Qual è il record SPF predefinito per DreamHost?

v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net -all. DreamHost aggiunge automaticamente queste righe per tutti i domini che utilizzano la posta elettronica DreamHost. Non è necessaria alcuna configurazione manuale se DreamHost è l'unico mittente delle tue e-mail.

Come posso integrare DreamHost SPF con Google Workspace?

Crea un unico record combinato che includa entrambi i set di meccanismi: v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com -all Aggiungendo solo l'SPF di Google si rimuove il record predefinito di DreamHost, compromettendo il funzionamento della posta elettronica di DreamHost. Includi sempre entrambi.

DreamHost configura automaticamente il DKIM?

Sì, per i domini che utilizzano l'email ospitata da DreamHost con SMTP. Il record DKIM viene creato automaticamente e le email vengono firmate quando vengono inviate tramite il server di posta di DreamHost. Tuttavia, le email inviate tramite PHP Mail (moduli di contatto di WordPress senza SMTP) NON sono firmate con DKIM. Installa WP Mail SMTP per risolvere il problema.

Perché le mie e-mail di DreamHost finiscono nella cartella dello spam?

Tra le cause più comuni figurano la mancanza o l'errata configurazione del record SPF (soprattutto dopo l'aggiunta di un mittente di terze parti, che sostituisce quello predefinito di DreamHost), la mancata applicazione del DKIM perché le email vengono inviate tramite PHP mail anziché SMTP, l'assenza di un record DMARC pubblicato o nameserver che puntano a Cloudflare mentre i record DNS sono presenti solo nel pannello di controllo di DreamHost. Esegui una scansione gratuita con il Domain Analyzer di PowerDMARC per individuare con esattezza il problema.

Posso avere due record SPF su DreamHost?

No. La RFC 7208 impone un unico record TXT SPF per dominio. Se esistono due record che iniziano con v=spf1, SPF restituisce un PermError e l'autenticazione fallisce. Unire tutti i mittenti autorizzati in un unico record.

Selettore DKIM: configurazione, ricerca e gestione del selettore DKIM

I punti chiave da prendere in considerazione

A selettore DKIM è il valore s= nell'intestazione DKIM-Signature che indica ai server di posta riceventi dove trovare la chiave pubblica corrispondente nel DNS.
I selettori DKIM consentono di utilizzare contemporaneamente più chiavi di firma su diversi provider di servizi di posta elettronica (ESP) come Microsoft 365, Google Workspace, HubSpot e SendGrid.
Una corretta gestione dei selettori è fondamentale per la verifica DKIM, l'allineamento DMARC, la rotazione delle chiavi e il mantenimento della deliverability delle e-mail su larga scala.
Comuni errori DKIM sono solitamente causati da selettori mancanti, record DNS non corretti, chiavi a 2048 bit troncate o discrepanze nell'allineamento DMARC.
Le organizzazioni che utilizzano più ESP dovrebbero tenere un inventario centralizzato dei selettori attivi, dei programmi di rotazione e dei domini di firma per evitare problemi di consegna e di conformità.

Che cos'è un selettore DKIM?

Un selettore DKIM è una breve stringa di testo inclusa nell'intestazione di un'e-mail firmata con DKIM che indica al server di posta ricevente dove trovare la chiave pubblica corrispondente nel DNS. È definito nel tag `s=` dell'intestazione DKIM-Signature.

Ogni firma DKIM include un valore di selettore. Il selettore, insieme al dominio firmatario indicato dal tag `d=`, forma un percorso di query DNS che punta a un record TXT specifico contenente la chiave pubblica utilizzata per verificare la firma.

Ecco come appare il selettore all'interno dell'intestazione di un'e-mail:

Firma DKIM: v=1; a=rsa-sha256; d=example.com; s=selector1;
c=relaxed/relaxed; q=dns/txt; h=da:a:oggetto:data;
bh=abc123…=; b=xyz789…=

In questo esempio, `selector1` è il selettore DKIM. Il server ricevente effettuerà una richiesta a `selector1._domainkey.example.com` per recuperare la chiave pubblica.

Spesso le organizzazioni utilizzano più chiavi di firma contemporaneamente, a seconda delle loro esigenze di posta elettronica. Ogni chiave dispone di un proprio selettore, quindi entrambe possono coesistere sotto lo stesso dominio senza conflitti.

I selettori consentono inoltre di effettuare la rotazione delle chiavi senza tempi di inattività. È possibile pubblicare una nuova chiave sotto un nuovo selettore mentre quello vecchio rimane attivo, per poi effettuare il passaggio una volta completata la propagazione.

Come funzionano i selettori DKIM?

