Che cos'è l'autenticazione e-mail? Protocolli, configurazione e importanza

Ogni giorno, miliardi di messaggi e-mail viaggiano attraverso Internet tramite server di posta e servizi di terze parti. Senza un modo per verificare chi li ha effettivamente inviati, chiunque può falsificare gli indirizzi dei mittenti e impersonare il tuo dominio.

L'autenticazione delle e-mail risolve questo problema. Se configurata correttamente, protegge il tuo marchio dall'usurpazione di identità, garantisce che le tue e-mail legittime raggiungano la casella di posta del cliente invece della cartella spam e ti offre visibilità su come viene utilizzato il tuo dominio.

Con Google, Yahoo, Microsoft e Apple che ora applicano severi requisiti di autenticazione per i mittenti di email di massa, configurare un'autenticazione adeguata non è più facoltativo. Questa guida spiega cos'è l'autenticazione delle email, come funziona ciascun protocollo, perché è importante per la deliverability delle tue email e la reputazione del mittente e come configurarla correttamente.

Cos'è l'autenticazione e-mail?

L'autenticazione delle e-mail è un processo utilizzato per verificare la fonte e la legittimità di un messaggio e-mail. Si tratta di un insieme di standard progettati per identificare e impedire la consegna di messaggi e-mail provenienti da mittenti falsificati.

Questi standard aiutano i fornitori di servizi di posta elettronica a combattere lo spam e i tentativi di phishing, proteggendo in ultima analisi i destinatari delle e-mail dai messaggi fraudolenti.

Fondamentalmente, l'autenticazione delle e-mail aiuta i provider a verificare l'origine di un messaggio per determinare se proviene da una fonte affidabile o se è stato falsificato. Ciò avviene attraverso una combinazione di protocolli di autenticazione delle e-mail, in particolare SPF, DKIM e DMARC, che vengono pubblicati come record TXT nel Domain Name System (DNS).

Quando un server di posta in arrivo controlla un messaggio in arrivo, fa riferimento a questi record DNS per confermare la proprietà del dominio del mittente e decidere se consegnare l'e-mail alla casella di posta in arrivo, indirizzarla allo spam o rifiutarla completamente.

Perché l'autenticazione delle e-mail è importante?

Forse ti starai chiedendo se l'autenticazione delle e-mail valga davvero la pena. La risposta breve è "sì"; saltarla comporta rischi reali per la tua attività.

Protegge la reputazione del tuo marchio

L'autenticazione delle e-mail protegge la reputazione del marchio impedendo ai truffatori di utilizzare il tuo dominio per inviare messaggi fraudolenti.

Quando gli aggressori falsificano il tuo dominio, i destinatari associano il tentativo di phishing al tuo marchio, anche se non hai nulla a che fare con esso. L'autenticazione delle e-mail è essenziale per proteggere la reputazione del tuo marchio e garantire che la fiducia dei clienti rimanga intatta.

Previene il phishing e lo spoofing

L'autenticazione delle e-mail impedisce il il phishing e lo spoofing rendendo molto più difficile per i truffatori impersonare marchi o individui affidabili.

SPF, DKIM e DMARC collaborano per verificare l'identità del mittente prima che il messaggio raggiunga il destinatario.

Senza questi controlli, gli hacker possono falsificare liberamente gli indirizzi dei mittenti e lanciare campagne di compromissione delle e-mail aziendali.

Migliora la consegnabilità delle e-mail

Le e-mail autenticate hanno meno probabilità di essere contrassegnate come spam da provider come Gmail o Outlook, garantendo che i messaggi legittimi raggiungano la casella di posta in arrivo. Una corretta autenticazione delle e-mail migliora la deliverability e la reputazione del mittente, assicurando agli ISP che il mittente sia legittimo.

Molti provider di servizi di posta elettronica e provider di caselle di posta richiedono ora la configurazione di DKIM e DMARC per garantire la corretta consegna delle e-mail, e il rispetto di questi standard comporta tassi di consegna nella casella di posta in arrivo più elevati.

