Guida Red Sift alla configurazione dei protocolli email

In questo capitolo abbiamo risposto ad alcune delle domande più frequenti che i nostri Customer Success Engineers ricevono su SPF, DKIM e DMARC - i tre pilastri dell'autenticazione email moderna. Dal 2026, questi protocolli sono richiesti dai principali provider di webmail per chi invia grandi volumi di email. Approfondiamo!

SPF (Sender Policy Framework) è uno standard di autenticazione email sviluppato per contrastare la falsificazione degli indirizzi del mittente. Verificando l'autenticità delle identità MAIL FROM o HELO/EHLO durante la trasmissione, SPF confronta l'indirizzo IP del server che invia con una lista di mittenti autorizzati specificata in un record TXT all'interno del DNS del proprietario del dominio. Se l'indirizzo IP del mittente corrisponde alla lista autorizzata, l'autenticazione SPF va a buon fine. 

SPF si concentra sul “dominio” che si trova nell'intestazione dell’email, noto con vari nomi come Return-Path, MAIL-FROM, Indirizzo di rimbalzo o Envelope from. Se questa intestazione manca, SPF applica un fallback e controlla il nome host “HELO/EHLO” verificando lì la presenza di un record SPF.

L’intestazione Return-Path è un’intestazione tecnica non visibile all’utente finale. A meno che non sappiano come visualizzare tutte le intestazioni di una mail nel proprio client, non la vedranno. 

DKIM (DomainKeys Identified Mail) viene utilizzato per firmare diversi campi delle intestazioni e i corpi delle email per autenticare il dominio mittente e prevenire la modifica dei messaggi durante il transito.

Lo fa tramite la crittografia asimmetrica che consiste in una combinazione di chiavi pubbliche e private. La chiave privata rimane privata nel dominio del mittente ed è usata per firmare le email. La chiave pubblica è pubblicata nel DNS del mittente in modo che chiunque riceva i messaggi possa recuperarla.

Quando un’email viene scritta, le sue intestazioni e il corpo vengono firmati usando la chiave privata del mittente per creare una firma digitale, che viene spedita come campo di intestazione insieme alla mail. Sul lato del destinatario (se DKIM è abilitato), il server recupera la chiave pubblica e verifica che l’email sia stata effettivamente firmata dal dominio mittente. Se la firma è validata con successo, si prova che il dominio mittente ha inviato il messaggio e che le intestazioni e il corpo del messaggio non sono stati modificati durante la trasmissione.

DKIM si concentra sull’intestazione “DKIM-Signature”.

Come per SPF, anche questa intestazione non è visibile all’utente finale a meno che non sappiano come visualizzare le intestazioni dell’email ricevuta.

1. La maggior parte dei problemi di autenticazione delle email deriva sempre dagli stessi fattori. Segui bene questi tre punti e risolverai il 90% dei problemi di consegna e sicurezza.
2. Pubblica un record DMARC con p=reject Parti con p=none per raccogliere i report, ma non fermarti lì. Una policy solo di monitoraggio non ti protegge. Passa a p=reject quando hai identificato e configurato tutti i mittenti legittimi. Così comunichi ai server destinatari di bloccare le email che non passano l’autenticazione.
3. Assicurati che SPF e DKIM siano allineati con il tuo dominio From: Sia SPF che DKIM possono passare, ma fallirai comunque DMARC se i domini non corrispondono. Verifica che il dominio Return-Path (per SPF) e quello di firma DKIM (d=) corrispondano o siano sottodomini dell’indirizzo From: visibile. Qui è dove la maggior parte delle organizzazioni si inceppa.
4. Monitora i report DMARC ogni settimana I report DMARC ti dicono esattamente chi invia email a tuo nome e se supera l’autenticazione. Usa una piattaforma come Red Sift OnDMARC per trasformare XML grezzi in dati utili. Intercetta le configurazioni errate prima che diventino problemi di recapito.

Perché SPF & DKIM non bastano Anche se DKIM può verificare che un’email non sia stata modificata rispetto a quella inviata, e SPF può suggerire a un server destinatario di respingere un’email in base all’IP, nessuno dei due è efficace nella prevenzione dello spoofing. È proprio per questo motivo che DMARC è diventato obbligatorio per le organizzazioni che inviano grandi volumi di email nel 2026.