Quando un server di posta in arrivo riceve un'e-mail firmata con DKIM, legge il selettore (`s=`) e il dominio (`d=`) dall'intestazione dell'e-mail, effettua una query DNS all'indirizzo `{selettore}._domainkey.{dominio}`, recupera la chiave pubblica dal record TXT risultante e utilizza tale chiave per verificare la firma crittografica del messaggio.

Ecco la procedura passo dopo passo:

Passaggio 1: il server mittente firma l'e-mail

Prima che l'e-mail lasci il server di posta in uscita (o ESP), il server utilizza la propria chiave privata per generare una firma crittografica sui campi di intestazione specificati e sul corpo del messaggio. Questa firma, insieme al valore del selettore e al dominio di firma, viene aggiunta all'e-mail come intestazione `DKIM-Signature`.

Fase 2: Il server ricevente estrae il selettore e il dominio

Quando l'e-mail arriva nella posta in arrivo, il server di ricezione analizza l'intestazione `DKIM-Signature` ed estrae due valori:

Il selettore da `s=`
Il dominio a partire da `d=`.

Fase 3: Il server di destinazione interroga il DNS

The server constructs a DNS query by combining the selector, the fixed string `_domainkey`, and the domain: {selector}._domainkey.{domain} → TXT record

Ad esempio, se `s=google` e `d=example.com`, la query DNS è: google._domainkey.example.com

Passaggio 4: il DNS restituisce la chiave pubblica

Il record TXT in quel percorso DNS contiene la chiave pubblica e i parametri associati:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAO…

Passaggio 5: Il server ricevente verifica la firma

Il server utilizza la chiave pubblica per verificare la firma crittografica presente nell'intestazione dell'e-mail.

Se la firma corrisponde, il controllo DKIM ha esito positivo.
Se manca la chiave, il record è non valido.
Se la firma non corrisponde, DKIM fallisce.

Il selettore collega l'intestazione dell'e-mail al record DNS perché senza il record DNS il server ricevente non avrebbe modo di individuare la chiave pubblica corretta, specialmente quando un dominio pubblica più chiavi DKIM per servizi diversi.

Sintassi e formato del selettore DKIM

I selettori DKIM devono rispettare le regole sintattiche specifiche definite in RFC 6376.

Caratteri consentiti:

Caratteri alfanumerici (a–z, A–Z, 0–9)
Trattini (-)
Punti (.) nei selettori in stile sottodominio

Limiti:

Nella risoluzione DNS, i selettori non distinguono tra maiuscole e minuscole, anche se l'uso delle minuscole è la prassi standard.
L'RFC 6376 non specifica una lunghezza massima, ma si applicano i limiti pratici del DNS. La maggior parte delle implementazioni mantiene i selettori al di sotto dei 63 caratteri (la lunghezza massima consentita per le etichette DNS).
I selettori non possono iniziare o terminare con un trattino.
I punti nei selettori creano gerarchie di sottodomini nella query DNS. Ad esempio, `2024.jan._domainkey.example.com` è un percorso di query valido se il selettore è `2024.jan`.

Il formato del record TXT DNS nel percorso del selettore contiene i seguenti tag:

Tag	Significato	Descrizione
v=	Consigliato	Versione (deve essere DKIM1)
k=	Opzionale	Tipo di chiave (impostazione predefinita: «rsa»; supporta anche «ed25519»)
p=	Richiesto	Chiave pubblica codificata in Base64 (un valore vuoto revoca la chiave)
t=	Opzionale	Flag (ad es., «t=s» per l'allineamento rigoroso dei domini, «t=y» per la modalità di prova)
h=	Opzionale	Algoritmi di hash accettabili
s=	Opzionale	Tipo di servizio (il valore predefinito è «*», che indica tutti i servizi)

Nota: le chiavi RSA a 2048 bit generano stringhe di chiave pubblica che superano il limite di 255 caratteri per una singola stringa TXT DNS. Il DNS gestisce questa situazione tramite record TXT a stringhe multiple, in cui il valore viene suddiviso in più stringhe racchiuse tra virgolette che il resolver concatena secondo la specifica RFC 6376. Tuttavia, non tutte le interfacce di gestione DNS gestiscono questa situazione in modo efficiente, il che è una causa comune di errori DKIM

Come trovare il selettore DKIM

Esistono quattro metodi affidabili per individuare i selettori DKIM in uso per un determinato dominio. Ciascuno presenta vantaggi diversi a seconda che si abbia il controllo del dominio, l'accesso alle intestazioni delle e-mail o che si stia effettuando una verifica dall'esterno.

Metodo 1: Controllare le intestazioni delle e-mail

Controllare le intestazioni delle e-mail è il metodo più diretto. Apri un messaggio inviato dal dominio in questione e visualizza le intestazioni complete dell'e-mail.

In Gmail: apri il messaggio → clicca sul menu con i tre puntini → «Mostra originale».
In Outlook: apri il messaggio → File → Proprietà → «Intestazioni Internet».
In Apple Mail: Visualizza → Messaggio → Tutte le intestazioni.

