• Che cos'è l'inoltro delle e-mail? Come funziona e quali sono le migliori pratiche

Che cos'è l'inoltro delle e-mail? Come funziona e quali sono le migliori pratiche

di

Ultimo aggiornamento:
10 10 minuti di lettura
Che cos'è l'inoltro delle e-mail? Come funziona e quali sono le migliori pratiche

I punti chiave da prendere in considerazione

  • L'inoltro delle e-mail è una pratica molto diffusa, ma comporta modifiche a livello di server che possono compromettere l'autenticazione delle e-mail senza che l'utente se ne accorga.
  • Quando un'e-mail viene inoltrata, l'indirizzo IP del mittente cambia, mentre l'intestazione "Da" originale rimane invariata. Ciò potrebbe sembrare un tentativo di phishing o di spoofing. 
  • L'SPF fallirà quasi sempre durante l'inoltro perché il server intermedio non figura nell'elenco autorizzato del mittente originale. 
  • Il DKIM potrebbe funzionare, ma solo se chi inoltra il messaggio non modifica il contenuto o il formato dell'e-mail. L'autenticazione tradizionale non è pensata per l'inoltro. 
  • L'ARC è il metodo più efficace per conservare i risultati originali della convalida.

L'inoltro delle e-mail è una delle cause più comuni di mancata consegna, e la maggior parte degli amministratori di dominio non riceve alcun segnale chiaro che indichi che qualcosa non va. L'inoltro altera i dati del messaggio in modo tale da compromettere i moderni protocolli di autenticazione, e questo spesso passa inosservato. Poiché i dati non corrispondono più, i server di destinazione considerano la posta inoltrata come sospetta e spesso la inviano nella cartella dello spam o la bloccano del tutto.

Che cos'è l'inoltro delle e-mail?

L'inoltro delle e-mail è un processo eseguito a livello di server che reindirizza le e-mail in arrivo da un indirizzo a un altro. Poiché questa operazione avviene sul server di posta, risulta del tutto trasparente per il mittente originale e non richiede alcun intervento manuale da parte del destinatario. 

Ma prima di tutto, distinguiamo tra inoltro manuale e automatico delle e-mail. Per chiarire ogni dubbio, è utile dare un'occhiata a dove e quando avviene l'inoltro:

  • Inoltro manuale delle e-mail: Questo avviene dopo che che un messaggio sia arrivato nella tua casella di posta. Apri l’e-mail, clicchi su “Inoltra”, digiti l’indirizzo del nuovo destinatario e premi “Invia”. Richiede un intervento manuale per ogni singola e-mail.
  • Inoltro automatico delle e-mail: Si tratta di una regola del tipo "imposta e dimentica" . La si configura una volta sola (nelle impostazioni della posta elettronica o sul server) e il sistema inoltra istantaneamente i messaggi in arrivo a un altro indirizzo prima ancora che tu li veda.

Le organizzazioni ricorrono all'inoltro automatico delle e-mail in diversi casi comuni: 

  • Alias di dominio: Inoltro degli indirizzi aziendali generici direttamente nella casella di posta personale di un dipendente.
  • Regole di inoltro automatico: Creazione di filtri a livello utente o di sistema per inoltrare la posta a account separati. 
  • Mailing list: Distribuzione simultanea di un singolo messaggio in arrivo a un ampio gruppo di iscritti. 
  • Inoltro tramite terze parti: invio di registri delle transazioni o ticket di assistenza a sistemi esterni per l'elaborazione. 

Inoltro delle e-mail vs. reindirizzamento

Sebbene questi due termini vengano spesso usati in modo intercambiabile, per un server di posta hanno significati diversi. 

Quando un'e-mail viene inoltrata, il server di posta elettronica ne crea essenzialmente una copia e avvia una nuova transazione. Il messaggio viene avvolto nelle proprie informazioni di instradamento in background, ma il nome del mittente originale rimane visibile nella riga "Da" che si vede nella propria casella di posta in arrivo. È proprio questa differenza a destare sospetti nei server di ricezione. 

