Configura DKIM Office 365: Guida passo-passo

Configura DKIM in Office 365 in soli 5 minuti. Segui questa guida passo-passo del 2026 per pubblicare i record CNAME, abilitare DKIM e correggere facilmente gli errori di configurazione.

Valutato 4.9 su Capterra

Genera più guadagni con ogni email che invii.

Inizia a migliorare la deliverability
Inizia a migliorare la deliverability

TL;DR:

  • Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.

  • Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.

  • Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.

I filtri antispam sono spietati. Sconfiggili con MailReach.

Ogni email che finisce nello spam è un'opportunità persa. Fai subito un test spam gratuito e scopri cosa ti impedisce di arrivare nella casella di posta.

Trova e Risolvi Problemi di Spam Gratis
Trova e Risolvi Problemi di Spam Gratis

Sei in blacklist? Scopri se sta danneggiando la tua deliverability.

Alcune blacklist non contano, ma altre possono danneggiare la tua reputazione come mittente. Controlla il tuo stato ora e vedi se sta influenzando il posizionamento nella tua casella di posta.

Controlla lo Stato della Blacklist Gratis
Controlla lo Stato della Blacklist Gratis

Un DKIM configurato male è una delle cause più comuni di fallimento nella deliverability delle email negli ambienti Microsoft 365 (ex Office 365). 

Senza di esso, i tuoi messaggi in uscita potrebbero passare l'SPF ma essere comunque contrassegnati come non autenticati. Questo attiva i filtri antispam, fa fallire l'allineamento DMARC e aumenta l'esposizione a spoofing e phishing.

La configurazione DKIM di Microsoft si estende su più portali di amministrazione e spesso richiede PowerShell per essere completata.

Questa complessità porta a configurazioni incomplete o a lunghi ritardi nell'implementazione di una corretta autenticazione del dominio.

Questa guida semplifica il processo in sei passaggi chiari e pratici. Imparerai come generare i record DKIM, pubblicare i CNAME, attivare la firma e verificare che il tuo dominio personalizzato stia autenticando correttamente la posta.

Prerequisiti per configurare DKIM in Office 365

Prima di iniziare, assicurati che tutte le impostazioni di dominio e amministrazione richieste siano verificate. Dedica qualche minuto a controllare queste impostazioni ora, può prevenire ore di risoluzione dei problemi in seguito.

  • Dominio personalizzato verificato: Il tuo dominio deve essere aggiunto e verificato in Microsoft 365. DKIM non funzionerà con il dominio predefinito onmicrosoft.com.
    Per maggiori informazioni, consulta la nostra guida sul perché usare un dominio separato per l'invio di cold email sia fondamentale. 
  • Permessi di amministratore: Avrai bisogno dei diritti di Global Admin o privilegi equivalenti per accedere e configurare le impostazioni DKIM.
  • Accesso al provider DNS: Assicurati di avere l'accesso al tuo host DNS (GoDaddy, Cloudflare, Route53, ecc.) per aggiungere due record CNAME.
  • Nessun record DKIM esistente: Verifica che selector1._domainkey e selector2._domainkey non esistano o non contengano valori errati che potrebbero entrare in conflitto con la nuova configurazione.
  • Concedi tempo per la propagazione DNS: Alcune modifiche hanno effetto in pochi minuti, mentre altre potrebbero richiedere 24-48 ore per propagarsi ed essere riconosciute da Microsoft 365.

Come configurare DKIM in Office 365 (Passo dopo passo)

Questa sezione contiene i passaggi essenziali per abilitare la firma DKIM sul tuo dominio Office 365. Segui attentamente questi sei passaggi per assicurarti una configurazione corretta, a patto che tu abbia completato i prerequisiti.

Passaggio 1: Seleziona il tuo dominio in Microsoft Defender

  • Vai su security.microsoft.com e accedi come Amministratore Globale.
  • Vai a: Email e collaborazione → Criteri e regole → Criteri di minaccia → Impostazioni di autenticazione email → DKIM
  • Dall'elenco dei domini, seleziona il tuo dominio personalizzato (non quello predefinito onmicrosoft.com).

Vedrai solo i domini che sono stati verificati nel tuo tenant di Microsoft 365. Se il tuo dominio non è elencato, probabilmente non è stato ancora aggiunto o verificato nel centro di amministrazione di Microsoft 365.

Passaggio 2: Genera le chiavi DKIM per selector1 e selector2

Una volta cliccato sulle impostazioni DKIM per il tuo dominio, Microsoft mostrerà due record CNAME richiesti, queste sono le chiavi pubbliche per il tuo dominio.