Cerca l'intestazione `DKIM-Signature` e individua il tag `s=`. Quel valore è il selettore.

Se l'e-mail è passata attraverso più servizi di firma, è possibile che venga visualizzata più di un'intestazione `DKIM-Signature`, ciascuna con un selettore diverso.

Metodo 2: Utilizzare uno strumento di verifica DKIM

Se conosci il nome del selettore, puoi interrogare direttamente il record DKIM all'indirizzo selector._domainkey.example.com. Ricerca del record DKIM di PowerDMARC, MXToolbox o i comandi DNS da riga di comandocome dig e nslookup possono restituireil record TXT pubblicato per quel selettore.

Utilizzando dig:

bash

dig TXT selector1._domainkey.example.com +short

Utilizzo di nslookup:

bash

nslookup -q=TXT selector1._domainkey.example.com

Questo metodo richiede che tu conosca già il nome del selettore oppure che provi i valori predefiniti più comuni.

La funzione di ricerca DKIM di PowerDMARC è in grado di rilevare automaticamente i selettori per molti domini, convalidare la sintassi DKIM, identificare i record mancanti o non corretti e aiutare a risolvere i problemi comuni di configurazione DKIM.

Metodo 3: Controlla la console di amministrazione del tuo ESP

La maggior parte dei provider di servizi di posta elettronica mostra il selettore DKIM e la chiave pubblica nelle proprie impostazioni di autenticazione. Ad esempio:

Google Workspace: Console di amministrazione → App → Google Workspace → Gmail → Autenticazione e-mail
Microsoft 365: Portale Defender → Criteri e regole → Criteri relativi alle minacce → Autenticazione e-mail → DKIM
Mailchimp: Sito web → Domini → Autenticazione → Impostazioni DKIM

Metodo 4: Rapporti aggregati DMARC

Questo è il metodo più efficace per individuare tutti i selettori che firmano attivamente le e-mail per il tuo dominio, compresi quelli di cui potresti non essere a conoscenza.

Rapporti aggregati DMARC (rapporti RUA) includono i risultati dell'autenticazione DKIM per ogni messaggio ricevuto dai server di posta che inviano i rapporti. Ogni risultato include il selettore utilizzato, il dominio di firma e lo stato di superamento/fallimento.

Se la tua organizzazione utilizza più provider di servizi di posta elettronica (ESP) o se servizi di terze parti effettuano l'accesso per tuo conto, i rapporti DMARC metteranno in evidenza selettori che potresti non individuare semplicemente controllando le intestazioni. Ciò è particolarmente utile per individuare servizi di posta elettronica "shadow IT" che sono stati autorizzati in passato e non sono mai stati disattivati.

PowerDMARC analizza automaticamente analizza automaticamente questi report aggregati e mostra tutti i selettori DKIM attivi per dominio in un'unica dashboard, eliminando la necessità di estrarre manualmente e incrociare i dati XML provenienti da più fonti di reportistica.

Note: There is no DNS wildcard or enumeration method to discover all selectors under `_domainkey.{domain}`. DNS does not support listing all subrecords of a zone from the outside. You cannot brute-force all possible selectors. The four methods above are the practical options.

5. Selettori DKIM predefiniti ESP: Tabella di riferimento 2026

Una delle operazioni più comuni nella gestione del DKIM consiste nell'identificare a quale servizio di posta elettronica appartiene un determinato selettore. La tabella sottostante elenca i selettori DKIM predefiniti utilizzati dai 14 principali ESP all'inizio del 2026.

Importante: Gli ESP possono modificare i selettori predefiniti in qualsiasi momento e alcune piattaforme assegnano selettori specifici per account o casuali. Verifica sempre il selettore visualizzato nella tua console di amministrazione ESP confrontandolo con questa tabella.