Un reindirizzamento vero e proprio è più passivo. Anziché ricostruire il messaggio, il server si limita a inviare l'e-mail originale a una nuova destinazione senza modificare l'involucro di fondo né le proprietà di trasmissione. Al server ricevente, un'e-mail reindirizzata appare come se fosse stata inviata direttamente dalla casella di posta del mittente originale alla propria; nessun intermediario, nessun dato modificato e nessuna autenticazione compromessa. 

In breve: inoltro vs. reindirizzamento

CaratteristicaInoltro di e-mailReindirizzamento delle e-mail
Azione del serverCrea un nuovo messaggio e una nuova transazione.Inoltra il messaggio originale così com'è.
SfondoRiscritto utilizzando i dati del server di inoltro.Lasciato intatto.
Al server di ricezioneSembra che sia stato un intermediario a occuparsi dell'e-mail.Sembra che sia arrivato direttamente dal mittente originale.
Spam/Rischio di autenticazioneLivello superiore (può compromettere l'autenticazione SPF/DKIM).Basso (di solito mantiene l'autenticazione originale).

Come funziona l'inoltro delle e-mail?

Ecco una descrizione dettagliata di come un messaggio viaggia su Internet: 

  • Fase 1: Il mittente invia l'e-mail al server di posta iniziale del destinatario. 
  • Fase 2: Il server originale riceve il messaggio in arrivo e lo confronta con una serie di regole di inoltro. 
  • Fase 3: L'intermediario di inoltro avvia una nuova connessione per inviare il messaggio al server di destinazione finale, instradando il traffico attraverso il proprio sistema e il proprio indirizzo IP. 
  • Fase 4: Il server di destinazione riceve il messaggio da un indirizzo IP intermedio inatteso. 

Il conflitto 

Nel corso di questo processo si verificano tre grandi cambiamenti: 

  1. L'indirizzo IP di origine della connessione viene sostituito da quello del server di inoltro, 
  2. L'intestazione "Da" rimane uguale al dominio del mittente originale, e 
  3. Il corpo del messaggio o le intestazioni possono essere modificati, ad esempio aggiungendo piè di pagina delle mailing list o intestazioni di transito. 

Questi cambiamenti strutturali compromettono l'autenticazione delle e-mail. 

In che modo l'inoltro delle e-mail influisce sull'autenticazione

Quando si verifica l'inoltro automatico delle e-mail, ciò comporta modifiche che compromettono il funzionamento dei protocolli di autenticazione delle e-mail durante la verifica dei messaggi. 

SPF (Sender Policy Framework) 

SPF verifica la posta in arrivo controllando se l'indirizzo IP del server di connessione è presente nel record DNS del dominio indicato nel campo Return-Path del mittente della busta. 

  • Il problema? Quando un'e-mail viene inoltrata, l'intermediario che effettua l'inoltro avvia una nuova connessione per inviare il messaggio e instrada il traffico attraverso la propria infrastruttura e il proprio indirizzo IP. 
  • Il risultato? Poiché l'indirizzo IP del server di inoltro non è presente nel record SPF del mittente originale, il controllo del mittente dell'involucro fallisce alla destinazione finale. Pertanto, l'SPF fallirà quasi sempre durante l'inoltro. 

DKIM (DomainKeys Identified Mail) 

DKIM utilizza una firma crittografica associata al dominio per verificare che il contenuto del messaggio non sia stato alterato durante il trasferimento. 

  • Il problema? Questa firma crittografica di solito rimane inalterata durante un semplice inoltro, se il server intermedio si limita a inoltrare il messaggio in modo passivo. Tuttavia, se il server di inoltro modifica il corpo del messaggio o aggiunge pixel di tracciamento o intestazioni, i dati sottostanti cambiano. 
  • Il risultato? Una volta modificato il contenuto, la firma DKIM non corrisponde più, il che invalida completamente l'autenticazione. 