Soddisfa i requisiti di conformità

Le organizzazioni che non adottano l'autenticazione delle e-mail potrebbero incorrere in problemi di conformità con i principali provider di posta elettronica, che richiedono sempre più spesso questi protocolli per i mittenti di e-mail in massa.

Google, Yahoo, Microsoft e Apple richiedono tutti SPF, DKIM e DMARC per i domini che inviano più di 5.000 email al giorno. Google ha iniziato ad applicare rigorosamente tali requisiti nel novembre 2025, rifiutando le email non conformi.

La mancata autenticazione può influire direttamente sulla consegna delle tue e-mail.

Ti offre visibilità e controllo

L'autenticazione delle e-mail, in particolare DMARC, fornisce ai proprietari dei domini rapporti sull'utilizzo del proprio dominio per l'invio di posta elettronica. Questi rapporti rivelano mittenti non autorizzati, errori di autenticazione e tentativi di spoofing, fornendo i dati necessari per intervenire.

Senza autenticazione, non è possibile avere visibilità sulle prestazioni e sulla sicurezza delle e-mail nell'infrastruttura di invio.

Funge da vantaggio strategico

L'autenticazione delle e-mail rappresenta un vantaggio strategico nel competitivo mercato digitale. Le organizzazioni che effettuano un'autenticazione corretta instaurano un rapporto di fiducia più solido con i destinatari, riscontrano meno problemi di consegna e proteggono la propria infrastruttura di invio da abusi.

In un contesto in cui i provider di posta elettronica premiano sempre più spesso i mittenti correttamente autenticati, agire in questo modo ti consentirà di superare i concorrenti che non lo fanno.

Lettura consigliata: Che cos'è il phishing basato sull'intelligenza artificiale? Una guida alle minacce informatiche emergenti

Protocolli fondamentali di autenticazione e-mail

Ora che avete compreso l'importanza dell'autenticazione delle e-mail, esaminiamo i protocolli specifici che la rendono possibile. Ciascuno di essi gestisce una parte diversa del processo di verifica.

SPF (Sender Policy Framework)

Il Sender Policy Framework è il primo livello di difesa in qualsiasi sistema di autenticazione delle e-mail. L'SPF impedisce lo spoofing delle e-mail specificando gli indirizzi IP autorizzati che possono inviare e-mail da un dominio.

Convalida le fonti solo per i mittenti nel dominio MAIL FROM e non tiene conto del dominio nell'indirizzo del mittente. Questa distinzione è importante perché SPF si concentra sulla busta del messaggio (il Return-Path), non sull'indirizzo che il destinatario vede nella propria casella di posta. Se l'IP di invio corrisponde al record SPF, l'e-mail viene accettata. In caso contrario, il controllo fallisce.

DKIM (DomainKeys Identified Mail)

Mentre SPF verifica il server di invio, DKIM verifica che il contenuto dell'e-mail non sia stato manomesso durante il transito.

Aggiunge una firma digitale alle e-mail utilizzando chiavi crittografiche. Il server del mittente firma l'e-mail con una chiave privata, generando una firma DKIM univoca che viene allegata alle intestazioni del messaggio. Inoltre, il server ricevente recupera la chiave pubblica corrispondente pubblicata nei record DNS del mittente e la utilizza per verificare la firma.

Se la firma DKIM corrisponde alla chiave pubblica e il contenuto non è stato modificato, l'autenticazione DKIM viene superata. Ciò conferma che il messaggio è stato effettivamente inviato dal dominio dichiarato e non è stato alterato tra il server del mittente e quello del destinatario.