Di solito sono chiamati:

  • selector1._domainkey.yourdomain.com
  • selector2._domainkey.yourdomain.com

Puntano a endpoint di chiavi DKIM ospitati da Microsoft come:

  • selector1-yourdomain-com._domainkey.yourdomain.onmicrosoft.com

Questi valori sono generati dinamicamente, quindi copiali sempre esattamente come mostrato. Non modificarli o approssimarli mai manualmente.

Per un riferimento dettagliato, consulta la documentazione ufficiale di Microsoft: Usa DKIM per convalidare le email in uscita in Microsoft 365.

Passaggio 3: Aggiungi due record CNAME al tuo DNS

  • Accedi al tuo provider DNS (ad es. Cloudflare, GoDaddy, Route53, cPanel).
    Crea i due record CNAME forniti da Microsoft

Nota: L'interfaccia utente DNS di ogni provider è diversa, ma i nomi dei selettori seguiranno sempre questo schema:

  • selector1._domainkey.yourdomain.com e 
  • selector2._domainkey.yourdomain.com

Avviso Proxy Cloudflare: Impostali su ‘DNS Only.’ Non usarli come proxy, altrimenti Microsoft non sarà in grado di convalidare i record.

Inoltre, se DKIM era stato configurato in precedenza (con un altro provider di email), verifica e rimuovi prima eventuali record selector1/2._domainkey in conflitto.

Passaggio 4: Attendi la propagazione DNS

Dopo aver salvato i record, inizia la propagazione DNS. Questo può richiedere:

  • Anche solo 15 minuti
  • Fino a 24-48 ore, a seconda di TTL, caching DNS e ritardi di propagazione
  • In rari casi, Microsoft avverte che potrebbero essere necessari fino a 4 giorni per rilevare i record internamente

Puoi verificare che i record siano attivi usando strumenti come:

  • nslookup
  • MXToolbox DKIM Lookup

Passaggio 5: Abilita la firma DKIM in Microsoft 365

  • Torna al pannello delle impostazioni DKIM nel portale Defender
  • Clicca Abilita” o attiva “Firma i messaggi per questo dominio con firme DKIM”

Se il DNS viene rilevato, vedrai lo stato aggiornarsi a “Firma in corso”. Se l'attivazione fallisce o ricevi un errore come “il record CNAME non esiste per questa configurazione,” il DNS potrebbe non essersi ancora propagato, quindi riprova tra qualche ora.

Passaggio 6: Invia un'email di prova e controlla le intestazioni DKIM

  • Invia un'email dal tuo dominio Office 365 a una casella di posta Gmail o Yahoo
  • Apri l'email, visualizza le intestazioni complete e cerca:

Authentication-Results: ... dkim=pass ...

Inoltre, conferma che il dominio elencato sotto d= nell'intestazione DKIM-Signature corrisponda al tuo dominio personalizzato.

DMARC è un altro record importante che devi configurare. Leggi la nostra guida DMARC per una configurazione rapida. 

Risoluzione dei problemi di configurazione DKIM in Office 365

Usa questa sezione per identificare e risolvere rapidamente i problemi più comuni di configurazione DKIM, senza interpretare errori Microsoft poco chiari o tirare a indovinare.

Errore: "Il record CNAME non esiste"

Microsoft non riesce a rilevare i record selector1 e selector2 richiesti.

Soluzione:

  • Ricontrolla i campi host e value nelle tue impostazioni DNS.
  • Assicurati di non aver incluso il tuo dominio due volte nell'hostname (es. selector1._domainkey.yourdomain.com.yourdomain.com)
  • Se stai usando Cloudflare, assicurati di aver disattivato il proxy per questi record.    

Problema: Le email sono ancora firmate con onmicrosoft.com

DKIM è tecnicamente attivo, ma Microsoft sta ancora usando il dominio tenant predefinito invece del tuo personalizzato.

Soluzione:

  • Probabilmente hai saltato il passaggio finale di "abilitazione" per il tuo dominio personalizzato.
  • Torna alle impostazioni DKIM in Defender e attiva l'opzione "Firma i messaggi per questo dominio" per abilitarla. 

Errore: DKIM fallisce anche dopo la configurazione.

Il DNS è attivo, ma le intestazioni delle email mostrano dkim=fail o nessuna firma.

