I migliori strumenti DKIM checker per l’autenticazione email nel 2026

Questa guida offre indicazioni chiare sui migliori provider per verificare la tua configurazione DKIM. Utilizzando gli strumenti giusti, le organizzazioni possono proteggere il proprio dominio da spoofing, phishing e problemi di recapito.

DKIM (DomainKeys Identified Mail) è il protocollo di autenticazione email che dimostra che i tuoi messaggi non sono stati alterati durante il transito. Utilizza firme crittografiche per verificare che un'email provenga effettivamente dal tuo dominio e sia arrivata integra. Quando DKIM non funziona, accadono due cose: le tue email legittime finiscono nella posta indesiderata e gli attaccanti hanno più facilità a impersonare il tuo brand.

Il problema? La maggior parte delle organizzazioni configura DKIM una volta soltanto e poi se ne dimentica. Le chiavi invecchiano. I selettori vengono configurati male dopo le migrazioni di piattaforma. I mittenti di terze parti firmano ancora con chiavi deboli da 1024 bit, segnalate dalla RFC 8301 già nel 2018 [1]. E poiché i fallimenti DKIM sono invisibili agli utenti finali (la validazione avviene lato server), i team non si accorgono di nulla finché la deliverability non crolla o un caso di phishing li costringe a indagare.

I numeri sono chiari. A febbraio 2026, solo il 14,7% di 5,5 milioni di domini analizzati aveva implementato SPF, DKIM e DMARC insieme [2]. Significa che la grande maggioranza delle organizzazioni è senza controllo almeno su uno di questi protocolli. Google, Yahoo e Microsoft ora richiedono SPF, DKIM e DMARC per i mittenti massivi: le email non conformi vengono rallentate, poste nello spam o bloccate del tutto [3].

Un buon checker DKIM ti aiuta a individuare le configurazioni errate prima che causino problemi. Questa guida confronta nove strumenti di controllo DKIM, ordinati in base a quanto ti aiutano a identificare i problemi, capire cosa non funziona e risolverlo davvero.

Prima di scegliere uno strumento, è utile capire cosa distingue un buon checker DKIM da uno che si limita a dirti "record trovato" lasciandoti poi solo a interpretare il resto.

• Controllo dinamico vs. statico: Gli strumenti statici interrogano il DNS per il record DKIM e ne validano la sintassi. Gli strumenti dinamici inviano o ricevono una vera email e verificano se il DKIM supera davvero il controllo end-to-end, compresa la coerenza della firma con la policy DMARC. I controlli dinamici individuano problemi che le semplici interrogazioni DNS non vedono.
• Auto-rilevamento dei selettori: I record DKIM dipendono dai selettori e ogni servizio di invio usa selettori diversi (Google usa "google", Microsoft usa "selector1" e "selector2", SendGrid usa "s1" e "s2"). Se uno strumento ti obbliga a conoscere già il selettore, stai già facendo metà del lavoro manualmente. I migliori strumenti cercano selettori comuni o li scoprono tramite un test email reale.
• Validazione della forza della chiave: La RFC 8301 richiede che i validatori rifiutino le chiavi RSA più corte di 1024 bit e raccomanda almeno 2048 bit per le firme [1]. Un checker che controlla la lunghezza della chiave ti fa sapere se le fondamenta crittografiche sono davvero sicure o solo tecnicamente presenti.
• Copertura multi-protocollo: DKIM non funziona isolatamente. Lavora insieme a SPF alimentando DMARC, e l'allineamento DMARC determina se il dominio è davvero protetto. Gli strumenti che controllano DKIM insieme a SPF, DMARC, BIMI e MTA-STS offrono una panoramica completa in un solo passaggio.
• Output attuabile: Sapere che il tuo record DKIM ha un problema è il primo passo. Capire esattamente cosa non va e come risolverlo è ciò che conta davvero. La differenza tra "DKIM fail" e "la chiave pubblica del tuo selettore usa un flag p= revocato, ecco come rigenerarla" è la differenza tra una diagnosi e un vicolo cieco.
• Nessuna barriera di registrazione: I migliori strumenti gratuiti ti permettono di controllare subito. Se uno strumento richiede email di lavoro, numero di telefono e dimensioni dell’azienda prima di mostrare i risultati, è un modulo di lead generation camuffato da checker.

