Guida alla Configurazione DKIM: Setup Completo Passo-Passo
Configura DKIM in 20 minuti: trova il selettore, genera le chiavi, aggiungi i record DNS. Validator DKIM gratuito. Richiesto da Gmail e Yahoo da feb 2026.
Cos'è DKIM e perché è fondamentale#
DKIM (DomainKeys Identified Mail) è una firma digitale per le tue email. Dimostra che un'email che dichiara di provenire dal tuo dominio arriva davvero dalla tua casella di posta — non da un attaccante che ha bucato qualcos'altro.
A febbraio 2026: Gmail e Yahoo richiedono DKIM per la consegna delle email. Le email senza DKIM vengono rifiutate.
Questa guida ti accompagna nella configurazione DKIM in 20 minuti.
Come funziona DKIM#
DKIM usa la crittografia a chiave pubblica/privata:
- Il tuo mail server firma le email in uscita con una chiave privata (segreta)
- La firma viene allegata all'header di ogni email
- I destinatari verificano la firma usando la tua chiave pubblica (nel DNS)
- Se la firma è valida: l'email non è stata manomessa ✅
- Se la firma fallisce: l'email è stata falsificata o modificata ❌
Capire i selettori DKIM#
È qui che la maggior parte delle persone si confonde.
I record DKIM si trovano in una posizione DNS specifica: [selector]._domainkey.tuodominio.com
Esempi:
default._domainkey.tuodominio.comgoogle._domainkey.tuodominio.coms1._domainkey.tuodominio.comsendgrid._domainkey.tuodominio.com
Il selettore è solo un'etichetta. Lo sceglie il tuo provider email. Selettori comuni:
| Servizio | Selettore |
|---|---|
| Google Workspace | google, default |
| Microsoft 365 | selector1, selector2 |
| SendGrid | default, sendgrid |
| Mailgun | default, k1 |
| Zoho | s1, s2, s3 |
Non puoi indovinare il selettore. Devi trovarlo nelle istruzioni di setup del tuo provider email.
Step 1: Trova il tuo selettore DKIM#
Per Google Workspace:
- Vai su admin.google.com
- Vai su Security → Authentication → Domain management
- Trova il selettore DKIM (di solito "google" o "default")
Per Microsoft 365:
- Vai su admin.microsoft.com
- Vai su Settings → Domains
- Trova la sezione DKIM (di solito "selector1")
Per SendGrid:
- Vai nelle impostazioni di SendGrid
- Trova API keys e configurazione DKIM
- Il selettore è di solito "default" o "sendgrid"
Per Mailgun:
- Vai nella dashboard Mailgun
- Trova le impostazioni del dominio
- Il selettore è nella configurazione DKIM
Non usi un servizio di terze parti? Sei sul tuo mail server. Contatta il tuo hosting provider per il selettore DKIM.
Step 2: Genera o recupera la chiave pubblica DKIM#
Il tuo provider email genera una chiave pubblica. Non la crei tu — la creano loro, tu la copi.
La chiave ha questo aspetto:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdjqFtUGxC...
Dove trovarla:
- Google Workspace: copia dalla admin console
- Microsoft 365: copia dall'Exchange admin center
- SendGrid: dashboard → impostazioni DKIM
- Mailgun: impostazioni del dominio → DKIM
- Altri provider: controlla la loro documentazione
Step 3: Pubblica il record DKIM nel DNS#
Una volta ottenuta la chiave pubblica, aggiungila al DNS:
- Vai dal tuo provider DNS (Cloudflare, Route 53, GoDaddy, ecc.)
- Aggiungi un record TXT con:
- Nome:
[selector]._domainkey(es.google._domainkey) - Valore: la chiave pubblica dello step 2
- TTL: 3600 (o default)
- Nome:
- Salva e attendi 5-15 minuti
Step 4: Testa la configurazione DKIM#
Usa questi strumenti gratuiti per verificare:
Opzione 1: Nova Uptime Email Health Checker
- Vai su /tools/email-health
- Inserisci il tuo dominio
- Controlla lo stato DKIM
Opzione 2: MXToolbox
- Vai su mxtoolbox.com
- Usa il DKIM checker
- Inserisci selettore e dominio
Opzione 3: Mail-tester
- Vai su mail-tester.com
- Invia un'email di test dal tuo dominio
- Controlla la firma DKIM negli header
Errori DKIM comuni#
Errore 1: Selettore sbagliato#
Se il tuo mail server firma con il selettore google ma il DNS ha il selettore default, la validazione DKIM fallisce.
