Configurare bene l'e-mail: SPF, DKIM e DMARC per principianti (Parte 3 di 3)
Serie „Il tuo server – da 0 a sicuro" · 3 parti:
- Configurare & mettere in sicurezza un vServer Debian
- Installare & configurare Froxlor
- Configurare bene l'e-mail: SPF, DKIM & DMARC ← Sei qui
Questa guida è la Parte 3 e chiude la serie. Presuppone un server con server di posta, come costruito nella Parte 1 e nella Parte 2.

Indice
- Prerequisiti
- Cosa sono SPF, DKIM e DMARC?
- Passo 1: Configurare SPF
- Passo 2: Configurare DKIM (firmare sul proprio server)
- Passo 3: Configurare DMARC
- Passo 4: Verificare e testare tutto
- Errori frequenti e soluzioni
- Checklist
- Domande frequenti (FAQ)
- Conclusione
- Fonti
In breve: SPF, DKIM e DMARC sono tre record nel DNS del tuo dominio. Dimostrano che un'e-mail proviene davvero da te. Senza di essi, oggi i tuoi messaggi finiscono spesso nello spam – o vengono rifiutati del tutto. Dal 2024 Google e Yahoo richiedono questa autenticazione, Microsoft dal 2025. La configurazione richiede 20–30 minuti.
Se invii e-mail tramite il tuo server (ad es. fatture o messaggi dal modulo di contatto), non basta „solo" gestire un server di posta. Devi anche dimostrare ai server destinatari che l'e-mail è autentica. Per questo ci sono tre componenti. Le configuriamo tutte e tre – per principianti e da copiare.
Prerequisiti
- Un server con server di posta (Postfix/Dovecot), ad es. configurato tramite Froxlor nella Parte 2.
- L'accesso alla gestione DNS del tuo dominio – l'area presso il provider del dominio (o in Froxlor, se gestisci lì il DNS) in cui puoi creare „record TXT".
- L'indirizzo IP del tuo server.
Importante – l'ordine corretto: Configura prima SPF e DKIM e attendi che entrambi siano attivi (almeno alcune ore) prima di attivare DMARC. E avvia DMARC sempre con l'impostazione morbida
p=none.
Cosa sono SPF, DKIM e DMARC?
Tre immagini semplici:
- SPF è la lista degli invitati. Definisce quali server possono inviare e-mail a tuo nome. Se il server mittente non è nella lista, l'e-mail è sospetta.
- DKIM è la firma digitale. Ogni e-mail in uscita viene firmata crittograficamente. Il destinatario verifica che sia autentica e non sia stata modificata lungo il percorso.
- DMARC è il regolamento. Indica al destinatario cosa fare se SPF o DKIM falliscono: lasciar passare, spostare nello spam o rifiutare. E ti invia rapporti.
Tutti e tre sono tecnicamente solo record TXT nel DNS – tranne la chiave DKIM, che generiamo sul server. Un'ottima spiegazione dettagliata è offerta dalla guida di Mailvergleich.de.
Passo 1: Configurare SPF
SPF è un singolo record TXT da creare nel DNS del tuo dominio. Vai nella gestione DNS e crea un nuovo record:
Tipo: TXT
Nome: @ (rappresenta il dominio principale)
Valore: v=spf1 a mx ip4:SERVER-IP -all
Sostituisci SERVER-IP con l'IP del tuo server. Cosa significano le parti:
v=spf1– identificativo di versione (sempre all'inizio).a mx– i server a cui puntano i record A e MX del dominio possono inviare.ip4:SERVER-IP– questo IP specifico può inviare.-all– tutti gli altri non possono inviare (variante rigida). Se non sei sicuro o usi servizi aggiuntivi (newsletter, CRM), inizia con la variante più morbida~alle passa più tardi a-all.
Un solo record SPF! Un dominio può avere esattamente un record TXT SPF. Se usi altri servizi, aggiungi le loro voci
include:in questo unico record, ad es.v=spf1 a mx include:_spf.example.com -all.
Passo 2: Configurare DKIM (firmare sul proprio server)
A differenza di una casella noleggiata, DKIM devi generarlo sul tuo server. Usiamo a tale scopo OpenDKIM, che si integra in Postfix e firma ogni e-mail in uscita.
2.1 Installare OpenDKIM:
sudo apt install -y opendkim opendkim-tools
2.2 Generare la chiave (sostituisci tuo-dominio.it):
sudo mkdir -p /etc/opendkim/keys/tuo-dominio.it
sudo opendkim-genkey -b 2048 -d tuo-dominio.it -D /etc/opendkim/keys/tuo-dominio.it -s mail -v
sudo chown -R opendkim:opendkim /etc/opendkim
2.3 Configurare OpenDKIM. Apri la configurazione principale:
sudo nano /etc/opendkim.conf
Aggiungi in fondo:
Canonicalization relaxed/simple
Mode sv
Socket inet:8891@localhost
KeyTable /etc/opendkim/KeyTable
SigningTable /etc/opendkim/SigningTable
ExternalIgnoreList /etc/opendkim/TrustedHosts
InternalHosts /etc/opendkim/TrustedHosts
Crea le tre tabelle:
echo "mail._domainkey.tuo-dominio.it tuo-dominio.it:mail:/etc/opendkim/keys/tuo-dominio.it/mail.private" | sudo tee /etc/opendkim/KeyTable
echo "*@tuo-dominio.it mail._domainkey.tuo-dominio.it" | sudo tee /etc/opendkim/SigningTable
printf "127.0.0.1\nlocalhost\ntuo-dominio.it\n" | sudo tee /etc/opendkim/TrustedHosts
2.4 Collegare OpenDKIM a Postfix. Apri la configurazione di Postfix:
sudo nano /etc/postfix/main.cf
Aggiungi in fondo:
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891
Riavvia i servizi:
sudo systemctl restart opendkim postfix
2.5 Pubblicare il record DNS DKIM. OpenDKIM ha scritto la tua chiave pubblica in un file. Visualizzalo:
sudo cat /etc/opendkim/keys/tuo-dominio.it/mail.txt
Vedi un valore lungo nella forma v=DKIM1; k=rsa; p=.... Crea con esso un record TXT nel DNS:
Tipo: TXT
Nome: mail._domainkey
Valore: v=DKIM1; k=rsa; p=MIIBI... (il valore p= completo dal file)
Un aiuto illustrato passo passo per DKIM lo trovi anche su saschafix.de.
Passo 3: Configurare DMARC
DMARC collega SPF e DKIM e stabilisce la regola. Crea un altro record TXT nel DNS:
Tipo: TXT
Nome: _dmarc
Valore: v=DMARC1; p=none; rua=mailto:dmarc@tuo-dominio.it; fo=1
Significato:
p=none– osservare, ma non bloccare nulla. Si inizia sempre così, per vedere se tutto funziona in modo pulito senza mettere a rischio le e-mail legittime.rua=mailto:dmarc@tuo-dominio.it– a questo indirizzo i destinatari inviano rapporti giornalieri. Crea questa casella.fo=1– rapporti di errore più dettagliati.
Inasprire gradualmente: Quando dopo una o due settimane i rapporti mostrano che le tue e-mail reali superano SPF/DKIM, aumenta la severità – prima a p=quarantine (e-mail sospette nello spam), poi a p=reject (e-mail sospette rifiutate):
v=DMARC1; p=quarantine; rua=mailto:dmarc@tuo-dominio.it; fo=1
Non iniziare mai con
p=reject! Altrimenti rischi che vengano rifiutate anche e-mail legittime (ad es. da servizi di newsletter o CRM).
Passo 4: Verificare e testare tutto
Le modifiche DNS richiedono un po' di tempo (spesso minuti, a volte fino a 24 ore). Poi verifica la configurazione con strumenti gratuiti:
- MXToolbox – verifica i record SPF, DKIM e DMARC singolarmente (scegli in alto „SPF Record Lookup", „DKIM Lookup", „DMARC Lookup").
