SPF, DKIM, DMARC: cosa sono e perché sono importanti

SPF, DKIM e DMARC sono tre protocolli di autenticazione e-mail che lavorano insieme per verificare la legittimità delle tue e-mail, proteggere il tuo marchio dall'usurpazione di identità e controllare cosa succede quando un messaggio non supera la verifica.

Oggi questo è più importante che mai. Google, Yahoo, Apple e ora anche Microsoft richiedono SPF, DKIM e DMARC per i mittenti di grandi volumi. Dal 5 maggio 2025, Microsoft rifiuta le e-mail non conformi provenienti da domini che inviano più di 5.000 messaggi al giorno a Outlook. L'autenticazione delle e-mail non è più facoltativa.

Questa guida spiega come funzionano SPF, DKIM e DMARC, perché sono necessari tutti e tre e come implementarli correttamente.

Cosa sono SPF, DKIM e DMARC?

SPF (Sender Policy Framework)

SPF (Sender Policy Framework) è un protocollo di convalida delle e-mail che consente ai proprietari di domini di definire un elenco di server di posta elettronica autorizzati a inviare e-mail per conto del proprio dominio.

Consideralo come una lista degli ospiti per il tuo dominio. Se un server non è presente nella lista, il server di posta ricevente capisce che c'è qualcosa che non va. Questo aiuta a mitigare lo lo spoofing delle e-mail e garantisce che solo i server autorizzati possano inviare email utilizzando un dominio specifico.

Tuttavia, l'SPF da solo presenta dei limiti. Non verifica il contenuto dell'e-mail e non indica al server ricevente cosa fare quando un controllo fallisce.

È qui che entrano in gioco DKIM e DMARC.

Lettura consigliata: DMARC vs. DKIM | Qual è la soluzione migliore per te e perché?

DKIM

DKIM (DomainKeys Identified Mail) è un metodo di autenticazione delle e-mail che aggiunge una firma digitale alle e-mail in uscita per garantire l'autenticità e l'integrità del messaggio.

Mentre SPF conferma chi è autorizzato a inviare, DKIM conferma che il messaggio non è stato alterato dopo aver lasciato il server del mittente.

DKIM fornisce un livello essenziale di affidabilità, impedendo lo spoofing delle e-mail e garantendo l'integrità dei messaggi. Tuttavia, come nel caso di SPF, i record DKIM da soli non indicano al server destinatario quale azione intraprendere in caso di verifica fallita. A tal fine è necessario DMARC.

DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) consente ai proprietari di domini di fornire istruzioni ai destinatari delle e-mail su come gestire i messaggi non autenticati inviati dal proprio dominio.

Combina le funzionalità di SPF e DKIM e aggiunge due caratteristiche fondamentali che nessuno dei due protocolli offre da solo: l'applicazione delle politiche e la segnalazione.

È l'unico protocollo che indica alle caselle di posta cosa fare con i messaggi e-mail non recapitati e offre visibilità tramite report.

SPF vs DKIM vs DMARC: differenze fondamentali

Tutti e tre i protocolli svolgono un ruolo nell' autenticazione delle e-mail, ma ciascuno di essi gestisce un pezzo diverso del puzzle. Ecco un confronto affiancato.

Guarda questo video per ulteriori informazioni:

Spiegazione dei protocolli SPF, DKIM e DMARC

Come funzionano insieme SPF, DKIM e DMARC

SPF, DKIM e DMARC hanno ciascuno uno scopo diverso ed è necessario disporre di tutti e tre per proteggere completamente il proprio dominio da spoofing, phishing e furti d'identità. Ecco come funziona il flusso di autenticazione quando un'e-mail arriva nella casella di posta di qualcuno:

1. Controllo SPF: Il server ricevente controlla l'IP mittente e lo confronta con i mittenti autorizzati elencati nel record SPF del dominio. Se l'IP è presente nell'elenco, l'SPF viene superato.
2. Controllo DKIM: Il server ricevente controlla l'intestazione DKIM-Signature dell'e-mail e recupera la chiave pubblica dal DNS del mittente. Se la firma è valida e il messaggio non è stato modificato, DKIM viene superato.
3. Valutazione DMARC: DMARC verifica quindi se almeno uno di questi protocolli (SPF o DKIM) è stato superato e se il dominio utilizzato in tale verifica corrisponde al dominio nell'indirizzo del mittente. Se la corrispondenza è corretta, l'e-mail viene recapitata normalmente. In caso contrario, DMARC applica la politica impostata dal proprietario del dominio (nessuna, quarantena o rifiuto).
4. Segnalazione: Indipendentemente dal risultato, DMARC invia dei report al proprietario del dominio con dettagli sui risultati dell'autenticazione, sulle fonti di invio e su eventuali tentativi di spoofing.