Migliore per: Audit completo dell'autenticazione email con indicazioni su come correggere i problemi

Red Sift Investigate adotta un approccio radicalmente diverso al controllo DKIM. Invece di eseguire una semplice interrogazione DNS statica, effettua un test dinamico e in tempo reale facendoti inviare un’email a un indirizzo inbox unico. Così controlla realmente l’infrastruttura di invio email, non solo ciò che è pubblicato in DNS.

Funzionalità principali:

• Test dinamico da email che valida DKIM end-to-end, non solo il record DNS
• Controlla in un’unica scansione DKIM, SPF, DMARC, BIMI, MTA-STS, TLS e FCrDNS
• Fornisce azioni corrette per ogni problema, non solo indicatori superato/fallito
• Nessuna registrazione richiesta per la versione web gratuita
• Test compliance anche con i profili di obblighi per mittenti bulk Google/Yahoo/Microsoft
• Si collega direttamente a Red Sift OnDMARC per monitoraggio continuo e enforcement

Il principale limite dei checker DKIM statici è che possono solo dirti se un record esiste e se sembra sintatticamente corretto. Non possono dirti se le email vengono davvero firmate dal tuo sistema di invio, dato che dipende dalla configurazione della piattaforma e non solo dal DNS.

Investigate risolve questo problema. Quando invii l’email di test, analizza la firma DKIM reale nell’header del messaggio, controlla che il dominio di firma sia coerente con il dominio From: ai fini DMARC e valida l’intera catena di autenticazione. Se c’è una configurazione errata lato invio (problema comune quando si usano Marketo, Salesforce, o HubSpot accanto alla posta primaria), Investigate la trova.

L’indicazione su cosa correggere è ciò che fa la differenza. Gli altri strumenti mostrano una X rossa accanto a "DKIM" e poi devi arrangiarti. Investigate ti dice esattamente il problema e quali passi fare. Per chi lavora verso l’enforcement DMARC, questo riduce drasticamente il tempo di troubleshooting. Senza uno strumento simile, normalmente bisognerebbe aspettare fino a 24 ore per i report DMARC aggregati e vedere se le modifiche DNS sono andate a buon fine [4].

I clienti Red Sift con la piattaforma completa OnDMARC raggiungono l’enforcement DMARC (p=reject) di solito in 6-8 settimane [4]. Questa velocità arriva anche grazie ai feedback istantanei dati da Investigate sulle modifiche di configurazione, così non resti bloccato nel ciclo lento del tipo: modifica-attendi-controlla-ripeti.

Prezzi: Investigate è gratuito e senza registrazione. I piani OnDMARC partono da una prova gratuita di 14 giorni per monitoraggio continuo, gestione DKIM automatica e percorso verso il pieno enforcement.

Situazione ideale: Organizzazioni che vogliono comprendere lo stato completo dell’autenticazione email, non solo se il record DKIM esiste in DNS. Particolarmente utile durante progetti di implementazione DMARC, migrazioni di piattaforma e troubleshooting della deliverability con più servizi di invio.

Migliore per: Controllo rapido del record DKIM se conosci già il selettore

MXToolbox è uno degli strumenti di diagnostica DNS più citati in rete, e il suo checker DKIM è semplice: inserisci dominio e selettore, ottieni il record con una validazione di base.

