Il problema del selettore DKIM che blocca tutti#

Hai appena configurato l'autenticazione email per il tuo dominio. Hai impostato SPF (semplice). Hai impostato DMARC (ti ha richiesto un'ora, ma ce l'hai fatta). Ora devi aggiungere DKIM.

Il tuo provider email dice: "Aggiungi i record DKIM per il selettore [qualcosa]." Ma non ti dice esplicitamente qual è quel selettore. Devi:

Scavare nella loro documentazione (che potrebbe non esistere)
Controllare il pannello di amministrazione (che potrebbe non mostrarlo)
Cercare su Google "Qual è il mio selettore DKIM?"
Provare quelli comuni a mano: default, google, selector1, s1, k1, mandrill...
Controllare il DNS per ognuno: default._domainkey.tuodominio.com, google._domainkey.tuodominio.com, ecc.
Sperare di indovinare prima di arrenderti

Questo processo richiede dalle 3 alle 8 ore per alcuni utenti. Altri non ci arrivano mai e il loro DKIM resta non configurato.

Tre ore per trovare un singolo record DNS. Non dovrebbe essere così difficile.

Questa guida spiega cosa sono i selettori DKIM, perché i provider email rendono la cosa confusa e come strumenti moderni come lo scanner DKIM di Nova Uptime trovano i tuoi record in pochi secondi.

Cos'è un selettore DKIM e perché esiste?#

Selettori DKIM spiegati semplicemente#

Un selettore DKIM è un'etichetta che identifica quale chiave di firma DKIM usare.

Pensaci così: un dominio può avere più servizi email, ognuno con la propria chiave di firma. I selettori DKIM ti permettono di avere più chiavi attive contemporaneamente:

default._domainkey.tuodominio.com  → Chiave A (il tuo mail server)
google._domainkey.tuodominio.com   → Chiave B (Google Workspace)
sendgrid._domainkey.tuodominio.com → Chiave C (SendGrid)
mailgun._domainkey.tuodominio.com  → Chiave D (Mailgun)

Ogni servizio firma le email con la propria chiave privata. I server riceventi verificano ogni firma rispetto alla chiave pubblica corrispondente nel DNS.

Perché più selettori?

Immagina di voler migrare da SendGrid a Mailgun. Se elimini subito il selettore DKIM di SendGrid, le email in transito firmate con la chiave di SendGrid falliranno la verifica. Mantenendo entrambi i selettori attivi durante la migrazione, sia le email vecchie che quelle nuove si autenticano correttamente.

Come funzionano i selettori DKIM: il flusso completo#

Il tuo provider email genera una coppia di chiavi:
- Chiave privata (mantenuta segreta sul loro server)
- Chiave pubblica (la pubblichi nel DNS)
Ti dicono il nome del selettore (sperabilmente in modo chiaro — spesso non lo fanno)
Pubblichi la chiave pubblica nel DNS su selector._domainkey.tuodominio.com
Quando invii un'email:
- Il server del provider firma l'email con la chiave privata
- La firma viene aggiunta agli header dell'email: DKIM-Signature: v=1; a=rsa-sha256; s=google; d=tuodominio.com; bh=...
- L'email viene inviata
Quando il server ricevente riceve l'email:
- Estrae il selettore dall'header della firma: s=google
- Cerca la chiave pubblica: google._domainkey.tuodominio.com
- Verifica la firma con quella chiave pubblica
- Se la firma è valida, DKIM passa

La parte critica: Il selettore nell'header dell'email (s=google) DEVE corrispondere al selettore nel DNS (google._domainkey.tuodominio.com). Anche un solo carattere di differenza fa fallire l'autenticazione.