ESP/Piattaforme di posta elettronica	Selettori predefiniti	Tipo di chiave	Nota
Spazio di lavoro Google	Google	RSA a 2048 bit	Configurabile tramite la console di amministrazione
Microsoft 365	`selettore1`, `selettore2`	RSA a 2048 bit	Utilizza due selettori per la rotazione automatica. La propagazione completa della rotazione può richiedere fino a 96 ore
Amazon SES	Il formato varia a seconda della regione, ad esempio `224i4yxa5dv7c2xz3..`	RSA a 2048 bit	Unico per ogni set di configurazione. Verificare nella console SES
Mailchimp	`k1`	RSA a 2048 bit	Verifica le impostazioni di autenticazione del dominio dell'account
SendGrid (Twilio	`s1`, `s2`	RSA a 2048 bit	Rotazione automatica delle chiavi tra `s1` e `s2`
Timbro postale	Basato sulla data, ad esempio `20221121	RSA a 2048 bit	Basato su CNAME; il selettore cambia a rotazione
Salesforce Marketing Cloud	Dipende dalla configurazione dell'account	RSA	La configurazione DKIM di SFMC varia notevolmente a seconda del tipo di account, della configurazione SAP e delle impostazioni del dominio di invio. Verifica le impostazioni specifiche del tuo account
HubSpot	`hs1`, `hs2`	RSA a 2048 bit	Configurato tramite le impostazioni di connessione al dominio
Zohomail	`zoho`	RSA a 1024 bit (impostazione predefinita)	1024 bit per impostazione predefinita; nelle impostazioni di amministrazione è possibile passare a 2048 bit
Contatto costante	Controlla nelle impostazioni dell'account	RSA	I nomi dei selettori possono variare a seconda dell'account. Verifica nella tua dashboard di autenticazione
Klaviyo	Controlla nelle impostazioni dell'account	RSA	I nomi dei selettori possono variare. Verifica nelle impostazioni di autenticazione del dominio di Klaviyo
Campagna attiva	Controlla nelle impostazioni dell'account	RSA	I nomi dei selettori possono variare. Verifica nella pagina di autenticazione e-mail del tuo account
Brevo (precedentemente Sendinblue)	Controlla nelle impostazioni dell'account	RSA	Conferma il selettore nel pannello delle impostazioni di dominio di Brevo
Mimecast	`mimecast20190104` (formato di esempio)	RSA a 2048 bit	Formato con data stampata. Selettore effettivo rilasciato durante la procedura di inserimento

Se il tuo dominio invia e-mail tramite tre o quattro di queste piattaforme contemporaneamente, avrai tre o quattro selettori DKIM attivi nel tuo DNS, e ciascuno di essi dovrà essere monitorato, verificato e sottoposto a rotazione in modo indipendente.

La gestione di più selettori DKIM su diversi provider di servizi di posta elettronica (ESP) diventa complessa su larga scala, soprattutto quando ogni piattaforma presenta programmi di rotazione, formati dei selettori e requisiti DNS diversi.

PowerDMARC Hosted DKIM aiuta a centralizzare la gestione dei selettori tramite un'unica dashboard, rendendo più semplice aggiungere, ruotare, convalidare e monitorare i selettori DKIM senza dover modificare ripetutamente i record DNS manualmente.

Inizia una prova gratuita

Convenzioni di denominazione e migliori pratiche

I selettori DKIM possono essere denominati praticamente in qualsiasi modo, purché rispettino le regole sintattiche. In assenza di una convenzione di denominazione coerente, la gestione dei selettori si complica rapidamente man mano che vengono aggiunti nuovi servizi e le chiavi vengono sostituite.

Modelli di denominazione consigliati

Un approccio strutturato alla denominazione rende molto più semplice identificare la titolarità, monitorare le rotazioni, risolvere i guasti ed evitare confusione operativa in futuro.

Modello 1: ESP + Data

Esempi:

google-2026-1° trimestre
sendgrid-202601
hubspot-2025q4

Questo è il modello più utile dal punto di vista operativo. A colpo d'occhio è possibile identificare a quale servizio appartiene la chiave e quando è stata sostituita l'ultima volta. Durante un audit, è possibile segnalare immediatamente qualsiasi selettore con una data risalente a più di 12 mesi fa.

Modello 2: Funzione di servizio + Sequenza

Esempi:

marketing-01
transazionale-01
aziendale-01

Utile quando più provider di servizi di posta elettronica (ESP) gestiscono lo stesso dominio e si desidera organizzare i selettori in base al flusso di posta piuttosto che al fornitore.

Modello 3: impostazioni predefinite ESP (senza denominazione personalizzata)

Molti ESP non consentono di personalizzare i nomi dei selettori. Google Workspace utilizza sempre `google`. Microsoft 365 utilizza `selector1` e `selector2`. In questi casi, è necessario utilizzare ciò che la piattaforma mette a disposizione e gestire la mappatura esternamente.

Pratiche da evitare nella scelta dei nomi

I nomi mal strutturati o eccessivamente generici possono creare confusione durante gli audit, la risoluzione dei problemi e la rotazione delle chiavi, specialmente in ambienti con più ESP e un numero elevato di selettori attivi. Evitate le seguenti pratiche di denominazione:

Nomi generici privi di contesto: `key1`, `test`, `dkim` non forniscono alcuna informazione sull'ESP o sullo stato di rotazione.
Selettori contenenti informazioni sensibili: Non includere dettagli sull'infrastruttura interna, nomi host dei server o identificativi dei dipendenti nei nomi dei selettori. I nomi dei selettori sono visibili pubblicamente tramite DNS.
Selettori eccessivamente lunghi: Sebbene tecnicamente siano consentiti fino a 63 caratteri, i selettori con più di 30 caratteri aggiungono una complessità non necessaria ai record DNS e ai comandi di ricerca.