Il vero motivo risiede nelle intestazioni verificate da ciascun protocollo.

SPF controlla il record associato al dominio nell’intestazione return-path, e DKIM controlla la chiave associata al dominio d= (trovata nell’intestazione DKIM).

Entrambi i protocolli possono essere configurati per verificare qualsiasi dominio.

Nelle email, il dominio principale del mittente è quello trovato nell’intestazione From:, che determina il nome visualizzato in alto, ovvero quello che l’utente vedrà se controlla il mittente dell’email.

Dato ciò, il tuo dominio email potrebbe essere impersonato: un attaccante può fare sì che il From: sia yourdomain.com e che return-path e d= siano theirdomain.com. Se i record SPF e DKIM di theirdomain.com sono configurati correttamente, la mail passerà entrambi i controlli risultando in un falso positivo e nel successo del tentativo di impersonificazione..

SPF e DKIM hanno ognuno il proprio scopo, ma nessuno dei due da solo è sufficiente a prevenire l’imitazione.

DMARC significa Domain-based Message Authentication, Reporting and Conformance e si basa su SPF e DKIM offrendo un livello aggiuntivo di autenticazione e gestione delle policy email. DMARC è ora richiesto dai principali provider di webmail e rappresenta lo standard di settore per l'autenticazione email nel 2026.

DMARC fa alcune cose:

1. Considera i risultati di SPF e DKIM 
2. Perché DMARC passi, è necessario che SPF o DKIM vadano a buon fine e che il dominio usato da uno dei due sia anche allineato con quello From: dell’indirizzo mittente visibile. Se vuoi approfondire l’Identifier Alignment, clicca qui.
3. Riporta i risultati SPF, DKIM e DMARC al dominio nell’indirizzo From: (cioè il mittente).
4. Infine, comunica al destinatario come trattare le email che falliscono la validazione DMARC, specificando una policy nel DNS.

Impostando DMARC su p=reject, un’organizzazione può raccomandare ai server destinatari di bloccare tutte le email inviate per conto del proprio dominio che non passano l’allineamento. Così si bloccano tutti i tentativi di imitazione, sempre che il server destinatario applichi correttamente DMARC.

DMARC si concentra sul dominio trovato nell’intestazione From: o Header from, che è visibile all’utente finale. 

SPF verifica se una mail è stata inviata da un mittente autorizzato confrontando l’IP del mittente rispetto a una lista di indirizzi IP autorizzati che pubblichi nel DNS. Il server destinatario prende il dominio presente nell’intestazione Return-Path e controlla l’esistenza di un record SPF. Verifica che l’IP mittente sia incluso nel record SPF. Se l’IP è presente, vuol dire che è autorizzato a inviare email. Questo significa che SPF è PASSATO. Se l’IP non è nel record SPF, SPF FALLISCE.

La logica è la seguente:

• Se l’IP mittente è incluso nel record SPF = SPF PASSA
• Se l’IP mittente non è incluso nel record SPF = SPF FALLISCE

Il server destinatario controlla l’intestazione DKIM-Signature che contiene il selettore (s=) e il dominio di firma (d=), tag usati per recuperare la chiave pubblica. Una volta recuperata, la chiave pubblica viene utilizzata per validare il messaggio email. Se il processo va a buon fine, DKIM PASSA; se fallisce, DKIM FALLISCE.

La logica è la seguente:

• Se la validazione ha successo = DKIM PASSA
• Se la validazione fallisce = DKIM FALLISCE

Il server destinatario controllerà se SPF o DKIM sono PASSATI, poi verificherà se il dominio Return-Path usato per SPF e/o il dominio d= usato per DKIM sono ALLINEATI al dominio From:, ed estrarrà infine la policy DMARC pubblicata dal dominio nell’indirizzo From: e la applicherà.