Soluzione:

  • Questo è solitamente un ritardo di propagazione. I record potrebbero essere attivi per te, ma non ancora visibili al DNS di Microsoft.
  • Può succedere anche se viene pubblicato solo uno dei due selettori, o se si usa il dominio sbagliato.
  • Ricontrolla il formato del selettore e conferma che i CNAME si risolvano pubblicamente.

Problema: Nessun header DKIM nelle email inviate.

L'email viene inviata da un dominio che non ha DKIM abilitato.

Soluzione:

  • Assicurati che il dominio del campo Da corrisponda a quello dove è stato configurato il DKIM.
  • Se stai usando più domini o alias, dovrai ripetere la configurazione DKIM per ognuno individualmente.

Per confermare che tutto funzioni correttamente, invia un'email di prova e falla passare attraverso il test antispam di MailReach. Ti indicherà immediatamente se il DKIM sta passando e segnalerà eventuali problemi di DNS o di firma prima che possano influenzare il posizionamento nella casella di posta.

Configurazione DKIM avanzata in Office 365 tramite PowerShell.

Questo metodo è destinato agli amministratori che gestiscono più domini, automatizzano la configurazione tra i tenant o gestiscono domini non visibili nell'interfaccia utente. Se gestisci un singolo dominio, il portale Defender è più veloce e affidabile, mentre PowerShell offre un maggiore controllo amministrativo.

Connettiti a Exchange Online.

Inizia connettendoti a Exchange Online PowerShell usando le tue credenziali di amministratore di Microsoft 365. Questo ti permette di visualizzare e gestire le configurazioni DKIM su larga scala.

Controlla lo stato del DKIM.

Esegui un comando per elencare tutte le configurazioni DKIM nel tuo tenant. Questo ti aiuta a identificare quali domini hanno già il DKIM configurato e quali necessitano ancora di attenzione.

Inizializza il DKIM per un nuovo dominio

Se il tuo dominio non è nell'elenco, dovrai inizializzare il DKIM manualmente. Questo crea la configurazione e dice a Microsoft di preparare le chiavi DKIM per il tuo dominio personalizzato.

Ottieni i record CNAME da PowerShell

Una volta inizializzato, puoi recuperare i record CNAME esatti selector1 e selector2 per quel dominio. Questi devono essere pubblicati nelle tue impostazioni DNS proprio come con il metodo standard.

Abilita la firma DKIM

Dopo aver confermato che i record si sono propagati, abilita la firma DKIM per il dominio. Questo attiva la configurazione e inizia a firmare la posta in uscita.

Ruota le chiavi DKIM (opzionale)

Microsoft supporta la rotazione delle chiavi per una maggiore sicurezza. Se necessario, puoi attivare una rotazione usando un singolo comando PowerShell. Finché entrambi i selettori rimangono nel DNS, la transizione è senza interruzioni.

PowerShell è un'opzione efficace per l'onboarding di più domini o la gestione di un tenant globale.

Anche con l'automazione, il DKIM rappresenta solo una componente della tua strategia di autenticazione email. MailReach ti aiuta a monitorare la reputazione del dominio e il posizionamento nello spam su larga scala, specialmente quando gestisci volumi per più brand o clienti.

Quanto Tempo Ci Vuole Perché il DKIM Diventi Attivo

Imposta aspettative realistiche sui tempi. La configurazione DKIM è veloce da parte tua, ma i provider di caselle di posta potrebbero non riconoscere le modifiche immediatamente.

Propagazione DNS: da 15 minuti a 48 ore

Una volta pubblicati i record CNAME nel tuo DNS, possono diventare effettivi in pochi minuti o, in alcuni casi, fino a due giorni interi. Questo dipende dai valori TTL e dal ciclo di aggiornamento del tuo host DNS.

Finché i record non si propagano a livello globale, Microsoft non ti permetterà di abilitare il DKIM. Se vedi ancora errori DNS dopo aver pubblicato i record, di solito è un ritardo di propagazione e non una configurazione errata.

Firma DKIM: Immediata dopo l'attivazione

Dopo che hai attivato DKIM nel portale Microsoft 365 e il sistema rileva i tuoi record, la firma diventa effettiva immediatamente. Tutte le nuove email in uscita includeranno una firma DKIM da quel momento in poi.

Tuttavia, DKIM non si applica retroattivamente. Qualsiasi email inviata prima di attivare DKIM rimarrà senza firma.

Rotazione delle chiavi: Potrebbe richiedere fino a 96 ore

Quando ruoti le chiavi DKIM, concedi del tempo extra per la transizione. Microsoft potrebbe ritardare la firma attiva con il nuovo selettore fino a quattro giorni per assicurarsi che le modifiche DNS siano completamente riconosciute.