Configurare un unico dominio con un unico provider di servizi di posta elettronica (ESP) è semplice. Basta generare una coppia di chiavi, pubblicare la chiave pubblica sotto il selettore dell'ESP e il gioco è fatto. Le difficoltà operative iniziano quando lo stesso dominio invia e-mail tramite più piattaforme.

Un quadro operativo per la gestione

Il seguente ciclo di vita in cinque fasi offre un approccio strutturato alla gestione dei selettori:

Fase 1: Inventario

Documentare ogni selettore DKIM attivo selettore DKIM per ogni dominio che gestisci, includendo l'ESP, la lunghezza della chiave, la data di pubblicazione e la persona o il team responsabile. I report aggregati DMARC sono il modo più veloce per creare questo inventario perché rivelano ogni selettore che attualmente firma la posta per il tuo dominio, compresi quelli che nessuno ricorda di aver configurato.

Fase 2: Verifica

Per ogni selettore presente nel tuo inventario, esegui una query DNS per verificare che la chiave pubblica sia pubblicata e formattata correttamente. Invia un'e-mail di prova tramite ciascun ESP e verifica che il controllo DKIM abbia esito positivo. Controlla la lunghezza delle chiavi e contrassegna eventuali selettori che utilizzano una chiave a 1024 bit.

Fase 3: Standardizzazione

Adottate una convenzione di denominazione e applicatela a tutti i selettori di cui avete la gestione. Per gli ESP che utilizzano nomi di selettori fissi, documentate chiaramente la corrispondenza. Stabilite un programma di rotazione e assegnate le responsabilità.

Fase 4: Monitoraggio.

Utilizza i report aggregati DMARC per monitorare costantemente i tassi di superamento/fallimento DKIM per ciascun selettore. Un improvviso aumento del tasso di fallimenti su un selettore specifico indica solitamente una modifica al DNS, la scadenza di una chiave o una modifica alla configurazione presso l'ESP.

Fase 5: Messa fuori servizio

Quando smetti di utilizzare un ESP, revoca la sua chiave DKIM pubblicando un valore `p=` vuoto nel record DNS del selettore. Non limitarti a cancellare il record DNS. Un valore `p=` vuoto indica esplicitamente ai server destinatari che la chiave è stata revocata. La cancellazione completa del record comporta un errore di risoluzione DNS, il che è ambiguo e può essere interpretato in modi diversi dai vari destinatari.

PowerDMARC fornisce una dashboard centralizzata che mappa tutti i selettori DKIM attivi su ogni dominio del tuo account, estraendo simultaneamente i dati dai report aggregati DMARC e dal monitoraggio DNS. Per gli MSP che gestiscono ampi portafogli di clienti, questo sostituisce il monitoraggio basato su fogli di calcolo che diventa ingestibile oltre le poche decine di domini.

Rotazione delle chiavi DKIM e strategia di selezione

La rotazione delle chiavi DKIM consiste nel generare una nuova coppia di chiavi e pubblicare la nuova chiave pubblica sotto un selettore nuovo (o aggiornato), per poi configurare il servizio di invio in modo che utilizzi la nuova chiave privata per la firma.

Una chiave privata DKIM che rimane invariata per anni rappresenta un rischio crescente. Se la chiave viene compromessa a causa di una violazione del server, di una minaccia interna o di una vulnerabilità nel sistema di archiviazione delle chiavi, un malintenzionato può firmare e-mail che superano l'autenticazione DKIM a nome del vostro dominio. Una rotazione regolare limita il periodo di esposizione al rischio.

Come ruotare le chiavi DKIM senza interruzioni di servizio

Il processo di rotazione standard utilizza due selettori in sequenza:

Genera una nuova coppia di chiavi: Crea una nuova coppia di chiavi RSA (o Ed25519) a 2048 bit.
Pubblica la nuova chiave pubblica sotto un nuovo selettore: Ad esempio, se il selettore attuale è `google-2025q3`, pubblica la nuova chiave sotto `google-2026q1`.
Attendere la propagazione del DNS: Attendere dalle 24 alle 48 ore affinché il nuovo record TXT si propaghi a livello globale. Per Microsoft 365 in particolare, attendere fino a 96 ore per la propagazione completa.
Aggiornare la configurazione della firma: Configurare l'ESP o il server di posta per firmare i messaggi in uscita utilizzando la nuova chiave privata e il nuovo selettore.
Verifica: Invia messaggi di prova e verifica che DKIM superi il controllo con il nuovo selettore.
Revoca la vecchia chiave: Dopo un periodo di transizione (in genere da 7 a 14 giorni, per consentire la consegna dei messaggi in transito firmati con la vecchia chiave), pubblicare un valore `p=` vuoto per il vecchio selettore.

