servers per inviare e-mail. Ad esempio, supponiamo che il dominio example.com invia email solo da due indirizzi IPv4 e dal proprio MX serversIl proprietario del dominio aggiungerebbe questo record TXT nel DNS:

v=spf1 ip4:203.0.113.10 ip4:203.0.113.20 mx ~tutto

In questo esempio, v=spf1 dichiara la versione SPF, ip4:203.0.113.10 e ip4:203.0.113.20 autorizzano quegli indirizzi IP come mittenti validi, mx consente qualsiasi server elencato come record MX per example.come ~all contrassegna tutte le altre fonti come non autorizzate (soft fail). Quando la posta di un destinatario server riceve un'e-mail che afferma di provenire da example.com, controlla questo record SPF e verifica se l'IP di invio corrisponde a una delle voci autorizzate prima di decidere se accettare, contrassegnare o rifiutare il messaggio.

Chi dovrebbe utilizzare Sender Policy Framework?

Il framework delle policy del mittente è utile per qualsiasi organizzazione che invia email dal proprio dominio e desidera proteggere la propria reputazione e i propri utenti dallo spoofing. È particolarmente importante quando più servizi inviano email per conto dello stesso dominio (ad esempio, piattaforme di marketing, sistemi di ticketing, strumenti CRM). Vediamo chi trae vantaggio dall'SPF:

  • Aziende di tutte le dimensioniQualsiasi azienda che invia email transazionali o di marketing dovrebbe utilizzare SPF per impedire agli aggressori di falsificare il proprio dominio. Questo aiuta a impedire che fatture, email di reimpostazione della password e notifiche vengano falsificate e riduce la possibilità che i clienti ricevano messaggi di phishing che sembrano provenire dall'azienda.
  • Fornitori di servizi online e SaaS. App Web, SaaS Le piattaforme e i marketplace online fanno ampio affidamento su email automatizzate come conferme di account, avvisi e ricevute. L'implementazione di SPF garantisce che questi messaggi abbiano maggiori probabilità di superare i controlli antispam e raggiungere le caselle di posta degli utenti, rendendo al contempo più difficile per gli aggressori abusare del marchio nelle campagne di phishing.
  • Fornitori di servizi di posta elettronica e piattaforme di marketingGli ESP e le piattaforme di posta elettronica di massa che inviano messaggi per conto dei clienti necessitano di un SPF configurato correttamente (spesso tramite domini di invio personalizzati o include) per ottenere una buona recapitabilità. Un corretto allineamento SPF mostra la ricezione servers che la piattaforma è un mittente autorizzato, migliorando il posizionamento nella posta in arrivo di tutte le campagne.
  • Organizzazioni con più mittenti terziLe organizzazioni che utilizzano diversi sistemi esterni per l'invio di email (CRM, helpdesk, strumenti per le risorse umane, sistemi di monitoraggio, ecc.) traggono vantaggio dall'SPF come policy centrale. Elencando tutte le fonti autorizzate in un unico record, mantengono il controllo su chi può inviare email utilizzando il proprio dominio e possono revocare rapidamente l'accesso aggiornando la voce SPF.
  • Settore pubblico, finanziario e marchi ad alta fiduciaAgenzie governative, banche, operatori sanitari e altre entità ad alto livello di affidabilità sono obiettivi frequenti del phishing. SPF, in combinazione con DKIM e DMARC, alza notevolmente il livello di sicurezza per gli aggressori che cercano di falsificare questi domini e contribuisce a proteggere cittadini, clienti e pazienti da messaggi fraudolenti.

Come impostare il Sender Policy Framework?

L'impostazione del framework di policy del mittente comporta la pubblicazione di un record DNS che indica al mondo quale posta servers sono autorizzati a inviare email per il tuo dominio. La procedura è semplice, ma deve essere eseguita con attenzione per garantire che tutti i mittenti legittimi siano inclusi:

  1. Identifica tutto servers e servizi che inviano e-mail per il tuo dominioInizia elencando tutti i sistemi che inviano e-mail utilizzando il tuo nome di dominio: la tua posta principale server, strumenti di marketing, sistemi CRM, cloud servizi o piattaforme di helpdesk. In questo modo si evita di bloccare accidentalmente messaggi legittimi.
  2. Generare una policy SPF con l'autorizzazione serversCrea una regola SPF che includa tutte le tue fonti di invio. Puoi specificarle tramite indirizzo IP, nome di dominio o includere record di provider terzi. La regola SPF inizierà con v=spf1 e terminerà con un qualificatore come -all o ~all per definire come vengono gestiti i mittenti non autorizzati.
  3. Aggiungi il record SPF al tuo Impostazioni DNSAccedi al portale di gestione del tuo provider DNS e crea un nuovo record TXT per il tuo dominio. Incolla la regola SPF che hai generato, ad esempio:
    v=spf1 mx include:mailprovider.com -all
    La pubblicazione di questo record rende la tua policy pubblicamente visibile ai destinatari della posta.
  4. Aspettare Propagazione DNSPotrebbero volerci minuti o ore prima che il record DNS aggiornato si diffonda in tutto il mondo. Durante questo periodo, alcuni messaggi di posta servers potrebbe ancora basarsi sulla vecchia configurazione.
  5. Testare e convalidare la configurazione SPFUtilizza gli strumenti di convalida SPF online o la tua piattaforma di sicurezza email per confermare che il record sia pubblicato correttamente e includa tutti i mittenti autorizzati. I test garantiscono che i messaggi legittimi superino l'SPF e che i messaggi falsificati vengano rifiutati o contrassegnati.
  6. Mantenere e aggiornare quando cambiano i mittentiOgni volta che aggiungi o rimuovi servizi di posta elettronica, aggiorna il tuo record SPF di conseguenza. Una manutenzione regolare garantisce una protezione continua e un recapito costante delle email.