Sia i record selector1 che selector2 dovrebbero rimanere nel DNS per evitare interruzioni durante il rollover delle chiavi.

Nelle prime 24 ore dopo la configurazione, i provider di mailbox come Gmail o Outlook potrebbero ancora trattare il tuo dominio come non verificato, soprattutto se non riescono ancora a rilevare i record DKIM. Se noti un posizionamento misto nella posta in arrivo o tassi di apertura più bassi durante questo periodo, non farti prendere dal panico.

Migliori pratiche per la configurazione DKIM in Office 365

Queste sono abitudini pratiche e a lungo termine per mantenere sana la tua configurazione DKIM, specialmente quando gestisci la deliverability su più mailbox o unità aziendali. Ognuna include un esempio situazionale così sai quando è importante.

Usa chiavi a 2048 bit

Microsoft 365 (precedentemente Office 365) utilizza per impostazione predefinita chiavi DKIM a 2048 bit. Ti consigliamo di mantenere questa impostazione. Alcuni sistemi legacy utilizzano ancora chiavi a 1024 bit, ma molti provider (incluso Gmail) ora le considerano deboli.

Esempio: Se il tuo dominio era stato precedentemente configurato con DKIM a 1024 bit su un'altra piattaforma (come cPanel), passa a 2048 bit quando migri a Office 365. Una mancata corrispondenza nella forza della chiave può causare problemi di deliverability durante il warm-up o quando si applica DMARC.

Ruota le chiavi DKIM ogni 6-12 mesi

La rotazione delle chiavi riduce il rischio di compromissione e aiuta a mantenere l'allineamento con gli standard di conformità.

Esempio: Se stai inviando email transazionali o regolamentate (in settori come finanza, sanità, istruzione), ruotare le chiavi DKIM ogni 6-12 mesi può soddisfare gli audit interni e le revisioni di sicurezza. Riduce anche l'esposizione a chiavi obsolete durante le transizioni di dominio o IT.

Allinea il dominio "d=" di DKIM con il tuo indirizzo mittente

Affinché DKIM superi l'allineamento DMARC, il dominio nella firma DKIM (d=) deve corrispondere al dominio nel tuo indirizzo mittente (From).

Esempio: Se invii da marketing@brand.com ma il tuo DKIM è ancora firmato da onmicrosoft.com, DMARC fallirà. Questo accade spesso quando gli amministratori saltano l'ultimo passaggio dell'attivazione di DKIM per il dominio personalizzato. Questo dovrebbe essere corretto prima di applicare una policy DMARC p=reject.

Non eliminare i CNAME selector1/2

Anche dopo che DKIM è stato attivato, lascia i CNAME nel tuo DNS. Microsoft 365 utilizza entrambi i selettori per consentire una rotazione delle chiavi senza interruzioni.

Esempio: Un membro junior del team potrebbe rimuovere selector1._domainkey, pensando che sia ridondante. Questo interrompe il rollover delle chiavi e può causare il fallimento silenzioso della firma. Lascia sempre entrambi i record pubblicati a meno che Microsoft non dica esplicitamente il contrario.

Combina DKIM con SPF, DMARC e domain warming

DKIM è una parte del profilo di fiducia del tuo dominio. Per proteggere il posizionamento nella posta in arrivo, combinalo con:

  • Un record SPF valido
  • Una policy DMARC a livello di monitoraggio o applicazione
  • Un processo strutturato di Email warm-up

Esempio: Se stai lanciando attività di cold outreach da un nuovo dominio, il solo DKIM non impedirà il filtraggio come spam. Abbinarlo a SPF, a un record DMARC (p=none per iniziare) e a un tool di Email warmup fornisce ai provider di caselle di posta segnali coerenti nel tempo. Questo è particolarmente importante se i tuoi volumi di invio aumentano rapidamente.

Una forte autenticazione è la tua base tecnica, ma è solo una parte del posizionamento in inbox. MailReach ti aiuta a mantenerla con test spam giornalieri, monitoraggio della reputazione del dominio e un warmup automatizzato che rispetta le tue impostazioni DKIM, SPF e DMARC.

Ultimi Passi Verso una Migliore Deliverability

Configurare DKIM in Office 365 è veloce, ma il suo impatto si amplifica nel tempo. Ora hai aggiunto un livello chiave di autenticazione che i provider di caselle di posta controllano quando decidono se le tue email a freddo finiscono nella posta in arrivo o nella cartella spam.

