Cosa sono SPF, DKIM, DMARC e come implementarli?

Scopri le basi dell'autenticazione email con SPF, DKIM e DMARC. Impara come implementare questi protocolli per una comunicazione email sicura.

Valutato 4.9 su Capterra

Genera più guadagni con ogni email che invii.

Inizia a migliorare la deliverability
Inizia a migliorare la deliverability

TL;DR:

SPF DKIM DMARC Come Implementarli

  • Panoramica: SPF, DKIM e DMARC sono protocolli di autenticazione email che proteggono il tuo dominio da spoofing, phishing e uso non autorizzato, migliorando al contempo la deliverability delle email
  • Implementazione SPF: Aggiungi un record TXT nel tuo DNS elencando tutti gli IP o i provider di invio autorizzati (esempio: v=spf1 include:_spf.example.com -all) e aggiornalo ogni volta che i provider cambiano
  • Implementazione DKIM: Genera una chiave DKIM per ogni provider di servizi email, aggiungi il record TXT al tuo DNS (selector._domainkey) e attendi 48 ore per la propagazione
  • Implementazione DMARC: Crea un record TXT DNS (esempio: v=DMARC1; p=none; rua=mailto:your@email.com) per definire come vengono gestite le email che falliscono, monitora i report e applica gradualmente politiche più severe
  • Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.

  • Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.

  • Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.

I filtri antispam sono spietati. Sconfiggili con MailReach.

Ogni email che finisce nello spam è un'opportunità persa. Fai subito un test spam gratuito e scopri cosa ti impedisce di arrivare nella casella di posta.

Trova e Risolvi Problemi di Spam Gratis
Trova e Risolvi Problemi di Spam Gratis

Sei in blacklist? Scopri se sta danneggiando la tua deliverability.

Alcune blacklist non contano, ma altre possono danneggiare la tua reputazione come mittente. Controlla il tuo stato ora e vedi se sta influenzando il posizionamento nella tua casella di posta.

Controlla lo Stato della Blacklist Gratis
Controlla lo Stato della Blacklist Gratis

Questa guida è stata creata per demistificare l'argomento complesso dei protocolli di autenticazione email, inclusi SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Parleremo del ruolo fondamentale che questi protocolli giocano nel rafforzare la sicurezza delle email, ridurre le frodi e migliorare la deliverability, inclusi i passaggi pratici da seguire per implementare con successo SPF, DKIM e DMARC nelle tue comunicazioni email.

Capire l'SPF (Sender Policy Framework)

Cos'è l'SPF?

L'SPF, o Sender Policy Framework, è un protocollo di autenticazione email fondamentale, pensato per ridurre lo spoofing delle email e l'uso non autorizzato dei domini. L'SPF funziona come una struttura solida che permette ai proprietari di domini di dichiarare quali server di posta sono autorizzati a inviare email per conto del loro dominio. In altre parole, il suo compito principale è impedire ai malintenzionati di fingere di inviare email a nome del tuo dominio.

Questo si ottiene creando un record DNS (Domain Name System) che elenca i server di posta approvati, fungendo in pratica da "indirizzo di ritorno" digitale per le email che provengono da quel dominio. Quindi, come proprietario di un dominio, crei una lista speciale usando il DNS (Domain Name System), la tua rubrica digitale. Questa lista include gli indirizzi IP dei server autorizzati a inviare email da un dato dominio – pensala come un "indirizzo di ritorno" affidabile.

Il concetto di base prevede l'associazione di un indirizzo IP specifico o di un intervallo di indirizzi IP a un determinato dominio. Poi, quando un'email che dichiara di provenire da un dominio specifico arriva a destinazione, il server di posta del destinatario controlla il record SPF nel DNS per verificare se il server mittente è effettivamente autorizzato.

Quando un'email dichiara di provenire da un certo dominio, il server di posta del destinatario controlla questa rubrica digitale (il record SPF) per vedere se il server mittente è davvero autorizzato a inviare email per il tuo dominio. Funziona come un controllo di sicurezza.

