Migliori pratiche per le e-mailConfigurazione di DKIM in Office 365: guida passo passo Configura DKIM in Office 365 in soli 5 minuti. Segui questa guida passo passo del 2026 per pubblicare i record CNAME, abilitare DKIM e risolvere facilmente gli errori di configurazione.
Risotto è all'avanguardia nell'approccio Zero Trust incentrato sull'esecuzione, grazie al monitoraggio eBPF, all'applicazione dinamica del principio del privilegio minimo e all'automazione della conformità.
Risotto è all'avanguardia nell'approccio Zero Trust incentrato sull'esecuzione, grazie al monitoraggio eBPF, all'applicazione dinamica del principio del privilegio minimo e all'automazione della conformità.
Risotto è all'avanguardia nell'approccio Zero Trust incentrato sull'esecuzione, grazie al monitoraggio eBPF, all'applicazione dinamica del principio del privilegio minimo e all'automazione della conformità.
Una configurazione errata del DKIM è una delle cause più comuni di problemi di consegna delle e-mail negli ambienti Microsoft 365 (precedentemente Office 365).
Senza di esso, i tuoi messaggi in uscita potrebbero superare il controllo SPF ma essere comunque contrassegnati come non autenticati. Ciò attiva i filtri antispam, compromette l'allineamento DMARC e aumenta l'esposizione a spoofing e phishing.
La configurazione DKIM di Microsoft coinvolge diversi portali di amministrazione e spesso richiede l'uso di PowerShell per essere completata.
Tale complessità comporta configurazioni incomplete o lunghi ritardi nell'implementazione di un'autenticazione di dominio adeguata.
Questa guida semplifica il processo in sei passaggi chiari e concreti. Imparerai come generare record DKIM, pubblicare record CNAME, attivare la firma e verificare che il tuo dominio personalizzato autentichi correttamente la posta.
Prima di iniziare, assicurati di aver verificato tutte le impostazioni relative al dominio e all'amministrazione. Dedicare qualche minuto a controllare questi aspetti ora può farti risparmiare ore di ricerca dei guasti in seguito
Questa sezione illustra i passaggi fondamentali per abilitare la firma DKIM sul tuo dominio Office 365. Segui attentamente questi sei passaggi per garantire una configurazione corretta, a condizione che tu abbia soddisfatto i prerequisiti
Verranno visualizzati solo i domini che sono stati verificati nel tuo tenant di Microsoft 365. Se il tuo dominio non è presente nell'elenco, probabilmente non è stato ancora aggiunto o verificato nel Centro di amministrazione di Microsoft 365.
Una volta che avrai cliccato sulle impostazioni DKIM del tuo dominio, Microsoft mostrerà due record CNAME obbligatori: si tratta delle chiavi pubbliche del tuo dominio.
Di solito si chiamano:
Indicano endpoint delle chiavi DKIM ospitati da Microsoft come:
Questi valori vengono generati dinamicamente, quindi copiateli sempre esattamente come indicati. Non modificateli né approssimateli mai manualmente.
Nota: l'interfaccia utente del DNS varia a seconda del provider, ma i nomi dei selettori seguono sempre questo schema:
Avviso relativo al proxy Cloudflare: imposta queste opzioni su "Solo DNS". Non utilizzarle come proxy, altrimenti Microsoft non sarà in grado di convalidare i record.
Inoltre, se DKIM era già stato configurato in precedenza (con un altro provider di posta elettronica), verifica innanzitutto se sono presenti record selector1/2._domainkey in conflitto e, se del caso, rimuovili.
Una volta salvati i record, ha inizio la propagazione DNS. Ciò può richiedere:
È possibile verificare che i dati siano aggiornati utilizzando strumenti quali:
Se viene rilevato il DNS, vedrai che lo stato passa a "In fase di firma". Se l'operazione non va a buon fine o ricevi un errore del tipo "Il record CNAME non esiste per questa configurazione", è possibile che il DNS non si sia ancora propagato, quindi riprova tra qualche ora.
Risultati dell'autenticazione: ... dkim=pass ...
Verifica inoltre che il dominio indicato sotto "d=" nell'intestazione DKIM-Signature corrisponda al tuo dominio personalizzato.
DMARC è un altro record importante che devi configurare. Leggi la nostra guida DMARC per una configurazione rapida.
Utilizza questa sezione per individuare e risolvere rapidamente i problemi più comuni relativi alla configurazione DKIM, senza dover interpretare messaggi di errore poco chiari di Microsoft o ricorrere a supposizioni.
Microsoft non riesce a individuare i record selector1 e selector2 richiesti.
Il DKIM è tecnicamente attivo, ma Microsoft continua a utilizzare il dominio predefinito del tenant invece di quello personalizzato.
Il DNS è attivo, ma le intestazioni delle e-mail riportano "dkim=fail" o non presentano alcuna firma.
L'e-mail viene inviata da un dominio su cui non è abilitato il DKIM.
Per verificare che tutto funzioni correttamente, invia un'e-mail di prova ed esegui il test antispam di MailReach. Il test indicherà immediatamente se il DKIM è valido e segnalerà eventuali problemi relativi al DNS o alla firma prima che questi possano influire sull'arrivo dei messaggi nella posta in arrivo.
Questo metodo è pensato per gli amministratori che gestiscono più domini, automatizzano la configurazione tra i tenant o gestiscono domini non visibili nell'interfaccia utente. Se gestisci un solo dominio, il portale di Defender è più veloce e affidabile, mentre PowerShell offre un maggiore controllo amministrativo.
Inizia collegandoti a Exchange Online PowerShell utilizzando le tue credenziali di amministratore di Microsoft 365. Questo ti consentirà di visualizzare e gestire le configurazioni DKIM su larga scala.
Esegui un comando per visualizzare tutte le configurazioni DKIM presenti nel tuo tenant. Questo ti aiuta a capire quali domini dispongono già di DKIM e quali invece richiedono ancora un intervento.
Se il tuo dominio non è presente nell'elenco, dovrai configurare DKIM manualmente. In questo modo si crea la configurazione e si richiede a Microsoft di preparare le chiavi DKIM per il tuo dominio personalizzato.
Una volta completata l'inizializzazione, potrai recuperare i record CNAME esatti di selector1 e selector2 per quel dominio. Questi devono essere inseriti nelle impostazioni DNS, proprio come nel metodo standard.
Dopo aver verificato che i record siano stati propagati, abilita la firma DKIM per il dominio. In questo modo si attiva la configurazione e si avvia la firma della posta in uscita.
Microsoft supporta la rotazione delle chiavi per garantire una maggiore sicurezza. Se necessario, è possibile avviare la rotazione con un solo comando PowerShell. Finché entrambi i selettori rimangono nel DNS, la transizione avviene senza interruzioni.
PowerShell è una soluzione efficace per l'integrazione di più domini o la gestione di un tenant globale.
Anche con l'automazione, DKIM rappresenta solo una delle componenti della tua strategia di autenticazione delle e-mail. MailReach ti aiuta a monitorare la reputazione del dominio e il posizionamento dello spam su larga scala, soprattutto quando devi gestire grandi volumi per più marchi o clienti.
Fissate delle tempistiche realistiche. La configurazione DKIM richiede poco tempo da parte vostra, ma i provider di posta elettronica potrebbero non rilevare immediatamente le modifiche
Una volta pubblicati i record CNAME nel tuo DNS, questi possono diventare operativi in pochi minuti o, in alcuni casi, entro un massimo di due giorni interi. Ciò dipende dai valori TTL e dal ciclo di aggiornamento del tuo provider DNS.
Finché i record non saranno stati propagati a livello globale, Microsoft non ti consentirà di abilitare DKIM. Se continui a riscontrare errori DNS dopo aver pubblicato i record, solitamente si tratta di un ritardo nella propagazione e non di un errore di configurazione.
Dopo aver abilitato DKIM nel portale di Microsoft 365 e una volta che il sistema avrà rilevato i tuoi record, la firma avrà effetto immediato. Da quel momento in poi, tutta la nuova posta in uscita includerà una firma DKIM.
Tuttavia, DKIM non ha effetto retroattivo. Qualsiasi email inviata prima dell'attivazione di DKIM rimarrà senza firma.
Quando si aggiornano le chiavi DKIM, è necessario prevedere un periodo di transizione. Microsoft potrebbe ritardare la firma attiva con il nuovo selettore fino a quattro giorni per garantire che le modifiche al DNS siano state completamente riconosciute.
Sia il record selector1 che quello selector2 devono rimanere nel DNS per evitare eventuali interruzioni durante il rinnovo delle chiavi.
Nelle prime 24 ore successive alla configurazione, i provider di posta elettronica come Gmail o Outlook potrebbero ancora considerare il tuo dominio come non verificato, soprattutto se non riescono ancora a rilevare i record DKIM. Se durante questo periodo noti che le email finiscono in modo irregolare nella posta in arrivo o registri tassi di apertura inferiori, non allarmarti.
Si tratta di abitudini pratiche e a lungo termine che ti consentono di mantenere in buono stato la tua configurazione DKIM, soprattutto quando devi gestire la deliverability su più caselle di posta o unità aziendali. Ciascuna di esse è accompagnata da un esempio concreto, così saprai quando è importante applicarla.
Microsoft 365 (precedentemente Office 365) utilizza per impostazione predefinita chiavi DKIM a 2048 bit. Si consiglia di mantenere questa impostazione. Alcuni sistemi meno recenti utilizzano ancora chiavi a 1024 bit, ma molti provider (tra cui Gmail) le considerano ormai poco sicure.
