compauth=fail: spiegazione dell'autenticazione composita di Microsoft
di
Ultimo aggiornamento: 7 Tempo di lettura: 7 minuti
I punti chiave da prendere in considerazione
- Anche se le tue e-mail soddisfano pienamente gli standard globali come SPF e DKIM, Microsoft può comunque segnalarle come "non conformi" utilizzando i propri filtri di reputazione interni.
- A seguito delle misure restrittive adottate da Microsoft nei confronti dei mittenti che inviano grandi volumi di messaggi, il mantenimento di una politica DMARC passiva (p=none) ora genera attivamente errori di autenticazione impliciti (motivo=001).
- Se le tue e-mail non vengono recapitate a causa dell'inoltro, in passato la soluzione consisteva nell'impostare un sigillo ARC ( Authenticated Received Chain ). Tuttavia, dato che una bozza del gruppo di lavoro dell'Internet Engineering Task Force (IETF) propone di riclassificare l'ARC come standard storico, è necessario mantenere impeccabile l'attuale infrastruttura DKIM per prepararsi all'imminente implementazione di DKIM2.
- La maggior parte dei problemi è dovuta a un disallineamento dei domini o a politiche troppo permissive. Passare da un valore p=none e configurare domini "mail-from" personalizzati per gli strumenti di terze parti risolverà la stragrande maggioranza dei vostri problemi di autenticazione
Hai configurato SPF, DKIM e DMARC, ma le tue e-mail continuano a finire nella cartella della posta indesiderata di Outlook. Il problema è spesso causato da "compauth=fail", un livello di autenticazione specifico di Microsoft che va oltre i protocolli globali standard. Capire cosa significa questo segnale diagnostico, perché si differenzia da DMARC e perché è più importante che mai dopo gli aggiornamenti di maggio 2025 è fondamentale per garantire la deliverability delle e-mail aziendali.
Che cos'è l'autenticazione composita (compauth)?
L'autenticazione composita (compauth) è il sistema di valutazione dell'autenticazione proprietario di Microsoft utilizzato da Exchange Online Protection (EOP) in Microsoft 365 e Outlook.
A differenza degli standard SPF, DKIM e DMARC, che fungono da controlli di verifica espliciti basati su standard, compauth opera come un punteggio di intelligenza composito. Combina i risultati di autenticazione espliciti con segnali impliciti avanzati, tra cui la reputazione del mittente, i modelli di interazione storici, le informazioni interne di Microsoft relative alle frodi e l'analisi comportamentale.
Il risultato finale della valutazione viene inserito nell'intestazione "Authentication-Results" di ogni messaggio in entrata elaborato da Microsoft 365. A seconda dell'esito di questo controllo ibrido, l'intestazione mostrerà uno dei quattro valori possibili:
- compauth=pass: Il messaggio ha superato sia i controlli di autenticazione espliciti che le valutazioni di sicurezza implicite.
- compauth=fail: Il messaggio non soddisfa i criteri di autenticazione composita di Microsoft ed è contrassegnato come altamente sospetto.
- compauth=softpass: Il messaggio è stato trasmesso tramite segnali impliciti o basati sulla reputazione, pur in assenza di un'autenticazione esplicita e solida.
- compauth=none: non è stata eseguita alcuna valutazione dell'autenticazione composita sul messaggio.
Per approfondire la configurazione dell'autenticazione delle e-mail in Microsoft 365, consulta la nostra guida su DMARC per Office 365.
compauth vs. DMARC: qual è la differenza?
Una fonte frequente di confusione per gli amministratori di sistema è il fatto che un'e-mail superi la verifica DMARC standard e allo stesso tempo generi uno stato "compauth=fail".
| Caratteristica / Aspetto | DMARC | Autenticazione composita di Microsoft (compauth) |
|---|---|---|
| Ambito di applicazione e applicazione | Uno standard Internet globale e aperto, applicato in modo uniforme da tutti i principali provider di posta elettronica. | Un livello di sicurezza proprietario ed esclusivo di Microsoft che opera esclusivamente all'interno di Microsoft 365 e Outlook. |
| Parametro di valutazione principale | Verifica che i controlli SPF e/o DKIM abbiano esito positivo e corrispondano chiaramente al dominio indicato nell'intestazione "From" visibile. | Valuta l'allineamento di SPF, DKIM e DMARC, oltre ai segnali di reputazione e alle informazioni di intelligence proprietari di Microsoft. |
| Gestione dei segnali impliciti | Non tiene conto di fattori esterni quali la cronologia degli invii, le liste di autorizzazione specifiche per i clienti o l'intelligenza artificiale basata sul comportamento. | Presta particolare attenzione ai segnali impliciti, tra cui le informazioni di spoofing e la cronologia dei rapporti tra mittente e destinatario. |
A causa di queste differenze, un messaggio può facilmente superare la convalida DMARC esplicita, ma restituire comunque uno stato compauth=fail se i modelli di apprendimento automatico di Microsoft lo segnalano come anomalo (ad esempio, un dominio appena registrato, un improvviso picco di volume o un dominio che opera con una politica di monitoraggio passiva p=none).
Al contrario, un messaggio potrebbe non superare i controlli SPF o DKIM espliciti, ma ottenere un compauth=pass se il sistema di rilevamento delle falsificazioni di Microsoft o una cronologia dei mittenti sicuri localizzata ne garantiscono l'autenticità (ad esempio, reason=130 tramite un override ARC o reason=201 per mittenti M365 considerati affidabili internamente).
Cosa sono i codici di motivo compauth?
Quando si analizzano le intestazioni delle e-mail, la stringa "compauth=fail" o "compauth=pass" è seguita da uno specifico codice di motivo a tre cifre. Questo codice indica con precisione il motivo per cui il motore di filtraggio di Microsoft ha preso tale decisione.
| Codice | Risultato | Significato |
|---|---|---|
| 000 | fallire | DMARC non superato con l'applicazione di una politica rigorosa p=reject o p=quarantine. |
| 001 | fallire | Autenticazione implicita non riuscita: record di autenticazione mancanti, una politica DMARC passiva (p=none), un errore soft SPF (~all) o un grave disallineamento del dominio. |
| 002 | softpass | Passaggio morbido: il messaggio viene trasmesso principalmente tramite segnali impliciti o basati sulla reputazione, piuttosto che tramite un'autenticazione esplicita. |
| 010 | fallire | Il messaggio non ha superato i controlli anti-spoofing basati sul sistema automatizzato di rilevamento dello spoofing di Microsoft. |
| 100 | passare | Autenticazione esplicita superata (tutti i controlli SPF, DKIM e DMARC sottostanti sono stati superati e risultano perfettamente allineati). |
| 109 | passare | Superato: il dominio indicato nel record SPF o nella firma DKIM corrisponde correttamente all'indirizzo "Da" visibile. |
| 130 | passare | Trasmesso tramite override ARC (un sigillatore della catena di ricezione autenticata (ARC) di fiducia ha garantito l'autenticità del messaggio durante il flusso di inoltro). |
| 201 | passare | Superato: valutato come mittente Microsoft 365 interno o strutturalmente attendibile. |
| 601 | fallire | Errore: rilevata una discrepanza nel dominio del mittente di terze parti (l'indirizzo "Da" visibile non corrisponde al dominio di firma SPF o DKIM). |
Nota: tutti i codici di errore provengono direttamente dalla documentazione tecnica ufficiale di Microsoft. Per diagnosticare rapidamente i problemi relativi ai messaggi in uscita, copia le intestazioni grezze delle e-mail e incollale nello strumento online Microsoft Message Header Analyzer.
Perché l'impostazione «compauth=fail» assumerà maggiore importanza dopo maggio 2025
Le conseguenze operative di un risultato "compauth=fail" sono diventate notevolmente più gravi in seguito all'introduzione delle nuove misure da parte di Microsoft il 5 maggio 2025. I requisiti per i mittenti stabiliti da Microsoft hanno introdotto criteri rigorosi e automatizzati di autenticazione delle e-mail rivolti ai mittenti con volumi elevati (ovvero coloro che inviano 5.000 o più messaggi al giorno) verso endpoint consumer quali Outlook.com, Hotmail e Live.com.
In base a questi meccanismi di applicazione aggiornati, una classificazione "compauth=fail" comporta direttamente l'invio diretto alla cartella della posta indesiderata o il rifiuto totale del messaggio a livello di gateway. Il sistema di filtraggio di Microsoft ora considera una politica DMARC "p=none" come fattore scatenante principale per il codice "reason=001", anche quando SPF e DKIM superano singolarmente i controlli. I mittenti la cui consegna della posta era precedentemente tollerata in modalità di monitoraggio passivo devono ora affrontare un calo improvviso e significativo della deliverability in tutti gli ambienti gestiti da Microsoft.
Cosa causa l'errore "compauth=fail"?
Per risolvere i problemi di consegna, è necessario associare il codice di errore specifico presente nell'intestazione "Authentication-Results" alla causa alla base del problema:
- motivo=000: Il dominio mittente ha una politica DMARC rigorosa (p=reject o p=quarantine) e il messaggio non ha superato né la verifica SPF né quella DKIM. Per istruzioni dettagliate su come risolvere gli errori di autenticazione, consulta la nostra guida sui motivi per cui DMARC fallisce.
- motivo=001 (Standard): Si tratta del codice di errore più comune. Indica che un dominio utilizza una politica di monitoraggio passiva p=none, la totale assenza di un record DMARC, un soft fail SPF non ottimizzato (~all) o domini identificativi non allineati.
- motivo=001 e motivo=601 (mittenti di terze parti): ciò si verifica quando un fornitore di servizi di posta elettronica (ESP) o un sistema CRM esterno invia messaggi per conto del tuo marchio, ma firma il messaggio utilizzando i domini della propria infrastruttura. Poiché il dominio visibile nell'intestazione "Da" non corrisponde ai domini di tracciamento utilizzati dal fornitore, viene generato un errore di allineamento critico.
- motivo=010: Il sistema di rilevamento delle frodi di Microsoft segnala il comportamento del mittente come fraudolento, compatibile con attività di phishing o di usurpazione di dominio.
Come risolvere l'errore "compauth=fail"
Per risolvere un errore di autenticazione composita è necessario apportare modifiche mirate alla configurazione, in base allo scenario specifico che ha causato l'errore.
Soluzione 1: Aggiornare la politica DMARC oltre il valore p=none
Poiché una politica di monitoraggio passivo (p=none) viene interpretata come un errore di autenticazione implicito (motivo=001), è necessario adeguare il proprio dominio alle nuove regole. Si raccomanda di passare gradualmente e in modo sicuro a una politica p=quarantine o p=reject. Abbandonare l'approccio basato esclusivamente sul monitoraggio elimina la vulnerabilità che fa scattare le regole di errore implicito. Se si teme di bloccare flussi legittimi provenienti da sistemi legacy durante questa transizione, si consiglia di consultare le nostre strategie per la gestione delle deroghe alle politiche DMARC.
Soluzione 2: Impostare un allineamento DKIM preciso
Configura i tuoi server di posta principali in modo che firmino tutti i messaggi in uscita utilizzando una chiave crittografica DKIM univoca. Assicurati che il parametro del dominio di firma (d=) nell'intestazione DKIM corrisponda perfettamente al dominio principale visualizzato nell'intestazione "Da:". Questo rigoroso allineamento crittografico costituisce il segnale positivo più forte possibile per il motore di autenticazione di Microsoft.
Soluzione 3: Configurare percorsi di ritorno personalizzati per i provider di servizi di posta elettronica di terze parti
Quando si utilizzano piattaforme esterne (come motori di marketing o servizi di assistenza), non affidarsi alle impostazioni generiche predefinite. Configurare un dominio MAIL FROM o Return-Path personalizzato che utilizzi il nome di dominio della propria azienda, oppure assicurarsi che al fornitore sia stata concessa la piena delega per firmare crittograficamente i messaggi utilizzando le chiavi DKIM del proprio dominio. Ciò risolve il problema della mancata corrispondenza degli identificatori ed elimina gli errori con codice reason=601.
Correzione 4 e il futuro dell'inoltro (da ARC a DKIM2)
In passato, se i flussi di posta della propria organizzazione passavano regolarmente attraverso mailing list o catene di inoltro automatico, le firme DKIM standard risultavano non valide. Per risolvere questo problema, è necessario implementare Authenticated Received Chain (ARC) era la raccomandazione standard. Quando un server intermedio convalida un messaggio in arrivo e lo sigilla utilizzando un timbro crittografico attendibile, Microsoft 365 legge la catena di custodia, ignorando gli errori localizzati per restituire un compauth=pass reason=130 di successo.
Tuttavia, il panorama dell'autenticazione delle e-mail sta subendo profondi cambiamenti. Il 22 aprile 2026, una proposta del gruppo di lavoro DMARC dell'IETF (draft-ietf-dmarc-arc-to-historic-00) ha suggerito di riclassificare l'ARC come standard storico. Si tratta di una bozza Internet (Internet-Draft) del gruppo di lavoro, non di un RFC definitivo; l'ARC (RFC 8617) rimane un protocollo attivo.
Gli insegnamenti tratti dall'ARC vengono integrati direttamente nella specifica emergente specifica DKIM2, che affronta il problema delle firme danneggiate durante l'inoltro e gli attacchi di replay DKIM. Secondo l'ultima bozza IETF del 17 maggio 2026 (draft-ietf-dkim-dkim2-spec-02), ogni sistema che entra in contatto con un messaggio registra le modifiche e aggiunge la propria firma a una catena di custodia inalterabile.
Cosa significa questo per te in questo momento:
- Per il momento, lasciate attivo l'ARC: Microsoft continua a utilizzare il codice reason=130 (bypass ARC) per inoltrare la posta, quindi non disinstallate ancora la configurazione del sigillo ARC certificato da Microsoft.
- Prepararsi a DKIM2: alcuni dei principali provider di posta elettronica potrebbero avviare le operazioni di implementazione verso la fine del 2026, sebbene la specifica sia ancora in fase di bozza iniziale. Poiché le chiavi DKIM2 utilizzeranno la struttura dei record DNS esistente, la migliore difesa contro futuri errori di autenticazione è garantire che l'attuale infrastruttura DKIM sia impeccabile. Eliminare i selettori non più utilizzati e assicurarsi che la rotazione delle chiavi avvenga correttamente.
Soluzione 5: Sfruttare le funzionalità di Spoof Intelligence di M365 per consentire l'accesso
Per le applicazioni interne, i dispositivi legacy on-premise o i profili di mittenti legittimi altamente specializzati che generano falsi positivi automatici basati sull'apprendimento automatico (motivo=010), gli amministratori di Microsoft 365 possono ignorare manualmente l'algoritmo. Accedere al portale di Microsoft 365 Defender, aprire la console di analisi Spoof Intelligence e aggiungere una voce di autorizzazione esplicita all'elenco di autorizzazioni/blocchi del tenant per quel profilo di mittente specifico.
Come leggere il campo "compauth" nelle intestazioni delle e-mail
Per individuare e analizzare questi valori è necessario estrarre le intestazioni grezze relative al routing Internet dal messaggio interessato.
- Estrai le intestazioni: nella versione desktop di Outlook, apri l'e-mail in questione in una finestra dedicata e vai su File > Proprietà > Intestazioni Internet. In alternativa, se sei un amministratore che sta risolvendo un problema di consegna più ampio, chiedi agli utenti o utilizza i registri di amministrazione per copiare il testo grezzo dell'intestazione e incollarlo direttamente nel Microsoft Message Header Analyzer (MHA) all'indirizzo mha.azurewebsites.net, in modo da ottenere una visualizzazione analizzata e facilmente consultabile.
