Nova Uptime
Gestione dei dominidomain-healthdomain-auditdns-check

Domain health check: un audit completo e gratuito (DNS + SSL + Email + Uptime)

Esegui un audit completo e gratuito del dominio in 5 minuti: DNS, SSL, autenticazione email (SPF/DKIM/DMARC), blacklist e uptime. Checklist passo-passo inclusa.

SN
Sumit Nova Uptime
29 aprile 2026 · 15 min read
Share:

Perché la salute del dominio conta#

Quando la maggior parte dei team dice "il dominio è in salute," in genere intende "il sito web ha restituito un 200 l'ultima volta che qualcuno ha controllato." Questo è un solo segnale su almeno cinque — e quattro degli altri quattro causano più outage, più ricavi persi e più danno alla fiducia dei clienti dell'unico che tutti guardano.

Un dominio è in salute quando è raggiungibile, sicuro, autenticato, reputato e osservabile. La SEO ne dipende (Google penalizza i contenuti misti, i cert scaduti e il TTFB lento). La deliverability ne dipende (Gmail e Yahoo ora rifiutano la posta dai domini disallineati per i bulk sender). La sicurezza ne dipende (un CNAME pendente è un takeover di sottodominio in attesa di accadere). E la fiducia dei clienti ne dipende (un avviso del browser nel momento in cui si sta inserendo una carta di credito è una conversione persa e un rimborso innescato).

Questa guida è un audit di 5 minuti. Alla fine saprai esattamente quale dei cinque pilastri sta silenziosamente fallendo sul tuo dominio in questo momento, quale comando lanciare per confermarlo e quale tool gratuito di Nova Uptime usare per sistemarlo. Niente fronzoli, niente copy di marketing — solo l'audit che un SRE senior farebbe se gli passassi un dominio chiedendo "questa cosa è in buona forma?".

I 5 pilastri della salute del dominio#

Prima di andare pilastro per pilastro, ecco il modello mentale. Ogni dominio sano passa tutti e cinque i check. La maggior parte dei domini di produzione ne fallisce almeno uno — e raramente il team lo sa finché il guasto non diventa un ticket cliente.

  • Pilastro 1: configurazione DNS — A, AAAA, MX, CNAME, TXT, DNSSEC. Tutti i record sono presenti, corretti e puntano dove dovrebbero?
  • Pilastro 2: certificati SSL/TLS — finestra di validità, integrità della catena, copertura SAN, forza dei cipher, HSTS. Ogni browser si fiderà del cert oggi e tra 60 giorni?
  • Pilastro 3: autenticazione email — SPF, DKIM, DMARC, allineamento. Gli attaccanti possono falsificare il tuo dominio? Le email legittime arrivano nelle inbox o nelle cartelle spam?
  • Pilastro 4: reputazione — segnalazioni DNSBL su Spamhaus, Barracuda, SORBS, SpamCop. Il tuo IP o dominio di invio è su una blacklist che sta silenziosamente bruciando la tua deliverability?
  • Pilastro 5: uptime e performance — status HTTP, percentili di response time, raggiungibilità multi-region, scadenza dominio, età della registrazione. Il sito è davvero su, veloce e non sta per scadere martedì prossimo?

Ogni pilastro ha un check da 30 secondi che puoi eseguire da terminale, un'ispezione più profonda che puoi eseguire con un tool gratuito di Nova Uptime e un monitor continuo che puoi configurare per ricevere un alert prima del prossimo guasto.

Pilastro 1: configurazione DNS#

Il DNS è la fondazione. Se il DNS è sbagliato, nessuno degli altri quattro pilastri conta — la richiesta non raggiunge mai il tuo server.

