Configura DKIM Office 365: Guida passo-passo
Configura DKIM in Office 365 in soli 5 minuti. Segui questa guida passo-passo del 2026 per pubblicare i record CNAME, abilitare DKIM e correggere facilmente gli errori di configurazione.
Configura DKIM in Office 365 in soli 5 minuti. Segui questa guida passo-passo del 2026 per pubblicare i record CNAME, abilitare DKIM e correggere facilmente gli errori di configurazione.

Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.
Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.
Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.
Un DKIM configurato male è una delle cause più comuni di fallimento nella deliverability delle email negli ambienti Microsoft 365 (ex Office 365).
Senza di esso, i tuoi messaggi in uscita potrebbero passare l'SPF ma essere comunque contrassegnati come non autenticati. Questo attiva i filtri antispam, fa fallire l'allineamento DMARC e aumenta l'esposizione a spoofing e phishing.
La configurazione DKIM di Microsoft si estende su più portali di amministrazione e spesso richiede PowerShell per essere completata.
Questa complessità porta a configurazioni incomplete o a lunghi ritardi nell'implementazione di una corretta autenticazione del dominio.
Questa guida semplifica il processo in sei passaggi chiari e pratici. Imparerai come generare i record DKIM, pubblicare i CNAME, attivare la firma e verificare che il tuo dominio personalizzato stia autenticando correttamente la posta.
Prima di iniziare, assicurati che tutte le impostazioni di dominio e amministrazione richieste siano verificate. Dedica qualche minuto a controllare queste impostazioni ora, può prevenire ore di risoluzione dei problemi in seguito.
Questa sezione contiene i passaggi essenziali per abilitare la firma DKIM sul tuo dominio Office 365. Segui attentamente questi sei passaggi per assicurarti una configurazione corretta, a patto che tu abbia completato i prerequisiti.
Vedrai solo i domini che sono stati verificati nel tuo tenant di Microsoft 365. Se il tuo dominio non è elencato, probabilmente non è stato ancora aggiunto o verificato nel centro di amministrazione di Microsoft 365.
Una volta cliccato sulle impostazioni DKIM per il tuo dominio, Microsoft mostrerà due record CNAME richiesti, queste sono le chiavi pubbliche per il tuo dominio.
Di solito sono chiamati:
Puntano a endpoint di chiavi DKIM ospitati da Microsoft come:
Questi valori sono generati dinamicamente, quindi copiali sempre esattamente come mostrato. Non modificarli o approssimarli mai manualmente.
Nota: L'interfaccia utente DNS di ogni provider è diversa, ma i nomi dei selettori seguiranno sempre questo schema:
Avviso Proxy Cloudflare: Impostali su ‘DNS Only.’ Non usarli come proxy, altrimenti Microsoft non sarà in grado di convalidare i record.
Inoltre, se DKIM era stato configurato in precedenza (con un altro provider di email), verifica e rimuovi prima eventuali record selector1/2._domainkey in conflitto.
Dopo aver salvato i record, inizia la propagazione DNS. Questo può richiedere:
Puoi verificare che i record siano attivi usando strumenti come:
Se il DNS viene rilevato, vedrai lo stato aggiornarsi a “Firma in corso”. Se l'attivazione fallisce o ricevi un errore come “il record CNAME non esiste per questa configurazione,” il DNS potrebbe non essersi ancora propagato, quindi riprova tra qualche ora.
Authentication-Results: ... dkim=pass ...
Inoltre, conferma che il dominio elencato sotto d= nell'intestazione DKIM-Signature corrisponda al tuo dominio personalizzato.
DMARC è un altro record importante che devi configurare. Leggi la nostra guida DMARC per una configurazione rapida.
Usa questa sezione per identificare e risolvere rapidamente i problemi più comuni di configurazione DKIM, senza interpretare errori Microsoft poco chiari o tirare a indovinare.
Microsoft non riesce a rilevare i record selector1 e selector2 richiesti.
DKIM è tecnicamente attivo, ma Microsoft sta ancora usando il dominio tenant predefinito invece del tuo personalizzato.
Il DNS è attivo, ma le intestazioni delle email mostrano dkim=fail o nessuna firma.
L'email viene inviata da un dominio che non ha DKIM abilitato.
