Configurazione DKIM in Office 365: configurare la firma per Microsoft 365

Se invii e-mail tramite Microsoft 365 e non hai configurato DKIM per il tuo dominio personalizzato, le tue e-mail vengono inviate senza firma digitale. Ciò significa che i server di destinazione non hanno modo di verificare che i tuoi messaggi non siano stati alterati durante il trasferimento e che il tuo dominio è più esposto al rischio di spoofing.

La configurazione di DKIM per Office 365 è uno dei passaggi più importanti per garantire un sistema di posta elettronica sicuro e affidabile.

Questa guida ti spiega tutto: a cosa serve il DKIM, come viene gestito da Microsoft 365 e come configurarlo esattamente per il tuo dominio personalizzato.

Che cos'è il DKIM e perché è importante per Microsoft 365?

Prima di procedere con la procedura di configurazione, è opportuno capire a cosa serve DKIM e perché è un elemento fondamentale della configurazione della posta elettronica di Microsoft 365.

DomainKeys Identified Mail (DKIM) è un protocollo di autenticazione delle e-mail che aggiunge una firma digitale crittografica a ogni e-mail in uscita. Quando viene inviato un messaggio, il dominio firmatario utilizza una chiave privata per generare la firma.

Il server ricevente recupera quindi la chiave pubblica corrispondente dal DNS e la utilizza per verificare che il corpo del messaggio e le intestazioni non siano stati alterati durante il trasferimento.

Cosa fa DKIM per la tua posta elettronica

Il ruolo di DKIM a fianco di SPF e DMARC

DKIM funziona in combinazione con SPF e DMARC per formare un framework completo di autenticazione delle e-mail. Ogni protocollo copre un livello diverso:

• SPF verifica che il server mittente sia autorizzato a inviare e-mail per il tuo dominio
• DKIM verifica che il contenuto del messaggio non sia stato alterato durante il trasferimento
• DMARC applica la politica richiedendo che SPF e DKIM siano allineati con l'indirizzo del mittente

Confronto tra DKIM, SPF e DMARC

Affinché DKIM superi i controlli DMARC, il dominio nell'indirizzo "Da" deve corrispondere al dominio utilizzato nella firma DKIM. Questo requisito di allineamento è ciò che rende la combinazione di SPF, DKIM e DMARC sia così efficace contro gli attacchi di phishing e lo spoofing.

Il DKIM da solo non è sufficiente a prevenire tutti i tipi di spoofing delle e-mail. Per garantire una protezione completa, deve essere utilizzato insieme a SPF e DMARC. Più avanti in questa guida spiegheremo come implementare DMARC insieme alla configurazione DKIM di Microsoft 365.

Come Microsoft 365 gestisce il DKIM

Microsoft 365 gestisce il protocollo DKIM in modo diverso a seconda che si utilizzi il dominio predefinito onmicrosoft.com o un dominio personalizzato. Comprendere questa differenza aiuta a evitare confusione durante la configurazione.

Cosa gestisce automaticamente Microsoft

Microsoft attiva automaticamente la firma DKIM per il dominio onmicrosoft.com iniziale associato al tuo tenant Microsoft 365. Se invii messaggi solo da yourcompany.onmicrosoft.com, DKIM è già attivo senza bisogno di alcuna configurazione manuale.

Cosa richiede una configurazione manuale

È necessaria una configurazione manuale di DKIM per ogni dominio personalizzato utilizzato per l'invio di e-mail.

Se la tua organizzazione invia messaggi da un dominio personalizzato come yourcompany.com, devi creare record CNAME nel tuo DNS e abilitare la firma DKIM tramite il portale di Microsoft Defender.

Ogni sottodominio utilizzato per inviare e-mail da Microsoft 365 richiede inoltre una propria configurazione DKIM. Il protocollo DKIM non si estende automaticamente dal dominio principale ai suoi sottodomini.

Il sistema a due selettori

Microsoft 365 utilizza due selettori DKIM, selector1 e selector2, per ogni dominio personalizzato.

L'uso di due selettori consente a Microsoft di ruotare automaticamente le chiavi DKIM per garantire una maggiore sicurezza. Quando si configura DKIM, si creano record CNAME per entrambi i selettori che puntano alle chiavi pubbliche generate da Microsoft 365.

Requisiti per la configurazione di DKIM in Office 365

Prima di avviare la procedura di configurazione DKIM, assicurati che siano presenti i seguenti elementi.

Se l'SPF non è ancora configurato per il tuo dominio, configuralo prima. Per istruzioni dettagliate, consulta la nostra guida su come configurare l'SPF.

Guida passo passo: configurazione DKIM per Office 365

La configurazione di DKIM per un dominio personalizzato in Microsoft 365 prevede tre passaggi principali: recuperare i valori dei record CNAME dal portale di Microsoft Defender, pubblicare tali record nel proprio DNS e abilitare la firma DKIM una volta che i record sono stati rilevati.

Il processo richiede precisione in ogni fase. Gli errori di battitura nei valori CNAME sono la causa più comune di fallimento della configurazione DKIM, quindi dedica tutto il tempo necessario alla configurazione del DNS.

Passaggio 1: recupera i valori del record CNAME DKIM da Microsoft 365

Microsoft 365 genera i valori esatti dei record CNAME che devi pubblicare nel tuo DNS. Per trovarli:

1. Accedi al portale di Microsoft Defender
2. Vai a Posta elettronica e collaborazione > Criteri e regole > Criteri relativi alle minacce
3. Seleziona Impostazioni di autenticazione e-mail
4. Clicca sul scheda scheda
5. Seleziona il tuo dominio personalizzato dall'elenco
6. Apri il menu a comparsa con i dettagli relativi a quel dominio

Il portale mostrerà i due valori dei record CNAME necessari. Se DKIM non può ancora essere abilitato, il portale indicherà i valori da utilizzare nei record CNAME.

La sintassi di base dei record CNAME DKIM per i domini personalizzati segue questo formato:

Utilizza sempre i valori esatti indicati nel portale Defender per il tuo dominio e tenant specifici, non un modello generico.

PowerDMARC genera e verifica automaticamente i record DKIM per Office 365, eliminando gli errori manuali e garantendo una configurazione corretta sin dall'inizio. Prova il nostro strumento gratuito verificatore di record DKIM per verificare immediatamente i tuoi record.

Passaggio 2: Crea i record CNAME nel tuo DNS

Accedi al tuo registrar di domini o al tuo provider di hosting DNS e crea due nuovi record CNAME utilizzando i valori indicati nel passaggio precedente.

Aspetti fondamentali da verificare durante l'inserimento dei dati:

• Il tipo di record deve essere impostato su CNAME, non TXT né qualsiasi altro tipo
• I valori dei nomi host devono includere il prefisso completo del selettore: selector1._domainkey e selector2._domainkey
• Controlla attentamente che non ci siano errori di battitura nei valori CNAME. Gli errori commessi dal registrar del dominio sono la causa più comune di errori nella configurazione DKIM
• Non inserire più record in conflitto tra loro per lo stesso nome host

La propagazione delle modifiche al DNS a livello globale può richiedere fino a 48 ore, anche se spesso avviene molto più rapidamente. Microsoft 365 potrebbe impiegare da alcuni minuti a qualche ora per rilevare i nuovi record CNAME.

Passaggio 3: Abilitare la firma DKIM nel portale di Microsoft Defender

Una volta che i record CNAME sono stati pubblicati e si sono propagati, torna alla scheda DKIM nel portale di Microsoft Defender:

1. Scegli il tuo dominio personalizzato
2. Apri il menu a comparsa dei dettagli
3. Attiva/Disattiva Firma i messaggi per questo dominio con firme DKIM su Abilitato

Affinché la firma DKIM sia abilitata, lo stato del dominio nella scheda DKIM deve riportare valori validi. Se il portale non riesce a rilevare i tuoi record CNAME, visualizzerà un messaggio di errore insieme ai valori previsti. Verifica attentamente che i tuoi record DNS siano corretti prima di riprovare.

Dopo aver abilitato DKIM, potrebbe essere necessario un po' di tempo prima che lo stato si aggiorni e confermi che le firme DKIM vengano applicate ai messaggi in uscita.

Passaggio 4: Verificare che DKIM funzioni

Per verificare che la firma DKIM sia attiva, invia un'e-mail di prova dal tuo dominio personalizzato a un indirizzo Gmail e controlla l'intestazione del messaggio:

1. Apri l'e-mail ricevuta su Gmail
2. Clicca sul menu con i tre puntini e seleziona Mostra originale
3. Cerca il campo DKIM-Signature nell'intestazione del messaggio grezzo
4. Verifica che la firma DKIM sia presente e che il valore d= corrisponda al tuo dominio personalizzato
5. Il valore s= nell'intestazione DKIM-Signature identifica il selettore attualmente in uso

Puoi anche utilizzare gli strumenti di monitoraggio DMARC di PowerDMARC strumenti di monitoraggio DMARC per verificare l'allineamento DKIM su tutte le tue fonti di invio in un'unica dashboard.

Un risultato DKIM positivo nell'intestazione del messaggio conferma che la firma DKIM è attiva e funziona correttamente per il tuo dominio personalizzato.

Come configurare DKIM utilizzando PowerShell

Exchange Online PowerShell offre strumenti da riga di comando per automatizzare la configurazione di DKIM, abilitare o disabilitare la firma DKIM per i domini personalizzati e risolvere eventuali problemi. Questo approccio risulta particolarmente utile nella gestione di più domini o di ambienti complessi.

Per abilitare DKIM tramite PowerShell:

1. Accedi a Exchange Online

2. Estrarre i selettori DKIM di Office 365 eseguendo il seguente script:

3. Aggiungere al DNS i record CNAME forniti da Office 365.

4. Eseguire il seguente comando per abilitare il DKIM per il dominio:

Comandi comuni di PowerShell per la risoluzione dei problemi

• Verifica lo statoDKIM: Get-DkimSigningConfig -Identity “tuodominio.com”
• Disattiva DKIM: Set-DkimSigningConfig -Identity “yourdomain.com” -Enabled $false
• Bulk enable for multiple domains: Get-AcceptedDomain | ForEach {Set-DkimSigningConfig -Identity $_.Name -Enabled $true}
• Visualizza i selettori DKIM: Get-DkimSigningConfig | Seleziona Identity,Selector1CNAME,Selector2CNAME

Come verificare lo stato del record DKIM in Office 365

Dopo aver configurato DKIM, verifica che la configurazione funzioni correttamente. Ecco alcuni metodi per controllare lo stato del tuo record DKIM:

Metodo 1: Portale di Microsoft Defender

1. Accedi al portale di Microsoft Defender
2. Vai su Posta elettronica e collaborazione > Politiche e regole > Politiche sulle minacce > DKIM
3. Controlla la colonna "Stato" relativa al tuo dominio: dovrebbe riportare la dicitura "Abilitato" con dei segni di spunta verdi

Metodo 2: Strumenti di verifica DKIM online

Usa lo strumento gratuito di PowerDMARC per la ricerca dei record DKIM per convalidare istantaneamente i tuoi record DKIM. Inserisci il tuo dominio e il selettore (selector1 o selector2) per confermare la corretta pubblicazione e validità.

Metodo 3: Analisi delle intestazioni delle e-mail

Invia un'e-mail di prova e controlla le intestazioni:

• Cerca la riga "DKIM-Signature:" nelle intestazioni dell'e-mail
• Verifica che il parametro “d=” corrisponda al tuo dominio
• Verificare che il campo “Authentication-Results:” riporti il valore “dkim=pass”

Problemi comuni relativi alla convalida DKIM

• Ritardi nella propagazione del DNS: Attendere 24-48 ore per la propagazione globale
• Valori CNAME errati: Ricontrolla i valori esatti dal portale di Microsoft Defender
• Record DNS multipli: Assicurati che non esistano record DKIM in conflitto
• Impostazioni TTL: Valori TTL più bassi accelerano la propagazione durante il test

Limiti della configurazione DKIM e problemi comuni

DKIM è un potente protocollo di autenticazione delle e-mail , ma presenta alcuni vincoli tecnici che è importante comprendere prima e durante l'implementazione.