Rotazione delle chiavi DKIM in ambienti con più provider di servizi di posta elettronica

Ogni ESP è dotato di un proprio meccanismo di rotazione:

Microsoft 365: offre la rotazione integrata dei selettori tra `selector1` e `selector2`. Avvia la rotazione tramite il portale Defender.
SendGrid: alterna automaticamente tra `s1` e `s2`.
Google Workspace: richiede la rigenerazione manuale della chiave tramite la Console di amministrazione.
La maggior parte delle piattaforme di marketing: richiedono una rotazione manuale tramite le impostazioni di autenticazione del dominio.

Effettuare la rotazione di tutti i selettori nello stesso giorno crea una finestra di rischio concentrata e complica la risoluzione dei problemi in caso di guasti. È consigliabile distribuire le rotazioni su settimane o mesi diversi.

La funzionalità DKIM in hosting di PowerDMARC gestisce la generazione delle chiavi, la pubblicazione DNS e la rotazione dei selettori per tutti i domini del tuo account, con programmi di rotazione configurabili per dominio e per ESP.

Inizia una prova gratuita

Errori comuni relativi al selettore DKIM e come risolverli

Quando il DKIM non funziona, la causa è quasi sempre riconducibile a uno dei pochi errori di configurazione del selettore o del DNS. La tabella sottostante illustra gli errori più comuni, i relativi sintomi e le soluzioni.

Errore	Sintomo	Causa	Fissare
Selettore non trovato	Risultato DKIM: `permerror` o `none`; la query DNS restituisce NXDOMAIN	Il record TXT DNS del selettore non esiste o è pubblicato con un percorso errato.	Verify the full DNS path: `{selector}._domainkey.{domain}`. Check for typos in the selector name and domain. Confirm the record exists using `dig TXT {selector}._domainkey.{domain}`.
La chiave pubblica è vuota	Risultato DKIM: `fail`	Il record TXT esiste ma contiene `p=` senza alcun valore, il che indica che la chiave è stata revocata	Si tratta di un comportamento intenzionale per i selettori disattivati. Se la chiave deve essere attiva, ripubblica il valore completo della chiave pubblica.
La chiave pubblica è troncata	Risultato DKIM: `fail`; il valore `p=` sembra troncato	Le chiavi RSA a 2048 bit generano stringhe Base64 che superano il limite di 255 caratteri previsto per i record TXT del DNS. Alcune interfacce di gestione del DNS troncano silenziosamente i valori troppo lunghi invece di suddividerli in record composti da più stringhe, come previsto dalla RFC 6376.	Verifica che il tuo provider DNS gestisca correttamente i record TXT composti da più stringhe. Il valore della chiave pubblica deve essere suddiviso in più stringhe racchiuse tra virgolette all'interno di un unico record TXT (ad es., `"v=DKIM1; k=rsa; p=MIIBIjAN..." "BgkqhkiG9w0B..."`). Alcuni provider DNS richiedono di inserire il valore come una singola stringa ininterrotta e gestiscono la suddivisione automaticamente. Altri richiedono la suddivisione manuale. Esegui un test con `dig TXT` e verifica che venga restituita la chiave completa. Se il tuo provider DNS tronca il valore senza avvisarti, valuta la possibilità di cambiare provider o di utilizzare una configurazione DKIM basata su CNAME in cui l'ESP ospita il record TXT.
Discrepanza nel tipo di chiave	Risultato DKIM: `fail`	Il tag `k=` nel record DNS indica un algoritmo diverso da quello utilizzato dal server di firma. Ad esempio, `k=rsa` nel DNS, ma l'e-mail è stata firmata con Ed25519	Assicurati che il tag `k=` corrisponda all'algoritmo di firma. Se utilizzi sia RSA che Ed25519, ciascuno richiede un proprio selettore e il relativo record DNS
Errore di sintassi nel record TXT	Risultato DKIM: `permerror`	Mancanza di punti e virgola, spazi superflui all'interno dei valori dei tag o nomi di tag errati nel record TXT del DNS	Confronta il tuo file con le specifiche. Ogni coppia tag-valore deve essere separata da un punto e virgola. Il valore `p=` deve contenere solo caratteri Base64 validi, senza spazi né interruzioni di riga all'interno della stringa codificata
Allineamento errato del dominio	Il DKIM viene superato, ma il DMARC fallisce	Il dominio `d=` nella firma DKIM non corrisponde al dominio `From:`. Il selettore e la chiave sono corretti, ma il dominio di firma non è valido ai fini del DMARC.
Il CNAME non viene risolto	Risultato DKIM: `temperror` o `none`	Alcuni ESP utilizzano i record CNAME per indirizzare il percorso di selezione verso la propria infrastruttura DNS. Se il record CNAME è danneggiato o il record di destinazione è mancante, la ricerca fallisce	Verify the CNAME resolves correctly: `dig CNAME {selector}._domainkey.{domain}`. Then verify the destination TXT record exists and contains the public key

Il problema del troncamento a 2048 bit in dettaglio

Quando le organizzazioni passano da chiavi DKIM a 1024 bit a quelle a 2048 bit (dato che l'RSA a 1024 bit è considerato poco sicuro ai fini del DKIM), la lunghezza della chiave pubblica codificata in base64 raddoppia all'incirca. La stringa risultante supera in genere i 400 caratteri.