Perché i provider email rendono tutto così confuso#

Ti aspetteresti che i provider ti dicano chiaramente: "Il tuo selettore DKIM è sendgrid." Di solito non lo fanno. Ecco perché:

Motivo 1: Selettori diversi per situazioni diverse#

Alcuni provider usano selettori diversi a seconda della configurazione:

SendGrid:

Selettore di default: sendgrid
Ma se usi un branded sender domain: un selettore generato a caso come s1234567890
Gli utenti configurano un selettore, poi aggiungono un altro dominio di invio e non sanno che ha un selettore diverso

Google Workspace:

Selettore fisso: google
Ma alcuni utenti vedono s0, s1, s2 a seconda del metodo di setup

Zoho Mail:

Il selettore dipende dal setup: zl1234567 (dove i numeri sono unici per dominio)
Non documentato in un posto evidente

Mailgun:

Scegli tu stesso il selettore quando crei il record DKIM
Il default è k1, ma puoi chiamarlo come vuoi: mail, bounce, my-custom-key
Gli utenti dimenticano cosa hanno scelto

Motivo 2: La documentazione è nascosta o vecchia#

Cerca "SendGrid DKIM selector" e ottieni:

Una pagina di documentazione del 2015 (screenshot della UI obsoleti)
Un articolo di aiuto sui "branded link", non sui selettori DKIM
Post nei forum del 2018 con risposte diverse
Documentazione ufficiale che dice "vai in Settings > API Keys > DKIM" (ma non è lì)

Motivo 3: I pannelli di amministrazione non lo mostrano chiaramente#

Quando entri nel pannello admin di Gmail e cerchi DKIM, vedi:

Status: Not set up
[Set up DKIM]

Clicchi "Set up DKIM" e ottieni:

DKIM is enabled for your domain.
[Show DNS records]

Il selettore è sepolto nel record DNS che ti mostrano — devi estrarlo da solo. La maggior parte degli utenti non lo fa.

Motivo 4: Selettori multipli aumentano la confusione#

Se hai usato più provider email nel tempo:

Vecchio selettore SendGrid: sendgrid (nel DNS, ma non più usato)
Selettore Mailgun attuale: k1 (attivo)
Selettore della mailbox di backup: mail (nel DNS per disaster recovery)

Gli utenti non ricordano qual è quale. Quando fanno un controllo DKIM vedono tre selettori e pensano che qualcosa non vada.

Il processo tradizionale di scoperta del selettore DKIM (ore di sofferenza)#

Il metodo manuale: indovina e controlla#

La maggior parte delle persone trova i selettori DKIM così:

Step 1: Leggere la documentazione

Cerca nella documentazione del provider: "DKIM selector"
Spendi 30 minuti a leggere
Trovi una frase: "I record DKIM si trovano su s._domainkey.dominio.com"
Nessuna chiarezza su cosa sia davvero s

Step 2: Controllare il pannello di amministrazione

Vai nelle impostazioni del provider email
Cerca "DKIM" o "DNS records"
Se trovi i record DNS, fanne uno screenshot
Prova a trovare il selettore lì dentro

Step 3: Provare i selettori comuni a mano

Controlla il DNS per default._domainkey.tuodominio.com
Controlla il DNS per selector1._domainkey.tuodominio.com
Controlla il DNS per google._domainkey.tuodominio.com
Controlla il DNS per s1._domainkey.tuodominio.com
Controlla il DNS per mail._domainkey.tuodominio.com

Step 4: Chiedere nei forum

Cerca su StackOverflow: "How do I find my DKIM selector?"
Trovi risposte contrastanti
Spendi altre 2 ore a provarne ognuna

Tempo totale: 3-8 ore per qualcosa che dovrebbe richiedere 30 secondi.