DMARC 

DMARC funge da livello di policy che richiede che un'e-mail superi il controllo di allineamento SPF o DKIM per superare l'autenticazione. 

  • Il problema? Poiché l'inoltro compromette intrinsecamente l'SPF, la tua e-mail si affida al DKIM per superare il controllo DMARC. Se l'intermediario che effettua l'inoltro modifica anche il corpo del messaggio o le intestazioni, il DKIM fallisce insieme all'SPF. 
  • Il risultato? Quando entrambi i protocolli falliscono, la convalida DMARC fallisce di conseguenza. Se il dominio del mittente originale ha una politica DMARC rigorosa (p=reject), l'e-mail inoltrata legittimamente viene bloccata dal server di destinazione.

L'evoluzione del reindirizzamento: da ARC a DKIM2

Per risolvere i difetti intrinseci che l'inoltro introduce nell'autenticazione tradizionale delle e-mail, la comunità di Internet ha originariamente progettato ARC (Authenticated Received Chain) per consentire agli intermediari di garantire crittograficamente l'autenticità di un messaggio.

Cos'è ARC?

In parole povere, l'ARC è un protocollo di posta elettronica che funziona come una serie di timbri notarili. Man mano che un'e-mail passa attraverso i server intermedi di inoltro (come una mailing list o una casella di posta con inoltro automatico), ogni server firma crittograficamente il messaggio e ne garantisce l'autenticità originale. Ciò consente al server destinatario finale di risalire lungo la catena convalidata e verificare che l'e-mail fosse autentica prima di essere inoltrata.

Il passaggio a DKIM2

Tuttavia, il panorama della sicurezza della posta elettronica sta cambiando. Secondo il bozza IETF del 17 maggio 2026 (draft-ietf-dkim-dkim2-spec-02), il settore sta attivamente passando a DKIM2.

Poiché gli insegnamenti operativi tratti dall'ARC vengono integrati in questa soluzione più snella e nativa, una bozza separata dell'IETF dell'aprile 2026 ha proposto di riclassificare ufficialmente l'ARC come standard storico.

Come DKIM2 risolve in modo nativo il problema dell'inoltro

Mentre ARC funzionava come soluzione sperimentale, DKIM2 risolve il problema dell'inoltro non corretto direttamente all'interno del protocollo di base. Quando le mailing list o i server di inoltro modificano un'e-mail, DKIM2 gestisce la situazione creando una catena di custodia attraverso ogni fase percorsa dal messaggio.

Ogni sistema intermedio registra le modifiche che apporta e aggiunge la propria firma. Ciò consente ai server destinatari di risalire senza interruzioni al mittente originale senza interrompere la catena di autenticazione.

Principali miglioramenti nell'aggiornamento di maggio 2026:

  • Intestazioni escluse: Le intestazioni saranno ora escluse dalla firma per evitare inutili errori di verifica quando la posta attraversa i confini.
  • Indicatori di controllo più rigorosi: I mittenti possono utilizzare il flag avanzato donotmodify e donotexplode per impedire alterazioni non autorizzate dei messaggi o l'instradamento frazionato.
  • Codice semplificato: La specifica eliminerà l'inutile ricetta del corpo z per semplificare la creazione di implementazioni compatibili.

Nota importante: DKIM2 è ancora una bozza IETF in fase di elaborazione e non è stata ancora ufficialmente implementata. Si prevede che la specifica subirà ulteriori modifiche tecniche e perfezionamenti prima di essere formalmente pubblicata come standard Internet definitivo. 

