I Tre Pilastri della Fiducia Email#

Ogni email che invii viene valutata dal server destinatario prima di arrivare nell'inbox di qualcuno. La valutazione si riduce a una sola domanda: questa email arriva davvero da chi dice di essere?

Tre protocolli basati su DNS rispondono a questa domanda: SPF, DKIM e DMARC. Ognuno gestisce un aspetto diverso dell'autenticazione e insieme formano la base della deliverability email. Se anche uno solo di essi manca o è configurato male, le tue email rischiano di essere filtrate, messe in quarantena o rifiutate.

Questa guida spiega cosa fa ciascun protocollo, come lavorano insieme e come verificare la tua configurazione.

SPF: Chi È Autorizzato a Inviare?#

Cosa Fa SPF#

SPF (Sender Policy Framework) è un record DNS TXT che elenca quali mail server sono autorizzati a inviare email per conto del tuo dominio. Quando un server destinatario riceve un'email che dichiara di provenire da tuaazienda.com, controlla il record SPF per vedere se il server mittente è nella lista approvata.

Come Funziona SPF#

Pubblichi un record SPF nel DNS del tuo dominio (es. v=spf1 include:_spf.google.com -all)
Qualcuno invia un'email dal tuo dominio
Il server destinatario consulta il tuo record SPF
Confronta l'indirizzo IP del server mittente con la lista autorizzata
Se l'IP è autorizzato, il controllo SPF passa. In caso contrario, fallisce

Concetti Chiave SPF#

Meccanismo include: — Fa riferimento al record SPF di un altro dominio. Usato per autorizzare servizi di terze parti come Google Workspace o SendGrid.
-all vs ~all — Il -all (hard fail) dice ai destinatari di rifiutare i mittenti non autorizzati. Il ~all (soft fail) suggerisce di marcarli come sospetti senza rifiutarli. Usa -all per una protezione più forte.
Limite di 10 lookup DNS — I record SPF possono attivare un massimo di 10 lookup DNS. Superare questo limite fa fallire SPF completamente. È un problema comune per i domini che usano molti servizi email.

Errori Comuni SPF#

Dimenticare di aggiungere un nuovo servizio email al record SPF
Superare il limite di 10 lookup includendo troppi servizi
Usare +all che autorizza tutti (di fatto disabilitando SPF)
Avere più record SPF (è ammesso solo uno per dominio)

Verifica la configurazione SPF con il SPF Checker gratuito.

DKIM: L'Email È Stata Manomessa?#

Cosa Fa DKIM#

DKIM (DomainKeys Identified Mail) aggiunge una firma crittografica a ogni email in uscita. Questa firma dimostra due cose: l'email proviene dal tuo dominio e il suo contenuto non è stato modificato in transito.

Come Funziona DKIM#

Il tuo server email genera una coppia di chiavi pubblica/privata
La chiave pubblica viene pubblicata come record DNS TXT su selector._domainkey.tuodominio.com
Quando invia un'email, il tuo server firma un hash degli header e del body con la chiave privata
La firma viene aggiunta come header DKIM-Signature nell'email
Il server destinatario recupera la tua chiave pubblica dal DNS e verifica la firma
Se la firma corrisponde, l'email è autenticata e non è stata alterata

Concetti Chiave DKIM#

Selector — Ogni chiave DKIM ha un nome di selector (come google, s1 o default). Questo permette a un dominio di avere più chiavi DKIM per servizi email diversi.
Rotazione delle chiavi — La best practice è ruotare periodicamente le chiavi DKIM. I selector lo rendono possibile senza interrompere il servizio.
Ambito della firma — DKIM firma header specifici e il body. Le mailing list che modificano le email possono rompere le firme DKIM.

Errori Comuni DKIM#

Abilitare DKIM nel provider email ma dimenticare di aggiungere il record DNS
Usare una chiave troppo corta (1024 bit minimo, 2048 bit consigliato)
Non configurare DKIM per tutti i servizi di invio (ognuno necessita del proprio selector)

Verifica la configurazione DKIM con il DKIM Checker gratuito.

