Come configurare il record SPF di Google Workspace per garantire la consegna ottimale delle e-mail professionali

Sebbene la configurazione di un record SPF in Google Workspace possa sembrare semplice come la pubblicazione di un singolo record DNS TXT, è necessario tenere conto di alcuni aspetti tecnici fondamentali. Dalla comprensione del ruolo dell'SPF nell'autenticazione delle e-mail alla prevenzione di errori di configurazione comuni, come la presenza di più record SPF o il superamento dei limiti di ricerca DNS, i dettagli sono fondamentali.

In questa guida ti forniremo una procedura chiara e dettagliata per configurare l'SPF su Google Workspace, garantendo che le tue e-mail superino l'autenticazione, migliorando la consegna nella posta in arrivo e supportando protocolli aggiuntivi come DKIM e DMARC.

Che cos'è un record SPF di Google Workspace?

Un record SPF di Google Workspace è una voce DNS di tipo TXT che indica ai server destinatari quali server di posta sono autorizzati a inviare e-mail per conto del tuo dominio Google Workspace. Senza un record SPF, Gmail e Outlook non sono in grado di verificare l'autenticità delle tue e-mail, il che aumenta il rischio che i tuoi messaggi vengano contrassegnati come spam o utilizzati in attacchi di spoofing 

In parole povere, se possiedi un dominio come yourcompany.com e invii e-mail tramite Google Workspace, un record SPF dimostra ai server di destinazione che i server di posta di Google sono autorizzati a inviare messaggi per conto del tuo dominio.

L'SPF è uno dei tre principali protocolli di autenticazione delle e-mail, insieme a DKIM e DMARC, che insieme migliorano l'autenticazione dei messaggi e la loro consegna nella posta in arrivo.

Come funziona l'SPF

SPF funziona confrontando l'indirizzo IP del server che ha inviato il messaggio con l'elenco dei mittenti autorizzati pubblicato nei record DNS del tuo dominio.

Ecco una procedura semplificata:

1. Un utente invia un'e-mail tramite Google Workspace.
2. Il server di posta del destinatario (ad esempio, Gmail o Outlook) interroga i record DNS del tuo dominio alla ricerca di una voce SPF.
3. Se l'indirizzo IP o il servizio di invio sono presenti nell'elenco, il messaggio supera il controllo SPF e passa alla fase di filtraggio della posta in arrivo della casella di posta.
4. Se non è presente nell'elenco, il messaggio non supera la verifica SPF e potrebbe essere contrassegnato come spam, messo in quarantena o respinto dal server di posta del destinatario.
   
   

Esempio di record SPF di Google Workspace:

v=spf1 include:_spf.google.com ~all

Questo documento riporta:

• v=spf1 → versione di SPF in uso
• include:_spf.google.com → autorizza i server di posta di Google
• ~tutto → softfail per qualsiasi elemento non presente nell'elenco (segnalato come sospetto ma non bloccato immediatamente)

Componenti comuni dei record SPF 

Quando si configurano o si risolvono i problemi relativi ai record SPF, ci si imbatte spesso nei seguenti meccanismi comuni:

• include → fa riferimento a un altro record SPF (ad es., include:_spf.google.com)
• ip4 / ip6 → consente a un indirizzo IPv4 o IPv6 specifico di inviare posta
• a → autorizza i server di posta definiti nel record A del proprio dominio
• mx → autorizza i server di posta del tuo dominio
• tutto → corrisponde a qualsiasi termine (deve trovarsi alla fine)
• ~tutte → “softfail”: le e-mail non autorizzate vengono accettate ma contrassegnate
• -all → «hardfail», la posta non autorizzata viene respinta 

Perché Google Workspace richiede la configurazione SPF

Senza un record SPF, il tuo dominio Google Workspace è esposto a rischi. Gli hacker possono falsificare il tuo indirizzo e-mail, lanciare attacchi di phishing a tuo nome o spacciarsi per il tuo marchio nei confronti dei clienti. Quando i provider di posta elettronica come Gmail o Outlook non riescono a verificare che un messaggio provenga dal tuo dominio, i messaggi legittimi potrebbero finire nella cartella dello spam. Questo è uno dei problemi più comuni relativi alla consegna delle e-mail che le organizzazioni incontrano in assenza di un'autenticazione di base della posta elettronica.