Funzionalità principali:

• Formato d’inserimento semplice dominio:selettore (es: example.com:google)
• Mostra il record DKIM raw con spiegazione di ciascun tag
• Identifica record mancanti o malformati
• Fa parte di una più ampia suite di strumenti DNS ed email
• Accetta anche il formato alternativo host/nome (selector._domainkey.domain.com)
• Ben documentato con guide per trovare i selettori

MXToolbox si è costruito la reputazione grazie all’onnipresenza. Se cerchi "DKIM check" su Google è uno dei primi risultati, e per buon motivo. L’interfaccia è pulita, i risultati rapidi e mantiene ciò che promette.

Detto ciò, è uno strumento statico: interroga il DNS per il record DKIM al selettore fornito e visualizza ciò che trova. Non auto-detecta i selettori, non valida la forza della chiave oltre la sintassi di base e non ti dice se le tue email vengono realmente firmate a dovere. Devi conoscere il selettore prima, quindi controllare l’header email o consultare la documentazione del provider.

Per controlli rapidi quando già sai cosa cercare, MXToolbox è affidabile. Per diagnosticare perché DKIM fallisce su più servizi di invio o capire la postura completa di autenticazione, serve qualcosa di più avanzato.

Limitazioni: Nessun auto-rilevamento selettore. Nessuna validazione della forza della chiave. Nessun controllo multi-protocollo (strumenti separati per SPF e DMARC). Nessuna guida su come risolvere i problemi.

Prezzi: Gratuito per i controlli base. Piani a pagamento per monitoraggio e alert.

Situazione ideale: Amministratori IT che desiderano una lookup DNS rapida per confermare che un record DKIM sia pubblicato correttamente dopo modifiche.

Migliore per: Amministratori Google Workspace che controllano la salute del dominio

Google Admin Toolbox è lo strumento di diagnostica Google per controllare MX, SPF, DKIM, DMARC e MTA-STS. Pensato principalmente per ambienti Google Workspace, offre una vista consolidata della configurazione email del dominio.

Funzionalità principali:

• Controlla DKIM insieme a MX, SPF, DMARC e MTA-STS con una scansione unica
• Progettato per ambienti Google Workspace
• Include uno strumento Messageheader per analisi header individuali
• Contiene anche uno strumento Dig per query DNS raw
• Gratuito senza registrazione
• Verifica che tutti i name server restituiscano record DKIM coerenti

Se usi Google Workspace, lo strumento è fatto apposta per te. Controlla di default il selettore "google" e segnala errori tipici DKIM specifici di Google, come split dei record TXT o errori di propagazione su chiavi da 2048 bit troppo lunghe per il DNS (oltre 255 caratteri).

Lo strumento per gli header dei messaggi è utile: puoi incollare gli header ricevuti per avere una lettura chiara di superato/fallito via DKIM, utile per troubleshooting su singoli messaggi.

Il limite è che è fortemente focalizzato su Google Workspace. Se mandi da più piattaforme (come capita a quasi tutte le organizzazioni), dovrai comunque controllare DKIM per ogni sistema separatamente. Inoltre parte dal selettore "google" di default, quindi per altri servizi devi inserirli a mano.

Limitazioni: Focalizzato su Google Workspace. Inserimento selettore manuale per servizi non Google. Nessuna validazione della forza della chiave. Nessuna guida alla correzione. Utilità limitata in ambienti con più provider email.

Prezzi: Gratuito.

Situazione ideale: Admin Google Workspace che vogliono verificare la corretta configurazione DKIM sul flusso email Google del dominio.

Migliore per: Auto-detect selettore usando dati da report aggregati

Il checker DKIM di EasyDMARC offre una funzione rara tra gli strumenti statici: memorizza i selettori DKIM trovati attraverso report aggregati DMARC, così può auto-detectare i selettori senza costringerti a cercarli a mano. Se la tua organizzazione invia già report DMARC a EasyDMARC, l’uso di questo strumento sarà molto più rapido.

Funzionalità principali:

• Auto-detect dei selettori DKIM usando i report aggregati
• Dashboard con allerta su problemi di selettore
• Validazione sintassi DKIM e visualizzazione dei tag
• Fa parte di un pacchetto con checker SPF, DMARC e BIMI (da eseguire separatamente)
• La funzione Domain Scanner controlla SPF, DKIM, DMARC e BIMI insieme
• Widget integrabile per il web

L’auto-detect dei selettori è la feature distintiva. La maggior parte dei checker DKIM statici vuole che tu conosca già il selettore, costringendoti a cercare negli header o nella documentazione ESP. EasyDMARC recupera dai report e rimuove questa frizione, almeno per i domini che già inviano DMARC alla piattaforma.

Anche Domain Scanner è utile: esegue i controlli SPF, DKIM, DMARC e BIMI insieme e fornisce uno score unico sulla salute. Non è un test dinamico puro (controlla solo il DNS), ma fa risparmiare tempo rispetto a usare 4 strumenti diversi.

Il limite è quello di tutti i checker statici: conferma solo la presenza in DNS, non controlla se le email sono effettivamente firmate. Inoltre lo strumento non verifica DKIM insieme a protocolli come MTA-STS, TLS o FCrDNS come fa Red Sift Investigate con un test dinamico unico.

Limitazioni: Solo lookup DNS statico. L’auto-detect dipende dai report aggregati. Nessun test sulla firma reale. Verifiche multiple divise tra più strumenti. Nessun controllo TLS, MTA-STS o FCrDNS.

Prezzi: Strumento di lookup DKIM gratuito. Piani a pagamento per monitoraggio continuo e enforcement.

Situazione ideale: Team che già usano EasyDMARC per il monitoraggio DMARC e desiderano lookup rapidissimi su DKIM con auto-detect dei selettori dai dati esistenti.

Migliore per: Validazione rapida del record DKIM con auto-detect del selettore

Il checker DKIM di Valimail è uno strumento pulito e senza registrazione che valida i record DKIM e include auto-rilevamento dei selettori nelle configurazioni comuni. Restituisce risultati strutturati mostrando se il record esiste, se la sintassi è corretta e se la chiave pubblica è valida.

Funzionalità principali:

• Auto-detect dei selettori nelle configurazioni email più usate
• Validazione del formato della chiave pubblica
• Rilevazione errori di sintassi con spiegazione di problemi (tag mancanti, errori di formato)
• Nessun account richiesto
• Risultati chiari e spiegazioni in linguaggio semplice
• Funziona su qualsiasi dominio (non solo clienti Valimail)

La user experience è curata. I risultati vengono spiegati chiaramente invece che come output DNS puro, quindi è accessibile anche per chi non è esperto DNS. L’auto-detect dei selettori è utile quando controlli domini ma non hai gli header a portata di mano.

Valimail offre anche un Domain Checker più ampio che verifica DMARC, SPF e BIMI per qualsiasi dominio. Fornisce un verdetto veloce "Protected" o "Not Protected" in base alla policy DMARC: utile per una verifica di alto livello, ma è una valutazione del dominio, non un’analisi dettagliata per singolo servizio di invio.

Il tier di monitoraggio gratuito (Valimail Monitor) merita menzione: fornisce visibilità sui report DMARC aggregati con identificazione dei mittenti, andando oltre quanto offrono la maggior parte dei checker DKIM gratuiti. Il checker DKIM, però, rimane lookup statico e condivide i limiti di questa categoria.

Limitazioni: Solo lookup DNS statico. Nessun test end-to-end sulle email. Il Domain Checker non include DKIM (è uno strumento a parte). Nessuna validazione MTA-STS, TLS, o FCrDNS. Nessun suggerimento specifico di remediation.

Prezzi: Checker DKIM gratuito. Valimail Monitor è gratis per DMARC monitoring base. Piani a pagamento per enforcement e automazione.

Situazione ideale: Validazione rapida DKIM in interfaccia chiara, soprattutto per chi vuole valutare la salute generale dell’autenticazione del dominio insieme al Domain Checker.

Migliore per: Validazione DKIM con auto-detect e report dettagliati sugli errori

Il checker DKIM di PowerDMARC combina auto-rilevamento selettore con spiegazioni dettagliate di ogni risultato e perché conta. Lo strumento elenca tutte le possibili casistiche (valido, non valido, mancante, selettore non trovato, chiave non corrispondente) con descrizioni chiare per ognuno.

Funzionalità principali:

• Auto-detect dei selettori lasciando il campo vuoto
• Spiegazioni dettagliate per ogni risultato (valido, non valido, mancante, non corrispondente)
• Mostra tutti i tag e i valori del record DKIM
• Suite con checker SPF, DMARC, BIMI, MTA-STS e generatori DKIM
• Guida alla verifica manuale via header email
• Link a strumenti per generare nuovi record in caso di problemi

Il punto di forza è la parte didattica nei risultati: se sei nuovo a DKIM, lo strumento non si limita a dire "record non valido". Spiega cosa vuol dire, da cosa potrebbe dipendere e consiglia azioni generali (come rigenerare il record col tool automatico). Questo approccio educativo lo rende molto utile a team all’inizio nell’autenticazione email.

L’auto-detect del selettore funziona come in EasyDMARC: lasci il campo vuoto e il sistema cerca i selettori. L’intera suite di tool è ampia e copre generatori e checker di quasi tutti i protocolli email.

Lo strumento rimane lookup DNS statico, quindi il limite di tutti i checker non dinamici: verifica solo il DNS, non può confermare che le email siano realmente firmate. L’interfaccia, inoltre, è più affollata di altre e include parecchio contenuto promozionale insieme ai dati tecnici.

Limitazioni: Solo lookup DNS statico. Nessun test email end-to-end. I controlli di protocollo sono separati (non unificati). Interfaccia con molto materiale promozionale. Nessun controllo TLS o FCrDNS. Le indicazioni su cosa correggere sono generiche e non personalizzate.

Prezzi: Checker DKIM gratuito. Piani a pagamento per monitoraggio, enforcement e gestione chiavi automatizzata.

Situazione ideale: Team che vogliono spiegazioni dettagliate insieme ai dati di diagnostica DKIM, in particolare chi è ancora alle prime armi con l’autenticazione email.

Migliore per: Validazione DKIM pulita con tool generatori di supporto

Il checker DKIM di Sendmarc è uno strumento statico focalizzato: inserisci selettore e dominio e controlla presenza e sintassi del record. È diretto e evita il disordine di altri strumenti simili.

Funzionalità principali:

• Interfaccia pulita con inserimento dominio + selettore
• Validazione della sintassi e dei tag del record DKIM
• Individua record mancanti o incompleti, errori di sintassi e chiavi non corrispondenti
• Tool generatore DKIM accompagnatore per creare nuovi record
• Strumento per analisi header per verificare DKIM su email reali
• Parte di una piattaforma più ampia per la gestione DKIM insieme a SPF/DMARC

L’abbinamento checker+generatore DKIM è un workflow pratico: se il checker trova un problema generi subito un nuovo record con il generatore Sendmarc. Lo strumento di analisi header aggiunge un altro livello: puoi incollare header per verificare la firma effettiva sulle email, avvicinandoti così a un controllo dinamico (pur manuale).

Sendmarc presenta i suoi strumenti come parte di una piattaforma più ampia per gestire DKIM, SPF e DMARC. I tool gratuiti rappresentano un punto di ingresso. L’interfaccia è ordinata e organizzata, senza contenuti promozionali invasivi che disturbano il risultato.

La maggiore limitazione è la mancanza di auto-detect del selettore: è necessario conoscerlo prima, quindi è come MXToolbox nei prerequisiti. Il tool non effettua controlli DKIM con altri protocolli in un passaggio unico.