La logica è la seguente:

• Se SPF PASSA E È ALLINEATO con From: = DMARC PASSA, oppure
• Se DKIM PASSA E È ALLINEATO con From: = DMARC PASSA
• Se SPF e DKIM FALLISCONO = DMARC FALLISCE

DMARC richiede non solo che SPF o DKIM passino, ma anche che il dominio usato da almeno uno sia ALLINEATO al dominio trovato in

From: address. Solo così DMARC PASSA.

Allineamento Strict significa che il dominio Return-Path o il dominio di firma d= devono corrispondere esattamente al dominio nell’indirizzo From:.

L’allineamento Relaxed significa che il dominio Return-Path o il dominio d= possono essere sottodomini dell’indirizzo From: e viceversa.

Se vuoi saperne di più sull’Identifier Alignment, clicca qui.

Se DMARC fallisce, il server destinatario normalmente rispetterà la policy che hai specificato nel tuo record DMARC.

• Se sei in modalità “solo report” (p=none) la mail verrà accettata dal server e filtrata secondo altri criteri.
• Se sei in modalità quarantine (p=quarantine) la mail andrà in quarantena, solitamente nella cartella spam del destinatario.
• Se sei in modalità reject (p=reject) il server destinatario interromperà la connessione con il server mittente e la mail non raggiungerà mai l’utente finale.

A prescindere dalla policy scelta, i metadati della mail verranno registrati insieme allo status dei risultati di autenticazione e inoltrati al tuo processore di report DMARC. Scopri di più sui report DMARC qui.

1. Assicurati che ci sia un record SPF nel tuo dominio Return-Path.
2. Assicurati che ci sia un record SPF nel tuo dominio HELO/EHLO in caso di bounce dove il Return-Path è vuoto.
3. Assicurati che esista un solo record SPF per dominio.
4. Verifica che la sintassi del record SPF sia corretta.
5. Assicurati che il dominio Return-Path sia allineato al dominio From:.
6. Verifica che i mittenti autorizzati facciano parte del record SPF.
7. Assicurati che i mittenti non autorizzati non siano inclusi nel record SPF.
8. Controlla di non superare il limite di 10 lookup DNS imposto da SPF. Se lo hai superato considera l’uso di una funzione come la Dynamic SPF di Red Sift OnDMARC.
9. Evita meccanismi SPF deprecati come “ptr” nei tuoi record SPF.

1. Assicurati che i sistemi di invio email che usi supportino DKIM.
2. Verifica che le email siano firmate DKIM.
3. Assicurati che il dominio di firma sia allineato al dominio From:.
4. Usa una chiave DKIM superiore a 1024 bit (meglio 2048 bit)
5. Scegli, dove possibile, selector DKIM che consentano di identificare chiaramente il servizio mittente, così da poterli distinguere tra loro.
6. Revoca eventuali chiavi compromesse.
7. Ruota regolarmente le chiavi DKIM che gestisci.
8. Verifica che la sintassi delle chiavi DKIM sia corretta.
9. Assicurati che esista una chiave pubblica per ciascuna chiave privata con cui firmi le email.

1. Poiché DMARC si basa sia su SPF che DKIM e sui domini utilizzati da entrambi, assicurati che il dominio Return-Path per SPF sia una corrispondenza esatta o un sottodominio del dominio From:. Lo stesso vale per il dominio di firma DKIM. Una corretta configurazione degli allineamenti è fondamentale per la deliverability delle email nel 2026.
2. Controlla che la sintassi del record DMARC sia corretta.
3. Configura correttamente tutti i tuoi sistemi con SPF e DKIM prima di passare a una policy reject, per non perdere email legittime.
4. Utilizza una piattaforma o un servizio terzo come Red Sift OnDMARC per ricevere i report DMARC e interpretarli, in modo da scoprire subito sistemi mal configurati. Piattaforme DMARC moderne nel 2026, come OnDMARC, permettono alle organizzazioni di raggiungere l’enforcement in 6-8 settimane tramite troubleshooting automatizzato e test in tempo reale.
5. Monitora lo stato di ciascuna fonte di invio e verifica che ogni cambiamento in SPF o DKIM venga rilevato. Red Sift OnDMARC include questa funzionalità come parte fondamentale del suo prodotto.