Nozioni di base sull'e-mailCosa sono SPF, DKIM e DMARC e come si implementano?Scopri le nozioni di base sull'autenticazione delle e-mail con SPF, DKIM e DMARC. Scopri come implementare questi protocolli per garantire comunicazioni via e-mail sicure.
Risotto è all'avanguardia nell'approccio Zero Trust incentrato sull'esecuzione, grazie al monitoraggio eBPF, all'applicazione dinamica del principio del privilegio minimo e all'automazione della conformità.
Risotto è all'avanguardia nell'approccio Zero Trust incentrato sull'esecuzione, grazie al monitoraggio eBPF, all'applicazione dinamica del principio del privilegio minimo e all'automazione della conformità.
Risotto è all'avanguardia nell'approccio Zero Trust incentrato sull'esecuzione, grazie al monitoraggio eBPF, all'applicazione dinamica del principio del privilegio minimo e all'automazione della conformità.
Questa guida è stata realizzata per chiarire il complesso argomento dei protocolli di autenticazione delle e-mail, tra cui SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance).
Ci concentreremo sul ruolo fondamentale che questi protocolli svolgono nel rafforzare la sicurezza della posta elettronica, nel ridurre le frodi e nel migliorare la deliverability, illustrando le misure concrete da adottare per implementare con successo SPF, DKIM e DMARC nelle vostre comunicazioni via e-mail.
L'SPF, ovvero Sender Policy Framework, è un protocollo fondamentale per l'autenticazione delle e-mail, progettato per ridurre lo spoofing delle e-mail e l'uso non autorizzato dei domini. L'SPF costituisce un solido sistema che consente ai proprietari dei domini di indicare quali server di posta sono autorizzati a inviare e-mail per conto del proprio dominio. In altre parole, il suo scopo principale è impedire che malintenzionati fingano di inviare e-mail a nome del proprio dominio.
Ciò avviene tramite la creazione di un record DNS (Domain Name System) che elenca i server di posta autorizzati, fungendo essenzialmente da "indirizzo del mittente" digitale per le e-mail provenienti da quel dominio. Pertanto, in qualità di proprietario del dominio, si crea un elenco specifico utilizzando il DNS (Domain Name System), la propria rubrica digitale. Questo elenco include gli indirizzi IP dei server autorizzati a inviare e-mail da un determinato dominio: pensatelo come un "indirizzo del mittente" affidabile.
Il concetto di base consiste nell'associare un indirizzo IP specifico o un intervallo di indirizzi IP a un determinato dominio. Successivamente, quando un'e-mail che dichiara di provenire da un determinato dominio arriva a destinazione, il server di posta del destinatario controlla il record SPF nel DNS per verificare se il server mittente sia effettivamente autorizzato.
Quando un'e-mail dichiara di provenire da un determinato dominio, il server di posta del destinatario controlla questa rubrica digitale (il record SPF) per verificare se il server mittente è effettivamente autorizzato a inviare e-mail per conto del tuo dominio. Si tratta di una sorta di controllo di sicurezza.
Uno dei compiti principali dell'SPF è quello di prevenire lo spoofing delle e-mail, una pratica con cui i criminali informatici manipolano l'intestazione dell'e-mail per far sembrare che il messaggio provenga da una fonte affidabile, quando in realtà non è così. Stabilendo un collegamento chiaro e autenticato tra i server di posta autorizzati e un dominio, l'SPF crea una linea di difesa in prima linea contro soggetti non autorizzati che tentano di sfruttare la credibilità di un dominio.
Il processo SPF prevede diverse fasi, quali:
Avvio: quando un'e-mail arriva a destinazione, il server di posta del destinatario identifica il dominio di provenienza dall'intestazione dell'e-mail; Ricerca DNS: il server esegue quindi una ricerca DNS per recuperare il record SPF (la rubrica digitale del dominio) associato al dominio mittente. Questo record SPF è essenzialmente un insieme di regole specificate dal proprietario del dominio; Verifica: Il record SPF recuperato elenca gli indirizzi IP o gli intervalli autorizzati a inviare e-mail per conto del dominio, inclusa la reputazione del mittente. Il server di posta del destinatario confronta l'indirizzo IP di origine dell'e-mail in arrivo con le informazioni presenti nel record SPF (il server confronta queste informazioni con l'indirizzo IP di origine dell'e-mail in arrivo, verificando se corrispondono); Punto decisionale: sulla base di questo confronto, il server prende una decisione cruciale. Se l'IP di origine corrisponde al record SPF, l'e-mail è legittima e supera il controllo SPF. Se c'è una mancata corrispondenza, il che suggerisce che l'e-mail non proviene da un server autorizzato, il controllo SPF fallisce.