Limitazioni: Solo lookup DNS statico. Richiede selettore manuale. Nessun auto-detect selettore. Nessun controllo multi-protocollo unificato. Nessun test email dinamico. Indicazioni su cosa correggere generali.

Prezzi: Checker e generatore DKIM gratuiti. Piani piattaforma per gestione evoluta.

Situazione ideale: Team che vogliono un checker DKIM essenziale, senza fronzoli, con possibilità di generare subito nuovi record in caso di problemi.

Migliore per: Validazione rapida della sintassi DKIM

Il checker DKIM di DMARCLY è un semplice strumento DNS lookup. Inserisci dominio e selettore, ricevi il record DKIM con una valutazione superato/fallito della sintassi.

Funzionalità principali:

• Interfaccia pulita e semplice per lookup record DKIM
• Mostra la validità con chiaro indicatore superato/fallito
• Visualizza il valore della chiave pubblica e i tag associati
• Fa parte della suite DMARCLY per autenticazione email
• Include contenuti didattici su selettori e record DKIM
• Link a una guida passo-passo per implementare DKIM

DMARCLY punta sulla semplicità: se devi solo verificare che un record esista e sia sintatticamente corretto, è perfetto e senza distrazioni. I contenuti didattici sono utili a chi si avvicina ora all’autenticazione email.

Lo strumento rientra nella piattaforma DMARCLY, che offre checker SPF, DKIM, DMARC e BIMI separati accanto al servizio a pagamento di monitoraggio. Ogni strumento è focalizzato e diretto.

Limitazioni: Solo lookup DNS statico. Inserimento selettore manuale. Nessuna validazione forza della chiave oltre la sintassi di base. Nessun controllo multiprotocollo unico. Nessuna guida su come correggere. Nessun auto-detect del selettore.

Prezzi: Gratuito per singoli lookup. Prezzi piattaforma DMARCLY per monitoraggio continuo.

Situazione ideale: Conferma rapida che un record DKIM sia pubblicato correttamente su un selettore specifico.

Lo strumento giusto dipende dagli obiettivi. Ecco uno schema per abbinare la situazione alla scelta più indicata.

Parti sempre da un checker dinamico. I lookup DNS statici confermano solo la presenza del record, non la reale firma sulle email. Red Sift Investigate offre il quadro più completo perché testa tutta la catena di autenticazione, compresa la coerenza DKIM con DMARC in una sola scansione.

Esegui un controllo della lunghezza chiave su tutti i selettori. Gli strumenti che validano la lunghezza (come PowerDMARC, EasyDMARC o il checker di Valimail) segnalano tutto ciò che è sotto i 2048 bit. Per chi non ha ruotato le chiavi di recente, è il modo più rapido di individuare punti deboli. Per un audit che copra anche SPF, DMARC, BIMI, MTA-STS e TLS, Red Sift Investigate li controlla tutti in una sola passata.

DKIM è metà dell’equazione per l’allineamento DMARC. Serve uno strumento che controlli DKIM all’interno dell’autenticazione complessiva, non isolatamente. Red Sift Investigate controlla DKIM, SPF, DMARC, BIMI, MTA-STS, TLS e FCrDNS insieme, con indicazioni precise su cosa correggere. Per il monitoraggio durante un progetto DMARC, Red Sift OnDMARC fornisce visibilità continua sull’autenticazione di tutti i tuoi domini e servizi di invio.

MXToolbox è la scelta più rapida se conosci dominio e selettore. Google Admin Toolbox è ottimale per check specifici Google Workspace. EasyDMARC e PowerDMARC sono valide alternative se cerchi l’auto-detect dei selettori senza necessità di un test email dinamico. Tutti sono affidabili per confermare la presenza di un record.

Perché succede: I team pubblicano un record DKIM nel DNS e presumono che tutto funzioni. Usano uno strumento di ricerca statico, vedono "record trovato" e passano oltre.

L’impatto: Il record DNS può essere perfettamente valido anche se il servizio di invio non è configurato per firmare le email. DKIM fallisce silenziosamente e te ne accorgi solo quando arrivano i report DMARC (fino a 24 ore dopo) o quando scende la deliverability.

Come evitarlo: Usa uno strumento di verifica dinamica come Red Sift Investigate che testa il flusso reale delle email, non solo il record DNS. Invia un’email di prova da ciascun servizio di invio per verificare che la firma avvenga veramente da un'estremità all'altra.

Perché succede: Molti servizi email hanno utilizzato chiavi da 1024 bit come impostazione predefinita per anni. Se DKIM è stato configurato prima del 2020, è molto probabile che alcuni selector usino ancora lunghezze di chiave obsolete.

L’impatto: RFC 8301 depreca SHA-1 e prevede il rifiuto automatico delle chiavi sotto i 1024 bit [1]. Anche se oggi la maggior parte dei destinatari accetta ancora chiavi da 1024 bit, sono al limite di ciò che può essere violato con potenza di calcolo sufficiente. M3AAWG raccomanda almeno 2048 bit e rotazione regolare ogni 6-12 mesi [5].

Come evitarlo: Effettua un audit della forza delle chiavi usando uno degli strumenti che convalidano la lunghezza in bit (EasyDMARC, PowerDMARC, Valimail o Sendmarc lo verificano). Aggiorna tutte le chiavi da 1024 bit a 2048 bit. Imposta un programma di rotazione e rispettalo.

Perché succede: Le organizzazioni controllano DKIM per la piattaforma email principale, ma dimenticano soluzioni di marketing automation, sistemi CRM, software di helpdesk e altri servizi che inviano a loro nome.

L’impatto: Questi servizi potrebbero non firmare affatto con DKIM, oppure firmare con un dominio diverso che non è compatibile con la policy DMARC. Quando si passa all’applicazione DMARC (p=quarantine o p=reject), quelle email iniziano a venir bloccate.

Come evitarlo: Fai un inventario di ogni servizio che invia email dal tuo dominio. Testa DKIM per ognuno di essi separatamente. Red Sift OnDMARC automatizza questa scoperta analizzando i report aggregati DMARC per visualizzare tutte le fonti di invio e lo stato DKIM.

Perché succede: Le modifiche DNS possono richiedere tempo per la propagazione e i team a volte passano subito al compito successivo senza confermare che il cambiamento sia avvenuto e sia corretto.

L’impatto: Errori di battitura nei record DKIM, valori di chiave incompleti (soprattutto con chiavi da 2048 bit che devono essere divise su più stringhe DNS) e nomi selector errati causano tutti fail DKIM.

Come evitarlo: Testa ogni modifica DKIM immediatamente dopo averla eseguita. Red Sift Investigate offre una verifica istantanea tramite il suo test dinamico delle email, così non devi aspettare 24 ore per un report DMARC che confermi che tutto funzioni.

Un checker DKIM è utile solo quanto ciò che ti permette di fare dopo. Gli strumenti gratuiti di lookup statico di EasyDMARC, PowerDMARC, Valimail, Sendmarc e altri vanno bene per controlli veloci, ma si limitano a verificare l’esistenza del record nel DNS. Non possono dirti se le tue email sono effettivamente firmate, se l’autenticazione è allineata con il tuo DMARC o cosa correggere in caso di problemi.

Per le organizzazioni serie sull'autenticazione email, la differenza tra una consultazione basilare e uno strumento di diagnosi completo fa risparmiare ore di troubleshooting e previene problemi di deliverability prima che possano impattare sul business.

Red Sift Investigate offre la panoramica più completa della tua configurazione DKIM in meno di 30 secondi, con suggerimenti specifici su cosa correggere. È gratuito, non richiede registrazione e testa il flusso reale delle email invece che solo il DNS. E quando sei pronto a passare dal controllo al monitoraggio continuo e all’applicazione, Red Sift OnDMARC prende il testimone, aiutandoti a raggiungere la piena enforcement DMARC in 6-8 settimane.

Esegui un controllo gratuito con Red Sift Investigate per scoprire la situazione attuale del tuo DKIM.

[1] RFC 8301 - Cryptographic Algorithm and Key Usage Update to DomainKeys Identified Mail (DKIM) 

[2] Come DKIM, DMARC, SPF migliorano la deliverability 

[3] Come i requisiti di autenticazione email stanno cambiando le comunicazioni aziendali nel 2026 [4] Funzionalità Investigate di OnDMARC 

[5] M3AAWG Best Common Practices per la rotazione delle chiavi DKIM

Un verificatore DKIM controlla che il tuo dominio abbia un record DKIM configurato correttamente. I checker statici interrogano il DNS per la chiave pubblica su uno specifico selector. I checker dinamici vanno oltre analizzando una vera email per confermare che i messaggi vengano effettivamente firmati e che la firma sia verificabile dal server ricevente.

Dipende dallo strumento. La maggior parte dei checker statici (MXToolbox, Sendmarc, DMARCLY, DNSChecker.org) richiede di inserire un selector. Alcuni strumenti come EasyDMARC, PowerDMARC e Valimail possono rilevare i selector automaticamente. I checker dinamici come Red Sift Investigate individuano il selector direttamente dalle intestazioni email, quindi non è necessario saperlo prima.

Un controllo statico interroga il DNS per il record DKIM e ne valida la sintassi. Un controllo dinamico invia o riceve una vera email e verifica l’intera catena di autenticazione DKIM, inclusi la firma effettiva del messaggio, la validità della firma e l’allineamento DKIM con la policy DMARC. I check dinamici rilevano più problemi perché testano il flusso reale delle email. Tra gli strumenti in questa guida, solo Red Sift Investigate effettua un vero controllo dinamico.

Ogni volta che modifichi i record DNS, i servizi di invio email o le impostazioni della piattaforma email. Oltre a questo, effettua un controllo almeno ogni trimestre e ogni volta che aggiungi un nuovo servizio di invio. Per il monitoraggio continuo, una piattaforma come Red Sift OnDMARC fornisce una visibilità costante, così non devi ricordarti di verificare manualmente.

Le chiavi RSA da 2048 bit sono il minimo raccomandato. RFC 8301 richiede il rifiuto delle chiavi sotto i 1024 bit e NIST indica 2048 bit come soglia minima per la cifratura RSA [1]. Alcune organizzazioni usano chiavi da 4096 bit per maggiore sicurezza, ma non tutti i servizi email le supportano. Se usi ancora chiavi da 1024 bit, passa a 2048 bit e imposta un ciclo di rotazione ogni 6-12 mesi.

Non direttamente. DKIM è solo uno dei fattori di deliverability; l’inbox placement dipende anche da SPF, policy DMARC, reputazione del mittente, qualità dei contenuti e metriche di engagement. Detto ciò, un DKIM non funzionante danneggerà la deliverability. Mittenti autenticati con SPF, DKIM e DMARC insieme raggiungono tassi di inbox placement del 95-98%, contro l’85% in media per i mittenti non autenticati [2].

Di solito significa che il record DNS è valido ma il servizio di invio non firma correttamente le email. Le cause comuni includono la mancata configurazione di DKIM sulla piattaforma di invio, difformità tra il selector nell’intestazione DKIM-Signature e il record DNS, o l’email modificata durante il transito (da gateway o servizi di forwarding) dopo la firma. Usa un checker dinamico per diagnosticare il punto esatto di errore.

Il controllo DKIM è una parte di una strategia di autenticazione email completa che include SPF, DMARC, BIMI e MTA-STS. Per una panoramica approfondita di come questi protocolli lavorano insieme e come implementarli, consulta la guida di Red Sift ai requisiti di autenticazione email nel 2026.