Come configurare SPF, DKIM e DMARC su DreamHost
Il tuo dominio è ospitato su DreamHost, le e-mail vengono inviate, ma le risposte dei clienti finiscono nella cartella dello spam, i moduli di contatto di WordPress non vengono salvati e le e-mail di Google Workspace vengono respinte a causa di errori di autenticazione.
La causa principale è quasi sempre l'autenticazione delle e-mail, in particolare un record SPF mancante, incompleto o configurato in modo errato dopo l'aggiunta di un servizio di posta elettronica di terze parti.
DreamHost gestisce l'SPF meglio della maggior parte dei provider di hosting. Genera automaticamente un record SPF funzionante per ogni dominio
Tuttavia, non appena si modifica il record per aggiungere Google Workspace, Mailchimp o qualsiasi altro servizio di invio, DreamHost rimuove automaticamente il proprio record predefinito. Se nella modifica non si includono i meccanismi propri di DreamHost, l'autenticazione delle e-mail ospitate su DreamHost cessa improvvisamente.
Questa guida illustra come DreamHost gestisce di default SPF, DKIM e DMARC, come configurare ciascuno di essi per configurazioni con un unico mittente o con più mittenti, i comportamenti specifici di DreamHost che possono causare problemi silenziosi alla posta elettronica e come verificare e monitorare costantemente il tutto.
L'SPF (Sender Policy Framework) è un record TXT del DNS che specifica quali server di posta sono autorizzati a inviare e-mail dal proprio dominio. I server di ricezione controllano questo record per stabilire se le e-mail in arrivo siano legittime o potenzialmente contraffatte.
DreamHost aggiunge automaticamente il seguente record SPF a ogni dominio che utilizza la posta elettronica di DreamHost:
v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net -all
Ecco a cosa serve ciascuna parte del record SPF:
| Meccanismo | Cosa autorizza |
|---|---|
| mx | Il server che gestisce la posta in arrivo del dominio è autorizzato anche a inviare |
| tra cui: netblocks.dreamhost.com | Intervalli di indirizzi IP dei server di posta di DreamHost |
| include:relay.mailchannels.net | MailChannels — Il partner di DreamHost per il relay in uscita dedicato alla deliverability |
| -tutti | Rifiuto categorico: respingere qualsiasi mittente non presente nell'elenco sopra riportato |
Se invii e-mail esclusivamente tramite DreamHost e non utilizzi servizi di posta elettronica di terze parti, questo record predefinito è completo. Non è necessario modificare nulla.
Usa il PowerDMARC SPF Checker per verificare che il tuo record predefinito DreamHost sia attivo. Inserisci il tuo dominio: in pochi secondi ti mostrerà il record, la convalida della sintassi, il conteggio delle ricerche DNS e tutti i meccanismi elencati.
Ecco cosa devi sapere sul funzionamento di DreamHost prima di apportare qualsiasi modifica:
L'aggiunta di un record SPF personalizzato su DreamHost comporta la rimozione automatica del record predefinito. Questa è una delle cause più comuni di errori di autenticazione delle e-mail su DreamHost. Se aggiungi un record personalizzato contenente solo include:_spf.google.com -all, hai appena revocato l'autorizzazione ai server di posta di DreamHost e, da quel momento in poi, ogni e-mail inviata tramite DreamHost non supererà il controllo SPF.
Se elimini il tuo record SPF personalizzato, DreamHost ripristina automaticamente quello predefinito. Si tratta di una soluzione utile come piano di riserva in caso di malfunzionamenti.
È necessario modificare il record SPF solo se si inviano e-mail tramite servizi diversi da DreamHost, Google Workspace, Mailchimp, SendGrid, HubSpot o qualsiasi altro servizio di invio di terze parti.
Elenca tutti i sistemi che inviano e-mail a nome del tuo dominio. Fonti comuni per gli utenti DreamHost:
Non sai quali servizi inviano e-mail a nome del tuo dominio?