Senza DMARC, un'e-mail contraffatta potrebbe superare l'autenticazione SPF (se l'autore dell'attacco utilizza un dominio Return-Path diverso) o aggirare l'autenticazione DKIM (se il messaggio non è firmato). DMARC colma queste lacune richiedendo l'allineamento tra i risultati dell'autenticazione e l'indirizzo mittente visibile.

Lettura consigliata: Perché DMARC non funziona? Cause comuni e soluzioni

Come configurare SPF, DKIM e DMARC

Configurare tutti e tre i protocolli può sembrare complicato, ma il processo è semplice una volta capito cosa va dove. Per implementare SPF, DKIM e DMARC, è necessario accedere alle impostazioni del provider DNS del proprio dominio.

Passaggio 1: configurare SPF

Un record SPF viene pubblicato come record TXT nel DNS del tuo dominio. Il tuo record SPF comunica ai server riceventi quali indirizzi IP e server di posta sono autorizzati a inviare e-mail per conto del tuo dominio.

Per creare il tuo record SPF:

1. Identifica tutti i server e i servizi che inviano e-mail per il tuo dominio (il tuo server di posta, le piattaforme di marketing, gli strumenti CRM, ecc.).
2. Crea un record TXT nel tuo DNS con le fonti di invio autorizzate.
3. Pubblica il record e provalo per confermare che superi i controlli SPF.

Un record SPF ha un aspetto simile al seguente:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Questo esempio autorizza Google e SendGrid a inviare e-mail per il dominio e indica ai destinatari di rifiutare tutte le altre fonti.

Passaggio 2: configurare DKIM

DKIM richiede che una chiave pubblica sia pubblicata nel DNS del mittente per verificare la firma digitale sulle e-mail in uscita.

Per configurare DKIM:

1. Genera una coppia di chiavi DKIM (chiave pubblica e privata) tramite il tuo provider di servizi di posta elettronica o il tuo server di posta.
2. Aggiungi la chiave pubblica come record TXT nel DNS del tuo dominio.
3. Configura il tuo server o provider di posta elettronica per firmare i messaggi in uscita con la chiave privata.
4. Esegui un test inviando un'e-mail e controllando le intestazioni per verificare che la firma DKIM sia presente e valida.

Passaggio 3: configurare DMARC

I record DMARC vengono anche memorizzati come record TXT nel DNS del tuo dominio. Per configurare DMARC, devi definire una politica che indichi ai server di ricezione come gestire le e-mail che non superano i controlli SPF e DKIM.

Per creare il tuo record DMARC:

1. Inizia con una politica di p=none per monitorare il traffico e-mail senza influire sulla deliverability.
2. Aggiungi un indirizzo di segnalazione in modo da poter ricevere rapporti aggregati sui risultati dell'autenticazione.
3. Pubblica il record DMARC nel tuo DNS.
4. Controlla regolarmente i tuoi rapporti e, una volta che sei sicuro che le tue e-mail legittime vengano accettate, passa a p=quarantine e infine p=reject.

Un record DMARC di base ha questo aspetto:

v=DMARC1; p=none; rua=mailto:[email protected];

Passaggio 4: Verifica la configurazione

È possibile verificare se un'e-mail ha superato i controlli SPF, DKIM e DMARC controllando le intestazioni dell'e-mail. Invia un'e-mail di prova e controlla l'intestazione Authentication-Results per confermare che tutti e tre i protocolli siano stati superati.

Gli strumenti gratuiti di PowerDMARC rendono tutto ancora più semplice. È possibile utilizzare il Generatore DMARC, generatore SPFe Generatore DKIM per creare i tuoi record con un solo clic, mentre la dashboard di reporting della piattaforma ti offre una visibilità completa sullo stato della tua autenticazione.