Conoscere fin dall'inizio questi limiti ti aiuta a evitare gli errori più comuni, a pianificare correttamente la configurazione e a definire aspettative realistiche su ciò che DKIM è in grado di proteggere e ciò da cui non può proteggerti da solo.

Lista di controllo degli errori comuni nella configurazione DKIM

✓ Verificare che la sintassi del record CNAME corrisponda esattamente a quella indicata nel portale di Microsoft Defender

✓ Assicurarsi che non ci siano errori di battitura nei nomi dei selettori (selector1._domainkey, selector2._domainkey)

✓ Verifica che il tipo di record DNS sia impostato su CNAME, non su TXT

✓ Verificare che il dominio sia stato verificato in Microsoft 365 prima di abilitare DKIM

✓ Attendere la propagazione del DNS (fino a 48 ore) prima di procedere alla risoluzione dei problemi

✓ Rimuovere eventuali record DKIM in conflitto o duplicati

Limiti del DKIM

Capire quali sono i limiti di DKIM è importante tanto quanto sapere come funziona. Proprio a causa di questi limiti, DKIM dovrebbe sempre essere implementato insieme a SPF e DMARC, anziché essere considerato una soluzione a sé stante.

Inoltro delle e-mail

Le firme DKIM possono andare perse durante l'inoltro delle e-mail. Quando un messaggio viene inoltrato, alcuni server di posta modificano l'intestazione o il corpo del messaggio in modi che rendono non valida la firma DKIM originale.

Questo è uno dei motivi principali per cui DMARC richiede l'allineamento sia di SPF che di DKIM, anziché basarsi su uno solo dei due.

Modifica del messaggio

Qualsiasi modifica al contenuto dell'e-mail dopo la firma invaliderà la firma DKIM. Ciò include le modifiche apportate da mailing list, gateway di posta elettronica o strumenti di filtraggio dei contenuti che alterano il corpo del messaggio o determinati campi dell'intestazione prima della consegna.

Servizi di invio di terze parti

I servizi di posta elettronica esterni che inviano messaggi per tuo conto, come piattaforme di marketing, CRM e strumenti di assistenza, potrebbero richiedere ulteriori configurazione DKIM.

In genere, ogni mittente esterno deve firmare i messaggi in uscita utilizzando il tuo dominio o il proprio, e questo deve essere verificato e preso in considerazione nella tua configurazione generale di autenticazione delle e-mail.

Ambienti ibridi

Le organizzazioni che utilizzano una combinazione di Exchange on-premise e Microsoft 365 in un ambiente ibrido potrebbero dover prestare particolare attenzione durante la configurazione della firma DKIM.

I messaggi instradati tramite server locali prima di raggiungere Microsoft 365 possono comportarsi in modo diverso rispetto all'invio esclusivamente tramite cloud, pertanto la configurazione DKIM dovrebbe tenere conto dell'intero flusso dei messaggi prima di abilitare la firma.

Soluzione: passa a PowerDMARC

L'attivazione della firma DKIM per il tuo dominio personalizzato di Microsoft 365 è un passo fondamentale per proteggere la tua posta elettronica. Tuttavia, il DKIM da solo copre solo una parte del quadro.

Senza DMARC, che garantisce la conformità e offre visibilità sul traffico e-mail, il tuo dominio rimane esposto a attacchi di spoofing e furto d'identità che DKIM da solo non è in grado di bloccare.

PowerDMARC semplifica il passaggio da una configurazione DKIM all'applicazione completa di DMARC . ConDMARC in hosting, reportistica automatizzata e una piattaforma progettata per semplificare ogni fase dell'autenticazione delle email, PowerDMARC ti offre una visibilità completa su chi sta inviando email a tuo nome e gli strumenti per proteggere il tuo dominio in modo definitivo.

Prova gratuitamente versione di prova gratuita di DMARC per valutare subito i vantaggi.

