SPF, DKIM e DMARC: Guida Completa all'Autenticazione Email

L’autenticazione email è il fondamento di una consegna email affidabile. Senza una corretta configurazione di SPF, DKIM e DMARC, le tue email curate nei minimi dettagli potrebbero non raggiungere mai la casella di posta dei tuoi clienti. Finiscono invece nelle cartelle spam o vengono rifiutate del tutto.

Questa guida completa spiega cosa fa ogni protocollo di autenticazione email, fornisce istruzioni passo dopo passo per la configurazione DNS, tratta la risoluzione dei problemi comuni e mostra come verificare che la configurazione funzioni correttamente.

Perché l’Autenticazione Email è Importante

L’email è stata progettata in un’era in cui la sicurezza non era una preoccupazione primaria. Il protocollo SMTP originale non ha un meccanismo di verifica integrato per confermare che un’email provenga davvero da chi sostiene di essere. Questa debolezza fondamentale consente lo spoofing email, gli attacchi di phishing e lo spam.

I protocolli di autenticazione email risolvono questo problema consentendo ai proprietari di domini di specificare:

• Quali server possono inviare email per loro conto (SPF)
• Prove crittografiche che i messaggi sono autentici e non alterati (DKIM)
• Cosa fare con i messaggi che non superano l’autenticazione (DMARC)

L’Impatto Aziendale di una Scarsa Autenticazione

Senza una corretta autenticazione email:

• Deliverability inferiore: I principali provider come Gmail, Microsoft e Yahoo filtrano le email non autenticate in modo più aggressivo
• Tassi di spam più alti: Le tue email legittime competono con messaggi contraffatti che usano il tuo dominio
• Danno al brand: Gli attacchi di phishing che impersonano il tuo brand erodono la fiducia dei clienti
• Perdita di fatturato: Le campagne di marketing non raggiungono gli iscritti che si sono registrati per riceverle
• Rischi di conformità: Molte normative ora richiedono una corretta autenticazione email

La Triade dell’Autenticazione

SPF, DKIM e DMARC lavorano insieme come un sistema di autenticazione completo:

Ogni protocollo affronta vettori di attacco diversi. SPF impedisce ai server non autorizzati di inviare per conto tuo. DKIM impedisce la manomissione dei messaggi dopo l’invio. DMARC li collega insieme e fornisce visibilità sui risultati dell’autenticazione.

Comprendere SPF (Sender Policy Framework)

SPF (Sender Policy Framework) è un metodo di autenticazione email basato su DNS che specifica quali server di posta sono autorizzati a inviare email per conto del tuo dominio.

Come Funziona SPF

Quando un’email arriva a un server ricevente, quel server cerca il record SPF del dominio del mittente. Poi verifica se l’indirizzo IP che ha inviato l’email è elencato come autorizzato. Se l’IP corrisponde, SPF passa. In caso contrario, SPF fallisce.

Il processo di verifica SPF:

1. Invii un’email dalla tua piattaforma di marketing
2. Il server ricevente estrae il tuo dominio dal Return-Path (mittente della busta)
3. Il server interroga il DNS per il record SPF del tuo dominio
4. Confronta l’IP di invio con l’elenco autorizzato del tuo record SPF
5. Il server registra il risultato: pass, fail, softfail o neutral

Sintassi del Record SPF

I record SPF vengono pubblicati come record TXT nel DNS del tuo dominio. Ecco la struttura di base:

v=spf1 [mechanisms] [qualifier]all

Tag di versione: Inizia sempre con v=spf1

Meccanismi: Definiscono chi può inviare

Qualificatori: Definiscono come gestire le corrispondenze

Il meccanismo all: Applicato a tutto ciò che non corrisponde ai meccanismi precedenti

Esempi di Record SPF

Configurazione di base con un provider email:

v=spf1 include:spf.brevo.com -all

Questo autorizza Brevo a inviare email per il tuo dominio e rifiuta tutti gli altri mittenti.

Più servizi email:

v=spf1 include:spf.brevo.com include:_spf.google.com include:spf.protection.outlook.com -all

Questo autorizza Brevo, Google Workspace e Microsoft 365.

Includendo il proprio server di posta:

v=spf1 ip4:203.0.113.10 include:spf.brevo.com -all

Questo autorizza un indirizzo IP specifico (il tuo server) più Brevo.

Iniziare con soft fail durante i test:

v=spf1 include:spf.brevo.com ~all

Usare ~all invece di -all contrassegna i fallimenti ma non rifiuta. Utile durante la configurazione iniziale.

Configurare i Record SPF

Passaggio 1: Identifica le tue sorgenti di invio

Elenca ogni servizio che invia email dal tuo dominio:

• Piattaforme di email marketing (Brevo, Mailchimp, ecc.)
• Servizi email transazionali
• Sistemi CRM
• Software help desk
• Email aziendale (Google Workspace, Microsoft 365)
• I tuoi server di posta

Passaggio 2: Raccogli le dichiarazioni include SPF

Ogni provider di servizi email documenta il proprio include SPF richiesto. Esempi comuni:

Passaggio 3: Crea il tuo record SPF

Combina tutti gli include in un unico record:

v=spf1 include:spf.brevo.com include:_spf.google.com -all

Passaggio 4: Aggiungi il record DNS

Nell’interfaccia di gestione DNS:

• Tipo: TXT
• Host/Nome: @ (o lascia vuoto per il dominio root)
• Valore: Il tuo record SPF completo
• TTL: 3600 (o predefinito)

Passaggio 5: Verifica il record

Usa gli strumenti di ricerca DNS per confermare:

dig TXT tuodominio.com

Oppure usa strumenti online come MXToolbox SPF Lookup.

Limitazioni e Best Practice SPF

Il limite di 10 ricerche DNS:

SPF ha un massimo di 10 ricerche DNS. Ogni include: conta come una ricerca, e i record inclusi possono contenere i propri include, contando verso il tuo limite. Superare questo limite causa un errore SPF permerror (errore permanente), facendo fallire tutti i controlli.

Strategie per restare sotto il limite:

• Usa indirizzi IP direttamente quando possibile (ip4: non conta come ricerca)
• Consolida i servizi usando lo stesso provider
• Usa servizi di SPF flattening che convertono gli include in indirizzi IP
• Rimuovi gli include inutilizzati dei vecchi servizi

Altre best practice SPF:

• Un solo record SPF per dominio (più record causano fallimenti)
• Inizia con ~all (softfail) durante la configurazione, passa a -all una volta confermato
• Aggiorna SPF quando cambi provider email
• Non usare il meccanismo ptr deprecato
• Mantieni i record il più semplici possibile

Errori SPF Comuni

Record SPF multipli:

Sbagliato:
v=spf1 include:spf.brevo.com -all
v=spf1 include:_spf.google.com -all

Corretto:
v=spf1 include:spf.brevo.com include:_spf.google.com -all

Superare il limite di ricerche DNS:

Se hai molti include, controlla il conteggio totale delle ricerche. Usa gli analizzatori SPF per verificare di essere sotto 10.

Dimenticare di aggiornare dopo aver cambiato provider:

Quando si passa da un servizio email all’altro, rimuovi il vecchio include e aggiungi quello nuovo.

Usare +all:

Non usare mai +all in quanto autorizza chiunque a inviare email per conto del tuo dominio.

Comprendere DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) aggiunge una firma crittografica alle tue email, dimostrando che il messaggio è originato dal tuo dominio e non è stato modificato durante la trasmissione.

Come Funziona DKIM

DKIM usa la crittografia a chiave pubblica:

1. Il tuo provider email genera una coppia di chiavi pubblica/privata
2. Pubblichi la chiave pubblica nel DNS
3. Il provider firma le email in uscita con la chiave privata
4. I server riceventi recuperano la tua chiave pubblica dal DNS
5. Usano la chiave pubblica per verificare la firma
6. Una firma valida prova l’autenticità e l’integrità

Cosa firma DKIM:

Le firme DKIM coprono tipicamente intestazioni specifiche e il corpo del messaggio:

• Intestazione From (obbligatoria)
• Intestazione Subject
• Intestazione Date
• Corpo del messaggio
• Altre intestazioni come configurato

Questo impedisce agli attaccanti di modificare questi elementi dopo l’invio.

Struttura del Record DKIM

I record DKIM vengono pubblicati come record TXT con un formato di denominazione specifico:

selector._domainkey.tuodominio.com

Il selector è un identificatore univoco che ti consente di avere più chiavi DKIM. Diversi servizi email usano selettori diversi (ad es., brevo, google, s1, s2).

Contenuto del record DKIM:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...

Configurare DKIM

Passaggio 1: Genera le chiavi DKIM

Il tuo provider di servizi email genera tipicamente le chiavi per te. In Brevo:

1. Vai su Impostazioni > Mittenti, Domini e IP dedicati
2. Seleziona il tuo dominio
3. Naviga nella sezione DKIM
4. Copia il record DNS fornito

Per i server di posta self-hosted, genera le chiavi usando OpenSSL:

openssl genrsa -out private.key 2048
openssl rsa -in private.key -pubout -out public.key

Passaggio 2: Aggiungi il record DNS DKIM

Nella tua gestione DNS:

• Tipo: TXT
• Host/Nome: selector._domainkey (ad es., brevo._domainkey)
• Valore: Il record DKIM del tuo provider
• TTL: 3600

Passaggio 3: Abilita la firma DKIM

Nelle impostazioni del tuo provider email, abilita la firma DKIM per il tuo dominio. Questo indica al provider di firmare i messaggi in uscita.

Passaggio 4: Verifica la configurazione

Invia un’email di test e controlla le intestazioni per DKIM-Signature. Usa strumenti come:

• mail-tester.com
• DKIM Validator
• MXToolbox DKIM Lookup

Best Practice DKIM

Usa chiavi da 2048 bit:

Le vecchie chiavi da 1024 bit sono considerate deboli. Gli standard di sicurezza moderni raccomandano chiavi RSA da 2048 bit come minimo.

Ruota periodicamente le chiavi:

Anche se non strettamente richiesto, ruotare le chiavi DKIM annualmente è una buona pratica di sicurezza. Aggiungi la nuova chiave prima di rimuovere quella vecchia per evitare lacune.

Monitora la compromissione della chiave:

Se la tua chiave privata viene compromessa, gli attaccanti possono firmare messaggi per conto tuo. Monitora i pattern di autenticazione insoliti.

Usa selettori diversi per servizi diversi:

Ogni provider email dovrebbe usare un selettore univoco. Questo consente una gestione delle chiavi indipendente e non entra in conflitto con altri servizi.

Controlla la propagazione DNS:

Le chiavi DKIM possono essere lunghe. Assicurati che il tuo provider DNS supporti record TXT di lunghezza sufficiente. Alcuni provider richiedono di suddividere la chiave in più stringhe.

Leggere le Intestazioni DKIM

Quando ricevi un’email, l’intestazione DKIM-Signature mostra:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=example.com; s=brevo;
  h=from:to:subject:date:message-id;
  bh=base64hashofbody;
  b=base64signature;

Comprendere DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC si basa su SPF e DKIM per fornire l’applicazione della policy e la reportistica. Indica ai server riceventi cosa fare quando l’autenticazione fallisce e ti invia report sui risultati dell’autenticazione.

Come Funziona DMARC

DMARC aggiunge due capacità critiche:

1. Applicazione della policy: Definisce come i destinatari devono gestire i fallimenti di autenticazione
2. Reportistica: Riceve dati su chi invia email usando il tuo dominio

Processo di verifica DMARC:

1. Un server ricevente riceve un’email che dichiara di provenire dal tuo dominio
2. Controlla SPF (l’IP di invio corrisponde?)
3. Controlla DKIM (la firma è valida?)
4. Controlla l’allineamento DMARC (i domini autenticati corrispondono all’intestazione From?)
5. Se l’allineamento fallisce, applica la tua policy DMARC
6. Ti invia report aggregati e/o forensi

Allineamento DMARC

DMARC richiede l’allineamento tra il dominio nell’intestazione From e i domini che superano SPF o DKIM:

Allineamento SPF: Il dominio nel Return-Path (mittente della busta) deve corrispondere o essere un sottodominio del dominio dell’intestazione From.

Allineamento DKIM: Il dominio nella firma DKIM (tag d=) deve corrispondere o essere un sottodominio del dominio dell’intestazione From.

Modalità di allineamento:

Con l’allineamento rilassato, se la tua intestazione From mostra [email protected] e DKIM firma con brevo.example.com, l’allineamento passa perché entrambi condividono il dominio organizzativo example.com.

Sintassi del Record DMARC

I record DMARC vengono pubblicati come record TXT in _dmarc.tuodominio.com:

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Tag obbligatori:

Tag opzionali:

Le Policy DMARC Spiegate

p=none (Solo monitoraggio):

Nessuna azione intrapresa sui fallimenti. Le email vengono consegnate normalmente. Usa questa opzione mentre analizzi i report e risolvi i problemi di autenticazione.

v=DMARC1; p=none; rua=mailto:[email protected]

p=quarantine (Cartella spam):

Le email che falliscono vengono inviate alla cartella spam/posta indesiderata. Un buon passaggio intermedio prima del rifiuto completo.

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

p=reject (Blocco):

Le email che falliscono vengono rifiutate completamente. Protezione massima ma assicurati che tutte le sorgenti legittime passino prima.

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Configurare DMARC

Passaggio 1: Assicurati che SPF e DKIM funzionino

DMARC dipende da SPF e DKIM. Verifica che entrambi siano configurati correttamente prima di aggiungere DMARC.

Passaggio 2: Inizia con il monitoraggio (p=none)

Inizia con la policy più permissiva per raccogliere dati senza influire sulla consegna:

v=DMARC1; p=none; rua=mailto:[email protected]

Passaggio 3: Aggiungi il record DNS

Nella tua gestione DNS:

• Tipo: TXT
• Host/Nome: _dmarc
• Valore: Il tuo record DMARC
• TTL: 3600

Passaggio 4: Analizza i report per 2-4 settimane

I report aggregati DMARC arrivano quotidianamente come file XML. Mostrano:

• Quali IP hanno inviato email usando il tuo dominio
• Tassi di pass/fail SPF e DKIM
• Risultati di allineamento DMARC
• Azioni del server ricevente

Usa analizzatori di report DMARC per visualizzare questi dati:

• DMARC Analyzer
• Postmark DMARC
• Valimail
• dmarcian

Passaggio 5: Risolvi i problemi di autenticazione

Problemi comuni rivelati dai report:

• Servizi legittimi mancanti da SPF
• DKIM non abilitato per un servizio di invio
• Servizi di terze parti che inviano senza una corretta autenticazione
• L’inoltro delle email interrompe l’allineamento SPF

Passaggio 6: Applica gradualmente

Una volta che le sorgenti legittime passano in modo consistente:

1. Passa a p=quarantine; pct=10 (metti in quarantena il 10% dei fallimenti)
2. Aumenta pct a 25, 50, 75, 100
3. Passa a p=reject; pct=10
4. Aumenta fino al rifiuto completo

Passaggio 7: Mantieni e monitora

Continua a rivedere i report. Nuove sorgenti di invio, modifiche ai provider o derive della configurazione possono causare fallimenti di autenticazione.

Comprendere i Report DMARC

Report aggregati (rua):

Riepiloghi XML giornalieri che mostrano:

• Organizzazione che invia i report
• Intervallo di date
• La tua policy pubblicata
• Risultati di autenticazione per IP sorgente
• Volume di email

Esempio di estratto:

<record>
  <source_ip>203.0.113.10</source_ip>
  <count>1250</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</record>

Report forensi (ruf):

Dettagli dei singoli messaggi per i fallimenti. Più dettagliati ma sensibili alla privacy. Molti destinatari non inviano report forensi.

Best Practice DMARC

Inizia sempre con p=none:

Passare direttamente al rifiuto può bloccare le email legittime. Prima monitora.

Usa un indirizzo email dedicato per i report:

I report DMARC possono essere voluminosi. Usa un indirizzo dedicato o un servizio di terze parti.

Imposta la policy per i sottodomini (sp=):

Se non invii email dai sottodomini, imposta sp=reject per proteggerli dallo spoofing.

Usa la percentuale (pct=) per un’applicazione graduale:

Il tag pct ti consente di applicare la policy su una percentuale di fallimenti mentre monitori il resto.

Considera servizi DMARC dedicati:

Per le grandi organizzazioni, servizi come Valimail, dmarcian o Postmark DMARC forniscono una migliore analisi dei report rispetto ai file XML grezzi.

Configurazione dei Record DNS: Procedura Completa

La configurazione dell’autenticazione email richiede l’aggiunta di record DNS specifici. Questa sezione fornisce una procedura completa per i principali provider DNS.

Raccogliere i Valori Richiesti

Prima di iniziare, raccogli questi valori dai tuoi provider email:

Per SPF:

• Tutte le dichiarazioni include (ad es., include:spf.brevo.com)
• Eventuali indirizzi IP specifici che devi autorizzare

Per DKIM:

• Il nome del selettore (ad es., brevo, google, s1)
• Il valore completo della chiave DKIM

Per DMARC:

• Il tuo indirizzo email per i report

Aggiungere Record nei Provider DNS Comuni

Cloudflare:

1. Accedi alla Dashboard di Cloudflare
2. Seleziona il tuo dominio
3. Vai su DNS > Record
4. Clicca su Aggiungi Record
5. Per SPF: Tipo=TXT, Nome=@, Contenuto=il tuo record SPF
6. Per DKIM: Tipo=TXT, Nome=selector._domainkey, Contenuto=chiave DKIM
7. Per DMARC: Tipo=TXT, Nome=_dmarc, Contenuto=record DMARC
8. Clicca su Salva

Google Domains/Squarespace:

1. Vai alle impostazioni DNS per il tuo dominio
2. Scorri fino a Record personalizzati
3. Clicca su Gestisci record personalizzati
4. Aggiungi ogni record con il tipo, l’host e i dati appropriati
5. Per SPF: Host=@, Tipo=TXT, Dati=record SPF
6. Per DKIM: Host=selector._domainkey, Tipo=TXT, Dati=chiave DKIM
7. Per DMARC: Host=_dmarc, Tipo=TXT, Dati=record DMARC

GoDaddy:

1. Vai su I miei prodotti > Domini
2. Clicca su DNS accanto al tuo dominio
3. Scorri fino alla sezione Record
4. Clicca su Aggiungi per ogni nuovo record
5. Seleziona TXT per il Tipo
6. Inserisci il Nome (@ per SPF, selector._domainkey per DKIM, _dmarc per DMARC)
7. Inserisci il Valore
8. Salva

Namecheap:

1. Vai a Lista Domini > Gestisci
2. Clicca su DNS avanzato
3. Aggiungi nuovo record per ciascuno
4. Seleziona Record TXT
5. Host: @ per SPF, selector._domainkey per DKIM, _dmarc per DMARC
6. Valore: Il contenuto del tuo record
7. Salva tutte le modifiche

Propagazione DNS

Dopo aver aggiunto i record, le modifiche richiedono tempo per propagarsi globalmente. Questo richiede tipicamente:

• Da 5 a 30 minuti per la visibilità iniziale
• Fino a 48 ore per la propagazione globale completa

Usa dig o nslookup per verificare:

dig TXT tuodominio.com
dig TXT selector._domainkey.tuodominio.com
dig TXT _dmarc.tuodominio.com

Oppure usa strumenti online come whatsmydns.net per controllare la propagazione in tutto il mondo.

Esempio di Configurazione Completa

Per un dominio che usa Brevo e Google Workspace:

Record SPF (TXT su @):

v=spf1 include:spf.brevo.com include:_spf.google.com -all

Record DKIM per Brevo (TXT su brevo._domainkey):

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA... [chiave dalla dashboard Brevo]

Record DKIM per Google (TXT su google._domainkey):

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BA... [chiave da Google Admin]

Record DMARC (TXT su _dmarc):

v=DMARC1; p=none; rua=mailto:[email protected]

Risoluzione dei Problemi Comuni

Anche con una configurazione attenta, l’autenticazione email può fallire. Ecco i problemi comuni e come risolverli.

Risoluzione dei Problemi SPF

Record SPF non trovato:

Sintomi: I controlli SPF mostrano “none” o “nessun record”

Cause:

• Record non aggiunto al DNS
• Record aggiunto nella posizione sbagliata (sottodominio invece del root)
• Propagazione DNS non completata

Soluzioni:

• Verifica che il record esista con dig TXT tuodominio.com
• Controlla il campo Nome/Host (dovrebbe essere @ o vuoto per il dominio root)
• Attendi la propagazione DNS (fino a 48 ore)

SPF PermError (troppe ricerche):

Sintomi: I risultati SPF mostrano “permerror”

Cause:

• Più di 10 ricerche DNS nel tuo record SPF
• Include contenenti include annidati eccessivi

Soluzioni:

• Verifica i tuoi include e rimuovi quelli inutilizzati
• Sostituisci gli include con voci ip4: dove possibile
• Usa servizi di SPF flattening
• Consolida i servizi su meno provider

SPF SoftFail o Fail per posta legittima:

Sintomi: Email legittime che falliscono SPF

Cause:

• Servizio di invio non incluso in SPF
• Invio da un IP non autorizzato
• Utilizzo di un relay che cambia il mittente della busta

Soluzioni:

• Aggiungi l’include mancante per il tuo servizio di invio
• Controlla quale IP ha effettivamente inviato l’email (dalle intestazioni)
• Contatta il tuo provider email per le impostazioni SPF corrette

Record SPF multipli:

Sintomi: SPF mostra permerror o fallimenti casuali

Cause:

• Due o più record TXT contenenti v=spf1

Soluzioni:

• Combina tutti i meccanismi in un unico record SPF
• Elimina i record SPF duplicati

Risoluzione dei Problemi DKIM

Firma DKIM mancante:

Sintomi: Nessuna intestazione DKIM-Signature nelle email

Cause:

• Firma DKIM non abilitata nel provider email
• Verifica del dominio non completata
• Invio attraverso un percorso non-DKIM

Soluzioni:

• Abilita DKIM nelle impostazioni del tuo provider
• Completa i passaggi di verifica del dominio
• Controlla la documentazione del provider per la configurazione DKIM

Verifica DKIM fallita:

Sintomi: DKIM mostra “fail” nei risultati di autenticazione

Cause:

• Record DNS non pubblicato o non corretto
• Selettore sbagliato utilizzato
• Discrepanza tra la chiave DNS e la firma
• Messaggio modificato durante la trasmissione

Soluzioni:

• Verifica che il record DNS esista su selector._domainkey.dominio
• Confronta il selettore nell’intestazione DKIM-Signature con il DNS
• Rigenera le chiavi se si sospetta una discrepanza
• Controlla la presenza di filtri di posta o relay che modificano i messaggi

Chiave DKIM troppo lunga per il DNS:

Sintomi: Impossibile salvare il record DKIM, errori di troncatura

Cause:

• Le chiavi da 2048 bit superano la lunghezza di un singolo record TXT
• Il provider DNS ha limiti di caratteri

Soluzioni:

• Suddividi la chiave in più stringhe tra virgolette (la maggior parte dei provider lo gestisce automaticamente)
• Controlla se il tuo provider DNS supporta record TXT lunghi
• Usa chiavi da 1024 bit temporaneamente (meno sicuro)

Esempio di record DKIM suddiviso:

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
"...continuazione della chiave..."

Risoluzione dei Problemi DMARC

Fallimenti di allineamento DMARC:

Sintomi: SPF e DKIM passano ma DMARC fallisce

Cause:

• Il dominio autenticato non corrisponde al dominio dell’intestazione From
• Servizio di invio di terze parti che usa il proprio dominio
• Mittente della busta configurato in modo errato

Soluzioni:

• Assicurati che il tuo provider email firmi con il tuo dominio (DKIM personalizzato)
• Configura il Return-Path/mittente della busta personalizzato
• Usa la modalità di allineamento rilassato (adkim=r; aspf=r)

Nessun report DMARC ricevuto:

Sintomi: Nessun report aggregato in arrivo

Cause:

• Indirizzo rua non corretto
• L’indirizzo email non può ricevere posta esterna
• I report vanno nella cartella spam
• I server riceventi non inviano report

Soluzioni:

• Verifica la sintassi rua: rua=mailto:[email protected]
• Testa che l’indirizzo di reportistica possa ricevere posta esterna
• Controlla la cartella spam per i report
• Nota: non tutti i destinatari inviano report DMARC

Record DMARC non trovato:

Sintomi: I controlli DMARC mostrano “nessun record”

Cause:

• Record pubblicato nella posizione sbagliata
• Formato errato (deve essere TXT nel sottodominio _dmarc)

Soluzioni:

• Il record deve essere su _dmarc.tuodominio.com
• Verifica con dig TXT _dmarc.tuodominio.com

Strumenti Generali per la Risoluzione dei Problemi

Validatori online:

• MXToolbox (mxtoolbox.com) - Ricerche SPF, DKIM, DMARC
• Mail Tester (mail-tester.com) - Invia un’email di test per un’analisi completa
• DMARC Analyzer - Visualizzazione dei report
• Google Admin Toolbox - Controlla MX, SPF, DKIM

Strumenti da riga di comando:

# Controlla SPF
dig TXT tuodominio.com

# Controlla DKIM
dig TXT selector._domainkey.tuodominio.com

# Controlla DMARC
dig TXT _dmarc.tuodominio.com

# Controlla da un server DNS specifico
dig @8.8.8.8 TXT tuodominio.com

Analisi delle intestazioni email:

Controlla l’intestazione Authentication-Results nelle email ricevute:

Authentication-Results: mx.google.com;
  dkim=pass header.d=example.com header.s=brevo;
  spf=pass smtp.mailfrom=example.com;
  dmarc=pass action=none header.from=example.com

Autenticazione Email e Brevo

Brevo fornisce un supporto completo per l’autenticazione email, rendendo semplice la configurazione di SPF, DKIM e DMARC per i tuoi domini di invio.

Configurare l’Autenticazione in Brevo

Passaggio 1: Aggiungi il tuo dominio

1. Accedi al tuo account Brevo
2. Naviga su Impostazioni > Mittenti, Domini e IP dedicati
3. Clicca su Aggiungi un Dominio
4. Inserisci il nome del tuo dominio

Passaggio 2: Configura SPF

Brevo fornisce l’include SPF da aggiungere al tuo DNS:

include:spf.brevo.com

Aggiungilo al tuo record SPF esistente o creane uno nuovo:

v=spf1 include:spf.brevo.com -all

Passaggio 3: Configura DKIM

Brevo genera le chiavi DKIM automaticamente. Copia il record fornito:

1. Vai alle impostazioni del tuo dominio in Brevo
2. Trova la sezione DKIM
3. Copia il nome e il valore del record DNS
4. Aggiungi il record TXT al tuo DNS

Passaggio 4: Verifica la configurazione

Brevo controlla automaticamente i tuoi record DNS. I segni di spunta verdi indicano una configurazione riuscita.

Vantaggi di una Corretta Autenticazione con Brevo

Quando configuri correttamente l’autenticazione con Brevo:

• Migliore posizionamento nella posta in arrivo: Gmail, Microsoft e altri provider si fidano dei messaggi autenticati
• Protezione del brand: DMARC impedisce lo spoofing del tuo dominio
• Analisi più precise: Monitoraggio accurato di aperture e click
• Costruzione della reputazione: L’autenticazione costante costruisce la reputazione del mittente

Vantaggi dell’Integrazione con Tajo

Usare Tajo per collegare il tuo store Shopify con Brevo offre vantaggi aggiuntivi:

• Sincronizzazione automatica dei clienti: I dati dei clienti fluiscono senza interruzioni per email personalizzate
• Tracciamento degli eventi: Gli eventi di acquisto, navigazione e carrello attivano email transazionali autenticate
• Coordinamento multicanale: Mantieni un’autenticazione coerente su email, SMS e WhatsApp
• Analisi unificata: Monitora le performance email insieme agli altri parametri di marketing

La combinazione di una corretta autenticazione email e la sincronizzazione dei dati dei clienti in tempo reale garantisce che le tue email non solo raggiungano la casella di posta, ma risuonino con ogni destinatario.

Domande Frequenti

Qual è la differenza tra SPF, DKIM e DMARC?

SPF specifica quali server possono inviare email per il tuo dominio. DKIM aggiunge una firma crittografica che prova l’autenticità del messaggio. DMARC definisce la policy su come i destinatari dovrebbero gestire i fallimenti di autenticazione e fornisce reportistica. Tutti e tre lavorano insieme per un’autenticazione email completa.

Ho bisogno di tutti e tre (SPF, DKIM e DMARC)?

Per una deliverability e sicurezza ottimali, sì. SPF da solo è vulnerabile allo spoofing. DKIM da solo non specifica una policy. DMARC richiede SPF o DKIM per funzionare. Insieme, forniscono una protezione completa e i migliori tassi di posizionamento nella posta in arrivo.

Quanto tempo ci vuole perché l’autenticazione email funzioni?

Le modifiche DNS si propagano tipicamente entro 30 minuti e 48 ore. Una volta propagata, l’autenticazione si applica immediatamente. Tuttavia, costruire la reputazione del mittente basata su un’autenticazione coerente richiede settimane o mesi.

La configurazione di DMARC con p=reject bloccherà le mie email legittime?

Può farlo se configurato in modo errato. Ecco perché dovresti sempre iniziare con p=none (monitoraggio), analizzare i report per 2-4 settimane, risolvere eventuali problemi, poi passare gradualmente alla quarantena e al rifiuto. Non saltare mai la fase di monitoraggio.

Cos’è l’allineamento SPF rispetto all’allineamento DKIM?

L’allineamento significa che il dominio autenticato corrisponde al dominio dell’intestazione From visibile. L’allineamento SPF confronta il dominio Return-Path. L’allineamento DKIM confronta il dominio di firma (tag d=). DMARC richiede che almeno uno sia allineato.

Posso avere più chiavi DKIM per un dominio?

Sì. Ogni servizio email può usare un selettore diverso (ad es., brevo._domainkey, google._domainkey). Questo consente a più servizi di firmare con DKIM in modo indipendente. Non c’è limite al numero di selettori DKIM.

Perché le mie email finiscono ancora nella spam dopo aver configurato l’autenticazione?

L’autenticazione è necessaria ma non sufficiente per il posizionamento nella posta in arrivo. Altri fattori includono la reputazione del mittente, la qualità del contenuto, i tassi di coinvolgimento e l’igiene della lista. L’autenticazione ti fa superare il primo filtro; le buone pratiche determinano il posizionamento finale.

Come leggo i report aggregati DMARC?

I report aggregati DMARC sono file XML. Usa strumenti come dmarcian, Postmark DMARC o DMARC Analyzer per analizzarli e visualizzarli. Questi strumenti mostrano quali IP inviano email come tuo dominio e i loro tassi di pass/fail dell’autenticazione.

Cosa succede se supero il limite di 10 ricerche SPF?

SPF restituisce un errore permanente (permerror) e tutti i controlli SPF falliscono. Per risolvere questo problema, rimuovi gli include inutilizzati, sostituisci gli include con indirizzi IP dove possibile, o usa servizi di SPF flattening.

Dovrei usare -all o ~all nel mio record SPF?

Usa ~all (softfail) durante i test e mentre acquisisci fiducia. Una volta confermato che tutte le sorgenti legittime passano, passa a -all (hard fail) per una protezione più forte. Softfail contrassegna i fallimenti ma non rifiuta; hard fail autorizza il rifiuto.

Quanto spesso dovrei ruotare le chiavi DKIM?

Non c’è un requisito rigoroso, ma la rotazione annuale è una buona pratica di sicurezza. Quando si ruota, aggiungi prima la nuova chiave, attendi la propagazione DNS, abilita la firma con la nuova chiave, poi rimuovi la vecchia chiave dopo un periodo di transizione.

I sottodomini hanno bisogno di un’autenticazione separata?

SPF: Sì, ogni sottodominio ha bisogno del proprio record SPF se invia email da esso. DKIM: Le chiavi possono essere condivise o separate per sottodominio. DMARC: I sottodomini ereditano la policy principale a meno che non sia impostato sp= o il sottodominio abbia il proprio record DMARC.

Conclusione

L’autenticazione email tramite SPF, DKIM e DMARC non è più opzionale per le aziende che si affidano alla comunicazione email. Questi protocolli proteggono il tuo brand dallo spoofing, migliorano la deliverability e costruiscono la fiducia necessaria per un email marketing efficace.

Punti chiave:

• SPF autorizza i server di invio tramite DNS
• DKIM prova l’autenticità dei messaggi con firme crittografiche
• DMARC applica la policy e fornisce visibilità attraverso i report
• Inizia con il monitoraggio (p=none) prima di applicare il rifiuto
• Tutte le sorgenti di invio legittime devono essere configurate correttamente
• Il monitoraggio regolare previene la deriva della configurazione

Per le aziende e-commerce che usano Shopify, combinare una corretta autenticazione email con l’integrazione dei dati dei clienti tramite Tajo e Brevo crea una base solida. Le tue email transazionali raggiungono i clienti in modo affidabile, le tue campagne di marketing ottengono un migliore posizionamento nella posta in arrivo e il tuo brand rimane protetto dagli attacchi di spoofing.

Pronto a migliorare la deliverability delle tue email? Inizia controllando la tua configurazione di autenticazione attuale con gli strumenti menzionati in questa guida, poi configura sistematicamente SPF, DKIM e DMARC seguendo le istruzioni passo dopo passo fornite.

Scopri come Tajo si integra con Brevo per fornire un’autenticazione email senza soluzione di continuità insieme alla sincronizzazione dei dati dei clienti in tempo reale per il tuo store Shopify.