SPF (Sender Policy Framework)

SPF (Sender Policy Framework) è un protocollo di autenticazione email che consente ai proprietari di dominio di dichiarare quali server di posta sono autorizzati a inviare messaggi per conto del loro dominio. Funziona pubblicando un record DNS TXT contenente un elenco di indirizzi IP approvati, hostname di server e direttive include. Quando un server di posta ricevente riceve un messaggio in arrivo, esegue una ricerca SPF sul dominio del mittente, confronta l'indirizzo IP del server di invio con il record SPF e decide se accettare, contrassegnare o rifiutare il messaggio in base al risultato. SPF è uno dei tre standard fondamentali di autenticazione email, insieme a DKIM (firma crittografica dei messaggi) e [DMARC](/glossary/dmarc) (applicazione delle policy).

Senza un record SPF, qualsiasi server su internet può dichiarare di inviare email dal vostro dominio. Gli aggressori sfruttano questa vulnerabilità attraverso lo spoofing del dominio, una tecnica centrale nelle campagne di phishing, nella compromissione delle email aziendali e nella distribuzione di spam. Un record SPF mancante o mal configurato danneggia anche la consegnabilità delle email legittime: i principali provider come Gmail, Outlook e Yahoo rifiutano o mettono in quarantena sempre più spesso i messaggi da domini senza autenticazione adeguata. Per gli editori che distribuiscono contenuti via email — condivisione di link a [flipbook](/glossary/flipbook), invio di notifiche di [lead capture](/glossary/lead-capture) o consegna di codici OTP — l'SPF influisce direttamente sul fatto che quei messaggi raggiungano la posta in arrivo o finiscano nello spam.

FlipLink invia diversi tipi di email per conto degli editori: notifiche di lead capture, link di condivisione delle pubblicazioni, codici di verifica OTP e richieste di approvazione documenti. Queste email vengono inviate attraverso l'infrastruttura verificata di FlipLink, che mantiene i propri record SPF per garantire la consegnabilità. Se utilizzate un [dominio personalizzato](/features/custom-domains) per le vostre pubblicazioni FlipLink e desiderate che le comunicazioni email facciano riferimento a quel dominio, dovete aggiungere i server di invio di FlipLink al record SPF del vostro dominio. Questo indica ai server di posta dei destinatari che FlipLink è autorizzato a inviare per vostro conto, impedendo che quei messaggi vengano contrassegnati come sospetti. La configurazione richiede pochi minuti nel pannello di gestione DNS e si applica globalmente a tutte le pubblicazioni sotto quel dominio.

Un record SPF è un singolo record DNS TXT associato al vostro dominio. Utilizza una sintassi specifica per definire le regole di autorizzazione: - **`v=spf1`** — dichiara la versione SPF (sempre versione 1) - **`ip4:` / `ip6:`** — autorizza specifici indirizzi IP o intervalli CIDR - **`include:`** — fa riferimento al record SPF di un altro dominio (comunemente usato per mittenti terzi) - **`a` / `mx`** — autorizza gli IP associati ai record A o MX del vostro dominio - **`~all`** (softfail) — contrassegna i mittenti non autorizzati come sospetti ma consegna comunque - **`-all`** (hardfail) — rifiuta completamente la posta da mittenti non autorizzati SPF ha un limite di 10 ricerche per le query DNS all'interno di un singolo record. Il superamento di questo limite causa il fallimento dell'intero controllo SPF, un problema comune per i domini che utilizzano molti servizi email di terze parti. Ogni direttiva `include:` conta come una ricerca, e gli include annidati contano nel totale.

Seguite questi passaggi per configurare SPF per il vostro dominio quando utilizzate FlipLink: 1. **Identificate il vostro record SPF attuale** — Utilizzate uno strumento di ricerca DNS o il pannello DNS del vostro registrar per verificare se esiste già un record TXT che inizia con `v=spf1` 2. **Elencate tutti i mittenti autorizzati** — Raccogliete i valori SPF include per ogni servizio che invia email dal vostro dominio (provider email, strumenti di marketing e FlipLink) 3. **Aggiungete i server di FlipLink** — Inserite la direttiva del server di invio autorizzato di FlipLink al vostro record SPF esistente 4. **Impostate il livello di enforcement** — Usate `~all` (softfail) inizialmente per monitorare senza bloccare, poi passate a `-all` (hardfail) una volta confermato che tutti i mittenti legittimi sono inclusi 5. **Verificate il conteggio delle ricerche** — Accertatevi che il vostro record resti entro il limite di 10 ricerche utilizzando uno strumento di validazione SPF 6. **Testate la consegna** — Inviate un'email di test attraverso FlipLink (attivate un lead capture o condividete una pubblicazione) e controllate gli header dell'email per `spf=pass` 7. **Monitorate regolarmente** — Rivedete il vostro record SPF ogni volta che aggiungete o rimuovete un servizio di invio email dal vostro dominio

**"L'SPF da solo è sufficiente per proteggere il mio dominio."** SPF verifica solo l'indirizzo IP del server di invio — non verifica l'indirizzo "Da" visibile che i destinatari vedono. Una protezione completa richiede SPF combinato con DKIM (che firma il contenuto del messaggio) e DMARC (che collega i risultati SPF e DKIM all'indirizzo del mittente visibile e definisce una policy per i fallimenti). **"SPF si applica all'indirizzo mostrato nella posta in arrivo."** In realtà SPF controlla l'indirizzo "envelope from" (chiamato anche return-path), che è nascosto al destinatario. L'header "Da" che gli utenti vedono nel loro client email è governato dall'allineamento DMARC, non dal solo SPF. **"Più direttive include rendono il mio record SPF più forte."** Ogni `include:` si aggiunge al limite di 10 ricerche. Includere troppi servizi può effettivamente rompere completamente il vostro record SPF, causando un errore permanente su tutti i controlli. Includete solo i servizi che inviano attivamente email dal vostro dominio. **"Ho configurato SPF una volta e non devo più toccarlo."** I record SPF richiedono manutenzione. Aggiungere un nuovo strumento di [email marketing](/glossary/email-marketing), cambiare provider CRM o integrare un servizio come FlipLink richiedono tutti l'aggiornamento del record. Le voci obsolete per servizi dismessi sprecano slot di ricerca e possono creare falle di sicurezza.