Quando si parla di email, la fiducia è tutto. Ma prima che il tuo messaggio arrivi anche solo nella casella di posta di qualcuno, deve superare alcuni controlli di sicurezza silenziosi. SPF, DKIM e DMARC decidono se le tue email sembrano legittime o finiscono nello spam.
Sapere come funzionano questi record e come configurarli correttamente può proteggere il tuo dominio e garantire che i tuoi messaggi arrivino sempre dove devono.
Cosa sono SPF, DKIM e DMARC nelle email?
Tra il momento in cui premi invio e quello in cui la tua email arriva, inizia una silenziosa catena di controlli. Ognuno pone la stessa domanda: arriva davvero da te?
SPF, DKIM e DMARC formano un ciclo di feedback tra mittente e destinatario, verificando la tua identità prima che il messaggio lasci il tuo dominio, quando arriva, o in entrambi i momenti. Insieme, sono ciò che si frappone tra il tuo messaggio e la cartella spam.
SPF, DKIM e DMARC spiegati in breve:
SPF – controlla se il server che invia il tuo messaggio è nell'elenco approvato del tuo dominio. Se lo è, l'email passa. In caso contrario, viene segnalata. Pensalo come la lista degli invitati del tuo dominio.
DKIM – aggiunge un sigillo digitale al tuo messaggio prima che lasci la tua casella di posta. Una volta arrivato dall'altra parte, il server ricevente apre il sigillo per assicurarsi che nulla sia stato alterato durante il transito.
DMARC – decide cosa succede se uno di questi controlli fallisce. Dice al server ricevente cosa fare, se consegnare il messaggio, inviarlo nello spam o bloccarlo completamente.
Questi tre lavorano insieme: uno verifica il mittente, uno protegge il messaggio e uno applica le regole.
Perché SPF, DKIM e DMARC sono importanti per la sicurezza delle email?
SPF, DKIM e DMARC proteggono da due delle maggiori minacce per le email di oggi: spam e spoofing. Gli aggressori spesso inviano messaggi fingendo di essere qualcun altro. Immagina di ricevere un'email da Support@yourbank.com che ti chiede di confermare i dettagli del tuo account. Questi tre controlli assicurano che la tua “banca” sia davvero la tua banca:
In un attacco di phishing, gli hacker usano email false per indurre le persone a condividere password, numeri di carta di credito o a cliccare su link dannosi. Senza queste protezioni, il tuo dominio potrebbe essere impersonato e i clienti potrebbero ricevere messaggi convincenti che sembrano provenire da te. Con SPF, DKIM e DMARC attivi, questi messaggi falsi di solito vengono bloccati prima ancora di raggiungere una casella di posta.
SPF controllerebbe se l'email è stata inviata da un server autorizzato.
DKIM garantirebbe che l'email non sia stata manomessa durante il transito.
Se uno di questi controlli fallisse, allora DMARC farebbe in modo che l'email venisse scartata prima di raggiungere la tua casella di posta
Allo stesso modo, durante un attacco di phishing, gli hacker inviano email false per indurre le persone a rivelare password o a cliccare su link pericolosi. Se il dominio della tua azienda non è protetto, potrebbero fingere di essere un dipendente e inviare email ai tuoi clienti chiedendo i loro dati. Se SPF, DKIM e DMARC sono attivi, la maggior parte di questi messaggi falsi non raggiungerebbe mai le caselle di posta dei clienti, perché i server riceventi possono capire che non provengono davvero da te.
Perché sono importanti anche per la deliverability (non solo per la sicurezza)
Se invii newsletter, fatture o campagne di marketing, il tuo obiettivo probabilmente non è solo inviare, ma essere visto. Ma con l'aumento globale dello spam, grandi provider come Gmail e Yahoo hanno introdotto nuove regole per mantenere pulite le caselle di posta.
Dal 2024, questi provider richiedono ai mittenti di autenticare i propri domini con SPF, DKIM e DMARC. Senza di essi, le tue email potrebbero essere rifiutate prima ancora di lasciare la tua casella di posta. Superare questi controlli in modo costante migliora la reputazione del mittente e impedisce che le tue email finiscano nello spam. Migliore è la tua reputazione, più rapida sarà la consegna, minori saranno i contrassegni come spam e più forte sarà la tua credibilità. Costruire questa reputazione su un nuovo dominio di invio — o riabilitarla su uno danneggiato — è esattamente ciò per cui sono progettate piattaforme di warm-up dedicate come Warmy : aumentare gradualmente il volume in uscita con incrementi giornalieri controllati e generare segnali di coinvolgimento positivi con i principali provider di caselle di posta, in modo che la posta autenticata con SPF, DKIM e DMARC arrivi costantemente nella casella principale anziché in promozioni o nello spam.
SPF vs DKIM vs DMARC — Qual è la differenza?
Ogni volta che sali su un aereo, segui un processo quasi identico a come funzionano SPF, DKIM e DMARC. Può sembrare strano, ma questi tre termini non sono proprio immediati da ricordare, e aiuta avere un modo più semplice per memorizzarli. Inoltre, senza che questi tre siano configurati, la tua posta probabilmente finirà proprio come te quando perdi il check-in per un volo. Al freddo.
SPF – Il primo controllo di sicurezza della tua email
Quando arrivi al banco, pronto per l'imbarco, l'addetto controlla il tuo biglietto confrontandolo con il registro del volo. Se il tuo nome è lì, sei autorizzato a volare. In caso contrario, niente carta d'imbarco, niente volo.
SPF funziona allo stesso modo. Ogni dominio, come example.com, conserva una “lista passeggeri”, ovvero un record dei server di posta autorizzati a inviare email per suo conto. Quando invii un'email, il server ricevente controlla se il tuo server di invio è in quella lista. Impostando il tuo record SPF, in pratica aggiungi il tuo nome al manifesto così che i tuoi messaggi possano superare i controlli di sicurezza senza ritardi.
DKIM – Il controllo dell'identità per la tua casella di posta
Una volta verificato il biglietto, è il momento di dimostrare la tua identità. La foto sul passaporto conferma che sei davvero tu, una firma fisica che non può essere facilmente falsificata. DKIM fa la stessa cosa, ma per le email.
DomainKeys Identified Mail (DKIM) aggiunge una firma digitale a ogni messaggio in uscita. Questa firma dimostra che l'email non è stata modificata o manomessa durante il transito e impedisce il tracciamento della tua email. Quando premi invio, il tuo server firma l'email con una chiave privata. Quando arriva, il server ricevente verifica quella firma, confermando che il messaggio è autentico e intatto.
DMARC – Cosa succede quando qualcosa va storto
Se ti presenti in aeroporto senza biglietto o passaporto, la compagnia aerea ha una politica chiara su cosa succede dopo. DMARC funziona allo stesso modo quando i controlli SPF o DKIM falliscono.
DMARC dice al server ricevente cosa fare con l'email se il controllo SPF o DKIM fallisce. Può:
Non fare nulla
Mettere in quarantena il messaggio (inviarlo nello spam)
Rifiutare completamente il messaggio
Come mittente, decidi tu quale regola si applica. La imposti nel tuo DNS, definendo cosa succede quando i tuoi messaggi non superano il controllo.
Come configurare SPF, DKIM e DMARC per il tuo dominio
Per configurare SPF, DKIM e DMARC, ti servirà l'accesso al tuo DNS. È qui che puntano i nameserver del tuo dominio, quindi il registrar o l'host DNS.
Come abbiamo detto sopra, SPF funziona come una lista passeggeri che dice ai server riceventi quali host possono inviare posta per il tuo dominio. Quindi, per configurare SPF, devi inserire la tua email in quella lista passeggeri. Per farlo ci sono alcuni passaggi.
1. Controlla se hai già SPF
Inizia usando uno strumento gratuito di ricerca DNS per verificare se il tuo dominio ha già un record SPF. Se lo strumento nella scheda TXT mostra un record che inizia con v=spf1, significa che SPF è già configurato per il tuo dominio.
Se non compare alcun record di questo tipo, dovrai creare un nuovo record SPF da zero.
2. Aggiungi un nuovo record SPF nel DNS
Per aggiungere un nuovo record SPF, vai nelle impostazioni DNS del tuo host di dominio. Potrebbe essere Spaceship, Google, Outlook, ecc., a seconda di chi è il tuo provider. Trova l'elenco dei record esistenti e seleziona Add Record, quindi scegli TXT dal menu del tipo.
Successivamente, compila i campi come mostrato di seguito per creare la tua voce SPF.
Per Spacemail apparirebbe così:Type: TXT Record | Host: @ | Value: v=spf1 include:spf.spacemail.com ~all | TTL: Automatic
Salva e attendi qualche minuto per la propagazione.
3. Verifica il record
A questo punto, puoi eseguire un altro controllo con il tuo strumento di ricerca DNS. Se mostra il tuo valore, è tutto a posto. È anche importante ricordare che il record host può richiedere fino a 24 ore per aggiornarsi, quindi non preoccuparti se non compare subito.
Passaggio 2. Aggiorna le impostazioni DKIM
DKIM aggiunge una firma digitale a ogni email inviata dal tuo dominio, dimostrando che non è stata manomessa.
1: Genera il tuo record DKIM
Inizia dalle impostazioni del tuo provider email.
Vai alla sezione dedicata all'autenticazione del dominio o alla sicurezza email.
Trova un'opzione etichettata DKIM, DomainKeys o qualcosa di simile.
Seleziona il pulsante per generare nuove chiavi DKIM.
Il tuo provider ti fornirà due informazioni fondamentali:
Un selettore (ad esempio, selector1._domainkey)
Il record DKIM stesso — una lunga stringa di testo crittografato
È una buona idea copiare entrambi in un posto sicuro, perché ti serviranno nel passaggio successivo.
2: Aggiungi il record DKIM al tuo DNS
Successivamente, accedi al tuo provider DNS.
Apri i tuoi record DNS e crea una nuova voce.
Scegli CNAME se il record è breve, oppure TXT se si tratta di una chiave più lunga.
Nel campo Host o Name, inserisci il selettore DKIM (ad esempio, selector1._domainkey).
Nel campo Value, incolla il record DKIM del tuo provider email.
Salva le modifiche.
Attendi qualche minuto, perché le modifiche DNS possono richiedere un po' di tempo per aggiornarsi.
Per l'email aziendale Spacemail, puoi configurare un record DKIM con questa guida.
Passaggio 3. Aggiungi le impostazioni DMARC
Una volta configurati SPF e DKIM, il passaggio finale è DMARC. Devi solo aggiungere un altro record TXT al DNS del tuo dominio. Questo record dice ai server di posta riceventi cosa fare se un'email dal tuo dominio non supera l'autenticazione e ti offre visibilità su chi sta inviando posta per tuo conto.
Un record DMARC ha alcune parti chiave che dovrai capire prima di aggiungerlo:
v=DMARC1 – questo dice ai server di posta che stai usando DMARC. Viene sempre per primo.
p= – Questo imposta la tua policy su come gestire i messaggi non autenticati:
rua=mailto: – Questo dice ai server di posta dove inviare i tuoi report DMARC giornalieri. Puoi usare un indirizzo come security@yourdomain.com o dmarc@yourdomain.com. Questi report mostrano quali IP stanno inviando per conto del tuo dominio, aiutandoti a individuare qualsiasi anomalia.
1: Genera un record DMARC per il tuo dominio
Apri lo strumento DMARC Record Generator (sentiti libero di usare qualsiasi strumento di generazione DMARC che preferisci) e inserisci il tuo nome di dominio nella barra di ricerca. Una volta fatto, fai clic sul pulsante Check DMARC Record. Personalizza le impostazioni DMARC in base alle tue esigenze e ottieni il record generato.
2: Aggiungi il tuo record DMARC alle impostazioni DNS
Vai al tuo provider DNS. Crea un nuovo record, selezionando TXT come tipo di record host. DMARC usa un formato di record TXT, proprio come SPF.
Usa host: _dmarcAdd value, quello che hai generato in precedenza
Una volta aggiunto, salva le modifiche e attendi qualche minuto perché si propaghi. Puoi usare strumenti come MX Lookup Tool o altri strumenti gratuiti per verificare che il tuo record DMARC sia configurato correttamente.
Puoi usare questa guida per configurare un record DMARC per il tuo dominio con Spacemail.
Configurare correttamente la tua email
Se i tuoi messaggi continuano a finire nello spam o a scomparire a metà strada, potrebbe dipendere dall'assenza di autenticazione. SPF, DKIM e DMARC forniscono alle tue email le credenziali di cui hanno bisogno per raggiungere la casella di posta in sicurezza.
Sentire spiegare SPF, DKIM e DMARC può sembrare complicato, ma la cosa migliore è che non richiedono strumenti costosi o configurazioni complesse, solo alcuni record DNS e un po' di pazienza. Sono tra i più semplici protocolli email che puoi aggiungere al tuo sistema di posta elettronica e che ripagano ogni volta che il tuo messaggio arriva esattamente dove dovrebbe.
Domande frequenti
SPF verifica che la tua email venga inviata da un server autorizzato. La sicurezza email DKIM funziona firmando ogni messaggio con una chiave digitale, così il destinatario sa che il messaggio non è stato manomesso. DMARC li collega, dicendo al server cosa fare se qualcosa sembra non andare. Insieme, mantengono le tue email affidabili, verificate e sicure.
Quando si confronta DMARC con SPF e DKIM, funzionano meglio come una squadra. L'autenticazione email SPF e DKIM esegue i controlli, mentre DMARC decide cosa succede se questi controlli falliscono. Senza DMARC, le tue email potrebbero comunque passare, ma non avrai controllo su ciò che accade quando non lo fanno. Configura tutti e tre una sola volta e coprirai ogni aspetto sia della sicurezza sia della recapibilità.
Lo spoofing avviene quando qualcuno invia un'email fingendo di essere te. SPF controlla da dove proviene il messaggio, DKIM conferma che non sia stato alterato e DMARC blocca tutto ciò che è sospetto.
Senza DMARC, non esiste una regola chiara su come i server di posta gestiscono i messaggi sospetti. Ciò significa che le email false potrebbero passare, oppure quelle reali potrebbero essere contrassegnate come spam. DMARC è la parte che applica le regole e, senza di esso, il tuo dominio resta senza protezione.
Non proprio, svolgono solo compiti diversi. SPF controlla chi sta inviando l'email; DKIM verifica se è stata modificata. Nessuno dei due funziona perfettamente da solo, ma insieme creano una solida prima linea di difesa.


Condividi i tuoi pensieri