I record che contano#

  • Record A mappano un hostname a un indirizzo IPv4. Ogni dominio ha bisogno di almeno uno per l'apex e uno per www.
  • Record AAAA mappano un hostname a un indirizzo IPv6. La maggior parte dei team li salta. Non dovrebbe. Il traffico IPv6 è ora abitualmente il 30–40% del traffico mobile nei mercati principali, e un record AAAA mancante forza il fallback a IPv4 — aggiungendo latenza e, in reti operatore mal configurate, fallimenti occasionali.
  • Record MX definiscono il routing della posta. Più record MX usano valori di priority (più basso = preferito). Il bug MX più comune che vediamo è un record MX con priority 0 che punta all'apex stesso quando l'apex non ha un listener SMTP — la posta rimbalza in silenzio.
  • Record CNAME sono alias. Il pericolo sono i CNAME pendenti: un CNAME che punta a un servizio che non usi più (un bucket S3 deprecato, una vecchia app Heroku, un'istanza Zendesk dismessa). Un attaccante che si appropria di quella risorsa sul provider upstream fa takeover del tuo sottodominio.
  • Record TXT portano verifiche, SPF, DMARC, token di proprietà del dominio. Vanno auditati periodicamente — vecchie verifiche di servizi che hai smesso di usare ingombrano la zona e aumentano il conteggio di lookup SPF.
  • DNSSEC aggiunge una catena crittografica di trust alle risposte DNS. Previene cache poisoning e dirottamento DNS. Non è strettamente richiesto, ma per qualsiasi dominio che gestisce denaro, credenziali o dati healthcare è raccomandato.

Check rapidi#

dig +short A yourdomain.com
dig +short AAAA yourdomain.com
dig +short MX yourdomain.com
dig +short TXT yourdomain.com
dig DNSKEY yourdomain.com +short

Per la validazione specifica MX, esegui il checker email health di Nova Uptime — conferma i record MX, le priorità e risolve ogni hostname MX a un IP.

Pilastro 2: certificati SSL/TLS#

Un cert funzionante non basta. Ci sono sei cose indipendenti che possono essere sbagliate in un certificato SSL, e la maggior parte dei tool di monitoraggio ne controlla esattamente una — la data di scadenza.

Cosa verificare#

  • notBefore e notAfter definiscono la finestra di validità. Con il ciclo a 90 giorni di Let's Encrypt e la spinta dell'industria verso cert a 47 giorni entro il 2028, la scadenza accade in fretta e in silenzio. Devi saperlo 30 giorni prima.
  • Integrità della catena di issuer. Il cert che il tuo server presenta deve includere il certificato/i intermedio/i che lo legano a una root di fiducia. Il cert si valida bene in Chrome (che cacha gli intermedi) ma si rompe in Safari più vecchio, su iOS o in tool headless che non vanno a recuperare gli intermedi mancanti. Questo è il bug SSL "ma a me funziona nel browser" più comune.
  • Copertura SAN (Subject Alternative Name). Il cert deve elencare ogni hostname che serve: apex, www e qualsiasi sottodominio che usa lo stesso cert. Un cert valido per www.iltuodominio.com ma non per l'apex nudo è una misconfigurazione comune.
  • Cipher suite e versioni di protocollo. TLS 1.0 e 1.1 sono deprecati. TLS 1.2 è il pavimento; TLS 1.3 è il target. I cipher deboli (RC4, 3DES, qualsiasi cosa con CBC mode in configurazioni vecchie) vanno disabilitati.
  • Header HSTS. Strict-Transport-Security: max-age=31536000; includeSubDomains; preload dice ai browser di rifiutare HTTP per sempre. Senza HSTS, un attaccante man-in-the-middle può fare downgrade della connessione al primo contatto.
  • OCSP stapling. Il server allega una prova firmata di validità del cert al TLS handshake, eliminando un round-trip al responder OCSP della CA. È più veloce e più privato. La maggior parte dei web server moderni lo supporta; pochi ce l'hanno abilitato.

Check rapido#

echo | openssl s_client -servername yourdomain.com -connect yourdomain.com:443 2>/dev/null \
  | openssl x509 -noout -dates -issuer -subject

Per il monitoraggio continuo con alert di scadenza a 30 giorni e validazione della catena, usa l'SSL expiry checker di Nova Uptime.