Soluzione: verifica che il selettore corrisponda esattamente a quello usato dal tuo mail server.
Errore 2: Chiave pubblica troncata nel DNS#
Alcuni provider DNS troncano i record TXT lunghi. Se la chiave pubblica viene tagliata, DKIM fallisce.
Soluzione: usa un provider DNS che supporta record TXT a lunghezza piena, oppure dividi la chiave usando le virgolette.
Errore 3: Più record DKIM (vecchi e nuovi)#
Quando migri tra provider email, potresti avere ancora vecchie chiavi DKIM nel DNS.
Bene: più selettori da provider diversi
google._domainkey → chiave pubblica di Google
s1._domainkey → chiave pubblica di SendGrid
Male: più record per lo stesso selettore (il DNS legge solo il primo)
Soluzione: rimuovi i vecchi selettori, mantieni solo quelli attivi.
Errore 4: Non ruotare le chiavi#
Se la tua chiave privata viene compromessa e continui a usarla, gli attaccanti possono falsificare email.
Soluzione: ruota le chiavi almeno una volta all'anno. Disabilita le vecchie chiavi nel DNS dopo aver confermato che le nuove funzionano.
Errore 5: Usare chiavi deboli (1024 bit)#
Le chiavi DKIM a 1024 bit sono crittograficamente deboli. Gli attaccanti possono falsificare le firme.
Soluzione: usa chiavi da almeno 2048 bit. Verifica con il tuo provider email cosa supporta.
Più provider email? Servono più selettori#
Se usi sia Google Workspace SIA SendGrid:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3... → pubblica su google._domainkey
v=DKIM1; k=rsa; p=... (diversa) ... → pubblica su sendgrid._domainkey
Funzionano entrambi in modo indipendente. Le email da Google sono verificate con la chiave di Google. Le email da SendGrid sono verificate con la chiave di SendGrid.
DKIM + SPF + DMARC#
DKIM fa parte della tripletta di autenticazione:
- SPF: "Il server è autorizzato?"
- DKIM: "Il messaggio è autentico?"
- DMARC: "Passano entrambi e sono allineati?"
Configurali tutti e tre. Nova Uptime controlla tutti e tre automaticamente — esegui il tuo primo email health check.
Dopo la pubblicazione: monitoraggio#
Settimana 1: monitora la consegna email, controlla la cartella spam Settimanalmente: usa Nova Uptime Email Health Checker per verificare lo stato DKIM Mensilmente: verifica che non ci siano vecchi selettori dimenticati nel DNS
Riepilogo#
- Trova il tuo selettore DKIM (dal provider email)
- Recupera la chiave pubblica (dal provider email)
- Pubblicala nel DNS su
[selector]._domainkey.tuodominio.com - Testa con strumenti di verifica
- Aspetta una settimana, monitora la consegna email
- Mantieni i record puliti (rimuovi i vecchi selettori)
DKIM è obbligatorio nel 2026. La configurazione richiede 20 minuti. Ignorarlo costa fatturato.
Monitora automaticamente tutti e tre i protocolli di autenticazione: Nova Uptime Email Health Checker. Gratis. 🚀
Letture correlate#
- Guida Verifica e Setup DKIM — Troubleshooting DKIM completo
- Guida al rilevamento del selettore DKIM — Trova e verifica i selettori DKIM
- Guida al setup e check dei record SPF — Configurazione SPF insieme a DKIM
- Setup DMARC: da None a Reject — DMARC richiede l'allineamento DKIM
- Guida all'Email Health Checker — Audit completo dell'autenticazione
- DKIM Checker gratuito — Valida il tuo record DKIM all'istante
Monitor Your Website Before It Goes Down
Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.
Start Monitoring FreeArticoli correlati
DKIM Spiegato: Cos'è, Come Funziona e Come Configurarlo
Guida completa al DKIM — verifica il record, capisci i selettori, genera le chiavi e risolvi gli errori. Strumento DKIM checker gratuito incluso.
SPF, DKIM e DMARC: La Guida Completa all'Autenticazione Email
Guida ai tre pilastri dell'autenticazione email. Come SPF, DKIM e DMARC lavorano insieme per proteggere il tuo dominio e l'inbox placement.
Come configurare i record SPF: guida passo passo
Configura e verifica i record SPF passo passo. Impara la sintassi SPF, testa il record con un checker gratuito e previeni lo spoofing email.