I record TXT del DNS hanno un limite di 255 caratteri per stringa all'interno del record. La soluzione, definita nella RFC 6376, consiste nel suddividere il valore in più stringhe all'interno di un unico record TXT. I server di posta in arrivo concatenano automaticamente queste stringhe.

La maggior parte delle interfacce di gestione DNS più diffuse non gestisce questa situazione in modo efficiente:

Alcune interfacce troncano il valore a 255 caratteri senza avvisare l'utente.
Alcune interfacce rifiutano completamente l'inserimento con un messaggio di errore generico.
Alcune interfacce richiedono che l'amministratore divida manualmente la stringa e racchiuda ogni segmento tra virgolette.

Se pubblichi una chiave a 2048 bit e DKIM inizia immediatamente a dare errore, controlla la risposta DNS effettiva utilizzando `dig` o `nslookup`. Confronta il valore `p=` restituito con la chiave pubblica completa della tua coppia di chiavi. Se il valore restituito è più corto, significa che il tuo provider DNS lo ha troncato.

Per evitare che ciò accada:

Utilizza un provider DNS che supporti nativamente i record TXT lunghi (Cloudflare, AWS Route 53 e la maggior parte delle piattaforme DNS aziendali gestiscono correttamente questa funzionalità).
Utilizza il DKIM basato su CNAME, in cui il percorso DNS del selettore punta a un record CNAME ospitato dall'ESP. L'ESP gestisce il record TXT sulla propria infrastruttura, evitando così completamente il problema.
Se devi utilizzare un provider che richiede la suddivisione manuale, suddividi la chiave in stringhe di massimo 250 caratteri, ciascuna racchiusa tra virgolette, all'interno di un unico record TXT.

Selettori DKIM e allineamento DMARC

DKIM e DMARC sono protocolli distinti, ma interagiscono in un modo che spesso coglie di sorpresa molti amministratori. Può capitare che DKIM superi il controllo mentre DMARC fallisce. Quando ciò accade, la causa è quasi sempre una discrepanza nell'allineamento dei domini, legata al modo in cui il dominio di firma del selettore si rapporta al dominio dell'intestazione `From:`.

Come funziona l'allineamento DMARC con DKIM

DMARC richiede che almeno un meccanismo di autenticazione (SPF o DKIM) superi il controllo e sia allineato con il dominio indicato nell'intestazione `From:`.

Per l'allineamento DKIM , il dominio `d=` nell'intestazione DKIM-Signature deve corrispondere al dominio nell'intestazione `From:`. Il selettore stesso non viene valutato ai fini dell'allineamento. L'allineamento si basa esclusivamente sul dominio `d=`.

DMARC supporta due modalità di allineamento:

Modo	Requisiti	Esempio
Rilassato (impostazione predefinita)	Il dominio `d=` deve essere uguale al dominio `From:` o un suo sottodominio (o viceversa)	`d=mail.example.com` corrisponde a `From: [email protected]`
Rigoroso	Il dominio `d=` deve corrispondere esattamente al dominio `From:`. \|	`d=mail.example.com` non corrisponde a `From: [email protected]`

I due casi in cui DKIM viene superato ma DMARC fallisce

Uno dei risultati più sconcertanti nell'autenticazione delle e-mail è vedere che DKIM viene superato mentre DMARC continua a fallire. Ciò accade solitamente quando la firma è valida, ma il dominio firmatario non corrisponde correttamente al dominio "Da:" visibile utilizzato nel messaggio.

Scenario 1: un provider di servizi di posta elettronica (ESP) di terze parti utilizza il proprio dominio

Alcuni provider di servizi di posta elettronica (ESP), qualora DKIM non sia stato configurato esplicitamente per il proprio dominio, firmano i messaggi in uscita utilizzando il proprio dominio nel campo `d=`. Ad esempio, un'e-mail inviata per conto di `[email protected]` potrebbe riportare una firma DKIM con `d=esp-provider.com`.

La verifica DKIM ha esito positivo (la firma è valida), ma DMARC fallisce perché `esp-provider.com` non corrisponde a `example.com`.