Uno dei ruoli principali dell'SPF è prevenire lo spoofing delle email, un'azione in cui i cybercriminali manipolano l'intestazione dell'email per far sembrare che il messaggio sia stato inviato da una fonte affidabile quando, in realtà, non lo è. Stabilendo un'associazione chiara e autenticata tra i server di posta autorizzati e un dominio, l'SPF crea una difesa di prima linea contro entità non autorizzate che tentano di sfruttare la credibilità di un dominio.

Come funziona l'SPF?

Il processo SPF prevede diversi passaggi, come:

Avvio: Quando un'email arriva a destinazione, il server di posta del destinatario identifica il presunto dominio mittente dall'intestazione dell'email; Ricerca DNS: Il server esegue quindi una ricerca DNS per recuperare il record SPF (la rubrica digitale del dominio) associato al dominio mittente. Questo record SPF è essenzialmente un insieme di regole specificate dal proprietario del dominio; Verifica: Il record SPF recuperato elenca gli indirizzi IP o gli intervalli autorizzati a inviare email per conto del dominio, inclusa la reputazione del mittente. Il server di posta del destinatario confronta l'indirizzo IP di origine dell'email in arrivo con le informazioni nel record SPF (il server confronta queste informazioni con l'indirizzo IP di origine dell'email in arrivo, controllando se corrispondono); Punto Decisionale: Basandosi su questo confronto, il server prende una decisione cruciale. Se l'IP di origine corrisponde al record SPF, l'email è legittima e supera il controllo SPF. Se c'è una mancata corrispondenza, suggerendo che l'email non proviene da un server autorizzato, il controllo SPF fallisce.

Quindi, devi sapere che la base dell'SPF risiede nella creazione di record SPF all'interno della configurazione DNS di un dominio. Ecco alcuni esempi dei componenti chiave:

v=spf1: Questo tag indica l'inizio del record SPF ed è generalmente seguito dai meccanismi che definiscono le regole; Meccanismi: Queste sono le regole che specificano quali indirizzi IP sono autorizzati a inviare email per conto del dominio. I meccanismi comuni includono "a" (che permette il record A del dominio), "mx" (che permette il record MX del dominio) e "ip4" o "ip6" (che specificano indirizzi IP o intervalli specifici); Modificatori: Istruzioni aggiuntive, note come modificatori, possono essere incluse per affinare la policy SPF e consentire future estensioni al framework. Ad esempio, "-all" indica una policy rigorosa in cui tutte le altre fonti sono considerate non autorizzate.

Esploriamo il DKIM (DomainKeys Identified Mail)

Cos'è il DKIM?

Il DKIM, o DomainKeys Identified Mail, è una tecnica di autenticazione email creata per verificare l'autenticità dei messaggi di posta. Può essere descritto come un notaio digitale per le tue email, assicurando che siano genuine e non siano state modificate.

Nel suo cuore, il DKIM impiega firme digitali per assicurare che un'email non sia stata modificata durante il suo transito e provenga dal mittente giusto.

Puoi immaginare il DKIM come un sigillo digitale apposto su ogni email in uscita. Questo sigillo, creato usando chiavi crittografiche, serve come identificatore unico e attesta che l'email è stata autorizzata dal dominio mittente. In questo modo, questo processo aiuta a stabilire fiducia tra mittente e destinatario, assicurando a quest'ultimo che l'email è legittima e non è stata manomessa.

L'obiettivo principale del DKIM è rafforzare la sicurezza delle email affrontando i seguenti aspetti chiave:

Integrità del Messaggio: Il DKIM impedisce agli attori malintenzionati di alterare il contenuto di un'email mentre attraversa internet. La firma digitale che accompagna l'email agisce come un sigillo di autenticità, assicurando al destinatario che il messaggio rimane intatto e inalterato; Autenticazione del Mittente: Il DKIM autentica l'identità del mittente, mitigando i rischi associati alla falsificazione delle email. Validando l'origine dell'email, il DKIM aiuta a ridurre i tentativi di phishing e assicura che i destinatari possano fidarsi della legittimità del mittente.

