SPF, DKIM e DMARC: la Guida Definitiva per le PMI

Tre Sigle Che Proteggono la Tua Email (e la Tua Reputazione)

Se gestisci un'azienda, le tue email devono arrivare a destinazione. E devono essere riconosciute come autentiche. Sembra scontato, ma non lo e' per niente.

Ogni giorno, milioni di email vengono inviate da truffatori che fingono di essere qualcun altro. Il tuo fornitore. La tua banca. Persino la tua stessa azienda. Si chiama spoofing e funziona perche' il protocollo email (SMTP) e' stato progettato negli anni '80, quando internet era un posto molto piu' piccolo e fidato di oggi. Di base, chiunque puo' inviare un'email "da" qualsiasi indirizzo.

Per risolvere questo problema sono nati tre protocolli di autenticazione: SPF, DKIM e DMARC. Insieme, dicono al mondo: "Le email del nostro dominio arrivano solo da questi server, sono firmate in questo modo, e se ne arriva una che non rispetta queste regole, trattala cosi'."

In questa guida li spiego uno per uno, con analogie semplici, istruzioni pratiche e gli errori da evitare.

Le Tre Analogie: Capire SPF, DKIM e DMARC in 60 Secondi

Prima di entrare nel tecnico, capiamo il concetto. Immagina che la tua azienda organizzi una festa esclusiva.

SPF = La Lista degli Invitati

SPF (Sender Policy Framework) e' come una lista all'ingresso. Tu pubblichi nel DNS del tuo dominio l'elenco dei server autorizzati a inviare email per conto tuo. Quando qualcuno riceve un'email "da" tuodominio.it, il server destinatario controlla: "Questo server e' nella lista?" Se si', entra. Se no, e' un impostore.

Praticamente dici: "Le email della mia azienda partono SOLO da questi indirizzi IP. Se ne arriva una da un IP diverso, non e' nostra."

DKIM = Il Sigillo di Ceralacca

DKIM (DomainKeys Identified Mail) e' come un sigillo di ceralacca su una lettera. Il tuo server email appone una firma crittografica invisibile su ogni messaggio in uscita. Il server destinatario verifica il sigillo usando una chiave pubblica pubblicata nel tuo DNS. Se il sigillo e' intatto, l'email non e' stata modificata durante il viaggio.

Praticamente dici: "Ogni nostra email ha un sigillo digitale. Se il sigillo e' rotto o mancante, qualcuno ha manomesso il messaggio."

DMARC = Le Istruzioni per il Buttafuori

DMARC (Domain-based Message Authentication, Reporting and Conformance) e' come le istruzioni che dai al buttafuori all'ingresso: "Se qualcuno non e' nella lista (SPF) E non ha il sigillo (DKIM), cosa devi fare? Lasciarlo entrare comunque? Metterlo in una stanza d'attesa? Mandarlo via?"

DMARC unisce SPF e DKIM e aggiunge una policy — cioe' dice ai server destinatari come comportarsi con le email che non superano i controlli. E in piu', ti manda un report giornaliero su chi sta cercando di spedire email usando il tuo dominio.

Come Funziona SPF: la Guida Passo per Passo

Cos'e' Tecnicamente

SPF e' un record TXT nel DNS del tuo dominio. Contiene la lista degli IP e dei server autorizzati a inviare email per quel dominio.

Come Si Configura

Passo 1: Identifica tutti i server che inviano email per il tuo dominio. Non solo il server di posta principale. Pensa anche a:

• Il tuo provider email (Microsoft 365, Google Workspace, etc.)
• Il servizio di newsletter (Mailchimp, Brevo, etc.)
• Il CRM che invia email automatiche
• Il sito web che invia email transazionali (conferme d'ordine, notifiche)
• Eventuali servizi di ticketing o helpdesk

Passo 2: Crea il record TXT. Esempio per un'azienda che usa Microsoft 365 e Mailchimp:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

Cosa significa:

• v=spf1 — versione del protocollo
• include:spf.protection.outlook.com — autorizza i server Microsoft 365
• include:servers.mcsv.net — autorizza i server Mailchimp
• -all — rifiuta tutte le email da server non elencati (hard fail)

Passo 3: Pubblica il record nel DNS del tuo dominio (di solito tramite il pannello del registrar o del provider hosting).

Passo 4: Verifica che funzioni con il nostro tool di verifica DNS. Incolla il tuo dominio e in 30 secondi sai se SPF e' configurato correttamente.

Errori Comuni con SPF

Errore 1: Usare ~all invece di -all

Il ~all (soft fail) dice: "Se l'email non viene dai miei server, segnalala ma lasciala passare." E' come dire al buttafuori: "Se qualcuno non e' in lista, fallo entrare lo stesso ma tieni d'occhio." Nella pratica, molti server ignorano il soft fail. Usa sempre -all (hard fail) per una protezione reale.

Errore 2: Troppi include (limite 10 lookup DNS)

SPF ha un limite tecnico: massimo 10 ricerche DNS (lookup). Ogni include: conta come un lookup, e ogni include puo' contenere altri include annidati. Se superi il limite, il record SPF fallisce silenziosamente. E' come avere una lista degli invitati talmente lunga che il buttafuori rinuncia a leggerla.

