DMARC vs SPF vs DKIM: Qual è la differenza e perché è importante

Pubblicato il:1 dicembre 2025
5 min di lettura
Indice dei contenuti
  1. In sintesi
  2. Perché l’autenticazione delle email è importante
  3. Che cos’è SPF (Sender Policy Framework)?
  4. Che cos’è DKIM (DomainKeys Identified Mail)?
  5. Che cos’è DMARC (Domain-based Message Authentication, Reporting & Conformance)?
  6. Come funzionano insieme questi protocolli
  7. Checklist di implementazione
  8. Errori di configurazione comuni
  9. Riepiloghiamo
  10. Risorse correlate

Tempo di lettura stimato: 6-7 minuti

In sintesi

SPF, DKIM e DMARC sono tre protocolli di autenticazione email che proteggono dal furto d'identità del dominio e dal phishing.

  • SPF verifica che il server mittente sia autorizzato a inviare email per il tuo dominio.
  • DKIM garantisce che il messaggio non sia stato manomesso durante il transito.
  • DMARC si basa su SPF e DKIM, indicando ai server di destinazione cosa fare se i messaggi falliscono l'autenticazione.

Insieme, creano una difesa stratificata per la reputazione del tuo dominio e la deliverability delle email.

Perché l’autenticazione delle email è importante

Ogni giorno, gli aggressori si fingono marchi affidabili per rubare dati o ingannare gli utenti. Secondo rapporti di settore, oltre il 90% degli attacchi informatici inizia con phishing o email contraffatte.

Implementando SPF, DKIM e DMARC, puoi assicurarti che solo i mittenti autorizzati possano usare il tuo dominio – proteggendo il tuo brand, i tuoi clienti e la reputazione della tua casella di posta.

Questi protocolli agiscono a livello Domain Name System (DNS), confermando se un’email proviene davvero da chi dice di provenire. Se configurati correttamente, riducono il rischio di:

  • Indirizzi “da” contraffatti
  • Fatture fraudolente e phishing
  • Problemi di deliverability e penalizzazioni antispam

Che cos’è SPF (Sender Policy Framework)?

SPF (Sender Policy Framework) permette ai proprietari di dominio di specificare quali server di posta possono inviare email per loro conto.

Come funziona:

  • Pubblichi un record SPF nel DNS del tuo dominio.
  • Quando un server di posta ricevente riceve un’email, verifica il dominio nel Return-Path (envelope-from) rispetto al record SPF per controllare se l’IP mittente è autorizzato.
  • Se l’IP mittente corrisponde, il messaggio supera il controllo SPF; altrimenti fallisce.

Esempio di record SPF:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Vantaggi:

  • Facile da implementare.
  • Efficace nel bloccare mittenti non autorizzati.

Limitazioni:

  • Si interrompe quando i messaggi sono inoltrati (ad esempio tramite mailing list).
  • Non verifica il contenuto del messaggio.

Best practice: Associa sempre SPF con DKIM e DMARC per una protezione completa.

Che cos’è DKIM (DomainKeys Identified Mail)?

DKIM aggiunge una firma crittografica alle tue email per verificare che il messaggio non sia stato alterato dopo l’invio.

Come funziona:

  • Il tuo server di posta aggiunge una firma con chiave privata nell’header di ciascuna email.
  • Il server ricevente usa la chiave pubblica (pubblicata nel DNS) per verificare la firma.
  • Se la firma è valida, l’email supera l’autenticazione DKIM.

DKIM autentica il dominio presente nel campo d= dell’header DKIM-Signature, che può essere diverso dal dominio visibile nell’indirizzo From (header From). Questa distinzione diventa importante con DMARC, che verifica che questi domini siano allineati per confermare l’autenticità del mittente.

Esempio di record DKIM:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Vantaggi:

  • Conferma l’integrità del messaggio.
  • Funziona anche quando le email sono inoltrate.

Limitazioni:

  • Configurazione complessa per mittenti terzi multipli.
  • Le chiavi devono essere ruotate periodicamente per motivi di sicurezza.

Best practice: Usa chiavi da 2048 bit e monitora l’allineamento DKIM nei report DMARC.

Che cos’è DMARC (Domain-based Message Authentication, Reporting & Conformance)?