Vantaggi e limiti dell'SPF

Il framework delle policy del mittente offre chiari vantaggi per la sicurezza e la recapitabilità della posta elettronica, ma non costituisce da solo una soluzione completa. Comprenderne sia i vantaggi che i limiti aiuta i proprietari di dominio a implementare SPF in modo efficace, a evitare configurazioni errate che bloccano la posta legittima e a decidere quando combinarlo con altre tecnologie come DKIM e DMARC per una protezione più efficace.

Quali sono i vantaggi del Sender Policy Framework?

SPF migliora la sicurezza della posta elettronica rendendo più difficile per gli aggressori impersonare il tuo dominio e fornendo la ricezione servers Segnali più chiari su quali messaggi sono legittimi. I suoi vantaggi sono maggiori quando SPF è configurato correttamente e mantenuto aggiornato:

  • Riduce lo spoofing delle e-mail e l'abuso di dominio. Elencando esplicitamente quali servers Può inviare email per il tuo dominio, SPF aiuta a bloccare le email inviate da indirizzi IP non autorizzati. Questo riduce i tentativi di spoofing riusciti, in cui gli aggressori fingono di inviare email dal tuo dominio.
  • Protegge la reputazione del marchio e la fiducia degli utentiQuando il tuo dominio riceve meno email false, è meno probabile che i destinatari associno il tuo brand a phishing o spam. Questa protezione aiuta a mantenere la fiducia nei messaggi importanti, come fatture, avvisi ed email di reimpostazione della password.
  • Migliora il filtraggio di spam e phishingI risultati SPF forniscono la ricezione della posta servers Un segnale forte che possono utilizzare nei loro filtri antispam. I messaggi che superano il test SPF hanno maggiori probabilità di essere considerati legittimi, mentre quelli che non lo superano possono essere segnalati o rifiutati, rafforzando le difese antispam complessive.
  • Supporta una migliore recapitabilità delle emailI record SPF corretti facilitano il raggiungimento delle caselle di posta in arrivo da parte delle email legittime anziché delle cartelle spam. Molti provider verificano l'SPF come parte del loro processo di autenticazione, quindi una configurazione valida migliora la recapitabilità di newsletter, email transazionali e notifiche.
  • Controllo centralizzato sui mittenti autorizzatiSPF fornisce un unico punto nel DNS in cui specificare tutti i sistemi autorizzati a inviare per conto del tuo dominio. Questo controllo centralizzato semplifica la gestione, soprattutto quando si utilizzano più servizi di terze parti, e consente di revocare l'accesso aggiornando un record.
  • Funziona bene con DKIM e DMARCSPF è progettato per integrare altri metodi di autenticazione, anziché sostituirli. Se utilizzato in combinazione con DKIM e applicato tramite DMARC, SPF contribuisce a una difesa a più livelli che rende il phishing e la contraffazione di domini significativamente più difficili.

Quali sono i limiti del Sender Policy Framework?

SPF è prezioso, ma presenta importanti limitazioni che i proprietari di domini devono comprendere. Da solo, non può prevenire completamente il phishing o lo spoofing e deve essere gestito con attenzione per evitare di bloccare messaggi legittimi. Ecco le principali limitazioni:

  • Non protegge da solo l'indirizzo "Da" visibileSPF convalida il mittente della busta utilizzato a livello SMTP, non necessariamente l'indirizzo che gli utenti vedono nel campo "Da". Gli aggressori possono associare un dominio SPF di passaggio a un indirizzo visibile diverso e fuorviante, il che significa che SPF da solo non può bloccare tutti i tentativi di phishing.
  • Si interrompe facilmente con l'inoltro e-mailQuando un'e-mail viene inoltrata, l'inoltro serverL'indirizzo IP di 's' di solito non è elencato nel record SPF del mittente originale. Di conseguenza, i controlli SPF presso il destinatario finale potrebbero fallire anche se il messaggio è legittimo. Questo rende SPF meno affidabile in ambienti con inoltri o mailing list molto intensi.
  • Limitazioni di ricerca DNS e lunghezza dei recordLa valutazione SPF è limitata a 10 Ricerche DNSe record eccessivamente complessi possono raggiungere questo limite o diventare difficili da gestire. Catene di inclusione lunghe o nidificate, numerosi intervalli IP e modifiche frequenti aumentano il rischio di configurazioni errate, causando errori temporanei o risultati errati.
  • Nessuna protezione del contenuto o dell'integrità del messaggioSPF convalida solo l'IP di invio rispetto al dominio rivendicato. Non firma né protegge il corpo o le intestazioni dell'email. Un aggressore che utilizza un indirizzo IP autorizzato server, un account compromesso o un relay aperto potrebbero comunque inviare contenuti dannosi che superano l'SPF.
  • Richiede una manutenzione continua man mano che i mittenti cambianoOgni volta che aggiungi, modifichi o rimuovi provider di posta elettronica e infrastrutture di invio, il tuo record SPF deve essere aggiornato. Se questa manutenzione viene trascurata, le email legittime provenienti da nuovi servizi potrebbero non superare i controlli SPF e finire nella cartella spam o essere rifiutate.
  • Valore limitato senza DKIM e DMARCDa solo, SPF fornisce solo un'autenticazione parziale. Senza DKIM per verificare i contenuti e DMARC per specificare come gestire gli errori e allineare gli indirizzi visibili, la capacità di SPF di bloccare campagne di phishing sofisticate è limitata. Funziona al meglio come livello di una strategia di autenticazione e-mail più ampia.

Domande frequenti sul Sender Policy Framework

Ecco le risposte alle domande più frequenti sul framework delle policy del mittente.

Perché SPF ha causato il rifiuto della mia e-mail?

Se la tua e-mail è stata rifiutata a causa di SPF, significa che la posta in arrivo server ha rilevato che l'indirizzo IP o il servizio che invia il messaggio non era autorizzato nel record SPF del tuo dominio. Questo accade spesso quando un nuovo servizio di posta elettronica non viene aggiunto al record SPF, quando l'inoltro interrompe la convalida SPF o quando la policy termina con un qualificatore rigoroso come -all che indica ai destinatari di rifiutare i mittenti non autorizzati. Aggiornare il record SPF per includere tutti i sistemi di invio legittimi e verificare la presenza di problemi di configurazione in genere risolve il problema.

SPF blocca tutti i tipi di phishing?

No, SPF non blocca tutti i tipi di phishing. Tuttavia, aiuta a impedire agli aggressori di inviare email che sembrano provenire dal tuo dominio bloccando la posta non autorizzata. servers, verifica solo il mittente della busta e non protegge l'indirizzo "Da" visibile o il contenuto del messaggio. Gli aggressori possono comunque utilizzare domini simili, account compromessi o nomi visualizzati fuorvianti per sferrare attacchi di phishing. Per una protezione più efficace, SPF dovrebbe essere combinato con DKIM e DMARC per garantire l'allineamento e il rilevamento sia dell'identità del mittente che dell'integrità del messaggio.

Qual è la differenza tra SPF, DKIM e DMARC?

Ecco una tabella comparativa chiara e concisa che spiega la differenza tra SPF, DKIM e DMARC:

CaratteristicaSPFDKIMDMARC
Scopo principaleVerifica se la posta inviata server è autorizzato a inviare e-mail per il dominio.Verifica l'integrità del contenuto dell'e-mail tramite una firma crittografica.Applica l'allineamento tra SPF/DKIM e l'indirizzo "Da" visibile e indica ai destinatari come gestire gli errori.
Come funzionaConfronta l'IP del mittente con il record DNS SPF del dominio.Controlla una firma digitale nell'intestazione dell'e-mail rispetto a una Chiave pubblica nel DNS.Valuta i risultati SPF e/o DKIM e applica la policy del dominio (nessuno, quarantena, rifiuta).
Protegge controFalsificazione dell'indirizzo del mittente della busta.Manomissione del contenuto delle e-mail e falsificazione dell'identità del mittente.Sia lo spoofing che il phishing imponendo l'allineamento e segnalando i fallimenti di autenticazione.
Cosa garantisceDominio del mittente della busta SMTP.Integrità delle intestazioni e del corpo dei messaggi.Autenticità del dominio "Da" visibile e controllo delle policy.
Record DNS richiestoRecord TXT con invio approvato servers.Record TXT con chiave pubblica.Record TXT con regole di allineamento e opzioni di reporting.
Effetto sulla consegnaMigliora l'accettazione della posta legittima se valida.Migliora notevolmente la fiducia e il posizionamento nella posta in arrivo.Offre il massimo controllo, riduce lo spoofing e migliora la reputazione complessiva della posta elettronica.
Anastasia
Spasojevic
Anastazija è una scrittrice di contenuti esperta con conoscenza e passione per cloud informatica, informatica e sicurezza online. A phoenixNAP, si concentra sulla risposta a domande scottanti su come garantire la robustezza e la sicurezza dei dati per tutti i partecipanti al panorama digitale.