I rapporti aggregati di PowerDMARC rapporti aggregati DMARC rivelano ogni origine di invio, comprese quelle legittime e non autorizzate, entro 72 ore dall'implementazione. Questo è il metodo di individuazione più affidabile, specialmente per i domini con mittenti IT ombra che i reparti marketing o vendite hanno adottato senza dirlo a nessuno.
Unisci tutte le origini di invio in un unico record SPF. È possibile avere un solo record TXT SPF per dominio, poiché la presenza di più record causa PermError e compromettono l'autenticazione per tutti i mittenti.
| Impostazione | Record SPF |
|---|---|
| Solo DreamHost | v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net -all |
| DreamHost + Google | v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com -all |
| DreamHost + Google + Mailchimp | v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com include:servers.mcsv.net -all |
| DreamHost + Google + Mailchimp + SendGrid | v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com include:servers.mcsv.net include:sendgrid.net -all |
Controlla il numero di ricerche. Ogni meccanismo "include" attiva una o più ricerche DNS (comprese le inclusioni annidate), ma l'SPF ha un limite massimo di 10 ricerche totali secondo la RFC 7208. I meccanismi predefiniti di DreamHost consumano già 3–4 ricerche. Aggiungendo Google (2–3), Mailchimp (1–2) e SendGrid (1–2), si arriva a 8–11, potenzialmente oltre il limite.
Utilizza il Generatore SPF di PowerDMARC per creare correttamente il record combinato. Convalida la sintassi, conta le ricerche, comprese quelle annidate, e ti avvisa prima che raggiungi il limite di 10 ricerche. Se hai già superato le 10, PowerSPF appiattisce automaticamente le catene di include: in voci ip4: e mantiene il record aggiornato quando i fornitori cambiano gli IP, senza che siano necessarie modifiche manuali al DNS.
Questi passaggi presuppongono che i tuoi server dei nomi puntino a DreamHost. Se puntano invece a Cloudflare o a un altro provider, aggiungi il record TXT lì, poiché il pannello DNS di DreamHost viene ignorato quando i server dei nomi puntano altrove.
Questa operazione rimuove il record SPF predefinito di DreamHost. Il tuo record combinato DEVE includere i meccanismi di DreamHost (netblocks.dreamhost.com e relay.mailchannels.net) se continui a inviare e-mail tramite DreamHost. Verifica attentamente prima di salvare.
Il pannello di controllo di DreamHost rende il campo SPF non modificabile quando Google Workspace viene configurato tramite l'integrazione di DreamHost. Tuttavia, è possibile utilizzare il percorso del record DNS personalizzato di DreamHost (Aggiungi record → TXT) al posto del campo configurato automaticamente. Se i tuoi server dei nomi si trovano su Cloudflare, aggiungi il record TXT direttamente nella dashboard DNS di Cloudflare in modo da aggirare completamente la restrizione di DreamHost.
DKIM (DomainKeys Identified Mail) aggiunge una firma crittografica alle email in uscita, consentendo ai server di destinazione di verificare che il messaggio non sia stato alterato durante il transito.
Se utilizzi la posta elettronica ospitata da DreamHost, DKIM è già configurato:
Utilizza il PowerDMARC DKIM Checker per verificare che la chiave sia pubblicata e valida. Inserisci il tuo dominio e il selettore (in genere yourdomain.com._domainkey per le email ospitate su DreamHost) per confermare.
Le e-mail inviate tramite Sendmail o PHP Mail NON sono firmate con DKIM. Ciò include i moduli di contatto di WordPress che utilizzano la funzione mail() di PHP, impostata di default nella maggior parte dei plugin per moduli di WordPress. Queste e-mail aggirano completamente il server SMTP di DreamHost, pertanto la chiave privata DKIM non viene mai applicata al messaggio.
