I migliori fornitori per la gestione di DKIM e SPF

Riepilogo esecutivo: Questa guida affronta i requisiti ormai obbligatori per l'autenticazione email SPF e DKIM, introdotti a seguito delle azioni di enforcement di Google, Yahoo e Microsoft tra il 2024 e il 2025. Spiega come questi protocolli, in sinergia con DMARC, proteggano i domini dallo spoofing e garantiscano la deliverability delle email, mettendo in evidenza gli errori più comuni come il limite di 10 lookup DNS per SPF e la rotazione inadeguata delle chiavi DKIM.

La guida presenta Red Sift OnDMARC come una soluzione completa che semplifica la gestione tramite Dynamic SPF e monitoraggio DKIM integrato, consentendo generalmente di raggiungere il pieno enforcement DMARC in 6-8 settimane.

Punti chiave:

• L'autenticazione email non è più opzionale: Google, Yahoo e Microsoft ora respingono o mettono in quarantena le email di massa che non autenticano tramite SPF, DKIM e DMARC. La non conformità ha impatto diretto sulla deliverability e sulle entrate.
• Il limite dei 10 lookup SPF coglie la maggior parte delle organizzazioni di sorpresa: Utilizzando solo 3-5 servizi email di terze parti si può superare facilmente questo limite, causando fallimenti casuali di autenticazione. Le soluzioni Dynamic SPF eliminano questo problema senza i rischi dell'appiattimento manuale.
• Le chiavi DKIM richiedono una gestione attiva: Le chiavi da 2048 bit sono ora lo standard minimo e M3AAWG raccomanda la rotazione ogni sei mesi. Molte organizzazioni utilizzano ancora chiavi obsolete da 1024 bit risalenti a diversi anni fa, creando vulnerabilità di sicurezza.
• L'allineamento è la chiave mancante: SPF e DKIM possono passare entrambi ma DMARC fallisce se nessuno dei due è allineato con il dominio "From" visibile. Per i mittenti di grandi volumi, l'allineamento DKIM è cruciale, poiché sopravvive meglio all'inoltro rispetto a SPF.

Sapere gestire correttamente SPF e DKIM non è più opzionale. Con Google, Yahoo e Microsoft che impongono requisiti di autenticazione stringenti per i mittenti di massa, le organizzazioni che non gestiscono questi protocolli in modo appropriato rischiano fallimenti di deliverability, vulnerabilità di sicurezza e possibili danni al brand.

Si stima che ogni giorno vengano inviati 3,4 miliardi di email di phishing [1]. L'email resta la superficie di attacco preferita dai cybercriminali: il 94% dei malware viene recapitato tramite allegati email [2]. È proprio per questo che i principali provider di caselle hanno deciso di fissare nuove regole rigorose.

Dal febbraio 2024, Google e Yahoo richiedono ai mittenti di massa (chi invia più di 5.000 email al giorno) di autenticare i messaggi sia con SPF che con DKIM, con almeno un protocollo allineato per la conformità DMARC [3]. Microsoft li ha seguiti a maggio 2025, respingendo tutte le email non conformi [4]. Non sono suggerimenti, ma obblighi.

Questa guida tratta:

• Come SPF e DKIM lavorano insieme per autenticare le tue email
• Gli errori più frequenti che invalidano SPF e DKIM (e come risolverli)
• Cosa considerare quando scegli un fornitore di autenticazione email
• Perché DMARC è l’anello di congiunzione tra tutto
• In che modo Red Sift OnDMARC semplifica l’intero processo

Sender Policy Framework (SPF) è la lista d’ingresso del tuo dominio per l’invio email. È un record DNS che indica ai server riceventi quali indirizzi IP sono autorizzati a inviare email con il tuo nome di dominio [5].

Quando arriva un’email, il server di destinazione controlla il record SPF del dominio nell’indirizzo return-path. Se l’IP del mittente è in elenco, SPF supera il controllo. In caso contrario, fallisce.

SPF ha una limitazione critica che mette in difficoltà molte organizzazioni: il limite di 10 lookup DNS [6]. Ogni include, a, mx, ptr e redirect nel tuo record SPF conta contro questo limite. Se lo superi, i server riceventi restituiscono "permerror" e le tue email iniziano a fallire l’autenticazione in modo casuale.