DMARC (Autenticazione, segnalazione e conformità dei messaggi basati sul dominio)

DMARC è il protocollo che riunisce tutti questi elementi. Verifica se l'e-mail in arrivo supera i controlli SPF o DKIM e se il dominio utilizzato in tali controlli corrisponde al dominio nell'indirizzo del mittente. Questo requisito di corrispondenza è ciò che rende DMARC così efficace nell'individuare i messaggi contraffatti che potrebbero sfuggire ai soli controlli SPF o DKIM.

Specifica l'azione che il sistema di posta elettronica di destinazione deve intraprendere sui messaggi che non superano i controlli DMARC.

Oltre le nozioni di base: metodi aggiuntivi di autenticazione delle e-mail

Il trio fondamentale composto da SPF, DKIM e DMARC copre la maggior parte delle esigenze di autenticazione delle e-mail. Tuttavia, esistono altri metodi di autenticazione che estendono la protezione a scenari specifici.

ARC (Catena di ricezione autenticata)

Se inoltri e-mail tramite mailing list, sistemi di ticketing o altri servizi di terze parti, potresti aver notato che i messaggi inoltrati a volte non superano i controlli SPF o DKIM. ARC risolve questo problema.

ARC conserva i risultati dell'autenticazione originale per le e-mail inoltrate, contribuendo a risolvere i problemi di autenticazione SPF e DKIM dovuti ai server intermedi. Quando un'e-mail passa attraverso un intermediario affidabile, ARC registra i risultati dell'autenticazione ad ogni salto e crea una catena firmata crittograficamente.

Il server di ricezione finale può quindi verificare questa catena per confermare che l'e-mail sia stata autenticata in origine, anche se il processo di inoltro ha compromesso la firma SPF o DKIM originale.

MTA-STS (Mail Transfer Agent Strict Transport Security)

MTA-STS migliora la sicurezza richiedendo connessioni SMTP crittografate tra i server di posta. Impedisce agli aggressori di intercettare o declassare il traffico e-mail in testo semplice tramite attacchi man-in-the-middle.

Quando MTA-STS è configurato, comunica ai server di invio che devono utilizzare la crittografia TLS durante la consegna della posta al tuo dominio e che devono rifiutare la consegna se non è possibile stabilire una connessione sicura.

BIMI (Indicatori di marca per l'identificazione dei messaggi)

BIMI (Brand Indicators for Message Identification) visualizza un logo verificato del marchio nella casella di posta del destinatario accanto ai messaggi autenticati, fornendo una prova visiva della legittimità.

Affinché BIMI funzioni, il tuo dominio deve avere una politica DMARC di almeno p=quarantine. BIMI aggiunge un livello di riconoscimento del marchio che aiuta i destinatari a identificare immediatamente le tue e-mail come autentiche, il che può migliorare i tassi di apertura e rafforzare la fiducia nel client di posta elettronica del destinatario.

Lettura consigliata: Come creare e pubblicare un record BIMI

Come autenticare la tua email: configurazione passo dopo passo

Se stai cercando informazioni su come autenticare le e-mail, il processo consiste nel configurare tre record DNS che i server di posta in arrivo utilizzano per convalidare ogni messaggio inviato dal tuo dominio.

Ogni metodo di autenticazione e-mail punta a un diverso livello di verifica, dagli indirizzi IP autorizzati e le firme digitali all'applicazione delle politiche. Ecco una guida dettagliata alla configurazione completa, dal primo record TXT a un sistema di autenticazione completamente applicato.

Fase 1: Verifica la tua infrastruttura di invio

Prima di pubblicare qualsiasi record DNS, mappa tutte le fonti che inviano messaggi e-mail per conto del tuo dominio.

Ciò include i server di posta elettronica principali, le piattaforme di automazione del marketing, i sistemi CRM, gli strumenti di assistenza tecnica, i software di fatturazione e qualsiasi altro servizio di terze parti come Google Apps o i provider di posta elettronica transazionale.

Molti errori di autenticazione derivano da fonti di invio trascurate, quindi questa verifica è essenziale per un'implementazione corretta.