- mail-tester.com – invia una vera e-mail di test all'indirizzo mostrato; l'obiettivo è un punteggio di almeno 8/10.
- Verificare l'intestazione Gmail: inviati un'e-mail a un account Gmail, aprila, clicca sui tre puntini → „Mostra originale". Lì dovrebbe esserci „PASS" per SPF, DKIM e DMARC.
Il test DKIM direttamente sul server puoi farlo in più così:
sudo opendkim-testkey -d tuo-dominio.it -s mail -vvv
Se compare „key OK", la chiave è pubblicata correttamente.
Errori frequenti e soluzioni
| Problema | Causa | Soluzione |
|---|---|---|
| Le e-mail finiscono ancora nello spam | DNS non ancora propagato | attendere alcune ore, verificare con MXToolbox |
| SPF „PermError" | più di un record SPF | unire tutte le voci in un record SPF |
| DKIM „fail" | valore p= errato/incompleto | riprendere esattamente il valore completo da mail.txt (senza interruzioni di riga) |
| DMARC senza effetto | errore di battitura nel nome | il record deve chiamarsi esattamente _dmarc |
| Nessun rapporto DMARC | la casella rua non esiste | creare l'indirizzo dmarc@tuo-dominio.it |
Checklist
- [ ] Record TXT SPF presente (esattamente uno), termina con
-allo~all - [ ] OpenDKIM installato, collegato a Postfix, servizi riavviati
- [ ] Record TXT DKIM (
mail._domainkey) pubblicato,opendkim-testkeysegnala „key OK" - [ ] Record TXT DMARC (
_dmarc) conp=noneattivo - [ ] mail-tester.com mostra ≥ 8/10
- [ ] Gmail „Mostra originale": SPF, DKIM, DMARC = PASS
- [ ] Dopo una o due settimane DMARC aumentato a
quarantine/reject
Domande frequenti (FAQ)
Non basta solo SPF? No. Google, Yahoo e Microsoft richiedono almeno SPF o DKIM, ma per la migliore protezione e recapitabilità configura tutti e tre.
Qual è la differenza tra ~all e -all? ~all („soft fail") segna i mittenti non elencati solo come sospetti, -all („hard fail") li rifiuta rigidamente. Nel dubbio inizia con ~all e passa più tardi a -all.
I rapporti DMARC sono rilevanti per la protezione dei dati? I rapporti aggregati (rua) non contengono il contenuto delle e-mail, ma statistiche su indirizzi IP e risultati di autenticazione. I rapporti forensi (ruf) possono contenere di più – molti rinunciano quindi a ruf per motivi di GDPR.
Devo mantenerlo regolarmente? Una volta configurato, funziona. All'inizio controlla i rapporti DMARC e aumenta la severità gradualmente.
Conclusione
In tre passi hai reso sicure le tue e-mail: SPF definisce chi può inviare, DKIM firma ogni messaggio, DMARC stabilisce la regola e fornisce rapporti. L'ordine è importante – prima SPF e DKIM, poi DMARC, e DMARC sempre da avviare con p=none. Dopo il test su mail-tester.com sai che le tue e-mail arrivano.
Così la serie è completa: nella Parte 1 hai configurato un server sicuro, nella Parte 2 hai installato Froxlor e qui hai messo in sicurezza l'invio di e-mail.
Non vuoi gestire tutto questo da solo, ma preferisci una soluzione chiavi in mano o uno sviluppo personalizzato? PepperTools ti supporta – contattaci tramite il modulo.
Fonti
- Mailvergleich.de: configurare SPF, DKIM & DMARC
- saschafix.de: configurare SPF, DKIM & DMARC
- Google Workspace: autenticazione e-mail
- MXToolbox (strumenti di test) · mail-tester.com
- OpenDKIM (pagina del progetto)
Aggiornato a giugno 2026. I comandi e i requisiti dei grandi provider di posta possono cambiare – fanno fede le loro indicazioni ufficiali e la documentazione del software usato.
Gestire le fatture piu facilmente
Easy Invoice unisce preventivi, fatture e gestione clienti nel cloud.
Prova Easy Invoice