Questo è il motivo più comune per cui i proprietari di siti WordPress su DreamHost vedono le email dei loro moduli di contatto finire nella cartella dello spam. Il modulo funziona e invia l'email, ma senza DKIM (e spesso senza un corretto allineamento SPF), i server di ricezione lo contrassegnano come sospetto.
Soluzione: Installa il plugin WP Mail SMTP (o simile). Configuralo in modo che tutte le email generate dal sito vengano inviate tramite il server SMTP di DreamHost (mail.tuodominio.com, porta 465 con SSL o porta 587 con TLS). In questo modo le email passeranno attraverso il server di posta, che applicherà automaticamente la firma DKIM.
Se utilizzi Cloudflare, Route 53 o un altro provider DNS, ma la gestione della tua posta elettronica è affidata a DreamHost, devi copiare i record DNS DKIM dal pannello di controllo di DreamHost e aggiungerli manualmente presso il tuo provider DNS.
Copia attentamente la chiave DKIM senza inserire spazi nella stringa della chiave. Il pannello di controllo di DreamHost accetta record contenenti spazi, ma le e-mail non supereranno la verifica DKIM se la chiave pubblicata contiene spazi.
Se la gestione della tua posta elettronica è affidata a Google Workspace, Zoho o un altro servizio (non DreamHost), è il provider in questione a gestire la firma DKIM. Ottieni la chiave pubblica DKIM e il selettore del provider, quindi aggiungi il record TXT corrispondente nelle impostazioni DNS di DreamHost (o del tuo provider DNS esterno). Segui la documentazione del provider per conoscere il formato esatto del selettore e il valore della chiave.
Il protocollo DMARC (Domain-based Message Authentication, Reporting and Conformance) integra SPF e DKIM. Verifica che almeno uno dei due superi il controllo E corrisponda al dominio visibile nel campo "Da:", quindi indica ai server destinatari come comportarsi in caso di autenticazione fallita. Senza DMARC, SPF e DKIM esistono ma nessuno ne garantisce l'applicazione.
Utilizza il Generatore DMARC di PowerDMARC per creare il tuo record. Seleziona il livello della tua politica, aggiungi gli indirizzi email di segnalazione e copia il valore TXT generato.
Prima di aggiungere DMARC, assicurati che SPF e DKIM siano già configurati e funzionanti. Il blog di DreamHost consiglia di attendere 48 ore dopo la configurazione di SPF e DKIM prima di pubblicare il record DMARC.
v=DMARC1; p=none; rua=mailto:[email protected];ruf=mailto:[email protected]; pct=100
DreamHost consiglia di creare due indirizzi e-mail distinti per i rapporti DMARC (aggregati e forensi), poiché potresti ricevere un volume elevato di messaggi. In alternativa, puoi indirizzare rua= all'indirizzo di ricezione di PowerDMARC ed evitare così del tutto il sovraccarico di e-mail, in modo che i rapporti vengano inviati direttamente a una dashboard visiva.
DMARC non dovrebbe essere configurato su " p=reject " fin dal primo giorno. Un approccio graduale evita di bloccare accidentalmente le email legittime:
| Fase | Politica | Cosa succede |
|---|---|---|
| Settimane 1–4 | p=nessuno | Solo monitoraggio. Raccogliere i rapporti aggregati DMARC. Identificare tutti i mittenti legittimi e risolvere eventuali errori di autenticazione. |
| Settimane 5–8 | p=quarantena | Le e-mail non autenticate finiscono nella cartella dello spam. Verificate che tutti i mittenti legittimi vengano ora accettati. Controllate i rapporti per individuare eventuali falsi positivi. |
| Settimana 9+ | p=rifiuto | Applicazione totale delle misure. Le e-mail non autorizzate vengono immediatamente respinte. Il tuo dominio è ora protetto dallo spoofing. |
Per aggiornare la politica, modifica il record TXT _dmarc nel pannello di controllo di DreamHost (clicca sull'icona a forma di matita accanto al record) e sostituisci p=none con p=quarantine, per poi passare infine a p=reject.