Per confermare che tutto funzioni correttamente, invia un'email di prova e falla passare attraverso il test antispam di MailReach. Ti indicherà immediatamente se il DKIM sta passando e segnalerà eventuali problemi di DNS o di firma prima che possano influenzare il posizionamento nella casella di posta.
Questo metodo è destinato agli amministratori che gestiscono più domini, automatizzano la configurazione tra i tenant o gestiscono domini non visibili nell'interfaccia utente. Se gestisci un singolo dominio, il portale Defender è più veloce e affidabile, mentre PowerShell offre un maggiore controllo amministrativo.
Inizia connettendoti a Exchange Online PowerShell usando le tue credenziali di amministratore di Microsoft 365. Questo ti permette di visualizzare e gestire le configurazioni DKIM su larga scala.
Esegui un comando per elencare tutte le configurazioni DKIM nel tuo tenant. Questo ti aiuta a identificare quali domini hanno già il DKIM configurato e quali necessitano ancora di attenzione.
Se il tuo dominio non è nell'elenco, dovrai inizializzare il DKIM manualmente. Questo crea la configurazione e dice a Microsoft di preparare le chiavi DKIM per il tuo dominio personalizzato.
Una volta inizializzato, puoi recuperare i record CNAME esatti selector1 e selector2 per quel dominio. Questi devono essere pubblicati nelle tue impostazioni DNS proprio come con il metodo standard.
Dopo aver confermato che i record si sono propagati, abilita la firma DKIM per il dominio. Questo attiva la configurazione e inizia a firmare la posta in uscita.
Microsoft supporta la rotazione delle chiavi per una maggiore sicurezza. Se necessario, puoi attivare una rotazione usando un singolo comando PowerShell. Finché entrambi i selettori rimangono nel DNS, la transizione è senza interruzioni.
PowerShell è un'opzione efficace per l'onboarding di più domini o la gestione di un tenant globale.
Anche con l'automazione, il DKIM rappresenta solo una componente della tua strategia di autenticazione email. MailReach ti aiuta a monitorare la reputazione del dominio e il posizionamento nello spam su larga scala, specialmente quando gestisci volumi per più brand o clienti.
Imposta aspettative realistiche sui tempi. La configurazione DKIM è veloce da parte tua, ma i provider di caselle di posta potrebbero non riconoscere le modifiche immediatamente.
Una volta pubblicati i record CNAME nel tuo DNS, possono diventare effettivi in pochi minuti o, in alcuni casi, fino a due giorni interi. Questo dipende dai valori TTL e dal ciclo di aggiornamento del tuo host DNS.
Finché i record non si propagano a livello globale, Microsoft non ti permetterà di abilitare il DKIM. Se vedi ancora errori DNS dopo aver pubblicato i record, di solito è un ritardo di propagazione e non una configurazione errata.
Dopo che hai attivato DKIM nel portale Microsoft 365 e il sistema rileva i tuoi record, la firma diventa effettiva immediatamente. Tutte le nuove email in uscita includeranno una firma DKIM da quel momento in poi.
Tuttavia, DKIM non si applica retroattivamente. Qualsiasi email inviata prima di attivare DKIM rimarrà senza firma.
Quando ruoti le chiavi DKIM, concedi del tempo extra per la transizione. Microsoft potrebbe ritardare la firma attiva con il nuovo selettore fino a quattro giorni per assicurarsi che le modifiche DNS siano completamente riconosciute.
Sia i record selector1 che selector2 dovrebbero rimanere nel DNS per evitare interruzioni durante il rollover delle chiavi.
Nelle prime 24 ore dopo la configurazione, i provider di mailbox come Gmail o Outlook potrebbero ancora trattare il tuo dominio come non verificato, soprattutto se non riescono ancora a rilevare i record DKIM. Se noti un posizionamento misto nella posta in arrivo o tassi di apertura più bassi durante questo periodo, non farti prendere dal panico.
Queste sono abitudini pratiche e a lungo termine per mantenere sana la tua configurazione DKIM, specialmente quando gestisci la deliverability su più mailbox o unità aziendali. Ognuna include un esempio situazionale così sai quando è importante.
Microsoft 365 (precedentemente Office 365) utilizza per impostazione predefinita chiavi DKIM a 2048 bit. Ti consigliamo di mantenere questa impostazione. Alcuni sistemi legacy utilizzano ancora chiavi a 1024 bit, ma molti provider (incluso Gmail) ora le considerano deboli.