Il Meccanismo del DKIM

Al centro del meccanismo del DKIM risiede il concetto di firme digitali integrate nelle intestazioni delle email:

Processo di Firma: Quando un'email viene inviata, il server mittente applica una firma digitale all'intestazione dell'email usando una chiave privata unica per il dominio mittente. Questa firma serve come un timbro crittografico, simile a una firma autografa su una lettera, e indica l'autenticità del mittente; Campi dell'Intestazione: La firma DKIM è tipicamente aggiunta a specifici campi dell'intestazione all'interno dell'email, come il campo "DKIM-Signature". Questo campo contiene le informazioni cruciali necessarie ai destinatari per verificare la firma.

Capire l'uso delle chiavi pubbliche e private da parte del DKIM è anche fondamentale per comprendere appieno il suo meccanismo. Il dominio mittente possiede una chiave privata, archiviata in modo sicuro e conosciuta solo dal proprietario del dominio o dalle sue entità autorizzate. Questa chiave privata viene usata per generare la firma digitale durante il processo di firma.

D'altra parte, la chiave pubblica, come suggerisce il nome, è resa pubblicamente disponibile nei record DNS del dominio mittente, così i destinatari possono accedere a questa chiave pubblica per verificare la firma digitale allegata all'email.

Il Ruolo di DMARC (Domain-based Message Authentication, Reporting & Conformance)

Capire DMARC

DMARC, o Domain-based Message Authentication, Reporting & Conformance, unisce le forze di SPF e DKIM per rendere l'autenticazione delle email ancora più robusta. Approfondiamo questa sinergia :

Integrazione SPF : DMARC sfrutta SPF permettendo ai mittenti di specificare nei loro record DMARC come SPF dovrebbe essere gestito. Questo assicura che l'allineamento tra il dominio del mittente e l'autenticazione SPF sia completamente verificato, rafforzando il processo di autenticazione delle email ; Integrazione DKIM : Similmente a SPF, DMARC si armonizza con DKIM. Permette ai mittenti di definire il trattamento desiderato quando l'allineamento DKIM fallisce, rafforzando la validazione dell'identità del mittente.

Questo significa che, integrando SPF e DKIM in un framework coeso, DMARC migliora la sicurezza complessiva delle comunicazioni email, offrendo uno scudo completo contro l'uso non autorizzato di un dominio.

DMARC introduce anche un meccanismo chiaro ed efficace per la definizione delle policy per rafforzare l'autenticazione delle email. Ecco un riassunto semplificato :

Opzioni di Policy: DMARC offre tre opzioni di policy per gestire le email che falliscono i controlli SPF o DKIM : 'none', 'quarantine' e 'reject'. 'None' : Questa opzione è una fase iniziale di monitoraggio in cui DMARC invia report senza intraprendere azioni. Permette ai mittenti di valutare l'impatto sulle email legittime ; 'Quarantine' : In questa fase, le email sospette vengono indirizzate direttamente alla cartella spam o di quarantena del destinatario, offrendo un approccio cauto alle potenziali minacce ; 'Reject' : L'opzione più severa, 'reject', assicura che le email che falliscono i controlli di autenticazione vengano direttamente rifiutate, minimizzando il rischio di attività fraudolente. Meccanismo di Reporting : DMARC introduce un robusto meccanismo di reporting, generando feedback sul processo di autenticazione delle email. Questo prezioso feedback aiuta i mittenti a perfezionare la loro configurazione di autenticazione delle email e a risolvere eventuali problemi che potrebbero sorgere.

L'Impatto di DMARC sulla Deliverability delle Email

DMARC esercita una forte influenza sul routing delle email, tracciando un percorso che migliora la tua deliverability delle email. In pratica, DMARC esamina attentamente l'allineamento tra il dominio nell'header "From" e i domini autenticati tramite SPF e DKIM. Quando l'allineamento è confermato, segnala ai provider di servizi email (ESP) che l'email è legittima e può essere consegnata.

In base alla policy impostata dal mittente ('none', 'quarantine' o 'reject'), DMARC indica all'ESP come gestire le email che falliscono l'autenticazione. Questa decisione influenza significativamente le possibilità che le email arrivino nella casella di posta del destinatario.