Pilastro 3: autenticazione email#

Questo è il pilastro dove il 2026 ha cambiato le regole. L'enforcement bulk-sender di Gmail e Yahoo significa che un record DMARC mancante o disallineato ora ti costa il posizionamento in inbox, non solo la reputazione.

SPF — chi può inviare per il tuo dominio#

SPF è un record DNS TXT che elenca gli IP e i domini autorizzati a inviare email come te. Le due trappole:

  • Il limite di 10 lookup DNS. Ogni include: nel tuo record SPF conta. SendGrid da solo è 3 lookup; aggiungi Google Workspace (3), Mailchimp (1) e un provider transazionale (3) e sei oltre il limite. I server riceventi restituiscono un permerror e la tua posta fallisce.
  • Il qualifier +all (o nessuno). Il qualifier alla fine (-all, ~all, ?all, +all) dice ai receiver cosa fare con la posta da fonti non listate. +all è "chiunque può inviare come me" — non usarlo mai.

Valida con l'SPF checker di Nova Uptime.

DKIM — firma crittografica#

DKIM firma ogni messaggio in uscita con una chiave privata. Il receiver recupera la chiave pubblica da selector._domainkey.iltuodominio.com e verifica la firma. Le due trappole:

  • Confusione sul selettore. Non c'è wildcard per DKIM. Devi sapere il selettore che il tuo servizio di invio usa (s1, google, mandrill, selector1, ecc.). La chiave si trova su {selector}._domainkey.iltuodominio.com.
  • Rotazione delle chiavi. Le chiavi DKIM andrebbero ruotate annualmente. La maggior parte dei team le configura una volta e se ne dimentica per cinque anni.

Controlla con il DKIM checker di Nova Uptime, che scansiona automaticamente 50 selettori comuni.

DMARC — il livello di policy#

DMARC dice ai server riceventi cosa fare quando SPF e DKIM falliscono. Tre policy:

  • p=none — solo monitoraggio, nessuna azione. Usalo per le prime 2–4 settimane mentre raccogli i report.
  • p=quarantine — manda la posta che fallisce nello spam.
  • p=reject — rifiuta direttamente la posta che fallisce. Questo è l'obiettivo.

La maggior parte dei domini resta bloccata su p=none per sempre perché nessuno legge i report aggregati (rua). Non essere come la maggior parte dei domini. Segui la nostra DMARC policy setup guide e valida con il DMARC checker di Nova Uptime.

Allineamento — la parte che tutti si perdono#

DMARC richiede che il dominio SPF o DKIM si allinei con il dominio dell'header From. Un messaggio può passare SPF (per mailgun.org) e passare DKIM (firmato da mandrillapp.com), ma se l'header From dice tu@iltuodominio.com, DMARC fallisce perché niente si allinea. Sistemalo configurando domini di return-path personalizzati e domini di firma DKIM per ogni servizio di invio.

Per tutti e quattro i check insieme, usa l'email health checker di Nova Uptime — assegna un punteggio a SPF, DKIM, DMARC e allineamento insieme.

Pilastro 4: reputazione (blacklist)#

Anche con autenticazione perfetta, una cattiva reputazione ti porta nello spam. Le DNSBL (blocklist basate su DNS) sono i tabelloni pubblici.

Cosa tracciano le DNSBL#

Alcune blocklist tracciano gli IP (l'indirizzo del tuo mail server di invio). Altre tracciano i domini (l'URI nel body del messaggio). Ogni blocklist ha i propri criteri di segnalazione, ma i trigger comuni sono: invio a spam trap, alti tassi di reclami, picchi di volume improvvisi e stare sullo stesso blocco IP di spammer noti.