Cosa succede se non si implementano SPF, DKIM e DMARC?

Ignorare l'autenticazione delle e-mail può sembrare innocuo finché le conseguenze non iniziano ad accumularsi. Ecco cosa rischi quando lasci il tuo dominio senza protezione.

Reputazione del mittente danneggiata

La mancata implementazione dell'autenticazione delle e-mail può danneggiare la reputazione del marchio a causa della maggiore vulnerabilità agli attacchi di phishing.

Se gli hacker falsificano il tuo dominio e inviano email fraudolente ai tuoi clienti, partner o dipendenti, la fiducia che hai costruito con il tuo pubblico si sgretola rapidamente. Anche se non sei responsabile dell'attacco, i destinatari associano il tentativo di phishing al tuo marchio.

Maggiore affidabilità nella consegna delle e-mail

Senza l'autenticazione delle e-mail, le e-mail legittime potrebbero essere contrassegnate come spam, con conseguente riduzione dei tassi di consegna delle e-mail.

Molti provider di servizi di posta elettronica richiedono ora la configurazione di DKIM e DMARC per garantire la corretta consegna delle e-mail. Se le tue e-mail finiscono costantemente nella cartella dello spam, i tuoi tassi di apertura diminuiscono, le tue attività di marketing ne risentono e le e-mail transazionali importanti potrebbero non raggiungere mai i destinatari previsti.

Perdite finanziarie e problemi di fiducia dei clienti

La mancata implementazione dell'autenticazione e-mail può consentire agli hacker di impersonare il tuo dominio, causando potenziali perdite finanziarie e problemi di fiducia da parte dei clienti.

Gli attacchi di tipo Business Email Compromise (BEC), in cui un hacker si finge un dirigente o un fornitore, possono causare bonifici bancari fraudolenti, furti di credenziali e responsabilità legali.

Perdita di visibilità

Il mancato utilizzo dell'autenticazione e-mail può comportare una perdita di visibilità sulle prestazioni e sulla sicurezza della posta elettronica, rendendo difficile identificare l'uso non autorizzato del proprio dominio.

Senza i report DMARC, non hai modo di sapere chi sta inviando email per tuo conto, se le tue e-mail legittime vengono autenticate correttamente o se gli aggressori stanno attivamente spoofando il tuo dominio.

Migliori pratiche SPF, DKIM e DMARC

Pubblicare i propri record è solo l'inizio. Per ottenere il massimo da SPF, DKIM e DMARC, segui queste best practice per mantenere forte l'autenticazione delle tue e-mail nel tempo.

Inizia con DMARC a p=none e procedi gradualmente

Quando si implementa DMARC per la prima volta, iniziare con una politica di p=none in modo da poter monitorare il traffico e-mail e identificare tutte le fonti di invio legittime.

Una volta che sei sicuro che tutto sia stato autenticato correttamente, passa a p=quarantine e poi p=reject per una protezione completa.

Mantieni aggiornato il tuo registro SPF

Ogni volta che aggiungi o rimuovi un servizio di posta elettronica (una nuova piattaforma di marketing, CRM, strumento di assistenza tecnica, ecc.), aggiorna il tuo record SPF per riflettere la modifica.

Un record SPF obsoleto può causare il fallimento dell'autenticazione delle e-mail legittime.

Ruota periodicamente le tue chiavi DKIM

La rotazione regolare delle chiavi DKIM riduce il rischio di compromissione delle chiavi. La maggior parte degli esperti di sicurezza consiglia di ruotare le chiavi almeno una o due volte all'anno.

Utilizza una piattaforma per semplificare la gestione

La gestione di SPF, DKIM e DMARC su più domini e fonti di invio può diventare rapidamente complessa.

Una piattaforma come PowerDMARC consolida tutto in un unico dashboard con gestione dei record ospitati, report leggibili dall'utente e avvisi in tempo reale, consentendoti di mantenere il controllo della tua posizione di autenticazione senza dover modificare manualmente il DNS.