Ecco come si accumulano i lookup:

• Google Workspace: 4 lookup DNS
• Microsoft 365: 2-3 lookup DNS
• Piattaforme di marketing automation: 3-7 lookup DNS ciascuna
• Invio email da CRM: 2-4 lookup DNS

La maggior parte delle aziende di medie dimensioni usa almeno 3-5 strumenti che inviano email per loro conto. Sommali tutti e superi facilmente i 10 lookup prima di accorgertene.

• SPF flattening converte i nomi host in indirizzi IP, che non contano ai fini del limite. Il problema? I fornitori aggiornano spesso i propri IP; ciò rende rapidamente obsoleto il tuo record, causando fallimenti di autenticazione [7].
• SPF macro offre una soluzione più sofisticata risolvendo dinamicamente i lookup al momento della query. Tuttavia, alcune infrastrutture legacy non supportano le macro, generando risultati incoerenti [8].
• Delegazione su sottodomini consente di gestire record SPF distinti spostando i servizi su sottodomini. Funziona, ma il tuo "From" visualizzerà il sottodominio e non il dominio principale.
• Soluzioni Dynamic SPF come Dynamic SPF di Red Sift uniscono tutti i mittenti autorizzati in un unico include dinamico che si risolve al momento della query. Niente aggiornamenti DNS manuali, niente problemi di compatibilità macro né complessità con i sottodomini.

Seguendo le raccomandazioni di M3AAWG [9]:

• Pubblica record SPF per tutti i domini che inviano email, inclusi quelli parcheggiati
• Utilizza ~all (softfail) invece di -all (hardfail) per permettere la valutazione DMARC
• Controlla e aggiorna i record SPF trimestralmente per rimuovere include inutilizzati
• Monitora tutti i servizi di terze parti che inviano per tuo conto
• Testa i cambiamenti in modalità di monitoraggio prima di attivare l'enforcement

DomainKeys Identified Mail (DKIM) aggiunge una firma crittografica alle email inviate [10]. Questa firma dimostra che l’email proviene effettivamente dal tuo dominio e che il contenuto non è stato manomesso in transito.

Quando invii una mail, il tuo server genera una firma unica usando una chiave privata. La firma viene aggiunta nell’header dell’email. Il server ricevente preleva la chiave pubblica dal DNS e verifica che la firma corrisponda.

La forza della chiave conta. Le chiavi da 1024 bit erano lo standard, ma oggi sono considerate insicure. Le chiavi RSA da 2048 bit sono il nuovo minimo raccomandato [11]. Alcune organizzazioni stanno già passando a chiavi da 4096 bit.

La rotazione è essenziale. Le chiavi DKIM dovrebbero essere ruotate almeno ogni sei mesi secondo le linee guida M3AAWG [12]. I mittenti ad alto rischio, come quelli finanziari, dovrebbero farlo ogni mese. Molte organizzazioni però configurano DKIM una volta e non la aggiornano più. I ricercatori hanno trovato aziende che usano ancora chiavi da 1024 bit dal 2015 [13].

Le convenzioni per i selector aiutano a tracciare quali chiavi sono attive. Usare selector descrittivi come "gen2026" facilita gli audit e l’identificazione dei servizi che firmano con quali chiavi [14].

• Usa chiavi da almeno 2048 bit (migra immediatamente da 1024 bit)
• Rota le chiavi almeno ogni sei mesi
• Mantieni due chiavi attive durante la rotazione per evitare interruzioni di autenticazione
• Firma tutte le email inviate, incluse le transazionali
• Allinea il dominio di firma DKIM con il dominio "From" per DMARC
• Usa selector distinti per ciascun servizio di invio
• Documenta programma di rotazione e convenzioni per i selector

SPF e DKIM sono protocolli essenziali, ma concepiti separatamente. Qui interviene DMARC (Domain-based Message Authentication, Reporting, and Conformance).

DMARC richiede che almeno uno tra SPF e DKIM passi e sia allineato con il dominio "From" [15]. Questo è il punto cruciale: puoi avere SPF e DKIM entrambi positivi, ma se nessuno allineato col "From" visibile, DMARC fallisce.

Allineamento SPF: il dominio nel return-path (envelope sender) deve coincidere col dominio dell’header "From". Molti servizi di terze parti usano un loro return-path rompendo l’allineamento SPF.

Allineamento DKIM: il dominio nella firma DKIM (valore d=) deve coincidere con il dominio "From". L’allineamento DKIM è generalmente più affidabile perché sopravvive all’inoltro delle email, dove spesso SPF fallisce.

Ecco perché Google, Yahoo e Microsoft richiedono DKIM per i mittenti di massa. Solo SPF non basta più.

Le policy DMARC evolvono in tre livelli:

• p=none: Solo monitoraggio. Ricevi report ma niente effetti sulla consegna.
• p=quarantine: Le email fallite finiscono in spam/posta indesiderata.
• p=reject: Le email fallite vengono del tutto bloccate.

Il passaggio dal monitoraggio all’enforcement richiede tipicamente 4-8 settimane [16]. Serve tempo per identificare tutti i mittenti leciti, configurare SPF/DKIM correttamente e risolvere problemi di allineamento prima dell’enforcement.

Il tuo fornitore dovrebbe risolvere il limite dei 10 lookup DNS senza introdurre nuovi problemi. Le soluzioni basate sull’appiattimento manuale falliscono quando cambiano gli IP autorizzati. Le macro possono non essere compatibili con tutte le infrastrutture riceventi.

Dynamic SPF di Red Sift OnDMARC utilizza un unico include dinamico che autentica tutti i mittenti approvati al momento della query. Niente aggiornamenti DNS manuali, nessuna preoccupazione di compatibilità, nessun fallimento casuale.

Cerca fornitori che:

• Supportano chiavi da 2048 bit (meglio se anche 4096 bit)
• Automatizzano la rotazione delle chiavi su cadenza definita
• Mantengono più chiavi attive durante le transizioni
• Tracciano l’uso dei selector su tutti i servizi
• Segnalano chiavi deboli o in scadenza

SPF e DKIM servono per realizzare il vero enforcement di DMARC. Il fornitore dovrebbe offrire:

• Report aggregati sui tassi di autenticazione pass/fail
• Report forensi con dettagli sui fallimenti
• Chiara visibilità su quali servizi autenticano correttamente (e quali no)
• Indicazioni pratiche per la risoluzione degli errori

Gestire SPF, DKIM e DMARC richiede aggiornamenti DNS frequenti. Poter gestire tutti i record direttamente dalla piattaforma del fornitore elimina la necessità di accessi separati e riduce gli errori di configurazione.

OnDMARC consente di configurare SPF, DKIM, DMARC, BIMI e MTA-STS tramite un’unica interfaccia. Basta una modifica DNS iniziale: tutto il resto si gestisce dalla piattaforma.

L’autenticazione email non è solo un requisito tecnico. Influenza direttamente risultato finanziario e sicurezza dell’organizzazione.

Se SPF o DKIM falliscono, le tue email potrebbero non arrivare ai destinatari. Le campagne marketing perdono efficacia. Le vendite non ottengono risposta. Le comunicazioni ai clienti finiscono in spam. L’impatto economico si amplifica rapidamente.

Facciamo i conti: se la tua azienda invia 50.000 email al mese e una cattiva autenticazione riduce la deliverability del 10%, vuol dire 5.000 email che non arrivano a destinazione. Per marketing o commerciale significa direttamente opportunità o ricavi persi.

Wise, azienda di trasferimenti internazionali, ha raggiunto il 99% di deliverability dopo aver implementato OnDMARC [20]. Questa miglioria deriva da una corretta configurazione di SPF e DKIM su tutti i servizi di invio.

Gli attacchi di phishing che imitano il tuo dominio minano la tua reputazione: fanno perdere la fiducia dei clienti, espongono a rischi legali e favoriscono truffe BEC da milioni di dollari.

Nel 2024 l’Internet Crime Complaint Center dell’FBI ha registrato 21.442 segnalazioni di BEC, per un totale di 2,77 miliardi di dollari di perdite [21]. Molte di queste truffe iniziano con lo spoofing del dominio che una corretta autenticazione prevenirebbe.

Quando il tuo dominio è protetto da SPF, DKIM e DMARC in enforcement, chi attacca non può inviare email che sembrano provenire dalla tua organizzazione. I messaggi contraffatti vengono respinti prima ancora di raggiungere clienti, partner o staff.

Enti pubblici e organismi regolatori richiedono sempre più spesso l’autenticazione email. NIST raccomanda DMARC nelle linee guida federali di cybersecurity. Il National Cyber Security Centre inglese sostiene DMARC. La Commissione Europea ha pubblicato direttive sull’autenticazione email per gli enti membri.

Per settori regolamentati come la sanità e la finanza, l’autenticazione non è facoltativa ma parte della due diligence nella protezione delle comunicazioni sensibili.

OnDMARC adotta un approccio integrato, gestendo SPF, DKIM e DMARC come un unico sistema.

• Gestione SPF: Dynamic SPF azzera il limite dei 10 lookup tramite un solo include dinamico. Tutti i mittenti vengono autenticati attraverso un meccanismo che si aggiorna automaticamente. Nessuna macro, massima compatibilità anche con sistemi legacy [17].
• Gestione DKIM: OnDMARC monitora tutte le chiavi DKIM dei servizi, segnala firme deboli o mancanti, aiuta nella corretta configurazione delle chiavi. Si integra coi principali fornitori per un setup DKIM semplificato.
• Enforcement DMARC: Con OnDMARC le organizzazioni raggiungono enforcement pieno (p=reject o p=quarantine) in media in 6-8 settimane [18]. La piattaforma analizza continuamente i report DMARC e propone soluzioni concrete.
• Oltre l’autenticazione email: OnDMARC include DNS Guardian per monitorare takeover di sottodomini e attacchi SubdoMailing oltre a supporto integrato BIMI e VMC per loghi brand verificati.

Email service provider come SendGrid e Amazon SES firmano DKIM solo per le email veicolate da loro. Non gestiscono SPF né forniscono reportistica DMARC. Serve quindi una gestione centralizzata di tutti i servizi.

Servizi di flattening SPF come AutoSPF o SafeSPF risolvono il limite, ma devi delegare la gestione SPF all’infrastruttura di terzi. Guasti di servizio influiscono direttamente sulla consegna delle mail.

Piattaforme DMARC-only offrono solo reportistica, senza risolvere le configurazioni SPF/DKIM sottostanti. Si ottiene visibilità, ma non strumenti per agire.

Strumenti gratuiti come quelli di MxToolbox, URIports, ecc. aiutano nella validazione ma non gestiscono, automatizzano o forniscono enforcement continuo.

Identifica ogni servizio che invia email col tuo dominio, tra cui:

• Email aziendale (Microsoft 365, Google Workspace)
• Piattaforme di marketing automation
• CRM con funzionalità email
• Servizi di invio transazionale
• Sistemi HR e recruiting
• Helpdesk e customer care
• Software di contabilità e finanza

Controlla il record SPF a caccia di include non più usati e del numero totale di lookup. Verifica la presenza di DKIM per ciascun servizio.

Crea un inventario dei servizi di invio con:

• Nome e fornitore del servizio
• Volume email e tipologia (marketing, transazionale, interno)
• Meccanismo SPF attualmente dichiarato
• Selector DKIM e lunghezza chiave
• Stato allineamento (allineato o meno con il dominio From)

Questo inventario sarà il riferimento principale per tutte le configurazioni.

Aggiungi o aggiorna le chiavi DKIM per ogni servizio. Dai la priorità alle chiavi da 2048 bit e documenta la convenzione sui selector.

Configurare DKIM sulle principali piattaforme:

• Microsoft 365: Usa record CNAME che puntano all’infrastruttura DKIM Microsoft, con rotazione automatica tra due selector.
• Google Workspace: Genera le chiavi tramite Admin console e pubblica i TXT in DNS. Valuta selector personalizzati.
• Piattaforme Marketing: In genere richiedono record CNAME o TXT. Assicurati che supportino l’allineamento DKIM con il tuo From.

Ottimizza il record SPF o implementa Dynamic SPF per rimanere sotto al limite dei 10 lookup e autorizzare tutti i mittenti.

Pubblica un record DMARC p=none per iniziare a ricevere report aggregati senza impatto sulla deliverability. Imposta rua verso una casella sotto il tuo controllo (o quella del fornitore DMARC) per i report.

Analizza i report DMARC e individua:

• Mittenti leciti non autenticati correttamente
• Fallimenti di allineamento (SPF/DKIM validi ma non allineati)
• Fonti sconosciute o non autorizzate
• Volumi atipici indicanti spoofing potenziale

Risolvi le criticità di autenticazione. Potrebbe essere necessario coordinarsi con fornitori terzi per configurare DKIM custom o adattare i return-path domain.

Problemi comuni che incontrerai:

• Servizi di terzi che firmano DKIM sul proprio dominio anziché sul tuo
• Piattaforme marketing con return-path che impedisce allineamento SPF
• Sistemi legacy senza supporto DKIM
• Servizi Shadow IT che inviano email all’insaputa del team IT

Passa da p=none a p=quarantine per testare l’enforcement senza bloccare tutte le email fallite. Monitora il tasso di consegna in spam.

Inizia con pct basso (es. pct=10) per applicare la policy solo a una percentuale delle email fallite. Aumenta gradualmente la percentuale.

Quando sei certo che tutte le email legittime autenticano correttamente, passa a p=reject per la massima protezione.

Continua a monitorare dopo l’enforcement. Nuovi servizi, cambi di configurazione o aggiornamenti di piattaforme terze possono rompere l’autenticazione. La vigilanza costante previene sorprese negative sulla deliverability.

• Sintomi: SPF passa per alcuni destinatari ma fallisce per altri. I report DMARC sono incoerenti.
• Possibile causa: Hai superato il limite dei 10 lookup DNS. I server che valutano tutto il record prima del limite segnalano il pass, altri restituiscono permerror.
• Soluzione: Controlla il record SPF per include inutilizzati. Rimuovi i servizi non più attivi. Implementa Dynamic SPF o delega su sottodomini per rimanere entro il limite.

• Sintomi: Dopo la migrazione a una nuova piattaforma (es. marketing automation), DKIM fallisce.
• Possibile causa: Le vecchie chiavi DKIM sono ancora in DNS ma la nuova piattaforma usa selector diversi. O la nuova piattaforma non firma col tuo dominio.
• Soluzione: Genera nuove chiavi DKIM per la nuova piattaforma. Pubblicale in DNS col selector indicato. Verifica che la piattaforma firmi con il valore d= del tuo dominio, non il proprio. Elimina le vecchie chiavi una volta confermata la corretta configurazione.

• Sintomi: I report DMARC mostrano SPF e DKIM pass, ma DMARC fallisce.
• Possibile causa: Né SPF né DKIM sono allineati al dominio From. Il servizio autentica, ma non a vantaggio di DMARC.
• Soluzione: Controlla il return-path (per l’allineamento SPF) e il valore d= della firma DKIM (per l’allineamento DKIM). Collabora con il servizio di invio per configurare domini custom allineati al tuo From.

• Sintomi: La verifica DKIM fallisce con errori "invalid signature". La chiave è pubblicata correttamente in DNS.
• Causa probabile: Il contenuto dell’email è stato modificato durante il transito. Le mailing list che aggiungono footer, i gateway di sicurezza email che riscrivono gli URL o i servizi di inoltro possono invalidare le firme DKIM.
• Soluzione: Spesso non è sotto il tuo controllo. Assicurati di avere l’allineamento SPF come fallback. Valuta di implementare ARC (Authenticated Received Chain) se sei l’organizzazione che modifica le email durante il transito.

La gestione di SPF e DKIM è passata dall’essere un’opzione consigliata a un requisito obbligatorio. Google, Yahoo e Microsoft ora applicano rigorosi standard di autenticazione e le email non conformi sono rifiutate, non solo penalizzate nella consegna.