Esempio: Se il tuo dominio era stato precedentemente configurato con DKIM a 1024 bit su un'altra piattaforma (come cPanel), passa a 2048 bit quando migri a Office 365. Una mancata corrispondenza nella forza della chiave può causare problemi di deliverability durante il warm-up o quando si applica DMARC.
La rotazione delle chiavi riduce il rischio di compromissione e aiuta a mantenere l'allineamento con gli standard di conformità.
Esempio: Se stai inviando email transazionali o regolamentate (in settori come finanza, sanità, istruzione), ruotare le chiavi DKIM ogni 6-12 mesi può soddisfare gli audit interni e le revisioni di sicurezza. Riduce anche l'esposizione a chiavi obsolete durante le transizioni di dominio o IT.
Affinché DKIM superi l'allineamento DMARC, il dominio nella firma DKIM (d=) deve corrispondere al dominio nel tuo indirizzo mittente (From).
Esempio: Se invii da marketing@brand.com ma il tuo DKIM è ancora firmato da onmicrosoft.com, DMARC fallirà. Questo accade spesso quando gli amministratori saltano l'ultimo passaggio dell'attivazione di DKIM per il dominio personalizzato. Questo dovrebbe essere corretto prima di applicare una policy DMARC p=reject.
Anche dopo che DKIM è stato attivato, lascia i CNAME nel tuo DNS. Microsoft 365 utilizza entrambi i selettori per consentire una rotazione delle chiavi senza interruzioni.
Esempio: Un membro junior del team potrebbe rimuovere selector1._domainkey, pensando che sia ridondante. Questo interrompe il rollover delle chiavi e può causare il fallimento silenzioso della firma. Lascia sempre entrambi i record pubblicati a meno che Microsoft non dica esplicitamente il contrario.
DKIM è una parte del profilo di fiducia del tuo dominio. Per proteggere il posizionamento nella posta in arrivo, combinalo con:
Esempio: Se stai lanciando attività di cold outreach da un nuovo dominio, il solo DKIM non impedirà il filtraggio come spam. Abbinarlo a SPF, a un record DMARC (p=none per iniziare) e a un tool di Email warmup fornisce ai provider di caselle di posta segnali coerenti nel tempo. Questo è particolarmente importante se i tuoi volumi di invio aumentano rapidamente.
Una forte autenticazione è la tua base tecnica, ma è solo una parte del posizionamento in inbox. MailReach ti aiuta a mantenerla con test spam giornalieri, monitoraggio della reputazione del dominio e un warmup automatizzato che rispetta le tue impostazioni DKIM, SPF e DMARC.
Configurare DKIM in Office 365 è veloce, ma il suo impatto si amplifica nel tempo. Ora hai aggiunto un livello chiave di autenticazione che i provider di caselle di posta controllano quando decidono se le tue email a freddo finiscono nella posta in arrivo o nella cartella spam.
DKIM funge da base tecnica e verifica l'identità del tuo dominio. Tuttavia, costruire una reputazione del mittente richiede uno sforzo continuo..
La vera sfida inizia dopo la configurazione. Nuovi domini, nuove caselle di posta o picchi improvvisi nel volume possono ancora attivare i filtri antispam, anche con DKIM attivo. Senza test e monitoraggio costanti, non saprai se la tua reputazione sta migliorando o scivolando via silenziosamente.
È qui che possiamo aiutarti. Pronto ad andare oltre?
MailReach automatizza l'Email warmup della posta in arrivo, i test DKIM e SPF e il monitoraggio della salute del dominio tra i provider di caselle di posta per assicurare che le email vengano consegnate nelle caselle di posta dei tuoi potenziali clienti.
Ogni email nello spam equivale a un potenziale cliente perso. Inizia a migliorare il posizionamento nella tua casella di posta oggi stesso con il test spam e l'email warmup di MailReach.
Seguire le regole non basta: scopri dove finiscono le tue email e cosa le sta bloccando. Controlla il tuo spam score con il nostro test gratuito e migliora la deliverability con il warmup di MailReach.

I 5 migliori strumenti per il posizionamento nella casella di posta per ridurre il tasso di spam nel 2026

Le 4 migliori alternative a Inbox Ally nel 2026

Limiti di invio email di Google Workspace per il 2026: Una Guida Pratica per i Team di Cold Outreach

Checklist di conformità email GDPR per il 2026

Chiusure Email: Come chiudere le tue email come un professionista
.webp)
Frequenza delle Email nel 2026: Trovare il Giusto Equilibrio per il Tuo Pubblico