DKIM funge da base tecnica e verifica l'identità del tuo dominio. Tuttavia, costruire una reputazione del mittente richiede uno sforzo continuo..

La vera sfida inizia dopo la configurazione. Nuovi domini, nuove caselle di posta o picchi improvvisi nel volume possono ancora attivare i filtri antispam, anche con DKIM attivo. Senza test e monitoraggio costanti, non saprai se la tua reputazione sta migliorando o scivolando via silenziosamente.

È qui che possiamo aiutarti. Pronto ad andare oltre?

MailReach automatizza l'Email warmup della posta in arrivo, i test DKIM e SPF e il monitoraggio della salute del dominio tra i provider di caselle di posta per assicurare che le email vengano consegnate nelle caselle di posta dei tuoi potenziali clienti.

Scopri l'Email warmup automatizzato.

Non lasciare che i filtri antispam decidano il successo della tua campagna.

Riprendi il controllo della tua strategia email. Trova le lacune, risolvi i problemi e atterra dove conta.

Assicurati che le tue email arrivino nella casella di posta.

Una blacklist da sola non sempre compromette la tua deliverability, ma vale la pena controllare. Scansiona per problemi, fai un test spam e ottieni i prossimi passi chiari.

Indice:

Valutato 4.9 su Capterra
Smetti di perdere guadagni a causa di una deliverability scadente.

Una configurazione del dominio scadente o problemi con le email potrebbero tenerti fuori dalle caselle di posta. Testa la salute delle tue email e risolvi in pochi minuti.

Valutato 4.9 su Capterra
Il Warmup non è un'opzione, è essenziale.

Senza il warmup giusto, le tue migliori campagne sono inutili. Puoi iniziare testando il tuo inbox placement e iniziare a migliorarlo oggi stesso.

Inizia a usare MailReach ora e goditi il 20% di sconto per il primo mese del nostro Piano Pro.
Solo per attività di cold outreach B2B
Valutato 4.9 su Capterra
Finire nello spam costa più di quanto pensi.

Se i filtri spam ti stanno bloccando, stai perdendo lead, affari e guadagni. Testa il tuo placement e prendi il controllo.

Valutato 4.9 su Capterra
Le blacklist stanno tenendo le tue email fuori dalla casella di posta?

Solo perché sei in lista non significa che la tua deliverability sia condannata. Fai un test spam per vedere se le tue email stanno effettivamente arrivando, o se vengono bloccate.

Valutato 4.9 su Capterra
Pensi che la tua cold outreach non stia funzionando? Controlliamo.

Le email efficaci hanno bisogno di un'ottima deliverability. Metti alla prova il tuo posizionamento ora e assicurati che le tue email arrivino dove devono.

Valutato 4.9 su Capterra
Piccoli problemi, facilmente risolvibili, potrebbero essere il motivo per cui le tue email finiscono nello spam.

Fai un controllo dello stato di salute in pochi minuti e inizia a migliorare oggi stesso. Con MailReach!

Migliori Pratiche Email
Migliori Pratiche Email
Tutti i blog
I 5 migliori strumenti per il posizionamento nella casella di posta per ridurre il tasso di spam nel 2026

I 5 migliori strumenti per il posizionamento nella casella di posta per ridurre il tasso di spam nel 2026

Migliori Pratiche Email
Migliori Pratiche Email
Tutti i blog
Le 4 migliori alternative a Inbox Ally nel 2026

Le 4 migliori alternative a Inbox Ally nel 2026

Migliori Pratiche Email
Migliori Pratiche Email
Tutti i blog
Limiti di invio email di Google Workspace per il 2026: Una Guida Pratica per i Team di Cold Outreach

Limiti di invio email di Google Workspace per il 2026: Una Guida Pratica per i Team di Cold Outreach

Migliori Pratiche Email
Migliori Pratiche Email
Tutti i blog
Checklist di conformità email GDPR per il 2026

Checklist di conformità email GDPR per il 2026

Migliori Pratiche Email
Nessun elemento trovato.
Chiusure Email: Come chiudere le tue email come un professionista

Chiusure Email: Come chiudere le tue email come un professionista

Migliori Pratiche Email
Migliori Pratiche Email
Tutti i blog
Frequenza Email: Best Practice nel 2026: Quante volte dovresti inviare email?

Frequenza delle Email nel 2026: Trovare il Giusto Equilibrio per il Tuo Pubblico

Rimani un passo avanti anche ai filtri antispam più avanzati.

Assicurati il successo per le tue campagne di cold outreach B2B con lo spam score checker e lo strumento di email warmup di MailReach.