Se hai molti servizi, usa strumenti di "SPF flattening" per consolidare gli IP, oppure valuta di spostare alcuni servizi su un sottodominio dedicato (es. newsletter.tuodominio.it).

Errore 3: Dimenticare un servizio

Se il tuo CRM invia email da tuodominio.it e non e' nell'SPF, quelle email falliranno il controllo. Prima di pubblicare il record, fai una lista completa di TUTTO cio' che invia email per il tuo dominio.

Come Funziona DKIM: la Guida Passo per Passo

Cos'e' Tecnicamente

DKIM usa la crittografia asimmetrica. Il tuo server email firma ogni messaggio con una chiave privata (che solo il tuo server conosce). La chiave pubblica corrispondente e' pubblicata nel DNS. Il server destinatario usa la chiave pubblica per verificare la firma.

Se la firma e' valida, significa due cose:

1. L'email e' stata davvero inviata da un server che possiede la chiave privata del tuo dominio
2. Il contenuto dell'email non e' stato alterato durante il transito

Come Si Configura

Passo 1: Genera una coppia di chiavi (pubblica e privata). La maggior parte dei provider email lo fa automaticamente:

• Microsoft 365: vai all'admin center, Security > Policies > DKIM. Attiva la firma per il tuo dominio. Microsoft genera le chiavi e ti dice quali record CNAME aggiungere al DNS.
• Google Workspace: vai all'admin console, App > Gmail > Autenticazione email. Genera la chiave DKIM e copia il record TXT da aggiungere al DNS.

Passo 2: Pubblica la chiave pubblica nel DNS come record TXT o CNAME (a seconda del provider). Il record ha un nome tipo selector1._domainkey.tuodominio.it.

Passo 3: Attiva la firma DKIM sulle email in uscita (di solito basta un click nel pannello del provider).

Passo 4: Verifica con il tool di verifica DNS di MailSniper.

Errori Comuni con DKIM

Errore 1: Non ruotare le chiavi

Le chiavi DKIM dovrebbero essere ruotate periodicamente (almeno ogni 6-12 mesi). Una chiave compromessa permette a un attaccante di firmare email fraudolente che superano il controllo DKIM. E' come usare lo stesso sigillo di ceralacca per anni: prima o poi qualcuno riesce a duplicarlo.

Errore 2: Chiave troppo corta

Usa chiavi di almeno 2048 bit. Le chiavi da 1024 bit, ancora comuni, sono considerate deboli e teoricamente crackabili con risorse sufficienti.

Errore 3: Firmare solo con il provider principale

Se usi Microsoft 365 per la posta e Mailchimp per le newsletter, anche Mailchimp deve firmare le email con DKIM per il tuo dominio. Altrimenti le newsletter falliranno il controllo DKIM. Verifica la configurazione su ogni servizio che invia per conto tuo.

Come Funziona DMARC: la Guida Passo per Passo

Cos'e' Tecnicamente

DMARC si costruisce sopra SPF e DKIM. Pubblica una policy nel DNS che dice ai server destinatari:

1. Come verificare le email (tramite SPF, DKIM o entrambi)
2. Cosa fare con le email che non superano i controlli
3. Dove inviare i report sulle email ricevute

Le Tre Policy DMARC

Attenzione: p=none e' utile SOLO come primo passo temporaneo per raccogliere dati. Non protegge da nulla. Se il tuo DMARC e' su p=none da piu' di 3 mesi, stai lasciando la porta aperta. E' come avere un allarme che suona ma non chiama nessuno.

Come Si Configura

Passo 1: Assicurati che SPF e DKIM siano gia' configurati e funzionanti. DMARC senza SPF e DKIM e' inutile.

Passo 2: Inizia con p=none per raccogliere dati senza bloccare nulla:

v=DMARC1; p=none; rua=mailto:dmarc-reports@tuodominio.it; ruf=mailto:dmarc-forensic@tuodominio.it; pct=100

Cosa significa:

• v=DMARC1 — versione del protocollo
• p=none — policy (nessuna azione, solo monitoraggio)
• rua=mailto:... — indirizzo per i report aggregati (giornalieri)
• ruf=mailto:... — indirizzo per i report forensic (per singola email fallita)
• pct=100 — applica la policy al 100% delle email

Passo 3: Analizza i report per 2-4 settimane. I report ti dicono chi sta inviando email dal tuo dominio e se SPF/DKIM passano. Potresti scoprire servizi che avevi dimenticato di autorizzare.

Passo 4: Passa a p=quarantine. Le email che falliscono i controlli finiranno nello spam del destinatario:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@tuodominio.it; pct=100

Passo 5: Dopo altre 2-4 settimane senza problemi, passa a p=reject — la protezione massima:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@tuodominio.it; pct=100

Ora i server destinatari rifiuteranno le email che non superano i controlli. Nessuno potra' piu' inviare email fingendo di essere il tuo dominio.