Le sfide sono reali: il limite di 10 lookup di SPF comporta una manutenzione continua, la rotazione delle chiavi DKIM richiede un’attenta coordinazione e allineare tutto secondo DMARC aggiunge un ulteriore livello di complessità.

Ma la soluzione non deve essere complicata. Piattaforme come Red Sift OnDMARC consolidano la gestione di SPF, DKIM e DMARC in una sola interfaccia, automatizzano le parti più noiose e offrono indicazioni chiare per raggiungere la piena applicazione.

Le organizzazioni che lo fanno correttamente proteggono i loro domini da spoofing, migliorano la deliverability delle email e rispettano i requisiti sempre più stringenti degli inbox provider. Chi non lo fa vedrà le proprie email finire nelle cartelle spam, o non essere recapitate affatto.

[1] SalesHive. "DKIM, DMARC, SPF: Best Practices for Email Security and Deliverability in 2025." https://saleshive.com/blog/dkim-dmarc-spf-best-practices-email-security-deliverability/ 

[2] Verizon. "2024 Data Breach Investigations Report." https://www.verizon.com/business/resources/reports/dbir/ 

[3] Yahoo. "Sender Best Practices." https://senders.yahooinc.com/best-practices/ 

[4] Microsoft. "Strengthening Email Ecosystem: Outlook's New Requirements for High-Volume Senders." https://techcommunity.microsoft.com/blog/microsoftdefenderforoffice365blog/strengthening-email-ecosystem-outlook's-new-requirements-for-high‐volume-senders/4399730 

[5] IETF. "RFC 7208: Sender Policy Framework." https://datatracker.ietf.org/doc/html/rfc7208 

[6] Mailhardener. "The SPF Lookup Limit Explained." https://www.mailhardener.com/blog/spf-lookup-limit-explained 

[7] URIports. "SPF Macros: Overcoming the 10 DNS Lookup Limit." https://www.uriports.com/blog/spf-macros-max-10-dns-lookups/ 

[8] Mailhardener. "Do Not Flatten Your SPF Record." https://www.mailhardener.com/blog/do-not-flatten-spf 

[9] M3AAWG. "Email Authentication Recommended Best Practices." https://www.m3aawg.org/sites/default/files/m3aawg-email-authentication-recommended-best-practices-09-2020.pdf 

[10] IETF. "RFC 6376: DomainKeys Identified Mail Signatures." https://datatracker.ietf.org/doc/html/rfc6376 

[11] Twilio SendGrid. "2048 Bit DKIM Keys: Length and Best Practices." https://www.twilio.com/en-us/blog/insights/2048-bit-dkim-keys 

[12] M3AAWG. "DKIM Key Rotation Best Common Practices." https://www.m3aawg.org/DKIMKeyRotation 

[13] Suped. "How Often Should You Rotate Your DKIM Keys and What Key Length is Best." https://www.suped.com/knowledge/email-authentication/dmarc/how-often-should-you-rotate-your-dkim-keys-and-what-key-length-is-best 

[14] Mailgun. "How Can I Rotate My DKIM Key?" https://help.mailgun.com/hc/en-us/articles/16956951504539-How-can-I-rotate-my-DKIM-key 

[15] IETF. "RFC 7489: Domain-based Message Authentication, Reporting, and Conformance." https://datatracker.ietf.org/doc/html/rfc7489 

[16] Red Sift. "OnDMARC." https://redsift.com/pulse-platform/ondmarc 

[17] Red Sift. "SPF, DKIM & DMARC: Essential Email Protocols Explained." https://redsift.com/guides/email-protocol-configuration-guide/all-you-need-to-know-about-spf-dkim-and-dmarc 

[18] Cisco. "Cisco Secure Email + Red Sift Domain Protection." https://docs.ces.cisco.com/docs/red-sift-cisco-secure-email 

[19] URIports. "SPF, DKIM, and DMARC Best Practices." https://www.uriports.com/blog/spf-dkim-dmarc-best-practices/ 

[20] Red Sift. "OnDMARC Customer Success." https://redsift.com/customers/customer-success 

[21] Bright Defense. "200+ Phishing Statistics for 2026." https://www.brightdefense.com/resources/phishing-statistics/