Domande frequenti

1. Come posso assicurarmi che DKIM sia abilitato per tutti i domini di Exchange Online?

Per verificare che il DKIM sia abilitato per tutti i domini di Exchange Online, controllate il portale Microsoft Defender in E-mail e collaborazione > Criteri e regole > Criteri sulle minacce > DKIM. Verificate che il DKIM sia attivato per ogni dominio personalizzato.

2. Come ruotare le chiavi DKIM in Office 365?

Per effettuare la rotazione delle chiavi DKIM in Office 365, è necessario generare nuovi record CNAME per le nuove chiavi nel proprio DNS e quindi abilitare la firma DKIM per tali chiavi nel portale di Microsoft Defender. Questa procedura contribuisce a migliorare la sicurezza aggiornando periodicamente le chiavi crittografiche che firmano le e-mail.

3. Con quale frequenza è consigliabile aggiornare le chiavi DKIM?

Si consiglia di ruotare le chiavi DKIM ogni 1-2 anni, o prima se si sospetta che le chiavi siano state compromesse. La rotazione regolare aiuta a mantenere una forte sicurezza delle e-mail e impedisce agli aggressori di sfruttare le vecchie chiavi.

4. Qual è la lunghezza consigliata per le chiavi dei record DKIM?

Microsoft Office 365 utilizza di default chiavi DKIM a 2048 bit, che garantiscono un elevato livello di sicurezza e sono considerate lo standard attuale del settore. Questa lunghezza della chiave offre un'eccellente protezione contro gli attacchi crittografici, mantenendo al contempo buone prestazioni.

5. In che modo SPF, DKIM e DMARC collaborano per proteggere la posta elettronica?

SPF autorizza i server mittenti, DKIM verifica l'integrità dei messaggi tramite firme digitali e DMARC garantisce l'applicazione delle politiche combinando i risultati di SPF e DKIM. Insieme, creano un quadro completo di autenticazione delle e-mail che protegge da spoofing e phishing e assicura che le e-mail legittime raggiungano i destinatari previsti.

6. Cosa devo fare se le firme DKIM non compaiono nelle mie e-mail in uscita?

Se le firme DKIM non compaiono nelle tue e-mail in uscita, verifica che il protocollo DKIM sia abilitato sul tuo servizio di invio e che la chiave pubblica DKIM corretta sia pubblicata nel tuo DNS. Assicurati inoltre che il selettore corrisponda e che le modifiche al DNS siano state propagate completamente. Se il problema persiste, controlla le impostazioni del tuo server di posta elettronica oppure contatta il tuo provider di posta elettronica.

7. Perché il mio record DKIM non viene convalidato in Office 365?

Tra le cause più comuni figurano i ritardi nella propagazione del DNS, valori CNAME errati, errori di digitazione nei nomi dei selettori o record DNS in conflitto. Attendere 24-48 ore per la propagazione, verificare i valori CNAME esatti dal portale di Microsoft Defender e assicurarsi che non esistano record duplicati.

8. Posso utilizzare DKIM senza SPF o DMARC in Office 365?

Sebbene DKIM possa funzionare in modo indipendente, non è consigliabile. Da solo, DKIM non è in grado di impedire efficacemente lo spoofing dei domini. Per un'autenticazione e una protezione complete delle e-mail, è necessario che tutti e tre i protocolli (SPF, DKIM e DMARC) operino in sinergia.

9. Come si aggiornano le chiavi DKIM per più domini in Office 365?

Use PowerShell for bulk operations: Get-AcceptedDomain | ForEach {Set-DkimSigningConfig -Identity $_.Name -Enabled $false; Set-DkimSigningConfig -Identity $_.Name -Enabled $true}. This disables and re-enables DKIM for all domains, forcing key regeneration.

• Informazioni su
• Ultimi messaggi

Yunes Tarada

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.

Ultimi messaggi di Yunes Tarada (vedi tutti)

• compauth=fail: Spiegazione dell'autenticazione composita di Microsoft - 1 giugno 2026
• Windows Defender è sufficiente per la sicurezza delle piccole imprese? - 14 maggio 2026
• DMARCbis: cosa cambia e come prepararsi - 16 aprile 2026