Tre Sigle Che Proteggono la Tua Email (e la Tua Reputazione)
Se gestisci un'azienda, le tue email devono arrivare a destinazione. E devono essere riconosciute come autentiche. Sembra scontato, ma non lo e' per niente.
Ogni giorno, milioni di email vengono inviate da truffatori che fingono di essere qualcun altro. Il tuo fornitore. La tua banca. Persino la tua stessa azienda. Si chiama spoofing e funziona perche' il protocollo email (SMTP) e' stato progettato negli anni '80, quando internet era un posto molto piu' piccolo e fidato di oggi. Di base, chiunque puo' inviare un'email "da" qualsiasi indirizzo.
Per risolvere questo problema sono nati tre protocolli di autenticazione: SPF, DKIM e DMARC. Insieme, dicono al mondo: "Le email del nostro dominio arrivano solo da questi server, sono firmate in questo modo, e se ne arriva una che non rispetta queste regole, trattala cosi'."
In questa guida li spiego uno per uno, con analogie semplici, istruzioni pratiche e gli errori da evitare.
Le Tre Analogie: Capire SPF, DKIM e DMARC in 60 Secondi
Prima di entrare nel tecnico, capiamo il concetto. Immagina che la tua azienda organizzi una festa esclusiva.
SPF = La Lista degli Invitati
SPF (Sender Policy Framework) e' come una lista all'ingresso. Tu pubblichi nel DNS del tuo dominio l'elenco dei server autorizzati a inviare email per conto tuo. Quando qualcuno riceve un'email "da" tuodominio.it, il server destinatario controlla: "Questo server e' nella lista?" Se si', entra. Se no, e' un impostore.
Praticamente dici: "Le email della mia azienda partono SOLO da questi indirizzi IP. Se ne arriva una da un IP diverso, non e' nostra."
DKIM = Il Sigillo di Ceralacca
DKIM (DomainKeys Identified Mail) e' come un sigillo di ceralacca su una lettera. Il tuo server email appone una firma crittografica invisibile su ogni messaggio in uscita. Il server destinatario verifica il sigillo usando una chiave pubblica pubblicata nel tuo DNS. Se il sigillo e' intatto, l'email non e' stata modificata durante il viaggio.
Praticamente dici: "Ogni nostra email ha un sigillo digitale. Se il sigillo e' rotto o mancante, qualcuno ha manomesso il messaggio."
DMARC = Le Istruzioni per il Buttafuori
DMARC (Domain-based Message Authentication, Reporting and Conformance) e' come le istruzioni che dai al buttafuori all'ingresso: "Se qualcuno non e' nella lista (SPF) E non ha il sigillo (DKIM), cosa devi fare? Lasciarlo entrare comunque? Metterlo in una stanza d'attesa? Mandarlo via?"
DMARC unisce SPF e DKIM e aggiunge una policy — cioe' dice ai server destinatari come comportarsi con le email che non superano i controlli. E in piu', ti manda un report giornaliero su chi sta cercando di spedire email usando il tuo dominio.
Come Funziona SPF: la Guida Passo per Passo
Cos'e' Tecnicamente
SPF e' un record TXT nel DNS del tuo dominio. Contiene la lista degli IP e dei server autorizzati a inviare email per quel dominio.
Come Si Configura
Passo 1: Identifica tutti i server che inviano email per il tuo dominio. Non solo il server di posta principale. Pensa anche a:
- Il tuo provider email (Microsoft 365, Google Workspace, etc.)
- Il servizio di newsletter (Mailchimp, Brevo, etc.)
- Il CRM che invia email automatiche
- Il sito web che invia email transazionali (conferme d'ordine, notifiche)
- Eventuali servizi di ticketing o helpdesk
Passo 2: Crea il record TXT. Esempio per un'azienda che usa Microsoft 365 e Mailchimp:
v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all
Cosa significa:
v=spf1 — versione del protocollo
include:spf.protection.outlook.com — autorizza i server Microsoft 365
include:servers.mcsv.net — autorizza i server Mailchimp
-all — rifiuta tutte le email da server non elencati (hard fail)
Passo 3: Pubblica il record nel DNS del tuo dominio (di solito tramite il pannello del registrar o del provider hosting).
Passo 4: Verifica che funzioni con il nostro tool di verifica DNS. Incolla il tuo dominio e in 30 secondi sai se SPF e' configurato correttamente.
Errori Comuni con SPF
Errore 1: Usare ~all invece di -all
Il ~all (soft fail) dice: "Se l'email non viene dai miei server, segnalala ma lasciala passare." E' come dire al buttafuori: "Se qualcuno non e' in lista, fallo entrare lo stesso ma tieni d'occhio." Nella pratica, molti server ignorano il soft fail. Usa sempre -all (hard fail) per una protezione reale.
Errore 2: Troppi include (limite 10 lookup DNS)
SPF ha un limite tecnico: massimo 10 ricerche DNS (lookup). Ogni include: conta come un lookup, e ogni include puo' contenere altri include annidati. Se superi il limite, il record SPF fallisce silenziosamente. E' come avere una lista degli invitati talmente lunga che il buttafuori rinuncia a leggerla.