Perché questo processo manuale fallisce#

Errori di battitura: ti perdi un selettore perché lo hai scritto male
Cache DNS: non vedi risultati perché il TTL non è scaduto
Selettori multipli: trovi il selettore 1 e dai per scontato che sia quello, perdendo il 2
Livello di dominio sbagliato: controlli _domainkey.tuodominio.com invece di selector._domainkey.tuodominio.com
Il provider ha cambiato selettore: trovi vecchia documentazione che cita un selettore deprecato

La soluzione moderna: rilevamento automatico del selettore DKIM#

L'Email Health Checker di Nova Uptime risolve il problema con il rilevamento automatico del selettore DKIM:

Come Nova Uptime rileva i selettori DKIM#

Invece di tirare a indovinare 50 selettori uno per uno, Nova Uptime:

Scansiona 50 selettori comuni in parallelo
- Comuni per i principali provider: default, google, selector1, s1, k1, mandrill, dkim, mail, sendgrid, mailgun, ecc.
- I risultati arrivano in 2-3 secondi (le query DNS in parallelo sono molto più veloci di quelle sequenziali)
Valida la conformità con la RFC 6376
- Controlla sia v=DKIM1 (consigliato ma opzionale) SIA la presenza di p= (chiave pubblica presente)
- Motivo: alcuni provider (Zoho) generano automaticamente selettori senza v=DKIM1, che funzionano lo stesso
Riporta se DKIM è configurato
- Mostra "Configurato" se viene trovato almeno un selettore valido
- Mostra "Non trovato" se nessuno dei 50 selettori comuni corrisponde
Previene falsi positivi
- Controlla la formattazione DNS
- Valida la presenza della chiave
- Riporta solo selettori con chiavi pubbliche reali

Risultati: cosa vedi#

Quando esegui l'email health checker di Nova Uptime:

Se DKIM viene trovato:

DKIM Status: Configurato
Status: Valid

Se non trovato:

DKIM Status: Non Configurato

Scansionati 50 selettori comuni. Nessun record DKIM trovato.

Prossimi passi:
1. Controlla la documentazione del tuo provider email per il selettore esatto
2. Chiedi al provider di generare i record DKIM
3. Aggiungi i record nel tuo provider DNS
4. Esegui di nuovo questo controllo dopo 24 ore (il DNS impiega tempo a propagarsi)

Capire i 50 selettori che Nova Uptime scansiona#

Selettori dei principali provider email#

Questi sono i selettori più comunemente usati:

Google Workspace

Selettore: google
Motivo: Google usa naming coerente per tutti i clienti

SendGrid

Selettori: sendgrid, s1234567890 (se branded domain)
Motivo: il default è sendgrid, ma i sending domain personalizzati ricevono selettori auto-generati

Mailgun

Selettori: k1, k2, o personalizzati (a tua scelta)
Motivo: configuri tu stesso il selettore; i default sono k1 e k2

Klaviyo

Selettore: mailgun-key
Motivo: Klaviyo usa Mailgun come backend

HubSpot

Selettore: hubspot
Motivo: coerente come Google

Zendesk

Selettore: zendesk1, zendesk2
Motivo: Zendesk permette più sending domain

Amazon SES

Selettore: variabile (dipende da regione e setup)
Comuni: amazonses, o generati a caso

Postmark

Selettore: postmark
Motivo: naming fisso

Mandrill

Selettore: mandrill
Motivo: naming fisso

Zoho Mail

Selettore: zl1234567 (unico per dominio)
Motivo: identificatore auto-generato

Microsoft 365 / Outlook

Selettore: selector1, selector2
Motivo: due selettori di default per la rotazione delle chiavi

Brevo (ex Sendinblue)

Selettore: brevo, brevo1
Motivo: multipli per la rotazione delle chiavi

Il tuo mail server personale#

Se gestisci la posta in self-hosting:

Selettore: quello che hai configurato
Comuni: default, mail, dkim, main, o nomi personalizzati

L'elenco completo dei 50 selettori#

Nova Uptime scansiona questi 50 selettori:

default, google, selector1, selector2, s1, s2, k1, k2, k3, mandrill, dkim, mail, email, smtp, sendgrid, s, sig1, selector, key1, key2, zoho, protonmail, protonmail2, protonmail3, cm, turbo-smtp, amazonses, ses, mailjet, mxvault, fm1, fm2, fm3, smtpcom, postmark, mailgun, resend, brevo, hubspot, hs1, hs2, zendesk1, zendesk2, freshdesk, smtp2go, mesmtp, krs, everlytickey1, everlytickey2, mailo, mimecast, pp1, sparkpost, barracuda

Se il tuo selettore non è in questa lista, puoi comunque verificarlo controllando direttamente il DNS.

Step-by-step: usare il rilevamento DKIM automatico#

Step 1: vai sull'Email Health Checker#

Visita Nova Uptime Email Health Checker

Step 2: inserisci il tuo dominio#

Digita il tuo dominio (es. tuodominio.com) senza protocollo né sottodomini.

Step 3: rivedi i risultati DKIM#

In pochi secondi vedrai se DKIM è configurato per il tuo dominio.

Step 4: prossimi passi in base ai risultati#

Se trovato: non serve nient'altro. Il tuo DKIM è configurato correttamente. Passa a controllare l'allineamento DMARC.

Se non trovato:

Controlla la documentazione del tuo provider email per il nome esatto del selettore
Contatta il supporto del provider: "Qual è il selettore DKIM per il mio dominio?"
Una volta che hai il nome del selettore, fatti dare il record DNS
Aggiungilo al tuo provider DNS
Esegui di nuovo il controllo dopo 24 ore (propagazione DNS)

Errori comuni sui selettori DKIM#

Errore 1: controllare il livello di dominio sbagliato#

Sbagliato:

Controllo: dkim._domainkey.com (manca il tuo dominio!)
Dovrebbe essere: dkim._domainkey.tuodominio.com

I record DKIM sono specifici per ogni dominio. Controllare .com o .org non troverà il tuo.

Errore 2: errori di battitura nel nome del selettore#

Il provider dice: selector Tu controlli: selectors (con la 's' in più) Risultato: non trovato, dai per scontato che DKIM non esista

Nova Uptime controlla le ortografie corrette per i principali provider, evitando questo problema.

Errore 3: dimenticare il suffisso `._domainkey`

Sbagliato:

Controllo DNS per: sendgrid.tuodominio.com
Dovrebbe essere: sendgrid._domainkey.tuodominio.com

I record DKIM DEVONO avere ._domainkey nel nome. Senza, le query DNS non restituiscono nulla.

Errore 4: non aspettare la propagazione DNS#

Aggiungi un record DKIM nel DNS, poi lo controlli subito e vedi "non trovato".

Le modifiche DNS richiedono tempo per propagarsi (di solito 1-2 ore, al massimo 24-48 ore). Riprova più tardi.

Errore 5: usare lo strumento DNS sbagliato#

Alcuni strumenti DNS (come i checker MX di base) non supportano la lettura dei record TXT. Usa Nova Uptime, che cerca specificamente i record TXT DKIM.

Perché il rilevamento DKIM di Nova Uptime è migliore del controllo manuale#

Fattore	Controllo manuale	Rilevamento automatico Nova Uptime
Tempo richiesto	3-8 ore	2-3 secondi
Accuratezza	Soggetto a typo e malintesi	Controlla 50 selettori comuni accuratamente
Copertura	Potresti perdere selettori meno noti	Tutti i principali provider coperti
Falsi positivi	Facile interpretare male i risultati	Pass/fail chiaro con spiegazione
Monitoraggio continuo	Esegui manualmente quando vuoi	Verifica trimestrale per cambiamenti
Documentazione	Richiede di leggere la doc del provider	Spiegazioni chiare in linguaggio semplice

E se il tuo selettore DKIM non è tra i 50 scansionati?#

Se usi un provider email di nicchia o posta self-hosted con un selettore personalizzato:

Conosci il nome del selettore → Nova Uptime può verificare che funzioni (usa l'health checker principale e leggi i risultati)
Non conosci il nome del selettore → Contatta il provider o controlla la documentazione

Se è un provider del tutto sconosciuto, i 50 selettori comuni dovrebbero comunque intercettarlo (la maggior parte dei provider usa uno di questi standard).

In caso contrario:

Controlla direttamente con uno strumento DNS: dig selector._domainkey.tuodominio.com TXT
Contatta il supporto del provider: "Qual è il mio selettore DKIM?"
Una volta che lo sai, esegui di nuovo l'health check di Nova Uptime per verificare che sia corretto

L'impatto sul business del rilevamento DKIM automatico#

Prima (controllo manuale):

3 ore: ricerca e tentativi sui selettori DKIM
30 minuti: verifica di ogni tentativo con lookup DNS
L'email health resta rotta perché la configurazione è troppo tediosa
Risultato: le email vanno in spam per settimane

Dopo (rilevamento automatico Nova Uptime):

2 minuti: esegui l'health check di Nova Uptime
30 secondi: leggi i risultati e capisci esattamente cosa è configurato
5 minuti: contatta il provider o aggiungi i record mancanti seguendo indicazioni chiare
Risultato: i problemi email vengono identificati e risolti oggi stesso

Impatto organizzativo:

Setup di autenticazione email più veloce per nuovi domini
Meno ticket di supporto del tipo "perché non riceviamo le email"
Sicurezza che l'autenticazione email sia corretta
Audit trimestrali per intercettare modifiche DNS o migrazioni di provider

Mantenere DKIM: best practice continue#

Mensilmente#

Niente di richiesto. DKIM è stabile una volta configurato correttamente.

Trimestralmente#

Esegui Nova Uptime Email Health Checker per verificare:

Selettori DKIM ancora attivi
Nessuna aggiunta inattesa di selettori (segno di errata configurazione o attacco)

Dopo cambi di provider email#

Se:

Passi da SendGrid a Mailgun
Aggiungi un secondo servizio email
Migri i mail server

Esegui subito l'health checker:

Verifica che i vecchi selettori funzionino ancora (se servono per la transizione)
Conferma che il nuovo selettore sia attivo
Elimina i vecchi selettori una volta completata la transizione

Segnali a cui prestare attenzione#

Se un controllo trimestrale mostra:

Selettore scomparso: possibile errore di configurazione DNS o problema del provider
Nuovo selettore sconosciuto: possibile compromissione dell'account (qualcun altro ha aggiunto una chiave DKIM)
Più selettori non previsti: possibile residuo di un vecchio provider (fai pulizia)

Riepilogo: selettori DKIM demistificati#

I selettori DKIM sono solo etichette per chiavi di firma diverse. La confusione nasce da:

I provider email che non documentano chiaramente quale selettore usare
Gli utenti che devono indovinare manualmente tra oltre 50 possibilità
Selettori che variano per provider e configurazione

Il rilevamento DKIM automatico di Nova Uptime risolve il problema:

Scansiona 50 selettori comuni in parallelo
Restituisce risultati in 2-3 secondi
Valida la conformità RFC
Fornisce passi successivi chiari

Invece di passare 3-8 ore a controllare a mano, ottieni chiarezza istantanea:

"DKIM è configurato e funziona perfettamente" → niente da fare
"DKIM non trovato" → ecco cosa fare adesso

Letture correlate#

Guida completa all'Email Health Checker — Verifica l'intera configurazione di autenticazione email (SPF, DKIM, DMARC e blacklist) in un'unica scansione.
DKIM Spiegato: Guida completa — Approfondimento su come funziona DKIM, rotazione delle chiavi e troubleshooting.
Come configurare i record SPF — Configura SPF insieme a DKIM per un'autorizzazione email completa.
Guida alla configurazione della policy DMARC — Lega SPF e DKIM con l'enforcement DMARC.
Checklist deliverability email — Assicurati che il tuo intero stack email sia configurato per la massima deliverability.

Inizia subito: Verifica gratuitamente la tua configurazione DKIM →