DMARC unisce SPF e DKIM in un’unica policy e dà ai proprietari di dominio il controllo su cosa succede quando un’email fallisce uno di questi controlli.

Come funziona:

  • Pubblicate un record DMARC nel vostro DNS specificando come gestire i fallimenti di autenticazione.
  • La policy può indicare ai server di posta di:
  • Non fare nulla (p=none)
  • Mettere in quarantena i messaggi sospetti (p=quarantine)
  • Rifiutare direttamente i messaggi falliti (p=reject) - opzione più raccomandata

DMARC valuta l’allineamento tra il dominio nell’indirizzo From visibile (header From) e i domini autenticati da SPF (Return-Path o envelope-from) e DKIM (campo d= nell’header DKIM-Signature). Solo quando almeno uno di questi meccanismi passa e si allinea, il messaggio è considerato autenticato secondo DMARC.

Esempio di record DMARC:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-failures@yourdomain.com; adkim=s; aspf=s

Vantaggi:

  • Offre visibilità tramite report (tag rua e ruf).
  • Blocca in modo proattivo l’abuso del dominio.
  • Migliora la fiducia e la protezione del brand.

Limitazioni:

  • Richiede l’allineamento sia di SPF che di DKIM.
  • Un’applicazione totale può inizialmente bloccare messaggi leciti se la configurazione non è completa.

Best practice: Inizia con p=none, analizza i report, poi passa gradualmente a p=quarantine o p=reject.

DMARC vs SPF vs DKIM – Tabella comparativa

Caratteristica

SPF

DKIM

DMARC

Scopo

Autorizza i server mittenti

Verifica l'integrità del messaggio

Definisce policy & segnala i fallimenti

Metodi di autenticazione

Basato su IP

Firma crittografica

Policy basata sui risultati di SPF & DKIM

Protegge da

Indirizzi mittente contraffatti

Manomissione dei messaggi

Impersonificazione del dominio, phishing

Implementazione

Record TXT DNS

Record TXT DNS

Record TXT DNS

Verifica allineamento

❌ (allineamento valutato da DMARC)

❌ (allineamento valutato da DMARC)

Richiede l’allineamento di SPF o DKIM per superare

Reporting

✅ (report aggregati & forensi)

Livello di enforcement

Nessuno

Nessuno

Nessuno / Quarantena / Rifiuto

Come funzionano insieme questi protocolli

Pensa a SPF, DKIM e DMARC come a livelli di difesa:

  1. SPF conferma chi può inviare.
  2. DKIM conferma che ciò che è stato inviato non sia stato modificato.
  3. DMARC applica cosa accade quando qualcosa non corrisponde.

Senza DMARC, SPF e DKIM funzionano in modo indipendente e possono essere elusi. DMARC aggiunge la logica di policy – chiudendo il cerchio sull’autenticazione del mittente.

Checklist di implementazione

  • Pubblica record DNS SPF, DKIM e DMARC validi.
  • Allinea i domini mittenti per tutti i sistemi in uscita (es. CRM, strumenti di marketing).
  • Testa le configurazioni tramite il validatore OnDMARC di Red Sift.
  • Passa gradualmente dal monitoraggio (p=none) all’applicazione (p=reject).
  • Rivedi regolarmente i report aggregati per individuare anomalie.
  • Forma gli stakeholder interni sul rollout per prevenire problemi di consegna.

Errori di configurazione comuni

  • Record SPF troppo ampi: Utilizzare troppi “include” può superare il limite di 10 look-up DNS.
  • Selector DKIM non coerenti: Causa fallimenti di verifica tra diversi fornitori.
  • Ignorare i report DMARC: Senza analisi, non rileverai i primi segnali di abuso.
  • Saltare l’applicazione: Lasciare DMARC su p=none non offre alcuna reale protezione.

Riepiloghiamo

  • SPF autorizza i mittenti.
  • DKIM protegge l’integrità del messaggio.
  • DMARC applica le policy e offre visibilità.
  • Quando usati insieme, questi standard prevengono spoofing, proteggono l’affidabilità del brand e migliorano la deliverability.

Risorse correlate

Informazioni su questa guida

Questo articolo fa parte della serie Email Security Guide di Red Sift, pensata per aiutare i professionisti IT e della sicurezza a rafforzare la postura dei loro domini tramite autenticazione, reporting e framework di fiducia del brand.

Pronto a iniziare?