Se hai molti servizi, usa strumenti di "SPF flattening" per consolidare gli IP, oppure valuta di spostare alcuni servizi su un sottodominio dedicato (es. newsletter.tuodominio.it).
Errore 3: Dimenticare un servizio
Se il tuo CRM invia email da tuodominio.it e non e' nell'SPF, quelle email falliranno il controllo. Prima di pubblicare il record, fai una lista completa di TUTTO cio' che invia email per il tuo dominio.
Come Funziona DKIM: la Guida Passo per Passo
Cos'e' Tecnicamente
DKIM usa la crittografia asimmetrica. Il tuo server email firma ogni messaggio con una chiave privata (che solo il tuo server conosce). La chiave pubblica corrispondente e' pubblicata nel DNS. Il server destinatario usa la chiave pubblica per verificare la firma.
Se la firma e' valida, significa due cose:
- L'email e' stata davvero inviata da un server che possiede la chiave privata del tuo dominio
- Il contenuto dell'email non e' stato alterato durante il transito
Come Si Configura
Passo 1: Genera una coppia di chiavi (pubblica e privata). La maggior parte dei provider email lo fa automaticamente:
- Microsoft 365: vai all'admin center, Security > Policies > DKIM. Attiva la firma per il tuo dominio. Microsoft genera le chiavi e ti dice quali record CNAME aggiungere al DNS.
- Google Workspace: vai all'admin console, App > Gmail > Autenticazione email. Genera la chiave DKIM e copia il record TXT da aggiungere al DNS.
Passo 2: Pubblica la chiave pubblica nel DNS come record TXT o CNAME (a seconda del provider). Il record ha un nome tipo selector1._domainkey.tuodominio.it.
Passo 3: Attiva la firma DKIM sulle email in uscita (di solito basta un click nel pannello del provider).
Passo 4: Verifica con il tool di verifica DNS di MailSniper.
Errori Comuni con DKIM
Errore 1: Non ruotare le chiavi
Le chiavi DKIM dovrebbero essere ruotate periodicamente (almeno ogni 6-12 mesi). Una chiave compromessa permette a un attaccante di firmare email fraudolente che superano il controllo DKIM. E' come usare lo stesso sigillo di ceralacca per anni: prima o poi qualcuno riesce a duplicarlo.
Errore 2: Chiave troppo corta
Usa chiavi di almeno 2048 bit. Le chiavi da 1024 bit, ancora comuni, sono considerate deboli e teoricamente crackabili con risorse sufficienti.
Errore 3: Firmare solo con il provider principale
Se usi Microsoft 365 per la posta e Mailchimp per le newsletter, anche Mailchimp deve firmare le email con DKIM per il tuo dominio. Altrimenti le newsletter falliranno il controllo DKIM. Verifica la configurazione su ogni servizio che invia per conto tuo.
Come Funziona DMARC: la Guida Passo per Passo
Cos'e' Tecnicamente
DMARC si costruisce sopra SPF e DKIM. Pubblica una policy nel DNS che dice ai server destinatari:
- Come verificare le email (tramite SPF, DKIM o entrambi)
- Cosa fare con le email che non superano i controlli
- Dove inviare i report sulle email ricevute
Le Tre Policy DMARC
| Policy | Significato | Livello di protezione |
|---|
p=none | Non fare nulla, solo monitoraggio | Nessuna protezione reale |
p=quarantine | Metti in spam le email non conformi | Protezione media |
p=reject | Rifiuta le email non conformi | Protezione massima |
Attenzione: p=none e' utile SOLO come primo passo temporaneo per raccogliere dati. Non protegge da nulla. Se il tuo DMARC e' su p=none da piu' di 3 mesi, stai lasciando la porta aperta. E' come avere un allarme che suona ma non chiama nessuno.
Come Si Configura
Passo 1: Assicurati che SPF e DKIM siano gia' configurati e funzionanti. DMARC senza SPF e DKIM e' inutile.
Passo 2: Inizia con p=none per raccogliere dati senza bloccare nulla:
v=DMARC1; p=none; rua=mailto:dmarc-reports@tuodominio.it; ruf=mailto:dmarc-forensic@tuodominio.it; pct=100
Cosa significa:
v=DMARC1 — versione del protocollo
p=none — policy (nessuna azione, solo monitoraggio)
rua=mailto:... — indirizzo per i report aggregati (giornalieri)
ruf=mailto:... — indirizzo per i report forensic (per singola email fallita)
pct=100 — applica la policy al 100% delle email
Passo 3: Analizza i report per 2-4 settimane. I report ti dicono chi sta inviando email dal tuo dominio e se SPF/DKIM passano. Potresti scoprire servizi che avevi dimenticato di autorizzare.
Passo 4: Passa a p=quarantine. Le email che falliscono i controlli finiranno nello spam del destinatario:
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@tuodominio.it; pct=100
Passo 5: Dopo altre 2-4 settimane senza problemi, passa a p=reject — la protezione massima:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@tuodominio.it; pct=100
Ora i server destinatari rifiuteranno le email che non superano i controlli. Nessuno potra' piu' inviare email fingendo di essere il tuo dominio.