Migliori pratiche per l'inoltro delle e-mail

Ecco le migliori pratiche di inoltro delle e-mail che gli amministratori di dominio dovrebbero seguire:

  • Dare priorità all'allineamento DKIM: utilizza DKIM come metodo di allineamento principale. Poiché SPF rischia di fallire durante l'inoltro, una firma DKIM valida e non modificata è spesso la tua migliore difesa per superare la convalida DMARC. 
  • Configurazione della canonicalizzazione "relaxed": Imposta la canonicalizzazione DKIM del tuo server di posta su c=relaxed/relaxed. Ciò consente piccole modifiche negli spazi bianchi o nel maiuscolo/minuscolo dell'intestazione durante il transito senza compromettere la firma crittografica.  
  • Mantenere l'ARC esistente (ma considerare DKIM2): Se la vostra infrastruttura di posta interna utilizza già la firma con protocollo ARC, mantienilo attivo per supportare i gateway legacy. Tuttavia, non investire massicciamente in nuove soluzioni tecniche ARC. Secondo le ultime bozze IETF del 2026, l'ARC potrebbe essere riclassificato come standard storico, poiché le sue esperienze operative vengono integrate nel DKIM2.
  • Configurare i server di inoltro ARC (per ora): per gli ambienti Microsoft 365, continuare ad aggiungere manualmente intermediari di inoltro noti e affidabili ai propri elenco dei Trusted ARC Sealers all'interno del portale di Microsoft Defender. Ciò garantisce che la posta inoltrata legittima non venga scartata mentre il settore passa a DKIM2.
  • Monitoraggio dei report aggregati DMARC: Esamina i tuoi dati XML aggregati per individuare dove si verificano errori di inoltro dovuti a problemi di allineamento relativi al solo SPF. Utilizza questi rapporti per identificare e misurare l’impatto esatto che l’inoltro ha sui tuoi tassi di consegna. La revisione sovrascritture delle politiche DMARC può aiutare a interpretare il modo in cui le reti di destinazione gestiscono questi flussi.
  • Passaggio alle caselle di posta condivise: Per l'instradamento interno, prendete in considerazione l'utilizzo di caselle di posta condivise invece delle regole di inoltro automatico della posta in arrivo. Le caselle di posta condivise consentono a più utenti di accedere direttamente agli stessi flussi di posta elettronica, evitando così i problemi di autenticazione causati dall'inoltro da server a server.  
  • Applicare le politiche in modo graduale: Inizia con p=none se hai percorsi di inoltro attivi. Passa a livelli più restrittivi (p=quarantine o p=reject) solo dopo aver verificato i flussi inoltrati tramite i tuoi report di monitoraggio. 

Consulta la nostra guida completa guida all'inoltro della posta o consulta le linee guida di Google ARC Sender per assicurarti che le tue configurazioni siano in linea con gli attuali standard del settore.

Tipi di inoltro delle e-mail

Comprendere i diversi livelli operativi della trasmissione aiuta a individuare dove sorgono i problemi di autenticazione. 

Inoltro a livello di server

Configurato a livello di Mail Transfer Agent (MTA) o di server di posta aziendale, questo tipo di impostazione applica regole di instradamento globali a tutti i messaggi in arrivo che soddisfano specifici criteri relativi al dominio. L'operazione avviene istantaneamente al momento della ricezione ed è particolarmente efficiente per gli alias aziendali. 

Inoltro a livello di client

Questa funzione viene configurata dai singoli utenti all'interno dei propri client di posta elettronica, come Gmail o Outlook. Si basa su regole e filtri definiti dall'utente per inoltrare i messaggi in arrivo ad account esterni, personali o secondari. 

Alias di dominio

Una configurazione in cui un intero dominio o un indirizzo specifico reindirizza automaticamente tutto il traffico in entrata verso una casella di posta di destinazione separata. Questa soluzione è comunemente utilizzata in ambito aziendale per mantenere identità pubbliche ben definite. 

Liste di distribuzione

Un sistema di diffusione in cui un'e-mail inviata a un unico indirizzo centralizzato viene automaticamente copiata e inoltrata a un gran numero di singoli iscritti. Le mailing list presentano il rischio più elevato di errore DKIM. 

Inoltro delle e-mail in Gmail e Outlook

Gmail e Microsoft 365 gestiscono l'inoltro delle e-mail tramite piattaforme cloud distinte.

Inoltro automatico delle email in Gmail

Ecco come inoltrare le email su Gmail:

Passaggio 1: vai su Impostazioni

Clicca sull' icona a forma di ingranaggio in alto a destra in Gmail, seleziona Vedi tutte le impostazionie vai alla sezione Inoltro e POP/IMAP .

  1. Clicca Aggiungi un indirizzo di inoltro e digita l'indirizzo e-mail di destinazione.
  2. Vai alla casella di posta indicata, apri l'e-mail di conferma inviata da Google e clicca sul link di verifica.

Aggiungi il nuovo indirizzo

Passaggio 3: Scegli come inoltrare

  • Per inoltrare tutto: Seleziona Inoltra una copia della posta in arrivo a…, decidere se si desidera conservare o eliminare la copia nella propria casella di posta in arrivo originale, quindi premere Salva modifiche in basso.
  • Per inoltrare determinate e-mail: Fai clic su sulla creazione di un filtro (oppure usa il menu a tendina della barra di ricerca), imposta i tuoi criteri (come un mittente specifico), seleziona Inoltralo ae clicca su Crea filtro.

Scegli come inoltrare

Cosa succede dietro le quinte?

Quando Google inoltra un messaggio, lo invia tramite i propri server. Ecco come ciò influisce sulla sicurezza della posta elettronica una volta giunta a destinazione:

  • È probabile che il controllo SPF fallisca: Poiché l'e-mail proviene dai server di Google anziché da quelli del mittente originale, i controlli SPF standard di solito falliscono.
  • Il DKIM di solito viene superato: Gmail non modifica il corpo dell'e-mail, quindi la firma DKIM del mittente originale rimane intatta.
  • Gmail aggiunge automaticamente le intestazioni ARC ai messaggi inoltrati (per ora), il che aiuta il server di destinazione a riconoscere che l'e-mail è legittima nonostante l'errore SPF.

Un consiglio veloce per gli amministratori di Workspace: Tenete d'occhio i vostri rapporti aggregati DMARC per monitorare e gestire eventuali problemi SPF causati dall'inoltro.

Inoltro delle e-mail in Outlook / Microsoft 365

Microsoft 365 (M365) offre un'ampia gamma di opzioni di instradamento della posta elettronica, ma per gestire la loro interazione con i filtri di sicurezza della posta è necessaria un'attenta configurazione.

1. Tipi di inoltro delle e-mail in M365

Gli amministratori e gli utenti possono configurare l'inoltro utilizzando tre metodi distinti:

  • Regole della Posta in arrivo: Regole individuali a livello di utente create all'interno di Outlook.
  • Regole di trasporto: Regole dettagliate a livello amministrativo configurate in Exchange Online.
  • Inoltro delle caselle di posta SMTP: Configurazioni di inoltro SMTP (Simple Mail Transfer Protocol) applicate a caselle di posta specifiche.

2. Il problema dell'autenticazione: errori SPF e ARC

Poiché l'inoltro modifica il percorso dell'e-mail, entra intrinsecamente in conflitto con i protocolli standard di autenticazione della posta elettronica:

  • Errori SPF: Durante un inoltro, l'indirizzo IP di connessione cambia in quello della rete Microsoft. Di conseguenza, il controllo SPF (Sender Policy Framework) del mittente originale fallirà alla destinazione finale.
  • Impostazione predefinita dell'intestazione ARC: Per impostazione predefinita, le regole di trasporto di M365 aggiungono le intestazioni ARC (Authenticated Received Chain) alle e-mail inoltrate in uscita per aiutare a convalidare la cronologia del messaggio.
  • Il risultato: Nonostante le intestazioni ARC, il cambiamento degli indirizzi IP porta spesso a errori di stato arc=fail per i tenant Microsoft sul lato ricevente.

