SPF, DKIM e DMARC spiegati (in parole semplici) | Scanthra

Scanthra · 7 min di lettura · Aggiornato Maggio 2026

La spiegazione in 30 secondi

• SPF — una lista di server autorizzati a inviare posta dal tuo dominio.
• DKIM — una firma digitale su ogni messaggio, che prova che veniva davvero dal tuo dominio e non è stato manomesso.
• DMARC — la tua politica che dice ai server riceventi cosa fare con la posta che non supera SPF o DKIM (consentire, mettere in quarantena, rifiutare) e dove inviare i report.

Tutti e tre sono record TXT DNS. Li aggiungi una volta e te ne dimentichi (finché non cambi provider di posta).

Perché una piccola impresa dovrebbe preoccuparsene

Due conseguenze concrete di SPF/DKIM/DMARC mancanti, entrambe comuni:

• I clienti vedono "via mailer.scanthra.net" in Gmail invece del tuo dominio. Sottile, ma uccide la fiducia alla prima e-mail.
• Chiunque può impersonarti. Un truffatore invia "Fattura scaduta — paga su questo conto" da billing@tuonegozio.com ai tuoi clienti. Con DMARC rigoroso, il messaggio viene rifiutato prima di atterrare. Senza, arriva in posta in arrivo.

Microsoft e Google richiedono ora SPF + DKIM + DMARC per i mittenti di massa (da febbraio 2024). Se invii qualsiasi volume di e-mail — anche ricevute transazionali da un negozio WordPress — i record mancanti inizieranno a danneggiare la consegnabilità.

SPF — la lista consentiti

Un record SPF assomiglia a questo:

tuodominio.com.  IN TXT  "v=spf1 include:_spf.google.com include:sendgrid.net ~all"

Tre cose da sapere:

• v=spf1 — sempre obbligatorio, marcatore di versione.
• include: — punta all'SPF del tuo provider di posta o mittente transazionale. Ogni provider ti dice quale valore usare.
• ~all — la politica per tutti gli altri. Usa ~all (softfail) durante i test, -all (hardfail) una volta stabile.

Limite: 10 lookup DNS. Ogni include: conta. Mettere troppi provider in pila rompe silenziosamente SPF. Se raggiungi il limite, usa un SPF flattener come quello integrato in EasyDMARC, Postmark o Cloudflare.

DKIM — la firma

DKIM firma ogni messaggio in uscita con una chiave privata che vive sul server di posta, e pubblica la chiave pubblica corrispondente in DNS:

selector1._domainkey.tuodominio.com.  IN TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."

Ogni provider ha il proprio selector (selector1, google, k1, ecc.). Segui le istruzioni del tuo provider alla lettera — generano il valore esatto da incollare. Puoi avere più record DKIM, uno per provider, affiancati.

DMARC — la tua politica

Un record DMARC di partenza:

_dmarc.tuodominio.com.  IN TXT  "v=DMARC1; p=none; rua=mailto:dmarc@tuodominio.com; pct=100; adkim=s; aspf=s"

Campi chiave:

• p=none — ricevi report, non prendere alcuna azione. Inizia sempre da qui.
• p=quarantine — la posta che non supera i controlli va nello spam.
• p=reject — la posta che non supera i controlli viene respinta. Lo stato obiettivo.
• rua=mailto:... — report aggregati giornalieri. Convogliali in un lettore gratuito come Postmark DMARC Digests o dmarcian.

Il rollout sicuro

1. Aggiungi SPF e DKIM per ogni mittente legittimo (il tuo provider di posta, il mittente transazionale, lo strumento di marketing, l'helpdesk).
2. Pubblica DMARC con p=none. Aspetta 2–4 settimane leggendo i report aggregati.
3. Quando tutte le sorgenti legittime sono allineate (nessuna riga "fail" dai tuoi stessi servizi), passa a p=quarantine.
4. Dopo altre 2–4 settimane di report puliti, passa a p=reject.

Questo rollout graduale è ciò che fa ogni grande azienda. Saltare direttamente a p=reject funziona — finché il giorno in cui Marketing compra un nuovo strumento e le e-mail smettono di passare. Poi è un'emergenza.

Errori comuni

• Due record SPF sullo stesso hostname — non si sommano, si annullano a vicenda. Unisci sempre in uno solo.
• Dimenticare di aggiungere SPF/DKIM per il tuo mittente di marketing (Mailchimp, Brevo, HubSpot). Anche quelli partono sotto il tuo dominio.
• Politica DMARC sbagliata per i sottodomini (sp=) — se hai p=reject ma nessun sp=, i sottodomini ereditano la politica rilassata. Sii esplicito.
• Usare ?all in SPF. È effettivamente "nessuna politica" — i server riceventi lo ignorano.

Come Scanthra controlla questi record

Il nostro modulo Email Security esegue lookup DNS passivi per SPF, DKIM (selettori comuni) e DMARC. Segnaliamo i record mancanti, le politiche deboli (p=none solo dopo il periodo di grazia), l'overflow del conteggio di lookup SPF e i record SPF con ?all o +all. Vedrai il gap esatto nel tuo report PDF.