Ecco perché l'SPF è molto più di una semplice impostazione tecnica. Configurarlo significa comunicare ai provider: «Sì, questi sono i server autorizzati a inviare messaggi per conto del mio dominio». Il risultato è una reputazione del mittente migliorata, tassi di consegna nella posta in arrivo più elevati e la conformità agli standard di autenticazione richiesti dai provider di caselle di posta.

Passo dopo passo: come configurare l'SPF di Google Workspace

Prima di modificare le impostazioni DNS, verifica questi prerequisiti. Molti problemi di recapito derivano dall'omissione di mittenti nei record SPF o dalla pubblicazione di più record SPF per lo stesso dominio. Google Workspace semplifica il processo, ma è necessario soddisfare questi requisiti di configurazione prima di modificare il DNS.

Cosa è bene sapere prima di tutto:

• Alcuni domini dispongono già di impostazioni SPF preconfigurate, soprattutto se sono stati acquistati tramite un partner di Google. Prima di apportare modifiche, verifica i record esistenti utilizzando uno strumento di ricerca/convalida SPF (ad esempio, un SPF checker o Google Admin Toolbox).
• I record SPF vengono configurati presso il proprio provider DNS (registrar di domini o host DNS), non nella Console di amministrazione di Google. Aggiungere o aggiornare il record TXT SPF tramite il pannello di controllo del proprio provider DNS (ad esempio, GoDaddy, Cloudflare, Namecheap).
• È consentito un solo record TXT SPF per dominio; la pubblicazione di più record SPF comporta il fallimento della verifica SPF.

Fase 1: Identificare tutti i mittenti delle e-mail

Il record SPF deve includere tutti i server o i servizi che inviano posta per conto del tuo dominio. Per i domini che utilizzano esclusivamente Google Workspace, questo potrebbe essere l'unico mittente. Nella maggior parte delle organizzazioni, tuttavia, deve includere anche altri mittenti, quali:

• Server web
• Server di posta in locale (ad es., Microsoft Exchange)
• Server di posta utilizzati dal tuo provider di hosting
• Gateway in uscita
• Piattaforme CRM e di outreach (Salesforce, HubSpot, MailReach, Apollo, ecc.)
• Piattaforme di marketing (ad es. Mailchimp, SendGrid)
• Strumenti per le transazioni (Shopify, Stripe, Zendesk)
• Moduli web che inviano e-mail automatiche

Passaggio 2: Individua il tuo record SPF

Una volta ottenuto l'elenco completo dei mittenti, crea il tuo record SPF. Un record SPF è una breve stringa di testo pubblicata nelle impostazioni DNS del tuo dominio. Indica ai provider di posta elettronica quali server sono autorizzati a inviare messaggi per conto del tuo dominio.

Il tuo compito è quello di riunire tutti i domini e gli indirizzi IP presenti nel tuo elenco di mittenti in un unico record SPF, assicurandoti che nessun mittente legittimo venga tralasciato. È consentito un solo record TXT SPF per dominio; la pubblicazione di più record SPF comporta il fallimento della valutazione SPF.

Se utilizzi anche altre piattaforme come Mailchimp, Salesforce o Microsoft 365, devi unirle in un unico elenco in modo da includere tutti i tuoi servizi.

Ad esempio:

Ricorda sempre: deve esserci un solo record SPF.

Passaggio 3: aggiungi il tuo record SPF presso l'host del dominio

• Accedi al tuo provider DNS o al tuo registrar di domini (ad esempio, Cloudflare, GoDaddy, Namecheap). Vai alla pagina di gestione DNS dedicata ai record TXT. Crea o aggiorna il record SPF con:
  • Tipo: TXT
  • Host/Nome: @ (o il tuo dominio, ad es. example.com)
  • Valore: la stringa SPF (ad es., v=spf1 include:_spf.google.com ~all)
• Salva il record e attendi la propagazione del DNS. Le modifiche vengono solitamente visualizzate nel giro di pochi minuti o poche ore; attendi fino a 48 ore. Ripeti la procedura per eventuali altri domini o sottodomini che utilizzi per inviare e-mail. (Assicurati di non pubblicare più record SPF per lo stesso dominio. Raggruppa i mittenti in un unico record.)