Passaggio 2: Pubblica il tuo record SPF

Crea un singolo record TXT nel DNS del tuo dominio che elenchi tutti gli indirizzi IP autorizzati e i servizi di invio. Il record SPF indica al server di posta ricevente quali fonti sono autorizzate a inviare posta dal dominio del mittente.

Tenete presente che ogni include conta ai fini del limite di ricerca DNS SPF 10. Se il tuo record SPF supera questo limite, l'intero controllo di autenticazione SPF fallirà per tutti i messaggi.

Lo strumento di appiattimento SPF di PowerDMARC può aiutarti a rimanere entro i limiti.

Passaggio 3: configurare la firma DKIM

Genera una coppia di chiavi DKIM tramite il tuo provider di servizi di posta elettronica o il tuo server di posta.

La chiave privata rimane sul server di invio e firma ogni messaggio in uscita. La chiave pubblica viene pubblicata come record TXT nel DNS del dominio in modo che i server di ricezione possano verificare la firma DKIM.

Una volta configurato, ogni messaggio e-mail in uscita riporta una firma crittografica DKIM nell'intestazione dell'e-mail. Il server di posta ricevente recupera la chiave pubblica dal DNS del mittente, verifica la firma e conferma che il messaggio non sia stato alterato durante il trasferimento.

Passaggio 4: aggiungi il tuo record DMARC

Pubblica un record TXT DMARC nel tuo DNS che specifichi come i server riceventi devono gestire gli errori di autenticazione. Inizia con una politica di solo monitoraggio, in modo da poter osservare i risultati dell'autenticazione prima di intraprendere azioni coercitive.

Fase 5: Test e convalida

Invia e-mail di prova da ogni fonte di invio identificata nel passaggio 1 e controlla le intestazioni dei messaggi.

L'intestazione Authentication-Results mostrerà se ogni messaggio ha superato i controlli SPF, DKIM e DMARC. L'utilizzo di un provider di servizi di posta elettronica può semplificare questo processo, poiché molti ESP offrono diagnostiche di autenticazione integrate.

PowerDMARC fornisce un'analisi istantanea del dominio con i suoi strumenti di ricerca gratuiti SPF, DKIM e DMARC, in modo da poter convalidare la configurazione in pochi secondi.

Utilizza il nostro Domain Analyzer per convalidare https://powerdmarc.com/domain-analyzer/ 

Come si controlla se l'e-mail è autenticata? 

Esistono diversi modi per verificare se la tua email è autenticata.

Verificare se l'autenticazione e-mail è già configurata può essere fondamentale per la salute del tuo dominio. Ciò può fornirti informazioni importanti sul livello di protezione delle tue e-mail contro gli attacchi informatici. Inoltre, conferma la validità delle configurazioni di autenticazione e-mail esistenti.

Verifica manuale dell'autenticazione e-mail

1. Per verificare se le tue e-mail sono autenticate manualmente, devi inviare un'e-mail di prova dal tuo dominio a un account a cui hai accesso.

2. Clicca sui 3 puntini nell'angolo in alto a destra e seleziona "Mostra originale".

3. In una nuova scheda appariranno le intestazioni originali del messaggio. È possibile controllare il riepilogo del messaggio per SPF, DKIM e DMARC.

4. Scorri verso il basso per visualizzare le intestazioni dettagliate e cerca i campi "dkim=", "spf=" e "dmarc=".

Questo conferma che le vostre e-mail sono autenticate. 

Verifica automatica dell'autenticazione delle e-mail

Esiste un modo molto più semplice per verificare e testare l'autenticità delle tue e-mail. Richiede solo pochi secondi del tuo tempo e un solo clic. Ecco come fare:

1. Iscriviti gratuitamente a PowerDMARC e vai al PowerAnalyzer.

2. Inserisci il tuo nome di dominio e clicca su "Cerca".

3. Esamina le informazioni di autenticazione della tua posta elettronica con l'aiuto di un rapporto completo, generato appositamente per il tuo dominio.