Le liste che contano#

  • Spamhaus SBL/XBL/PBL/DBL — il gold standard. I principali provider di mailbox consultano Spamhaus direttamente.
  • Barracuda Reputation Block List — pesantemente usata dai filtri enterprise.
  • SORBS — aggrega più feed; può essere aggressiva.
  • SpamCop — guidata dai reclami utente; periodi di segnalazione relativamente brevi ma alto volume.

Perché potresti essere in lista#

Le quattro ragioni più comuni: (1) un account compromesso sulla tua piattaforma ha mandato spam, (2) un cliente in un setup a IP condiviso l'ha fatto, (3) hai mandato una campagna a una lista vecchia e non verificata, (4) i tuoi form permettono iscrizioni non autenticate e i bot stanno usando la tua piattaforma per inviare.

Come controllare#

Usa il blacklist checker di Nova Uptime — interroga 60+ DNSBL in parallelo e mostra esattamente quali liste hanno segnalato i tuoi IP e domini, con link di delisting per ognuno.

Se sei in lista, sistema prima il problema sottostante (chiudi l'account compromesso, pulisci la lista, sistema il form), poi invia richieste di delisting. Essere segnalato di nuovo una settimana dopo con la stessa causa radice ti farà guadagnare un ban più lungo.

Pilastro 5: uptime e performance#

Questo è il pilastro che tutti guardano — e anche qui, la maggior parte dei team guarda solo una metrica.

Cosa misurare#

  • Codice di status HTTP. 200 è sano. 4xx è un tuo problema. 5xx è un problema del tuo server. I redirect 3xx dovrebbero risolvere a 200 entro 3 hop.
  • Percentili di response time. La mediana (p50) è la storia; p95 e p99 sono la verità. Un sito con p50 a 200ms e p99 a 9.000ms ha un problema serio che colpisce 1 richiesta su 100 — di solito una query database lenta o una cache fredda.
  • Raggiungibilità multi-region. Il monitoraggio a singola regione intercetta i tuoi outage. Si perde gli outage dei tuoi clienti — il flap di route BGP in Asia, l'incidente Cloudflare regionale, la disputa di peering ISP che colpisce il 10% dei tuoi utenti.
  • Screenshot dei guasti. Quando il sito va giù, cattura la schermata che l'utente vede. "Sito irraggiungibile" sembra identico da un monitor che il problema sia un 500, una pagina di challenge Cloudflare o l'iframe di un payment provider che fallisce.
  • Scadenza del dominio. I domini scadono. L'auto-renew fallisce (carta di credito scaduta, account registrar sospeso, email di fatturazione che va a una mailbox di un ex dipendente). Traccia la data di scadenza del registrar — e l'età della registrazione, che segnala autorità per la SEO.

Per il monitoraggio continuo con intervalli di 59 secondi, check multi-region, screenshot e alert WhatsApp/email/webhook, iscriviti su pricing page di Nova Uptime. Per check una tantum su età della registrazione e scadenza, usa domain expiry checker e domain age checker.

La checklist health check da 5 minuti#

Eseguila in ordine. Ogni passo ha un chiaro pass/fail.

  1. DNSdig +short A yourdomain.com && dig +short AAAA yourdomain.com && dig +short MX yourdomain.com. Tutti e tre dovrebbero restituire valori. Se MX è vuoto, la posta è rotta.
  2. SSLecho | openssl s_client -servername yourdomain.com -connect yourdomain.com:443 2>/dev/null | openssl x509 -noout -dates. notAfter dovrebbe essere a più di 30 giorni di distanza.
  3. SPF — vai su /tools/spf-checker, inserisci il tuo dominio. Lo score dovrebbe essere 90+.
  4. DKIM — vai su /tools/dkim-checker, inserisci il tuo dominio. Lo stato dovrebbe essere "Configured."
  5. DMARC — vai su /tools/dmarc-checker. La policy dovrebbe essere quarantine o reject, non none.
  6. Email health (combinato)/tools/email-health dà un voto da A a F su tutto quanto sopra.
  7. Blacklist/tools/blacklist-checker. Zero segnalazioni è il target.
  8. SSL deep check/tools/ssl-expiry per la validazione della catena e gli alert a 30 giorni.
  9. Scadenza dominio/tools/domain-expiry. Dovrebbe essere a più di 60 giorni di distanza; più lontano è meglio per l'autorità SEO.
  10. Uptimecurl -o /dev/null -s -w "%{http_code} %{time_total}s\n" https://yourdomain.com. Status 200, tempo sotto 1,5s.