Per quanto riguarda gli aspetti di reporting e conformità, devi tenere a mente che DMARC genera report dettagliati, fornendo preziose informazioni sullo stato di allineamento, sui risultati dell'autenticazione e persino sulla disposizione delle email. Questo ciclo di feedback permette ai mittenti di identificare problemi, come autenticazioni fallite o potenziali abusi del loro dominio.

Inoltre, tramite i report DMARC, i mittenti possono anche ottenere visibilità su come le loro email sono conformi a SPF e DKIM, quindi con le policy e le impostazioni di autenticazione specificate per garantire una deliverability ottimale.

Implementare SPF, DKIM e DMARC

Guida Passo-Passo per la Configurazione di SPF

La creazione di un ecosistema email sicuro inizia con la configurazione meticolosa di SPF (Sender Policy Framework). Semplifichiamo il processo in passaggi pratici per un'implementazione SPF efficace :

Passaggio 1 : Elenca i Tuoi Provider di Servizi Email. Prima di immergerti nella configurazione SPF, compila un elenco completo di tutti gli Email Service Providers (ESP) che utilizzi per inviare email. Questo passaggio è fondamentale per assicurarti che il tuo record SPF includa tutte le fonti autorizzate.

Passaggio 2 : Vai alle Impostazioni DNS del Tuo Dominio. Accedi alle impostazioni del Domain Name System (DNS) del tuo dominio. Questa è la rubrica virtuale che dirige il flusso del traffico internet.

Passaggio 3 : Crea o Aggiorna il Tuo Record SPF. All'interno delle impostazioni DNS, individua l'area designata per i record SPF. Se il tuo dominio non ha un record SPF esistente, creane uno nuovo. Se ne hai già uno, aggiornalo per includere le informazioni di tutti i tuoi ESP.

Passaggio 4 : Salva e Attendi 48 Ore. Dopo aver configurato o aggiornato il tuo record SPF, salva le modifiche nelle impostazioni DNS. È importante notare che le modifiche ai record DNS potrebbero richiedere del tempo per propagarsi su internet. Concedi un periodo di almeno 48 ore affinché il record SPF aggiornato abbia effetto.

Ecco un esempio di formattazione :

v=spf1 include:_spf.example.com include:_spf.anotherprovider.com -all

e poi sostituisci "example.com" e "anotherprovider.com" con i record SPF effettivi dei tuoi ESP.

Se utilizzi più ESP, consolida le loro dichiarazioni "include" in un unico record SPF per evitare potenziali conflitti.

Per massimizzare l'efficacia del tuo SPF, considera queste best practice :

Rivedi e aggiorna regolarmente il tuo record SPF per riflettere eventuali modifiche nella tua infrastruttura email e completa la tua checklist di deliverability delle email, evita di superare il limite di lookup DNS (10) imposto da SPF per prevenire problemi di autenticazione, e testa il tuo record SPF utilizzando strumenti come l'SPF Checker di MailReach per garantirne accuratezza ed efficacia.

Impostazione del DKIM

Mettere in sicurezza le tue comunicazioni email implica anche l'implementazione del DKIM (DomainKeys Identified Mail), attraverso passaggi abbastanza simili a quelli dell'SPF:

Passaggio 1: Elenca i tuoi Email Service Provider. Per prima cosa, devi compilare un elenco degli Email Service Provider (ESPs) che usi per inviare email. A differenza dell'SPF, il DKIM richiede un record separato per ogni ESP.

Passaggio 2: Trova le impostazioni DNS del tuo dominio. Poi, accedi alle impostazioni del Domain Name System (DNS) specifiche per il tuo dominio. Di solito le trovi nel portale di gestione del dominio sotto sezioni come "Impostazioni DNS", "Gestisci DNS" o titoli simili.

Passaggio 3: Genera la/le chiave/i DKIM per il/i tuo/i provider. Per ogni ESP, avvia il processo di generazione di una chiave DKIM. I passaggi esatti possono variare a seconda del provider, quindi fai una ricerca specifica per il tuo ESP, come ad esempio "setup DKIM per [il tuo provider].", e segui le linee guida fornite dal tuo ESP per generare la chiave DKIM richiesta (Google Workspace, Outlook / Office365, Mailgun, Brevo, Amazon SES …).

Passaggio 4: Aggiungi il DKIM al tuo DNS. All'interno delle impostazioni DNS del tuo dominio, crea un nuovo record TXT per includere i dettagli della chiave DKIM forniti dal tuo ESP.

Passaggio 5: Salva e attendi 48 ore. Dopo aver aggiunto i record DKIM al tuo DNS, salva le modifiche per consentire un periodo di propagazione di almeno 48 ore affinché le nuove configurazioni DKIM abbiano effetto su internet.

Diciamo che il tuo dominio è mydomain.com:

Ad esempio, se usi Google Workspace per inviare le tue email quotidiane e Brevo per inviare newsletter ai tuoi iscritti, dovrai configurare due record DKIM diversi.

Uno per Gmail (Google Workspace) e uno per Brevo.

Poi, accedi alle impostazioni del Domain Name System (DNS) specifiche per il tuo dominio (Impostazioni DNS).

Crea un nuovo record TXT per includere i dettagli della chiave DKIM forniti dal tuo ESP, quindi :
Nome/Host/Alias: il selettore del tuo provider, spesso presentato come selector._domainkey, Valore/Risposta/Destinazione: la chiave pubblica fornita dal tuo provider.

Implementazione del DMARC

Per implementare il DMARC, il processo inizia andando nelle impostazioni DNS del tuo dominio, proprio come hai fatto per SPF e DKIM. All'interno di queste impostazioni, creerai un nuovo record DNS TXT per ospitare la tua policy DMARC.

Ecco un esempio:

Un esempio di record DMARC semplice, adatto a chi preferisce iniziare con un intervento minimo, è il seguente:

v=DMARC1; p=none;

Questo record predefinito avvia il DMARC senza intraprendere azioni immediate sui messaggi che falliscono, offrendo un punto di ingresso intuitivo per chi vuole mantenere le cose semplici.

Oltre a questa impostazione predefinita, puoi personalizzare la tua policy DMARC regolando vari parametri all'interno del record TXT:

Ad esempio, impostare p=none indica ai ricevitori di email di inviare report DMARC senza intraprendere azioni immediate sui messaggi che falliscono. Inoltre, specificare gli indirizzi email rua e ruf determina dove vengono inviati rispettivamente i report aggregati e forensi.

Per quanto riguarda il monitoraggio e l'analisi dei report DMARC, puoi controllare regolarmente gli indirizzi email specificati in rua e ruf per accedere a preziose informazioni sui risultati dell'autenticazione, aiutandoti a identificare e risolvere potenziali problemi.

Risoluzione dei problemi di SPF, DKIM e DMARC

I protocolli SPF, DKIM e DMARC richiedono un certo livello di precisione e una chiara comprensione delle potenziali insidie. Quando ti trovi di fronte a problemi di autenticazione, puoi considerare gli errori di configurazione comuni e sfruttare gli strumenti e le risorse disponibili per la diagnostica.

Puoi verificare se il tuo record SPF è conforme alle tue pratiche di invio email. Se stai usando l'Email Warmer di MailReach, controlla se il tuo record SPF corrisponde al provider scelto durante la configurazione di MailReach. Una connessione Gmail, ad esempio, richiede un record SPF che includa Gmail. Per una compatibilità più ampia, usa l'opzione "Any other SMTP" e verifica la configurazione richiesta con il provider corrispondente.

Inoltre, esamina attentamente i tuoi record SPF per eliminare errori e consolidare più provider in un unico record SPF. La sintassi corretta, che inizia con "v=spf1" e incorpora le istruzioni "include" pertinenti, è fondamentale. Ecco un esempio di record SPF per Gmail:

v=spf1 include:_spf.google.com ~all

Per una configurazione DKIM efficace, personalizza i tuoi record DKIM in base al provider scelto durante la configurazione di MailReach. Che tu stia usando l'Email Warmer o il DKIM Checker gratuito, è importante un record DKIM distinto che corrisponda al provider. Se i problemi persistono, apporta le modifiche e, ancora una volta, attendi le 48 ore per le modifiche DNS e la verifica di MailReach.

Conclusione

In sintesi, SPF, DKIM e DMARC sono guardiani cruciali dell'integrità delle email, rafforzando collettivamente i tuoi canali di comunicazione e fornendo una solida difesa contro accessi non autorizzati e frodi via email.

Implementando questi protocolli di autenticazione, puoi massimizzare allo stesso tempo la sicurezza delle tue email e la loro deliverability.

Non lasciare che i filtri antispam decidano il successo della tua campagna.

Riprendi il controllo della tua strategia email. Trova le lacune, risolvi i problemi e atterra dove conta.

Assicurati che le tue email arrivino nella casella di posta.

Una blacklist da sola non sempre compromette la tua deliverability, ma vale la pena controllare. Scansiona per problemi, fai un test spam e ottieni i prossimi passi chiari.

Indice:

Valutato 4.9 su Capterra
Smetti di perdere guadagni a causa di una deliverability scadente.

Una configurazione del dominio scadente o problemi con le email potrebbero tenerti fuori dalle caselle di posta. Testa la salute delle tue email e risolvi in pochi minuti.

Valutato 4.9 su Capterra
Il Warmup non è un'opzione, è essenziale.

Senza il warmup giusto, le tue migliori campagne sono inutili. Puoi iniziare testando il tuo inbox placement e iniziare a migliorarlo oggi stesso.

Inizia a usare MailReach ora e goditi il 20% di sconto per il primo mese del nostro Piano Pro.
Solo per attività di cold outreach B2B
Valutato 4.9 su Capterra
Finire nello spam costa più di quanto pensi.

Se i filtri spam ti stanno bloccando, stai perdendo lead, affari e guadagni. Testa il tuo placement e prendi il controllo.

Valutato 4.9 su Capterra
Le blacklist stanno tenendo le tue email fuori dalla casella di posta?

Solo perché sei in lista non significa che la tua deliverability sia condannata. Fai un test spam per vedere se le tue email stanno effettivamente arrivando, o se vengono bloccate.

Valutato 4.9 su Capterra
Pensi che la tua cold outreach non stia funzionando? Controlliamo.

Le email efficaci hanno bisogno di un'ottima deliverability. Metti alla prova il tuo posizionamento ora e assicurati che le tue email arrivino dove devono.

Valutato 4.9 su Capterra
Piccoli problemi, facilmente risolvibili, potrebbero essere il motivo per cui le tue email finiscono nello spam.

Fai un controllo dello stato di salute in pochi minuti e inizia a migliorare oggi stesso. Con MailReach!

Le basi dell'email
Le basi dell'email
Tutti i blog
Prezzi Folderly nel 2026: Quanto stai davvero pagando (e se ne vale la pena)

Prezzi Folderly nel 2026: Quanto stai davvero pagando (e se ne vale la pena)

Le basi dell'email
Le basi dell'email
Tutti i blog
Email Marketing vs Cold Email: Le Differenze Chiave per la Deliverability

Email Marketing vs Cold Email: Le Differenze Chiave per la Deliverability

Le basi dell'email
Nessun elemento trovato.
Come leggere un report DMARC (Passo dopo passo per i mittenti B2B)

Come leggere un report DMARC (Passo dopo passo per i mittenti B2B)

Le basi dell'email
Nessun elemento trovato.
Come ottenere un dominio email

Come ottenere un dominio email

Le basi dell'email
Le basi dell'email
Tutti i blog
Cos'è l'Email List Hygiene e perché è importante nel 2026

Cos'è l'Email List Hygiene e perché è importante nel 2026

Le basi dell'email
Le basi dell'email
Tutti i blog
Deliverability delle email
Tutti i blog
Email bounced: cos'è e come risolverla? Guida (2025)

Scopri cos'è un'email bounced e impara a risolverla. Una guida pratica per ridurre i bounce e migliorare la deliverability.

Rimani un passo avanti anche ai filtri antispam più avanzati.

Assicurati il successo per le tue campagne di cold outreach B2B con lo spam score checker e lo strumento di email warmup di MailReach.