4. Scorri verso il basso per ulteriori informazioni sui protocolli e sulle configurazioni di autenticazione della tua e-mail.

Questo metodo è più semplice rispetto a quello manuale. Il rapporto generato contiene un punteggio basato sulla sicurezza della tua sicurezza della posta elettronica e fornisce una visibilità molto maggiore sulle impostazioni di autenticazione.

Migliori pratiche di autenticazione e-mail

La pubblicazione dei record DNS è solo il primo passo. Per garantire nel tempo un elevato livello di sicurezza e deliverability delle e-mail, segui queste best practice.

Inizia con il monitoraggio, poi applica le regole

Quando configuri DMARC per la prima volta, inizia con una politica di p=none per raccogliere dati sul traffico e-mail senza influire sulla consegna.

Analizza i report per identificare tutte le fonti di invio legittime, correggi le configurazioni errate e poi passa gradualmente alla p=quarantine e p=reject man mano che acquisisci sicurezza.

Mantieni aggiornati i registri SPF

Ogni volta che aggiungi o rimuovi un servizio di invio (una nuova piattaforma di marketing, CRM, helpdesk o altri servizi di terze parti), aggiorna il tuo record SPF.

Un record obsoleto può causare il fallimento dei controlli di autenticazione delle e-mail legittime. Inoltre, occorre tenere presente il limite di 10 ricerche DNS per SPF. Il superamento di tale limite causa il fallimento dell'intero controllo SPF.

Ruota regolarmente le chiavi DKIM

La rotazione delle chiavi DKIM riduce il rischio di compromissione delle chiavi. La pratica migliore consiste nel ruotare le chiavi ogni 6-12 mesi. Se sospetti che la tua chiave privata sia stata compromessa, procedi immediatamente alla rotazione.

Monitorare continuamente i rapporti DMARC

Controllare regolarmente i controlli SPF o DKIM tramite il proprio report DMARC è una buona pratica per garantire la consegna continua delle e-mail.

I rapporti rivelano fonti di invio configurate in modo errato, mittenti non autorizzati e tentativi di spoofing prima che causino danni reali. L'impostazione di più metodi di autenticazione e-mail e il monitoraggio regolare delle loro prestazioni sono fondamentali per un'efficace consegna delle e-mail.

Autenticare tutte le fonti di invio

Molte organizzazioni dimenticano di autenticare le e-mail inviate tramite servizi di terze parti come piattaforme di marketing, software di assistenza tecnica o sistemi di fatturazione.

Ogni servizio che invia e-mail per conto del tuo dominio deve essere incluso nel tuo record SPF e configurato con la firma DKIM. La mancanza anche di una sola fonte può causare errori di autenticazione e problemi di consegna.

Costruisci una base più solida per l'autenticazione delle e-mail con PowerDMARC

L'autenticazione delle e-mail protegge il tuo dominio, la tua deliverability e i tuoi destinatari.

Poiché i provider di posta elettronica continuano ad alzare il livello dei requisiti necessari affinché i messaggi e-mail raggiungano la casella di posta dei clienti, le organizzazioni che investono ora in un'autenticazione adeguata eviteranno interruzioni, proteggeranno il proprio marchio dall'usurpazione di identità e manterranno la fiducia che hanno costruito con il proprio pubblico.

Per i team che gestiscono più domini, servizi di terze parti e infrastrutture di invio in continua evoluzione, PowerDMARC offre una piattaforma centralizzata che semplifica l'intero processo.

Dalla configurazione iniziale e dalla gestione DNS ospitata all'analisi DMARC basata sull'intelligenza artificiale e all'applicazione guidata delle politiche, ti offre gli strumenti per passare dal monitoraggio alla protezione completa in tutta sicurezza.

Inizia la tua prova gratuita di 15 giorni per scoprire come PowerDMARC può aiutarti ad autenticare ogni email inviata dal tuo dominio.

