Come configurare i record SPF, DKIM e DMARC

Perché i record di autenticazione email sono importanti

Ogni giorno vengono inviate oltre 300 miliardi di email, e si stima che quasi la metà siano spam o tentativi di phishing. Gli aggressori falsificano abitualmente l'indirizzo email del mittente (From) per spacciarsi per aziende o persone legittime — questa tecnica si chiama email spoofing. Senza adeguati meccanismi di protezione, chiunque può inviare un'email che sembra provenire dal tuo dominio, ingannando potenzialmente i tuoi clienti, partner o dipendenti. SPF, DKIM e DMARC sono tre record DNS correlati che insieme formano un sistema di autenticazione email e proteggono il tuo dominio dagli abusi.

Oltre alla protezione dallo spoofing, questi record influiscono direttamente sulla consegna delle tue email legittime. Gmail, Outlook e gli altri principali provider di posta sono sempre più rigorosi nei controlli di autenticazione, quindi è importante disporre di un email hosting professionale con una configurazione corretta — da febbraio 2024 Gmail richiede DKIM e DMARC a chiunque invii più di 5.000 email al giorno. Senza record configurati correttamente, le tue email aziendali possono finire nella cartella spam o essere respinte del tutto.

SPF (Sender Policy Framework)

Come funziona SPF

SPF è un record DNS di tipo TXT che definisce quali server sono autorizzati a inviare email a nome del tuo dominio. Quando il server di posta del destinatario riceve un messaggio dal tuo dominio, controlla il record SPF nel DNS per stabilire se il server del mittente è nell'elenco degli autorizzati. Se il server non è nell'elenco, l'email può essere contrassegnata come sospetta o respinta. SPF verifica l'indirizzo del mittente nella busta (MAIL FROM), non l'intestazione From che l'utente vede: una distinzione importante per capire come SPF interagisce con DMARC.

Creare un record SPF

Il record SPF si aggiunge come record TXT nel DNS del tuo dominio. Il formato base inizia con v=spf1 che indica la versione, seguito dai meccanismi che definiscono i mittenti autorizzati, e termina con un qualificatore che stabilisce cosa fare con i mittenti non autorizzati. Per esempio, per un dominio che usa BeoHosting per la posta e Google Workspace per l'email aziendale, il record SPF sarebbe così: v=spf1 include:_spf.beohosting.com include:_spf.google.com -all. Il meccanismo include richiama i record SPF di un altro dominio, e -all alla fine significa che tutti gli altri server non sono autorizzati e l'email va respinta.

Errori comuni con SPF

L'errore più comune è superare il limite di 10 lookup DNS. Ogni meccanismo include, a e mx richiede un lookup DNS, e se ne hai troppi la validazione SPF fallisce automaticamente. La soluzione è usare i meccanismi ip4 e ip6, che non consumano lookup, oppure consolidare gli include. Un altro errore frequente è usare la tilde invece del meno alla fine: ~all è un soft fail che si limita a segnalare l'email come sospetta invece di respingerla, mentre -all è un hard fail più sicuro. Il terzo errore è dimenticare di aggiungere tutti i servizi che inviano email a tuo nome — email transazionali, piattaforme di newsletter, sistemi CRM e strumenti di helpdesk.

DKIM (DomainKeys Identified Mail)

Come funziona DKIM

DKIM usa la crittografia a chiave pubblica per firmare le email in uscita. Il tuo server di posta aggiunge una firma digitale nell'intestazione di ogni messaggio usando una chiave privata nota solo al tuo server. Il server del destinatario trova la chiave pubblica nel DNS del tuo dominio e la usa per verificare la firma. Se la firma corrisponde, dimostra due cose: l'email è stata effettivamente inviata da un server controllato dal proprietario del dominio e il contenuto dell'email non è stato modificato durante il transito. A differenza di SPF, che controlla solo l'indirizzo IP del mittente, DKIM conferma l'integrità del messaggio stesso.

Generare le chiavi DKIM

Le chiavi DKIM vengono generate come coppia di chiave privata e chiave pubblica. La chiave privata viene installata sul server di posta e usata per firmare i messaggi. La chiave pubblica viene pubblicata come record DNS TXT su uno specifico sottodominio nel formato selector._domainkey.iltuodominio.com. Il selector è una stringa arbitraria che identifica la chiave, per esempio default o google. La lunghezza minima consigliata è di 2048 bit — chiavi più corte da 1024 bit sono considerate insicure. La maggior parte dei provider di hosting e dei servizi email genera automaticamente le chiavi DKIM e ti fornisce solo il record DNS da aggiungere.

Configurare DKIM

Per configurare DKIM su BeoHosting, accedi a cPanel e trova la sezione di autenticazione email, dove DKIM è di solito già attivato. Per Google Workspace vai su Admin Console, poi App, Gmail, Autentica email e genera la chiave DKIM. Google ti fornisce un record TXT da aggiungere al DNS. Per Microsoft 365 il procedimento è simile — nell'Exchange Admin Center abiliti DKIM per ogni dominio e aggiungi due record CNAME al DNS. Dopo aver aggiunto i record DNS, attendi fino a 48 ore per la propagazione DNS, anche se di solito bastano 1-2 ore.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Come funziona DMARC

DMARC unisce SPF e DKIM in un sistema unificato e definisce cosa deve fare il server del destinatario con un'email che non supera l'autenticazione. DMARC introduce il concetto di allineamento (alignment): verifica se il dominio nell'intestazione From (quella che l'utente vede) corrisponde al dominio che ha superato il controllo SPF o DKIM. È un punto chiave, perché SPF e DKIM da soli non proteggono l'intestazione From che gli utenti vedono realmente. DMARC introduce anche un sistema di reportistica che ti invia report giornalieri su chi invia email dal tuo dominio e se superano l'autenticazione.

Creare un record DMARC

Il record DMARC si aggiunge come record TXT sul sottodominio _dmarc.iltuodominio.com. Il record base è così: v=DMARC1; p=none; rua=mailto:dmarc@iltuodominio.com. Il tag v indica la versione, p definisce il criterio (none, quarantine o reject) e rua è l'indirizzo email per ricevere i report aggregati. Consigliamo un approccio graduale: parti con p=none per limitarti a monitorare chi invia email dal tuo dominio senza bloccare nulla, dopo aver analizzato i report passa a p=quarantine così le email sospette vanno nello spam e infine attiva p=reject per respingere completamente le email non autorizzate.

I criteri DMARC

Il criterio none è una modalità di monitoraggio che non incide sulla consegna delle email ma ti invia i report. Usalo per le prime 2-4 settimane per individuare tutti i servizi legittimi che inviano email dal tuo dominio e aggiungerli alla configurazione SPF e DKIM. Il criterio quarantine indica al server del destinatario di mettere le email sospette nella cartella spam — un buon passo intermedio che protegge i destinatari ma non blocca del tutto le email in caso di errori di configurazione. Il criterio reject è il più rigoroso e respinge completamente le email che non superano l'autenticazione — attivalo solo quando sei certo che tutte le fonti legittime siano configurate correttamente.

Analizzare i report DMARC

I report aggregati DMARC arrivano in formato XML e contengono informazioni sugli indirizzi IP che inviano email dal tuo dominio, se hanno superato i controlli SPF e DKIM e la percentuale di email che supera l'autenticazione. I report XML grezzi sono difficili da leggere, quindi consigliamo strumenti gratuiti come DMARC Analyzer, dmarcian o lo strumento DMARC di Postmark, che visualizzano i dati e ne semplificano l'analisi. Un'analisi regolare dei report rivela un uso non autorizzato del tuo dominio e aiuta a ottimizzare la configurazione.

Testare la configurazione

Strumenti di test online

Dopo aver impostato i record, assicurati di testare la configurazione. MXToolbox è uno strumento completo che controlla i record SPF, DKIM e DMARC e mostra risultati dettagliati con la spiegazione degli errori. Mail-tester.com valuta la configurazione email complessiva su una scala da 1 a 10 — invia un'email di prova a un indirizzo generato e otterrai un report dettagliato. Google Postmaster Tools mostra come Gmail vede le tue email e individua i problemi di autenticazione. Per DKIM in particolare, usa lo strumento DKIMCore per verificare i record DNS oppure invia un'email a check-auth@verifier.port25.com per un controllo automatico.

Verifica da riga di comando

Per gli utenti tecnici, i record DNS si possono controllare direttamente dal terminale. Il comando dig TXT iltuodominio.com verifica il record SPF. Per DKIM usa dig TXT selector._domainkey.iltuodominio.com, dove selector è il tuo selector DKIM. Per DMARC usa dig TXT _dmarc.iltuodominio.com. Su Windows usa nslookup con tipo TXT. Questi comandi mostrano i valori DNS reali e aiutano a individuare problemi di propagazione o di formattazione dei record.

Risolvere i problemi più comuni

• L'email finisce nello spam: verifica che SPF, DKIM e DMARC superino tutti il controllo — usa l'analisi dell'intestazione dell'email ricevuta per vedere i risultati dell'autenticazione.
• SPF PermError: troppi lookup DNS — consolida i meccanismi include o usa direttamente gli indirizzi IP.
• DKIM fail: controlla che la chiave pubblica sia pubblicata correttamente nel DNS e che il selector nel DNS corrisponda a quello usato dal server di posta.
• DMARC alignment fail: il dominio From non corrisponde al dominio del controllo SPF o DKIM — frequente con i servizi email di terze parti.
• La newsletter viene respinta: aggiungi il tuo servizio di newsletter (Mailchimp, SendinBlue) al record SPF e abilita la firma DKIM dalla loro dashboard.
• Email transazionali respinte: le piattaforme SaaS che inviano email a tuo nome devono essere incluse nell'SPF e avere la firma DKIM.

Conclusione

Configurare correttamente i record SPF, DKIM e DMARC è ormai obbligatorio per ogni dominio che invia email. Questi record proteggono il tuo marchio dallo spoofing, migliorano la consegna delle email legittime e ti danno visibilità su chi invia email dal tuo dominio. Parti dall'SPF, aggiungi DKIM, poi attiva DMARC in modalità di monitoraggio e irrigidisci gradualmente il criterio. In BeoHosting configuriamo automaticamente SPF e DKIM per tutti gli account di hosting e offriamo supporto tecnico per impostare DMARC, con l'obiettivo che le tue email arrivino sempre nella posta in arrivo e non nella cartella spam.