Passaggio 4: Scegliere tra softfail (~all) e hardfail (-all)

Alla fine di ogni record SPF, vedrai ~all o -all. Questo parametro determina il modo in cui i provider di caselle di posta gestiscono i messaggi provenienti da server non autorizzati.

Problemi relativi all'SPF in Google Workspace e come risolverli

Anche se l'SPF è configurato, i messaggi potrebbero comunque non superare l'autenticazione, essere respinti o finire nella cartella dello spam. Utilizza le guide riportate di seguito per individuare e risolvere i problemi di configurazione senza ricorrere alla regola del "singolo record SPF" illustrata in precedenza. I problemi SPF irrisolti possono inoltre comportare un aumento dei tassi di bounce delle e-mail e accrescere il rischio di hard bounce e soft bounce, entrambi dannosi per la reputazione del mittente.

Propagazione DNS e memorizzazione nella cache DNS

Dopo aver aggiunto o aggiornato i record SPF, i risultati non sono immediati. La propagazione delle modifiche al DNS può richiedere fino a 48 ore. Inoltre, i server di posta e gli strumenti potrebbero memorizzare le ricerche nella cache.

Il tuo nuovo record TXT non è ancora stato propagato, oppure il server del destinatario sta utilizzando un risultato DNS memorizzato nella cache.

Come risolvere il problema:

• Attendi che il DNS si aggiorni. La maggior parte delle modifiche viene applicata nel giro di poche ore, ma potrebbero essere necessarie fino a 48 ore.
• Riduci il TTL del DNS prima di apportare modifiche significative, in modo che gli aggiornamenti si propaghino più rapidamente.
• Ripeti il test utilizzando diversi strumenti di verifica DNS per evitare di basarti su un'unica visione memorizzata nella cache 

Limite di ricerca DNS superato

L'SPF consente un massimo di 10 ricerche DNS. Ogni voce include:, mx, a, exists, ptr o redirect può aumentare tale conteggio, comprese le ricerche annidate all'interno dell'SPF dello stesso provider.

L'accumulo di sistemi CRM, piattaforme di marketing e gateway ti porta a superare le 10 ricerche.

Come risolvere il problema:

• Conta le ricerche con Google Admin Toolbox o strumenti simili.
• Eliminare i provider inutilizzati e i meccanismi duplicati.
• Fai attenzione alle catene di include annidate.
• Si consiglia di semplificare il record SPF sostituendo, ove opportuno, le direttive `include:` annidate con gli indirizzi IP pubblicati dal provider; si noti tuttavia che ciò comporta un aumento del carico di manutenzione (i provider potrebbero modificare gli indirizzi IP)

Errori di sintassi e di ordine

SPF è molto rigoroso in materia di formattazione.

Perché succede: spazi o virgolette mancanti, meccanismi posizionati in modo errato, omissione del tag di versione v=spf1 o posizionamento errato del meccanismo "all" 

Come risolvere il problema:

Segui questo schema:

v=spf1 [meccanismi] [modificatori] [politica]

Esempio valido:

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

• Verifica prima della pubblicazione con Google Admin Toolbox.
• Assicurati che ogni stringa TXT non superi i 255 caratteri. Se il tuo provider DNS impone questo limite, suddividi il valore SPF in più stringhe racchiuse tra virgolette, secondo le indicazioni del provider.
  
  

Inoltro e mailing list

L'SPF verifica l'indirizzo IP del server che inoltra il messaggio. I server di inoltro e quelli delle mailing list non sono solitamente autorizzati nel record SPF, pertanto la posta inoltrata potrebbe non superare il controllo SPF anche se il record è corretto sotto altri aspetti.

L'indirizzo IP del mittente non è autorizzato nel tuo file SPF.

Come risolvere il problema:

• Abilita DKIM in modo che la firma crittografica rimanga valida anche in caso di inoltro e consenta ai messaggi di superare l'autenticazione anche se SPF fallisce.
• Applicare il protocollo DMARC in modo che il DKIM allineato possa essere accettato anche quando l'SPF fallisce dopo l'inoltro.
• Utilizza la funzione "Ricerca nel registro delle e-mail" per verificare se un messaggio è stato inoltrato e per visualizzare il percorso di inoltro.

Intervalli di indirizzi IP generici o condivisi in SPF

Ampie fasce di nuvolosità possono comportare rischi e ricerche superflue.

L'utilizzo di ampi intervalli IPv4 o IPv6 provenienti da cloud condivisi comporta l'autorizzazione di un'infrastruttura più ampia di quella che si controlla e potrebbe comunque non corrispondere agli indirizzi IP effettivi da cui provengono i messaggi.

Come risolvere il problema:

• Sostituisci gli intervalli generici con indirizzi IP fissi e assegnati alle tue istanze effettive.
• I fornitori preferiti includono: le direttive quando gestiscono pool stabili.
• Elimina i segnaposto o gli intervalli obsoleti che non utilizzi più.

Leggi i risultati SPF nelle intestazioni dei messaggi

Le intestazioni indicano esattamente come il destinatario ha valutato l'SPF.

Nelle intestazioni complete, individua la voce "Authentication-Results:" e il valore "spf=". Procedi quindi di conseguenza.

• Nessuna voce SPF: SPF non verificato. Verifica nuovamente che il tuo record TXT SPF sia pubblicato correttamente.
• spf= ipotesi più plausibile: SPF mancante o configurato in modo errato, oppure problemi DNS presso il provider. Correggere il record e verificare lo stato del DNS.
• spf= neutral, softfail o fail: l'indirizzo IP del mittente non è presente nel tuo record oppure il mittente non è autorizzato. Aggiorna il tuo record per includere i mittenti legittimi.
• spf= temperror o permerror: errori DNS/SPF temporanei o permanenti. Verificare la sintassi e controllare lo stato del DNS del provider.
• I messaggi inoltrati non superano il controllo SPF: verificare il percorso tramite la ricerca nel registro delle e-mail, quindi affidarsi a DKIM e DMARC per l'allineamento.

Come verificare se il tuo record SPF è configurato correttamente

Anche se il tuo record SPF sembra corretto nel DNS, piccoli errori di sintassi o problemi di ricerca possono causarne il malfunzionamento senza che tu te ne accorga e compromettere la consegna dei tuoi messaggi nella casella di posta in arrivo.

Per avere la certezza al 100%, usa lo strumento SPF Checker di MailReach. Verifica immediatamente la configurazione del tuo record SPF ed evidenzia eventuali problemi di configurazione o relativi al DNS.

A differenza della maggior parte dei test SPF gratuiti, MailReach esegue una verifica completa, controllando come si comporta effettivamente il tuo record in condizioni di invio reali, anziché limitarsi a verificarne l'aspetto nel DNS.

Per un controllo completo della deliverability, puoi anche eseguire un test di consegna nella posta in arrivo con MailReach. Questo test verifica l'autenticazione SPF, DKIM e DMARC su Gmail, Outlook e altri principali provider di posta elettronica.

Entrambi gli strumenti ti aiutano a individuare tempestivamente eventuali problemi di autenticazione, consentendoti così di proteggere la reputazione del mittente e garantire un ottimo posizionamento nella casella di posta in arrivo.

Qual è l'approccio giusto?  

L'SPF conferma che il tuo dominio è autorizzato a inviare e-mail, ma non garantisce l'arrivo nella posta in arrivo. I provider di posta elettronica valutano anche il modo in cui i destinatari interagiscono con i tuoi messaggi. Ecco perché il warmup è fondamentale: contribuisce a creare quei segnali di reputazione positiva che l'SPF da solo non è in grado di fornire.

Il riscaldamento è fondamentale quando:

• Stai inviando da un nuovo dominio che non ha ancora acquisito una reputazione.
• La reputazione del tuo dominio è stata compromessa da messaggi di errore o segnalazioni di spam.
• Stai aggiungendo numerose nuove caselle di posta e hai bisogno che siano verificate prima di avviare le attività di contatto.
• Desideri garantire un posizionamento costante nella posta in arrivo pur utilizzando più strumenti o provider.

MailReach’s Email Warmup e l’AI Warmup di MailReach simulano interazioni reali in caselle di posta affidabili, costruendo gradualmente la cronologia di coinvolgimento che i provider di caselle di posta apprezzano. Con l’Inbox Placement Test, puoi verificare che le modifiche SPF non abbiano introdotto nuovi rischi di deliverability.