Esempio: Se il tuo dominio era precedentemente configurato con DKIM a 1024 bit su un'altra piattaforma (come cPanel), passa a 2048 bit al momento della migrazione a Office 365. Una discrepanza nella forza della chiave può causare problemi di consegna durante la fase di warm-up o quando si applica il DMARC.
La rotazione delle chiavi riduce il rischio di violazioni e contribuisce a garantire la conformità alle norme vigenti.
Esempio: Se invii email transazionali o soggette a normative (in settori quali la finanza, la sanità e l'istruzione), la rotazione delle chiavi DKIM ogni 6-12 mesi può soddisfare i requisiti degli audit interni e delle verifiche di sicurezza. Inoltre, riduce l'esposizione delle chiavi obsolete durante le transizioni relative al dominio o all'IT.
Affinché DKIM superi il controllo di allineamento DMARC, il dominio presente nella firma DKIM (d=) deve corrispondere al dominio indicato nell'indirizzo del mittente.
Esempio: Se invii un'e-mail da marketing@brand.com ma il tuo DKIM è ancora firmato da onmicrosoft.com, DMARC genererà un errore. Ciò accade spesso quando gli amministratori tralasciano l'ultimo passaggio necessario per abilitare DKIM per il dominio personalizzato. È necessario correggere questa situazione prima di applicare una politica DMARC con parametro p=reject.
Anche dopo aver abilitato DKIM, lascia i record CNAME nel tuo DNS. Microsoft 365 utilizza entrambi i selettori per consentire una rotazione delle chiavi senza interruzioni.
Esempio: un membro junior del team potrebbe rimuovere il record selector1._domainkey, ritenendolo superfluo. Ciò compromette il rollover delle chiavi e può causare il fallimento silenzioso della firma. Lasciare sempre entrambi i record pubblicati, a meno che Microsoft non indichi esplicitamente il contrario.
Il DKIM è uno degli elementi che compongono il profilo di affidabilità del tuo dominio. Per garantire che le tue e-mail arrivino nella posta in arrivo, abbinalo a:
Esempio: se stai avviando un'attività di outreach a freddo da un nuovo dominio, il DKIM da solo non basta a evitare il filtraggio antispam. Abbinandolo all'SPF, a un record DMARC (con p=none all'inizio) e a uno strumento di "warm-up" delle email, fornirai ai provider di posta elettronica segnali coerenti nel tempo. Ciò è particolarmente importante se i tuoi volumi di invio aumentano rapidamente.
L'autenticazione forte è la tua base tecnica, ma è solo una parte del processo di consegna nella posta in arrivo. MailReach ti aiuta a mantenerla con test antispam quotidiani, monitoraggio della reputazione del dominio e un processo di "warm-up" automatizzato che rispetta le tue impostazioni DKIM, SPF e DMARC.
Configurare DKIM in Office 365 è un'operazione rapida, ma i suoi effetti si amplificano nel tempo. Ora hai aggiunto un livello fondamentale di autenticazione che i provider di posta elettronica verificano per stabilire se le tue email non richieste finiscano nella posta in arrivo o nella cartella dello spam.
Il DKIM costituisce la base tecnica e verifica l'identità del tuo dominio. Tuttavia, costruire una reputazione del mittente richiede un impegno costante.
La vera sfida inizia dopo la configurazione. Nuovi domini, nuove caselle di posta o improvvisi picchi di volume possono comunque far scattare i filtri antispam, anche se è attivo il DKIM. Senza test e monitoraggi costanti, non potrai sapere se la tua reputazione sta migliorando o se sta peggiorando in modo impercettibile.
È qui che possiamo aiutarti. Sei pronto a fare un passo avanti?
MailReach automatizza il processo di "warm-up" della casella di posta, i test DKIM e SPF e il monitoraggio dello stato di salute del dominio presso i vari provider di posta elettronica, per garantire che le e-mail vengano recapitate nelle caselle di posta dei tuoi potenziali clienti.
Ogni email che finisce nella cartella dello spam equivale a un potenziale cliente perso. Inizia oggi stesso a migliorare il posizionamento dei tuoi messaggi nella casella di posta in arrivo con i test antispam e il warm-up di MailReach.
Rispettare le regole non basta: scopri dove finiscono le tue e-mail e cosa ne ostacola la consegna. Verifica il tuo punteggio antispam con il nostro test gratuito e migliora la deliverability con il warmup di MailReach.
Senza un adeguato riscaldamento, anche le tue campagne migliori non servono a nulla. Puoi iniziare verificando il posizionamento nella posta in arrivo e migliorare la situazione già da oggi.
Le migliori pratiche per i contenuti delle e-mail che ti eviteranno di finire nella cartella dello spam nel 2026
Quanti messaggi di follow-up è consigliabile inviare per ottenere il maggior numero possibile di risposte?
Come configurare DKIM in Amazon SES (Easy DKIM vs BYODKIM)
Come inviare file di grandi dimensioni via e-mail
Come archiviare le e-mail in Outlook