I report XML DMARC grezzi sono illeggibili senza l'ausilio di strumenti specifici. PowerDMARC li acquisisce automaticamente e fornisce analisi visive relative ai tassi di superamento/fallimento per ciascuna fonte, allo stato di allineamento SPF e DKIM, al rilevamento dei mittenti non autorizzati e alle linee di tendenza.
Ogni scenario riportato di seguito segue lo stesso percorso diagnostico: sintomo → causa → soluzione.
Non dovrai più cercare di indovinare quale fonte sta dando problemi e perché. La dashboard dei report aggregati di PowerDMARC mostra i risultati dell'autenticazione per IP e per fonte per ogni destinatario che elabora la tua posta. Identifica l'esatto problema, risolvilo e verifica che la correzione sia andata a buon fine, il tutto da un'unica schermata. Inizia la tua prova gratuita di 15 giorni
Dopo aver configurato SPF, DKIM e DMARC, controlla questa lista di controllo per verificare che tutto sia attivo e funzioni correttamente:
Esegui l' Domain Analyzer gratuito . Verifica SPF, DKIM, DMARC, BIMI, MTA-STS e lo stato generale della sicurezza delle email in un'unica scansione. Ottieni immediatamente un voto da A+ a F per il tuo dominio DreamHost.
La configurazione di SPF, DKIM e DMARC è solo il punto di partenza. La deliverability a lungo termine delle e-mail su DreamHost dipende dal mantenimento di registri di autenticazione puliti, dal monitoraggio delle variazioni di configurazione e dall'adeguamento delle vostre pratiche di invio ai requisiti in continua evoluzione dei provider di posta elettronica.
Smettila di cercare di risolvere alla cieca i problemi di autenticazione delle e-mail su DreamHost. PowerDMARC ti aiuta a monitorare SPF, DKIM e DMARC in tempo reale, a individuare gli errori silenziosi prima che la deliverability cali e a mantenere i tuoi record conformi man mano che aggiungi nuovi servizi di invio.
Inizia la tua prova gratuita di 15 giorni
v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net -all. DreamHost aggiunge automaticamente questa riga per tutti i domini che utilizzano l'email di DreamHost. Non è necessaria alcuna configurazione manuale se DreamHost è il tuo unico mittente di email.
Crea un unico record che includa entrambi i gruppi di meccanismi:
v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com -all
Se si aggiunge solo l'SPF di Google, il record predefinito di DreamHost viene rimosso, causando il malfunzionamento della posta elettronica di DreamHost. È necessario includere sempre entrambi.
Sì, per i domini che utilizzano l'email ospitata da DreamHost con SMTP. Il record DKIM viene creato automaticamente e le email vengono firmate quando vengono inviate tramite il server di posta di DreamHost. Tuttavia, le email inviate tramite PHP Mail (moduli di contatto di WordPress senza SMTP) NON sono firmate con DKIM. Installa WP Mail SMTP per risolvere il problema.
Tra le cause più comuni figurano la mancanza o l'errata configurazione del record SPF (soprattutto dopo l'aggiunta di un mittente di terze parti, che sostituisce quello predefinito di DreamHost), la mancata applicazione del DKIM perché le email vengono inviate tramite PHP mail anziché SMTP, l'assenza di un record DMARC pubblicato o nameserver che puntano a Cloudflare mentre i record DNS sono presenti solo nel pannello di controllo di DreamHost. Esegui una scansione gratuita con il Domain Analyzer di PowerDMARC per individuare con esattezza il problema.
No. La RFC 7208 impone un unico record TXT SPF per dominio. Se esistono due record che iniziano con v=spf1, SPF restituisce un PermError e l'autenticazione fallisce. Unire tutti i mittenti autorizzati in un unico record.

Come gli MSP possono gestire più rapidamente il DMARC di ogni cliente grazie a PowerDMARC...