Configura la firma DKIM nell'ESP in modo da utilizzare il tuo dominio nel tag `d=`. In genere, ciò comporta l'aggiunta del selettore DKIM dell'ESP come record DNS sotto il tuo dominio e l'attivazione della firma DKIM personalizzata nelle impostazioni dell'ESP.

Scenario 2: Firma dei sottodomini con allineamento DMARC rigoroso

Se la tua politica DMARC utilizza l'allineamento rigoroso (`adkim=s`) e il tuo ESP firma con `d=sub.example.com` mentre l'indirizzo `From:` utilizza `example.com`, il controllo DMARC fallirà anche se DKIM viene superato.

Passa a un allineamento flessibile (`adkim=r`, che è l'impostazione predefinita) oppure assicurati che il dominio `d=` nella firma DKIM corrisponda esattamente al dominio `From:`.

Verifica dell'allineamento tra diversi fornitori di servizi di hosting

Negli ambienti con più ESP, ogni piattaforma di invio può utilizzare domini `d=` diversi per la firma. Un ESP potrebbe firmare con il tuo dominio principale, un altro con un sottodominio, mentre un terzo potrebbe utilizzare di default il proprio dominio finché non configuri una firma personalizzata.

I report aggregati DMARC mostrano il dominio `d=` e il risultato dell'allineamento per ogni messaggio firmato con DKIM. Esamina questi report per individuare eventuali ESP che effettuano la firma con un dominio non allineato. I report DMARC di PowerDMARC evidenziano gli errori di allineamento per ogni fonte di invio, rendendo semplice identificare quale ESP necessiti di una riconfigurazione.

Conclusione

Le organizzazioni che considerano la gestione dei selettori una pratica operativa continua, anziché un'attività di configurazione una tantum, sono quelle che garantiscono una deliverability costante, superano gli audit senza intoppi e reagiscono rapidamente agli incidenti.

Se gestisci più di una manciata di domini o collabori con diversi fornitori di servizi di posta elettronica (ESP), vale la pena investire nella centralizzazione della visibilità del tuo selettore DKIM.

PowerDMARC offre questa visione centralizzata, integrando l'analisi dei report aggregati DMARC, il monitoraggio DNS e la gestione DKIM in hosting in un'unica interfaccia progettata proprio per questo tipo di complessità operativa.

Gestisci con facilità i selettori DKIM su più provider di servizi di posta elettronica. Iscriviti per una prova per monitorare i record DKIM, migliorare l'allineamento DMARC e proteggere la deliverability delle email.

Domande frequenti

Come faccio a trovare il mio selettore DKIM?

Puoi trovare il tuo selettore DKIM visualizzando le intestazioni complete di un'e-mail e individuando il campo DKIM-Signature . Il valore dopo s= è il selettore. Ad esempio, in s=google, il selettore è google.

Quanti selettori DKIM può avere un dominio?

Non esiste un limite tecnico al numero di selettori DKIM che un dominio può avere. Le organizzazioni utilizzano comunemente più selettori contemporaneamente per diversi provider di posta elettronica, reparti o periodi di rotazione delle chiavi.

È possibile che più provider di servizi di posta elettronica (ESP) utilizzino selettori DKIM diversi sullo stesso dominio?

Sì. Ogni provider di servizi di posta elettronica utilizza solitamente un proprio selettore DKIM. Ad esempio, Google Workspace, SendGrid e Mailchimp possono tutti avere selettori distinti sotto lo stesso dominio senza che ciò crei conflitti.

Qual è la differenza tra un selettore DKIM e una chiave DKIM?

Il selettore è l'etichetta utilizzata per individuare il record DKIM nel DNS, mentre la chiave DKIM è l'effettiva coppia di chiavi crittografiche pubblica/privata utilizzata per firmare e verificare le e-mail.

Perché DKIM viene superato ma DMARC continua a fallire?

Questo di solito accade a causa di un errore di allineamento DMARC. La firma DKIM potrebbe risultare valida, ma il d= nel campo DKIM non corrisponde al campo From: utilizzato nell'e-mail.

Con quale frequenza è opportuno aggiornare i selettori e le chiavi DKIM?

Le migliori pratiche di sicurezza raccomandano di sostituire le chiavi DKIM ogni 6-12 mesi. Durante la sostituzione, sia i selettori vecchi che quelli nuovi dovrebbero rimanere attivi temporaneamente per evitare errori di convalida durante la propagazione del DNS.

Informazioni su
Ultimi messaggi

Melika

Ultimi post di Melika (vedi tutti)

Che cos'è un selettore DKIM e come gestirlo su più ESP? - 26 maggio 2026
Verifica SPF in Exchange: come verificare, pubblicare e correggere i record SPF in Exchange - 20 maggio 2026
Come configurare un record SPF per Gmail - 17 febbraio 2026

Che cos'è un selettore DKIM e come gestirlo su più provider di servizi di posta elettronica?