- Isolare la riga pertinente: cercare nel testo analizzato il blocco specifico denominato Authentication-Results. Cercare con attenzione la frase compauth=, che sarà immediatamente seguita dallo stato di valutazione (pass, fail o softpass) e dal codice reason= corrispondente.
- Confronta i dati: non considerare il risultato dell'autenticazione composita isolatamente. Controlla i parametri adiacenti all'interno della stessa riga di intestazione, prestando particolare attenzione ai singoli risultati spf=, dkim= e dmarc=. Confrontando questi valori espliciti con il codice di motivo dell'autenticazione composita (compauth), è possibile individuare con esattezza quale controllo abbia dato esito negativo o quale segnale implicito abbia determinato l'invio alla cartella della posta indesiderata.
Come posso evitare definitivamente gli errori "compauth=fail"?
L'analisi manuale delle intestazioni e il coordinamento dell'allineamento tra una dozzina di fornitori terzi possono mettere a dura prova i team IT interni. PowerDMARC semplifica questo processo fornendo una visibilità completa e strumenti di gestione automatizzata, aiutandovi a risolvere gli errori "compauth=fail" e a mantenere puliti i vostri record di autenticazione e-mail.
Inizia oggi stesso una prova gratuita di DMARC per ottenere una chiara visibilità sui flussi di consegna di Microsoft 365, eliminare gli errori di allineamento e passare in tutta sicurezza a una politica DMARC applicata al tuo dominio.
Domande frequenti
Cosa significa "compauth=fail" nelle intestazioni delle e-mail?
Ciò indica che il sistema Exchange Online Protection di Microsoft ha valutato il messaggio in entrata e lo ha respinto sulla base di una combinazione di protocolli di autenticazione espliciti (SPF, DKIM, DMARC) e di segnali impliciti di intelligence sulle minacce (reputazione del mittente, informazioni sullo spoofing, cronologia).
Qual è la differenza tra compauth e DMARC?
DMARC è un protocollo Internet aperto e globale utilizzato da tutti i provider di caselle di posta elettronica per verificare la corrispondenza degli identificatori. compauth è un livello di valutazione proprietario ed esclusivo di Microsoft che, partendo dai risultati standard di DMARC, tiene conto di ulteriori metriche comportamentali e di reputazione in tempo reale.
Perché l'autenticazione automatica fallisce anche se SPF e DKIM vengono superati?
Ciò accade spesso se il tuo dominio è configurato con una politica DMARC passiva (p=none), che il sistema aggiornato di Microsoft considera un rischio per la recapitabilità. L'invio può fallire anche se il sistema interno di rilevamento delle frodi di Microsoft segnala come anomalo il comportamento transazionale o la cronologia di invio del mittente.
Cosa significa "compauth fail reason=001"?
Il codice di errore 001 indica che il messaggio non soddisfa i criteri di autenticazione implicita di Microsoft. Ciò è solitamente dovuto alla mancanza di record DMARC o SPF, a un disallineamento degli identificatori o al mantenimento di una politica DMARC passiva (p=none) anziché passare alla fase di applicazione.
Come posso risolvere l'errore "compauth=fail" in Microsoft 365?
Assicurati che i tuoi domini SPF e DKIM corrispondano perfettamente all'intestazione "Da" visibile, aggiorna la tua politica DMARC da p=none a uno stato di applicazione come p=quarantine o p=reject e configura i sigilli ARC affidabili se i tuoi flussi di posta prevedono l'inoltro automatico.
L'impostazione "compauth=fail" fa sì che le e-mail finiscano nella cartella della posta indesiderata in Outlook?
Sì. In base a rigidi criteri di sicurezza, lo stato "compauth=fail" fa sì che il motore di filtraggio EOP invii i messaggi in entrata direttamente alla cartella della posta indesiderata o li respinga completamente al perimetro.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.
Ultimi messaggi di Yunes Tarada (vedi tutti)
- Come dividere un record DKIM - 5 giugno 2026
- compauth=fail: Spiegazione dell'autenticazione composita di Microsoft - 1 giugno 2026
- Windows Defender è sufficiente per la sicurezza delle piccole imprese? - 14 maggio 2026