Se uno di questi fallisce, hai appena identificato la tua priorità numero uno.

Storie reali#

Alcuni esempi degli ultimi sei mesi nell'aiutare i team ad auditare i loro domini:

Il DKIM disallineato che si è nascosto per sei mesi. Un'azienda B2B SaaS inviava email transazionali attraverso un sottodominio personalizzato (mail.illoroSito.com) ma il tag d= di DKIM era il dominio del provider, non il loro. Il grace period di Gmail faceva sì che la posta arrivasse comunque in inbox a bassi volumi. Quando hanno mandato la prima grande campagna — 50.000 email — i tassi di apertura erano del 4%. I report di bounce mostravano che Gmail aveva silenziosamente declassato i messaggi per mesi. La sistemata era una modifica DNS di 10 minuti. La lezione era che "la deliverability sembra a posto" non è una misurazione.

Il cert intermedio che solo Safari ha notato. Un sito e-commerce ha auto-rinnovato il proprio cert SSL tramite il provider di hosting. Il nuovo cert è stato deployato correttamente, ma il certificato intermedio mancava dal bundle. Chrome e Firefox cachavano l'intermedio dalle visite precedenti e continuavano a validare. Safari (che non cacha aggressivamente gli intermedi) mostrava un avviso di sicurezza a tutta pagina. Circa il 18% del loro traffico di checkout era iOS Safari. Hanno perso due giorni di ricavi prima che un ticket di customer support collegasse i puntini.

Il CNAME pendente diventato takeover. Una vecchia landing page marketing su promo.illorodominio.com era un CNAME a un'app Heroku che era stata cancellata tre anni prima. Un attaccante ha registrato lo stesso nome di app Heroku, e per 12 ore quel sottodominio ha servito HTML arbitrario — incluso un form di phishing che imitava la pagina di login dell'azienda. La sistemata è stata 30 secondi di pulizia DNS. La scoperta è stata zero — il team l'ha saputo solo quando un cliente ha segnalato il tentativo di phishing. Un audit mensile dei sottodomini l'avrebbe intercettato.

Conclusione#

La salute del dominio è cinque pilastri, non uno. Esegui la checklist da 5 minuti qui sopra. Sistema i guasti. Poi metti un monitor continuo sulle cose che vanno alla deriva nel tempo — i cert scadono, le blacklist cambiano, le registrazioni decadono e i record SPF crescono fino a rompere il limite di lookup. Tutti e cinque i pilastri, gratis, in un'unica dashboard su Nova Uptime.

Letture correlate#

Monitor Your Website Before It Goes Down

Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.

Start Monitoring Free

Articoli correlati

Guide25 feb 2026

Come Configurare il Monitoraggio della Salute Email per il Tuo Dominio: Guida Completa

Monitora la deliverability email per il tuo dominio automaticamente. Guida completa al monitoraggio SPF, DKIM, DMARC con avvisi automatici al degrado.

11 min readLeggi
Deliverability email29 apr 2026

Migliori tool gratuiti di email health check nel 2026: un confronto

Confrontati 8 email health checker gratuiti: Nova Uptime, MXToolbox, DMARCian, EasyDMARC, Postmark, Mailtrap, Sender Score, ZeroBounce.

13 min readLeggi
Gestione dei domini18 mar 2026

Scadenza dominio vs scadenza SSL: qual è la differenza?

Scadenza dominio vs scadenza SSL: cosa succede quando ciascuno scade, le differenze critiche e come monitorare entrambi efficacemente.

7 min readLeggi