DMARC: Cosa Deve Succedere Quando i Controlli Falliscono?#

Cosa Fa DMARC#

DMARC (Domain-based Message Authentication, Reporting, and Conformance) lega SPF e DKIM con una policy. Dice ai server destinatari cosa fare quando un'email fallisce l'autenticazione e fornisce un meccanismo di reportistica per vedere chi sta inviando email usando il tuo dominio.

Come Funziona DMARC#

Pubblichi un record DMARC nel DNS su _dmarc.tuodominio.com
Un server destinatario riceve un'email dal tuo dominio
Controlla SPF e DKIM
Verifica se uno dei risultati "si allinea" con il dominio del From
Se l'allineamento fallisce, segue la tua policy DMARC: none (solo monitoraggio), quarantine (manda in spam) o reject (blocca completamente)
Invia report aggregati all'indirizzo specificato nel tuo record DMARC

Concetti Chiave DMARC#

Allineamento — L'allineamento SPF significa che il dominio del mittente envelope corrisponde al dominio dell'header From. L'allineamento DKIM significa che il dominio firmatario corrisponde al dominio From. Almeno uno deve allinearsi affinché DMARC passi.
Progressione della policy — Inizia con p=none per monitorare senza influenzare la consegna. Passa a p=quarantine quando sei sicuro che le email legittime passano. Arriva a p=reject per la massima protezione.
Reportistica (rua) — Il tag rua specifica dove vengono inviati i report aggregati DMARC. Questi report mostrano tutta l'attività email sul tuo dominio, inclusi i mittenti non autorizzati.

Errori Comuni DMARC#

Saltare direttamente a p=reject senza monitorare prima (blocca le email legittime da servizi mal configurati)
Non impostare un indirizzo rua per i report (procedi alla cieca)
Dimenticare che i servizi di terze parti necessitano dell'allineamento SPF/DKIM, non solo del passaggio SPF/DKIM

Verifica la policy DMARC con il DMARC Checker gratuito.

Come Funzionano Tutti e Tre Insieme#

SPF, DKIM e DMARC sono complementari, non ridondanti:

Protocollo	Domanda a Cui Risponde	Cosa Dimostra
SPF	Questo server è autorizzato?	Il server mittente è approvato
DKIM	Questa email è autentica?	L'email non è stata manomessa
DMARC	Cosa succede in caso di fallimento?	Le email non autorizzate vengono gestite correttamente

Un'email che passa tutti e tre i controlli ha la massima probabilità di raggiungere l'inbox. Un'email che fallisce un controllo qualsiasi può essere filtrata, messa in quarantena o rifiutata in base alle policy del server destinatario.

La Configurazione Ideale#

SPF: Pubblicato con tutti i servizi di invio legittimi, terminante con -all
DKIM: Configurato per ogni servizio che invia email per tuo conto
DMARC: Impostato su p=reject (o minimo p=quarantine) con reportistica rua abilitata

Verifica della Configurazione#

Esegui tutti e tre i controlli in una volta usando l'Email Health Checker, che valuta SPF, DKIM, DMARC, record MX e stato blacklist in una singola scansione. Per un'analisi più approfondita dei singoli protocolli, usa i checker dedicati:

SPF Checker — Analisi dettagliata del record SPF
DKIM Checker — Rilevamento e validazione delle chiavi DKIM
DMARC Checker — Valutazione della policy e raccomandazioni

Per il monitoraggio continuo, il monitoraggio della salute email di Nova Uptime controlla regolarmente la tua configurazione di autenticazione e ti avvisa quando qualcosa cambia — così intercetti le configurazioni errate prima che impattino la deliverability.

Letture correlate#

Guida Completa all'Email Health Checker — Analisi completa della salute email
Come Verificare il Rischio Inbox Prima di Inviare Cold Email — Valutazione del rischio inbox pre-invio
DKIM Spiegato: Guida Completa — Approfondimento su DKIM
Guida alla Configurazione delle Policy DMARC — Configurazione DMARC passo per passo
Configurare i Record SPF — Guida alla configurazione del record SPF
10 Tool Gratuiti per Email e Domini — Tutti i tool gratuiti disponibili
La Mia Email È Blacklistata? — Verifica lo stato blacklist e risolvi le comparizioni

SPF, DKIM e DMARC: La Guida Completa all'Autenticazione Email