Domande frequenti (FAQ)

1. Come posso autenticare la mia e-mail?

Per autenticare la tua email, devi implementare i protocolli SPF, DKIM e DMARC. Inizia creando un record SPF che elenchi gli indirizzi IP autorizzati, quindi configura DKIM con firme crittografiche e infine imposta DMARC per definire le politiche per l'autenticazione non riuscita. Utilizza i record DNS per pubblicare queste configurazioni e monitorare i risultati tramite i report DMARC.

2. Cosa significa quando l'autenticazione dell'e-mail non riesce?

L'autenticazione e-mail non riesce quando un'e-mail non supera i controlli SPF, DKIM o DMARC. Ciò può verificarsi a causa di record DNS errati, fonti di invio non autorizzate o errori di configurazione. L'autenticazione non riuscita può comportare che le e-mail vengano contrassegnate come spam, messe in quarantena o rifiutate completamente, a seconda delle politiche del server di posta elettronica del destinatario.

3. Come posso verificare se un'e-mail è autentica?

Per verificare la legittimità delle e-mail, controlla le intestazioni delle e-mail per i risultati dell'autenticazione (stato di superamento/fallimento di SPF, DKIM, DMARC), esamina il dominio del mittente alla ricerca di variazioni sospette, cerca i loghi BIMI di marchi affidabili e presta attenzione alle richieste urgenti o agli allegati inaspettati. Utilizza strumenti di sicurezza per le e-mail e verifica sempre le richieste sensibili attraverso canali di comunicazione alternativi.

4. Quali sono i principali protocolli di autenticazione delle e-mail?

I tre principali protocolli di autenticazione delle e-mail sono SPF (Sender Policy Framework), che autorizza gli indirizzi IP a inviare e-mail, DKIM (DomainKeys Identified Mail), che utilizza firme crittografiche per verificare l'integrità dei messaggi, e DMARC (Domain-based Message Authentication, Reporting & Conformance), che garantisce l'applicazione delle politiche e la reportistica. Altri protocolli includono BIMI per la visualizzazione del logo del marchio e MTA-STS per la sicurezza del trasporto.

5. Perché la mia e-mail non supera l'autenticazione sui dispositivi mobili?

Gli errori di autenticazione della posta elettronica mobile si verificano spesso a causa di impostazioni del server errate, configurazioni obsolete del client di posta elettronica o problemi con le password specifiche dell'app. Sugli iPhone, assicurati di utilizzare le impostazioni IMAP/SMTP corrette e abilita l'autenticazione OAuth 2.0, se disponibile. Consigliamo inoltre di utilizzare password specifiche dell'app per i client di posta elettronica meno recenti che non supportano i moderni metodi di autenticazione.

6. Quanto tempo occorre affinché le modifiche all'autenticazione delle e-mail abbiano effetto?

Le modifiche al DNS per l'autenticazione delle e-mail richiedono in genere 24-48 ore per propagarsi a livello globale, anche se alcune modifiche potrebbero essere visibili entro poche ore. Il tempo effettivo dipende dalle impostazioni TTL (Time To Live) del DNS e dal proprio provider DNS. Si consiglia di attendere almeno 24 ore prima di testare l'autenticazione dopo aver apportato modifiche al DNS e di monitorare i rapporti DMARC per diversi giorni per garantire una corretta implementazione.

• Informazioni su
• Ultimi messaggi

Maitham Al Lawati

Esperto di sicurezza informatica, CEO di PowerDMARC

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

• Statistiche relative al phishing via e-mail e al DMARC: tendenze 2026 in materia di sicurezza delle e-mail - 6 gennaio 2026
• Come risolvere il problema "Nessun record SPF trovato" nel 2026 - 3 gennaio 2026
• SPF Permerror: come risolvere il problema di un numero eccessivo di ricerche DNS - 24 dicembre 2025