Errori Comuni con DMARC

Errore 1: Restare su p=none per sempre

E' l'errore piu' diffuso in assoluto. Il 43% dei domini italiani con DMARC e' ancora su p=none. Monitoraggio senza azione non protegge da nulla. Usa p=none solo come fase di transizione, massimo 4 settimane.

Errore 2: Saltare direttamente a p=reject

L'errore opposto. Se passi a reject senza un periodo di monitoraggio, rischi di bloccare email legittime inviate da servizi che avevi dimenticato di autorizzare in SPF. Il percorso corretto e': none (2-4 settimane) > quarantine (2-4 settimane) > reject.

Errore 3: Non leggere i report DMARC

DMARC ti invia report preziosi. Se non li leggi, non puoi migliorare la configurazione. Usa un servizio di analisi report DMARC (ce ne sono di gratuiti) per trasformare gli XML illeggibili in dashboard comprensibili.

Errore 4: Dimenticare i sottodomini

Senza una policy specifica per i sottodomini (sp=reject), un attaccante puo' fare spoofing da fatture.tuodominio.it anche se tuodominio.it ha DMARC su reject. Aggiungi sp=reject al record:

v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc-reports@tuodominio.it; pct=100

Perche' Servono Tutti e Tre Insieme

Una domanda che ci fanno spesso: "Non basta uno solo dei tre?"

No. Ecco perche':

• Solo SPF: verifica che il server sia autorizzato, ma non garantisce che l'email non sia stata modificata durante il transito. E non dice cosa fare se il controllo fallisce.
• Solo DKIM: garantisce che l'email non sia stata alterata e che sia stata firmata dal dominio, ma non impedisce a un attaccante di inviare email da un server non autorizzato (se non firma con DKIM, semplicemente l'email arriva senza firma).
• Solo DMARC: senza SPF e DKIM, DMARC non ha nulla da verificare. E' il buttafuori senza ne' lista ne' sigilli da controllare.

Insieme creano un sistema completo:

1. SPF verifica che il server e' autorizzato
2. DKIM verifica che il messaggio e' autentico e integro
3. DMARC lega tutto insieme e dice cosa fare in caso di fallimento

E' come una porta blindata con serratura, chiavistello e allarme. Ognuno da solo si puo' aggirare. Tutti e tre insieme rendono l'ingresso molto piu' difficile per un intruso.

Verifica la Tua Configurazione in 30 Secondi

Non sai se il tuo dominio ha SPF, DKIM e DMARC configurati? Non sai se sono configurati bene?

Usa il nostro tool gratuito di verifica DNS. Inserisci il tuo dominio e in 30 secondi ottieni:

• Lo stato di SPF: presente? Valido? Con -all o ~all?
• Lo stato di DKIM: presente? Chiave valida? Lunghezza sufficiente?
• Lo stato di DMARC: presente? Quale policy? Report attivi?
• Eventuali errori e suggerimenti per correggerli

E' gratuito, non serve registrazione e non conserviamo i dati del tuo dominio.

Piano d'Azione: Da Zero a Protetto in 4 Settimane

Se parti da zero, ecco il piano settimana per settimana:

Settimana 1 — SPF

• Elenca tutti i servizi che inviano email dal tuo dominio
• Crea e pubblica il record SPF con -all
• Verifica con il tool di verifica DNS
• Testa inviando un'email a un account Gmail e controlla gli header per spf=pass

Settimana 2 — DKIM

• Attiva DKIM sul tuo provider email principale
• Pubblica la chiave pubblica nel DNS
• Ripeti per ogni servizio che invia email (newsletter, CRM, etc.)
• Verifica con il tool di verifica DNS

Settimana 3 — DMARC (monitoraggio)

• Pubblica il record DMARC con p=none
• Configura una casella per i report (rua=mailto:...)
• Analizza i report per individuare servizi dimenticati o problemi

Settimana 4 — DMARC (protezione)

• Se tutto e' in ordine nei report, passa a p=quarantine
• Dopo 1-2 settimane senza problemi, passa a p=reject
• Aggiungi sp=reject per i sottodomini
• Verifica finale con il tool di verifica DNS

SPF, DKIM e DMARC Non Bastano (Ma Sono la Base)

Questi tre protocolli sono fondamentali. Ma da soli non fermano tutto. Non bloccano il phishing da domini esterni (proteggono solo il TUO dominio dallo spoofing). Non fermano gli attacchi BEC da account compromessi (perche' l'email viene dal server legittimo). Non analizzano il contenuto delle email.

Per una protezione completa serve un gateway email professionale che combini autenticazione DNS con analisi AI, sandboxing degli allegati, verifica delle URL in tempo reale e protezione anti-BEC comportamentale.

SPF, DKIM e DMARC sono le fondamenta. MailSniper e' l'edificio completo.

Prossimi passi:

• Verifica il tuo dominio adesso — SPF, DKIM e DMARC in 30 secondi
• Prova MailSniper gratis per 14 giorni — protezione completa oltre l'autenticazione DNS
• Approfondisci: SPF | DKIM | DMARC | Email spoofing