Proteggi il tuo dominio in tutta sicurezza con PowerDMARC

In qualità di vostro partner di fiducia per la sicurezza della posta elettronica, raccomandiamo a tutte le organizzazioni di implementare SPF, DKIM e DMARC. Questi protocolli costituiscono la spina dorsale della moderna protezione della posta elettronica, aiutandovi a stare al passo con le minacce informatiche e a mantenere la fiducia in ogni messaggio che inviate.

Basandosi su anni di esperienza nell'aiutare le organizzazioni a proteggere la loro infrastruttura di posta elettronica, il nostro team di PowerDMARC raccomanda un approccio graduale all'implementazione.

Inizia con il monitoraggio, analizza i dati, quindi applica gradualmente politiche più rigorose man mano che acquisisci fiducia nella tua configurazione.

Per semplificare il monitoraggio, la reportistica e l'ottimizzazione continua, PowerDMARC riunisce la gestione di SPF, DKIM e DMARC in un'unica piattaforma. Grazie alla visibilità in tempo reale, all'applicazione guidata delle politiche e alle informazioni automatizzate, il processo richiede molto meno lavoro manuale, aiutando i team a mantenere una configurazione di autenticazione e-mail sicura e affidabile.

Inizia una prova gratuita di 15 giorni per rafforzare la protezione del tuo dominio.

Domande frequenti (FAQ)

1. Qual è la differenza tra SPF, DKIM e DMARC?

SPF verifica che le e-mail provengano da indirizzi IP autorizzati, DKIM garantisce che il contenuto delle e-mail non sia stato manomesso utilizzando firme digitali e DMARC fornisce l'applicazione delle politiche e la reportistica basandosi sia su SPF che su DKIM. Pensate a SPF come alla verifica dell'indirizzo del mittente dell'e-mail, a DKIM come alla verifica dell'integrità del messaggio e a DMARC come alla politica di sicurezza generale che decide cosa fare quando i controlli falliscono.

2. Ho bisogno sia di SPF che di DKIM per il mio dominio?

Sebbene sia possibile implementare SPF o DKIM singolarmente, l'uso combinato dei due offre una protezione notevolmente più efficace. SPF può fallire quando le e-mail vengono inoltrate, mentre DKIM da solo non verifica l'infrastruttura di invio. Per garantire la massima sicurezza e la conformità DMARC, implementare sia SPF che DKIM, quindi aggiungere DMARC per l'applicazione delle politiche e la reportistica.

3. Come posso verificare se i miei record SPF, DKIM e DMARC funzionano correttamente?

Utilizza strumenti di ricerca DNS per verificare l'esistenza dei record, invia e-mail di prova e controlla le intestazioni per i risultati dell'autenticazione del dominio, analizza i rapporti DMARC per individuare eventuali errori e utilizza validatori online come gli strumenti gratuiti di PowerDMARC. Il monitoraggio regolare tramite i rapporti DMARC è il modo più completo per garantire una protezione continua.

4. SPF, DKIM o DMARC influiscono sull'aspetto delle mie e-mail per i destinatari?

No. Questi protocolli funzionano dietro le quinte e non modificano l'aspetto, il contenuto o il layout delle tue e-mail. I destinatari non vedranno direttamente i risultati SPF, DKIM o DMARC. Tuttavia, le e-mail autenticate correttamente sono meno soggette a essere contrassegnate come spam, il che migliora il posizionamento nella casella di posta in arrivo e la fiducia complessiva.

5. Con quale frequenza devo controllare o aggiornare i miei record SPF, DKIM e DMARC?

È necessario rivedere i propri record ogni volta che si aggiungono o si rimuovono servizi di invio di e-mail e come parte della manutenzione regolare. I record SPF spesso necessitano di aggiornamenti quando vengono introdotti nuovi strumenti o fornitori. Le chiavi DKIM devono essere ruotate periodicamente per motivi di sicurezza. I rapporti DMARC devono essere rivisti costantemente per individuare tempestivamente eventuali problemi e guidare l'applicazione delle politiche.

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• Che cos'è DANE? Spiegazione dell'autenticazione delle entità denominate basata sul DNS (2026) - 20 aprile 2026
• VPN: nozioni di base sulla sicurezza. Le migliori pratiche per proteggere la tua privacy - 14 aprile 2026
• Recensione di MXtoolbox: caratteristiche, esperienze degli utenti, pro e contro (2026) - 14 aprile 2026