È quindi importante sapere che il funzionamento dell'SPF si basa sulla creazione di record SPF all'interno della configurazione DNS di un dominio. Ecco alcuni esempi dei componenti principali:
v=spf1: questo tag indica l'inizio del record SPF ed è generalmente seguito dai meccanismi che definiscono le regole; Meccanismi: si tratta delle regole che specificano quali indirizzi IP sono autorizzati a inviare e-mail per conto del dominio. I meccanismi comuni includono "a" (che consente il record A del dominio), "mx" (che consente il record MX del dominio) e "ip4" o "ip6" (che specificano indirizzi IP o intervalli specifici); Modificatori: è possibile includere istruzioni aggiuntive, note come modificatori, per perfezionare la politica SPF e consentire future estensioni del framework. Ad esempio, "-all" indica una politica rigorosa in cui tutte le altre fonti sono considerate non autorizzate.
Il DKIM (DomainKeys Identified Mail) è una tecnica di autenticazione delle e-mail ideata per verificare l'autenticità dei messaggi di posta elettronica. Si può definire come una sorta di notaio digitale per le tue e-mail, che garantisce che siano autentiche e non siano state modificate.
In sostanza, il protocollo DKIM utilizza le firme digitali per garantire che un'e-mail non sia stata modificata durante il suo percorso e provenga effettivamente dal mittente corretto.
Si può immaginare il DKIM come un sigillo digitale apposto su ogni e-mail in uscita. Questo sigillo, creato utilizzando chiavi crittografiche, funge da identificatore univoco e attesta che l'e-mail è stata autorizzata dal dominio mittente. In questo modo, tale processo contribuisce a instaurare un rapporto di fiducia tra il mittente e il destinatario, garantendo a quest'ultimo che l'e-mail sia autentica e non sia stata manomessa.
L'obiettivo principale del DKIM è quello di rafforzare la sicurezza della posta elettronica affrontando i seguenti aspetti fondamentali:
Integrità del messaggio: DKIM impedisce agli autori di attacchi malevoli di alterare il contenuto di un'e-mail durante il suo transito in rete. La firma digitale allegata all'e-mail funge da sigillo di autenticità, garantendo al destinatario che il messaggio rimanga intatto e inalterato; Autenticazione del mittente: DKIM autentica l'identità del mittente, mitigando i rischi associati alla falsificazione delle e-mail. Convalidando l'origine dell'e-mail, DKIM contribuisce a ridurre i tentativi di phishing e garantisce che i destinatari possano fidarsi della legittimità del mittente.
Alla base del funzionamento del DKIM c'è il concetto di firme digitali integrate nelle intestazioni delle e-mail:
Processo di firma: quando viene inviata un'e-mail, il server mittente applica una firma digitale all'intestazione dell'e-mail utilizzando una chiave privata univoca per il dominio mittente. Questa firma funge da timbro crittografico, simile alla firma autografa su una lettera, e ne attesta l'autenticità del mittente; Campi dell'intestazione: la firma DKIM viene solitamente aggiunta a specifici campi dell'intestazione all'interno dell'e-mail, come il campo "DKIM-Signature". Questo campo contiene le informazioni fondamentali necessarie ai destinatari per verificare la firma.
Comprendere l'uso che DKIM fa delle chiavi pubbliche e private è fondamentale anche per cogliere appieno il suo funzionamento. Il dominio mittente possiede una chiave privata, conservata in modo sicuro e nota solo al proprietario del dominio o ai soggetti da lui autorizzati. Questa chiave privata viene utilizzata per generare la firma digitale durante il processo di firma.
D'altra parte, la chiave pubblica, come suggerisce il nome stesso, è resa disponibile pubblicamente nei record DNS del dominio mittente, in modo che i destinatari possano accedervi per verificare la firma digitale allegata all'e-mail.
DMARC (Domain-based Message Authentication, Reporting & Conformance) unisce le potenzialità di SPF e DKIM per rendere l'autenticazione delle e-mail ancora più efficace. Approfondiamo questa sinergia:
Integrazione SPF: DMARC sfrutta SPF consentendo ai mittenti di specificare nei propri record DMARC come deve essere gestito SPF. Ciò garantisce che l'allineamento tra il dominio del mittente e l'autenticazione SPF sia pienamente verificato, rafforzando il processo di autenticazione delle e-mail; Integrazione DKIM: analogamente a SPF, DMARC si integra con DKIM. Consente ai mittenti di definire il trattamento desiderato in caso di mancata corrispondenza DKIM, rafforzando la convalida dell'identità del mittente.
Ciò significa che, integrando SPF e DKIM in un unico quadro coerente, DMARC migliora la sicurezza complessiva delle comunicazioni via e-mail, offrendo una protezione completa contro l'uso non autorizzato di un dominio.
DMARC introduce inoltre un meccanismo chiaro ed efficace per la definizione delle politiche, volto a rafforzare l'autenticazione delle e-mail. Ecco una sintesi semplificata:
Opzioni di politica: DMARC offre tre opzioni di politica per la gestione delle e-mail che non superano i controlli SPF o DKIM: «none», «quarantine» e «reject». «None»: questa opzione corrisponde a una fase iniziale di monitoraggio in cui DMARC invia rapporti senza intraprendere alcuna azione. Consente ai mittenti di valutare l'impatto sulle e-mail legittime; "Quarantena": in questa fase, le e-mail sospette vengono indirizzate direttamente alla cartella spam o di quarantena del destinatario, il che garantisce un approccio prudente alle potenziali minacce; "Rifiuta": l'opzione più rigorosa, "rifiuta", assicura che le e-mail che non superano i controlli di autenticazione vengano respinte immediatamente, riducendo al minimo il rischio di attività fraudolente.Meccanismo di segnalazione: DMARC introduce un solido meccanismo di segnalazione, generando feedback sul processo di autenticazione delle email. Questo prezioso feedback aiuta i mittenti a perfezionare la loro configurazione di autenticazione delle email e ad affrontare eventuali problemi che potrebbero sorgere.
DMARC esercita una forte influenza sull'instradamento delle e-mail, indicando una strada che migliora la deliverability della posta elettronica. In pratica, DMARC verifica la corrispondenza tra il dominio indicato nell'intestazione "Da" e i domini autenticati tramite SPF e DKIM. Quando la corrispondenza viene confermata, segnala ai fornitori di servizi di posta elettronica (ESP) che l'e-mail è legittima e può essere recapitata.
In base alla politica definita dal mittente («nessuna», «quarantena» o «rifiuta»), DMARC indica all'ESP come gestire le e-mail che non superano l'autenticazione. Questa decisione influisce in modo significativo sulle probabilità che le e-mail arrivino nella casella di posta del destinatario.
Per quanto riguarda gli aspetti relativi alla reportistica e alla conformità, è importante tenere presente che DMARC genera report dettagliati, fornendo informazioni preziose sullo stato di allineamento, sui risultati dell'autenticazione e persino sul destino delle e-mail. Questo ciclo di feedback consente ai mittenti di individuare eventuali problemi, come autenticazioni non riuscite o potenziali abusi del proprio dominio.
Inoltre, grazie ai rapporti DMARC, i mittenti possono anche verificare il grado di conformità delle loro e-mail con gli standard SPF e DKIM, in modo da garantire una consegna ottimale attraverso le politiche e le impostazioni di autenticazione specificate.
La creazione di un ecosistema di posta elettronica sicuro inizia con una configurazione accurata dell'SPF (Sender Policy Framework). Semplifichiamo il processo in passaggi concreti per un'implementazione efficace dell'SPF:
Passaggio 1: Elenca i tuoi provider di servizi di posta elettronica. Prima di passare alla configurazione dell'SPF, stila un elenco completo di tutti i provider di servizi di posta elettronica (ESP) che utilizzi per inviare e-mail. Questo passaggio è fondamentale per garantire che il tuo record SPF includa tutte le fonti autorizzate.
Passaggio 2: accedi alle impostazioni DNS del tuo dominio. Accedi alle impostazioni del Domain Name System (DNS) del tuo dominio. Si tratta della rubrica virtuale che indirizza il flusso del traffico Internet.
Passaggio 3: crea o aggiorna il tuo record SPF. Nelle impostazioni DNS, individua l'area dedicata ai record SPF. Se il tuo dominio non dispone di un record SPF, creane uno nuovo. Se ne hai già uno, aggiornalo per includere le informazioni relative a tutti i tuoi ESP.
Passaggio 4: salva e attendi 48 ore. Dopo aver configurato o aggiornato il record SPF, salva le modifiche nelle impostazioni DNS. È importante tenere presente che la propagazione delle modifiche ai record DNS su Internet può richiedere del tempo. Attendi almeno 48 ore affinché il record SPF aggiornato diventi effettivo.
Ecco un esempio di formattazione:
v=spf1 include:_spf.example.com include:_spf.anotherprovider.com -all
e poi sostituisci "example.com" e "anotherprovider.com" con i record SPF effettivi dei tuoi provider di servizi di posta elettronica.
Se utilizzi più ESP, raggruppa le loro istruzioni "include" in un unico record SPF per evitare potenziali conflitti.
Per ottenere il massimo dall'efficacia del tuo SPF, ti consigliamo di seguire questi consigli:
Controlla e aggiorna regolarmente il tuo record SPF per riflettere eventuali modifiche apportate alla tua infrastruttura di posta elettronica e completa la lista di controllo sulla deliverability delle email; evita di superare il limite di query DNS (10) imposto dall'SPF per prevenire problemi di autenticazione e verifica il tuo record SPF utilizzando strumenti come l'SPF Checker di MailReach per garantirne l'accuratezza e l'efficacia.
Per garantire la sicurezza delle comunicazioni via e-mail è necessario anche implementare il protocollo DKIM (DomainKeys Identified Mail), seguendo una procedura molto simile a quella prevista per l'SPF:
Passaggio 1: Elenca i tuoi provider di servizi di posta elettronica. Per prima cosa, devi stilare un elenco dei provider di servizi di posta elettronica (ESP) che utilizzi per l'invio delle e-mail. A differenza dell'SPF, il DKIM richiede un record separato per ogni ESP.
Passaggio 2: individua le impostazioni DNS del tuo dominio. Accedi quindi alle impostazioni del Domain Name System (DNS) relative al tuo dominio. Di solito si trovano nel portale di gestione del dominio, in sezioni denominate "Impostazioni DNS", "Gestisci DNS" o simili.
Passaggio 3: Genera le chiavi DKIM per i tuoi provider. Per ogni ESP, avvia la procedura di generazione di una chiave DKIM. I passaggi esatti possono variare a seconda del provider, quindi effettua una ricerca specifica per il tuo ESP, ad esempio "configurazione DKIM per [il tuo provider]", e segui le linee guida fornite dal tuo ESP per generare la chiave DKIM richiesta (Google Workspace, Outlook / Office365, Mailgun, Brevo, Amazon SES …).
Passaggio 4: aggiungi DKIM al tuo DNS. Nelle impostazioni DNS del tuo dominio, crea un nuovo record TXT per inserire i dati della chiave DKIM forniti dal tuo ESP.
Passaggio 5: salva e attendi 48 ore. Dopo aver aggiunto i record DKIM al tuo DNS, salva le modifiche e attendi almeno 48 ore affinché le nuove configurazioni DKIM entrino in vigore su Internet.
Supponiamo che il tuo dominio sia mydomain.com:
Ad esempio, se utilizzi Google Workspace per inviare le tue e-mail quotidiane e Brevo per inviare newsletter ai tuoi iscritti, dovrai configurare due record DKIM distinti.
Uno per Gmail (Google Workspace) e uno per Brevo.
Accedi quindi alle impostazioni del Domain Name System (DNS) relative al tuo dominio (Impostazioni DNS).
Crea un nuovo record TXT per inserire i dati della chiave DKIM forniti dal tuo ESP, quindi:
Nome/Host/Alias: il selettore del tuo provider, spesso indicato come selector._domainkey; Valore/Risposta/Destinazione: la chiave pubblica fornita dal tuo provider.
Per implementare DMARC, il primo passo consiste nell'accedere alle impostazioni DNS del proprio dominio, proprio come si è fatto per SPF e DKIM. All'interno di queste impostazioni, si dovrà creare un nuovo record DNS TXT in cui inserire la propria politica DMARC.
Ecco un esempio:
Ecco un esempio di record DMARC semplice, adatto a chi preferisce iniziare con un intervento minimo:
v=DMARC1; p=none;
Questa configurazione predefinita attiva il DMARC senza intraprendere azioni immediate sui messaggi non conformi, offrendo un punto di partenza intuitivo per chi desidera mantenere le cose semplici.
Oltre a questa impostazione predefinita, è possibile personalizzare la propria politica DMARC modificando diversi parametri all'interno del record TXT:
Ad esempio, impostando p=none si indica ai destinatari delle e-mail di inviare rapporti DMARC senza intraprendere azioni immediate sui messaggi non conformi. Inoltre, specificando gli indirizzi e-mail rua e ruf si determina dove inviare rispettivamente i rapporti aggregati e quelli forensi.
Per quanto riguarda il monitoraggio e l'analisi dei rapporti DMARC, puoi controllare regolarmente gli indirizzi e-mail specificati nei file rua e ruf per ottenere informazioni utili sui risultati dell'autenticazione, che ti aiuteranno a individuare e risolvere eventuali problemi.
I protocolli SPF, DKIM e DMARC richiedono un certo livello di precisione e una chiara comprensione delle potenziali insidie. Quando si incontrano difficoltà di autenticazione, è opportuno prendere in considerazione gli errori di configurazione più comuni e avvalersi degli strumenti e delle risorse disponibili per la diagnostica.
Puoi verificare se il tuo record SPF è conforme alle tue pratiche di invio delle e-mail. Se utilizzi l'Email Warmer di MailReach, controlla che il tuo record SPF corrisponda al provider selezionato durante la configurazione di MailReach. Una connessione a Gmail, ad esempio, richiede un record SPF che includa Gmail. Per una maggiore compatibilità, utilizza l'opzione "Qualsiasi altro SMTP" e verifica la configurazione richiesta con il rispettivo provider.
Inoltre, controlla attentamente i tuoi record SPF per eliminare eventuali errori e raggruppare più provider in un unico record SPF. È fondamentale utilizzare la sintassi corretta, che inizi con "v=spf1" e includa le istruzioni "include" pertinenti. Ecco un esempio di record SPF per Gmail:
v=spf1 include:_spf.google.com ~all
Per una configurazione DKIM efficace, personalizza i tuoi record DKIM in modo che siano compatibili con il provider che hai scelto durante la configurazione di MailReach. Sia che utilizzi Email Warmer o il DKIM Checker gratuito, è importante disporre di un record DKIM specifico che corrisponda al provider. Se i problemi persistono, apporta le modifiche necessarie e, ancora una volta, attendi le 48 ore necessarie per l'aggiornamento del DNS e la verifica da parte di MailReach.
In sintesi, SPF, DKIM e DMARC rappresentano elementi fondamentali per la tutela dell'integrità delle e-mail, rafforzando complessivamente i vostri canali di comunicazione e garantendo una solida difesa contro gli accessi non autorizzati e le frodi via e-mail.
Implementando questi protocolli di autenticazione, potrai ottimizzare al contempo sia la sicurezza della tua posta elettronica che la sua recapitabilità.
Ogni email che finisce nella cartella dello spam equivale a un potenziale cliente perso. Inizia oggi stesso a migliorare il posizionamento dei tuoi messaggi nella casella di posta in arrivo con i test antispam e il warm-up di MailReach.
Rispettare le regole non basta: scopri dove finiscono le tue e-mail e cosa ne ostacola la consegna. Verifica il tuo punteggio antispam con il nostro test gratuito e migliora la deliverability con il warmup di MailReach.
Senza un adeguato riscaldamento, anche le tue campagne migliori non servono a nulla. Puoi iniziare verificando il posizionamento nella posta in arrivo e migliorare la situazione già da oggi.
Scopri cos’è un’e-mail respinta e come risolvere il problema. Una guida pratica per ridurre i bounce e migliorare la deliverability.
Come leggere un rapporto DMARC (guida passo dopo passo per i mittenti B2B)
Che cos'è un provider di servizi di posta elettronica e come scegliere quello giusto?
Nel 2026, avere un dominio dedicato alle email a freddo non è più un optional. Ecco perché ne hai bisogno e come configurarlo per ottenere il massimo risultato.
Che cos'è la pulizia delle mailing list e perché è importante nel 2026
Scopri le nozioni di base sull'autenticazione delle e-mail con SPF, DKIM e DMARC. Scopri come implementare questi protocolli per garantire comunicazioni via e-mail sicure.