3. Soluzioni e politiche amministrative

Per garantire la consegna delle e-mail ed evitare blocchi di sicurezza, gli amministratori aziendali di M365 devono gestire due impostazioni fondamentali:

  • Definizione dei sigillatori ARC attendibili: Gli amministratori dovrebbero elencare esplicitamente gli intermediari esterni affidabili come Trusted ARC Sealers nel proprio portale Microsoft Defender per migliorare la deliverability.
  • Abilita l'inoltro esterno: Microsoft applica una politica di sicurezza globale che, per impostazione predefinita, blocca l'inoltro automatico esterno nei tenant più recenti. A causa di questa misura di sicurezza, le regole di inoltro create dagli utenti falliranno silenziosamente finché un amministratore non autorizzerà esplicitamente l'inoltro esterno.

Riassunto

Gli strumenti di sicurezza di base di Internet non sono stati progettati per i messaggi che passano da un server all'altro. Quando un server inoltra un'e-mail a un altro server, modifica l'indirizzo IP del mittente e disattiva le protezioni SPF.

Ma non è necessario rinunciare all'instradamento delle e-mail per garantire un elevato livello di sicurezza. Configurazioni DKIM efficaci e protocolli ARC possono aiutarti ad assicurarti che le tue e-mail inoltrate raggiungano le caselle di posta destinatarie. 

Con PowerDMARC, puoi avere una panoramica completa della tua configurazione di inoltro delle e-mail. La nostra piattaforma ti consente di monitorare i dati aggregati DMARC, gestire complesse problematiche relative agli alias e-mail e implementare una firma ARC in uscita impeccabile su tutta la tua rete. 

Smetti di chiederti se le tue e-mail vengono recapitate. Iscriviti oggi stesso per una prova gratuita di PowerDMARC e proteggi il tuo flusso di posta dall'inizio alla fine.

Domande frequenti 

L'inoltro delle e-mail compromette l'integrità dell'SPF? 

Sì. L'SPF verifica se l'indirizzo IP del server mittente corrisponde agli indirizzi IP autorizzati presenti nei record DNS del mittente. Poiché l'inoltro invia il messaggio tramite un server intermedio, la connessione non corrisponderà al record SPF del mittente originale. Pertanto, la verifica fallirà! 

L'inoltro delle e-mail compromette il DKIM? 

Con il DKIM tradizionale, l'inoltro non funziona se una mailing list o un intermediario altera il testo dell'e-mail, aggiunge piè di pagina o modifica le intestazioni. Poiché l'hash crittografico cambia, la firma originale viene compromessa, causando errori DMARC. Secondo la bozza IETF del 17 maggio 2026, il prossimo DKIM2 gestirà l'inoltro stabilendo una catena di custodia integrata.

Anziché compromettere l'autenticazione, ogni sistema che interviene sull'e-mail registra le proprie modifiche e aggiunge la propria firma. Ciò consente ai server di ricezione di risalire senza difficoltà al mittente originale.

Perché le mie e-mail inoltrate finiscono nella cartella dello spam? 

Le e-mail inoltrate finiscono spesso nella cartella dello spam perché il cambiamento dell'IP di invio compromette la convalida SPF. Quando questo errore causa il fallimento dell'autenticazione DMARC a valle, i sistemi di posta in ricezione contrassegnano il messaggio in arrivo come non autenticato o contraffatto. 

Qual è la differenza tra l'inoltro delle e-mail e il reindirizzamento delle e-mail? 

L'inoltro delle e-mail modifica il percorso di trasmissione della posta reindirizzandola attraverso un server intermedio con un nuovo indirizzo IP, pur mantenendo i dati originali del mittente nelle intestazioni visibili. Il reindirizzamento delle e-mail indica al sistema di inviare il messaggio originale direttamente a un indirizzo secondario senza modificare le proprietà del mittente nell'intestazione né compromettere l'autenticazione. 

L'inoltro delle e-mail è sicuro? 

L'inoltro standard delle e-mail espone le intestazioni di instradamento del messaggio originale a sistemi di terze parti, complicando il tracciamento e compromettendo i protocolli di autenticazione come SPF e DMARC. Ciò rende più facile per i malintenzionati sfruttare flussi non allineati, a meno che non siano state configurate correttamente protezioni come ARC.

CTA