Errori Comuni con DMARC
Errore 1: Restare su p=none per sempre
E' l'errore piu' diffuso in assoluto. Il 43% dei domini italiani con DMARC e' ancora su p=none. Monitoraggio senza azione non protegge da nulla. Usa p=none solo come fase di transizione, massimo 4 settimane.
Errore 2: Saltare direttamente a p=reject
L'errore opposto. Se passi a reject senza un periodo di monitoraggio, rischi di bloccare email legittime inviate da servizi che avevi dimenticato di autorizzare in SPF. Il percorso corretto e': none (2-4 settimane) > quarantine (2-4 settimane) > reject.
Errore 3: Non leggere i report DMARC
DMARC ti invia report preziosi. Se non li leggi, non puoi migliorare la configurazione. Usa un servizio di analisi report DMARC (ce ne sono di gratuiti) per trasformare gli XML illeggibili in dashboard comprensibili.
Errore 4: Dimenticare i sottodomini
Senza una policy specifica per i sottodomini (sp=reject), un attaccante puo' fare spoofing da fatture.tuodominio.it anche se tuodominio.it ha DMARC su reject. Aggiungi sp=reject al record:
v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc-reports@tuodominio.it; pct=100
Perche' Servono Tutti e Tre Insieme
Una domanda che ci fanno spesso: "Non basta uno solo dei tre?"
No. Ecco perche':
- Solo SPF: verifica che il server sia autorizzato, ma non garantisce che l'email non sia stata modificata durante il transito. E non dice cosa fare se il controllo fallisce.
- Solo DKIM: garantisce che l'email non sia stata alterata e che sia stata firmata dal dominio, ma non impedisce a un attaccante di inviare email da un server non autorizzato (se non firma con DKIM, semplicemente l'email arriva senza firma).
- Solo DMARC: senza SPF e DKIM, DMARC non ha nulla da verificare. E' il buttafuori senza ne' lista ne' sigilli da controllare.
Insieme creano un sistema completo:
- SPF verifica che il server e' autorizzato
- DKIM verifica che il messaggio e' autentico e integro
- DMARC lega tutto insieme e dice cosa fare in caso di fallimento
E' come una porta blindata con serratura, chiavistello e allarme. Ognuno da solo si puo' aggirare. Tutti e tre insieme rendono l'ingresso molto piu' difficile per un intruso.
Verifica la Tua Configurazione in 30 Secondi
Non sai se il tuo dominio ha SPF, DKIM e DMARC configurati? Non sai se sono configurati bene?
Usa il nostro tool gratuito di verifica DNS. Inserisci il tuo dominio e in 30 secondi ottieni:
- Lo stato di SPF: presente? Valido? Con
-all o ~all?
- Lo stato di DKIM: presente? Chiave valida? Lunghezza sufficiente?
- Lo stato di DMARC: presente? Quale policy? Report attivi?
- Eventuali errori e suggerimenti per correggerli
E' gratuito, non serve registrazione e non conserviamo i dati del tuo dominio.
Piano d'Azione: Da Zero a Protetto in 4 Settimane
Se parti da zero, ecco il piano settimana per settimana:
Settimana 1 — SPF
- Elenca tutti i servizi che inviano email dal tuo dominio
- Crea e pubblica il record SPF con
-all
- Verifica con il tool di verifica DNS
- Testa inviando un'email a un account Gmail e controlla gli header per
spf=pass
Settimana 2 — DKIM
- Attiva DKIM sul tuo provider email principale
- Pubblica la chiave pubblica nel DNS
- Ripeti per ogni servizio che invia email (newsletter, CRM, etc.)
- Verifica con il tool di verifica DNS
Settimana 3 — DMARC (monitoraggio)
- Pubblica il record DMARC con
p=none
- Configura una casella per i report (
rua=mailto:...)
- Analizza i report per individuare servizi dimenticati o problemi
Settimana 4 — DMARC (protezione)
- Se tutto e' in ordine nei report, passa a
p=quarantine
- Dopo 1-2 settimane senza problemi, passa a
p=reject
- Aggiungi
sp=reject per i sottodomini
- Verifica finale con il tool di verifica DNS
SPF, DKIM e DMARC Non Bastano (Ma Sono la Base)
Questi tre protocolli sono fondamentali. Ma da soli non fermano tutto. Non bloccano il phishing da domini esterni (proteggono solo il TUO dominio dallo spoofing). Non fermano gli attacchi BEC da account compromessi (perche' l'email viene dal server legittimo). Non analizzano il contenuto delle email.
Per una protezione completa serve un gateway email professionale che combini autenticazione DNS con analisi AI, sandboxing degli allegati, verifica delle URL in tempo reale e protezione anti-BEC comportamentale.
SPF, DKIM e DMARC sono le fondamenta. MailSniper e' l'edificio completo.
Prossimi passi: