Guida PepperTools
Tecnologia e server

Configurare bene l'e-mail: SPF, DKIM e DMARC per principianti (Parte 3 di 3)

Parte 3 della serie „Il tuo server – da 0 a sicuro": configurare SPF, DKIM e DMARC affinché le tue e-mail vengano recapitate in sicurezza e non finiscano nello spam. Con record DNS da copiare, OpenDKIM sul tuo server e strumenti di test gratuiti.

Configurare bene l'e-mail: SPF, DKIM e DMARC per principianti (Parte 3 di 3)

Configurare bene l'e-mail: SPF, DKIM e DMARC per principianti (Parte 3 di 3)

Serie „Il tuo server – da 0 a sicuro" · 3 parti:

  1. Configurare & mettere in sicurezza un vServer Debian
  2. Installare & configurare Froxlor
  3. Configurare bene l'e-mail: SPF, DKIM & DMARCSei qui

Questa guida è la Parte 3 e chiude la serie. Presuppone un server con server di posta, come costruito nella Parte 1 e nella Parte 2.

SPF, DKIM und DMARC für Einsteiger

Indice


In breve: SPF, DKIM e DMARC sono tre record nel DNS del tuo dominio. Dimostrano che un'e-mail proviene davvero da te. Senza di essi, oggi i tuoi messaggi finiscono spesso nello spam – o vengono rifiutati del tutto. Dal 2024 Google e Yahoo richiedono questa autenticazione, Microsoft dal 2025. La configurazione richiede 20–30 minuti.

Se invii e-mail tramite il tuo server (ad es. fatture o messaggi dal modulo di contatto), non basta „solo" gestire un server di posta. Devi anche dimostrare ai server destinatari che l'e-mail è autentica. Per questo ci sono tre componenti. Le configuriamo tutte e tre – per principianti e da copiare.

Prerequisiti

  • Un server con server di posta (Postfix/Dovecot), ad es. configurato tramite Froxlor nella Parte 2.
  • L'accesso alla gestione DNS del tuo dominio – l'area presso il provider del dominio (o in Froxlor, se gestisci lì il DNS) in cui puoi creare „record TXT".
  • L'indirizzo IP del tuo server.

Importante – l'ordine corretto: Configura prima SPF e DKIM e attendi che entrambi siano attivi (almeno alcune ore) prima di attivare DMARC. E avvia DMARC sempre con l'impostazione morbida p=none.

Cosa sono SPF, DKIM e DMARC?

Tre immagini semplici:

  • SPF è la lista degli invitati. Definisce quali server possono inviare e-mail a tuo nome. Se il server mittente non è nella lista, l'e-mail è sospetta.
  • DKIM è la firma digitale. Ogni e-mail in uscita viene firmata crittograficamente. Il destinatario verifica che sia autentica e non sia stata modificata lungo il percorso.
  • DMARC è il regolamento. Indica al destinatario cosa fare se SPF o DKIM falliscono: lasciar passare, spostare nello spam o rifiutare. E ti invia rapporti.

Tutti e tre sono tecnicamente solo record TXT nel DNS – tranne la chiave DKIM, che generiamo sul server. Un'ottima spiegazione dettagliata è offerta dalla guida di Mailvergleich.de.

Passo 1: Configurare SPF

SPF è un singolo record TXT da creare nel DNS del tuo dominio. Vai nella gestione DNS e crea un nuovo record:

Tipo:    TXT
Nome:    @            (rappresenta il dominio principale)
Valore:  v=spf1 a mx ip4:SERVER-IP -all

Sostituisci SERVER-IP con l'IP del tuo server. Cosa significano le parti:

  • v=spf1 – identificativo di versione (sempre all'inizio).
  • a mx – i server a cui puntano i record A e MX del dominio possono inviare.
  • ip4:SERVER-IP – questo IP specifico può inviare.
  • -alltutti gli altri non possono inviare (variante rigida). Se non sei sicuro o usi servizi aggiuntivi (newsletter, CRM), inizia con la variante più morbida ~all e passa più tardi a -all.

Un solo record SPF! Un dominio può avere esattamente un record TXT SPF. Se usi altri servizi, aggiungi le loro voci include: in questo unico record, ad es. v=spf1 a mx include:_spf.example.com -all.

Passo 2: Configurare DKIM (firmare sul proprio server)

A differenza di una casella noleggiata, DKIM devi generarlo sul tuo server. Usiamo a tale scopo OpenDKIM, che si integra in Postfix e firma ogni e-mail in uscita.

2.1 Installare OpenDKIM:

sudo apt install -y opendkim opendkim-tools

2.2 Generare la chiave (sostituisci tuo-dominio.it):

sudo mkdir -p /etc/opendkim/keys/tuo-dominio.it
sudo opendkim-genkey -b 2048 -d tuo-dominio.it -D /etc/opendkim/keys/tuo-dominio.it -s mail -v
sudo chown -R opendkim:opendkim /etc/opendkim

2.3 Configurare OpenDKIM. Apri la configurazione principale:

sudo nano /etc/opendkim.conf

Aggiungi in fondo:

Canonicalization   relaxed/simple
Mode               sv
Socket             inet:8891@localhost
KeyTable           /etc/opendkim/KeyTable
SigningTable       /etc/opendkim/SigningTable
ExternalIgnoreList /etc/opendkim/TrustedHosts
InternalHosts      /etc/opendkim/TrustedHosts

Crea le tre tabelle:

echo "mail._domainkey.tuo-dominio.it tuo-dominio.it:mail:/etc/opendkim/keys/tuo-dominio.it/mail.private" | sudo tee /etc/opendkim/KeyTable
echo "*@tuo-dominio.it mail._domainkey.tuo-dominio.it" | sudo tee /etc/opendkim/SigningTable
printf "127.0.0.1\nlocalhost\ntuo-dominio.it\n" | sudo tee /etc/opendkim/TrustedHosts

2.4 Collegare OpenDKIM a Postfix. Apri la configurazione di Postfix:

sudo nano /etc/postfix/main.cf

Aggiungi in fondo:

milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

Riavvia i servizi:

sudo systemctl restart opendkim postfix

2.5 Pubblicare il record DNS DKIM. OpenDKIM ha scritto la tua chiave pubblica in un file. Visualizzalo:

sudo cat /etc/opendkim/keys/tuo-dominio.it/mail.txt

Vedi un valore lungo nella forma v=DKIM1; k=rsa; p=.... Crea con esso un record TXT nel DNS:

Tipo:    TXT
Nome:    mail._domainkey
Valore:  v=DKIM1; k=rsa; p=MIIBI...   (il valore p= completo dal file)

Un aiuto illustrato passo passo per DKIM lo trovi anche su saschafix.de.

Passo 3: Configurare DMARC

DMARC collega SPF e DKIM e stabilisce la regola. Crea un altro record TXT nel DNS:

Tipo:    TXT
Nome:    _dmarc
Valore:  v=DMARC1; p=none; rua=mailto:dmarc@tuo-dominio.it; fo=1

Significato:

  • p=noneosservare, ma non bloccare nulla. Si inizia sempre così, per vedere se tutto funziona in modo pulito senza mettere a rischio le e-mail legittime.
  • rua=mailto:dmarc@tuo-dominio.it – a questo indirizzo i destinatari inviano rapporti giornalieri. Crea questa casella.
  • fo=1 – rapporti di errore più dettagliati.

Inasprire gradualmente: Quando dopo una o due settimane i rapporti mostrano che le tue e-mail reali superano SPF/DKIM, aumenta la severità – prima a p=quarantine (e-mail sospette nello spam), poi a p=reject (e-mail sospette rifiutate):

v=DMARC1; p=quarantine; rua=mailto:dmarc@tuo-dominio.it; fo=1

Non iniziare mai con p=reject! Altrimenti rischi che vengano rifiutate anche e-mail legittime (ad es. da servizi di newsletter o CRM).

Passo 4: Verificare e testare tutto

Le modifiche DNS richiedono un po' di tempo (spesso minuti, a volte fino a 24 ore). Poi verifica la configurazione con strumenti gratuiti:

  • MXToolbox – verifica i record SPF, DKIM e DMARC singolarmente (scegli in alto „SPF Record Lookup", „DKIM Lookup", „DMARC Lookup").
  • mail-tester.com – invia una vera e-mail di test all'indirizzo mostrato; l'obiettivo è un punteggio di almeno 8/10.
  • Verificare l'intestazione Gmail: inviati un'e-mail a un account Gmail, aprila, clicca sui tre puntini → „Mostra originale". Lì dovrebbe esserci „PASS" per SPF, DKIM e DMARC.

Il test DKIM direttamente sul server puoi farlo in più così:

sudo opendkim-testkey -d tuo-dominio.it -s mail -vvv

Se compare „key OK", la chiave è pubblicata correttamente.

Errori frequenti e soluzioni

ProblemaCausaSoluzione
Le e-mail finiscono ancora nello spamDNS non ancora propagatoattendere alcune ore, verificare con MXToolbox
SPF „PermError"più di un record SPFunire tutte le voci in un record SPF
DKIM „fail"valore p= errato/incompletoriprendere esattamente il valore completo da mail.txt (senza interruzioni di riga)
DMARC senza effettoerrore di battitura nel nomeil record deve chiamarsi esattamente _dmarc
Nessun rapporto DMARCla casella rua non esistecreare l'indirizzo dmarc@tuo-dominio.it

Checklist

  • [ ] Record TXT SPF presente (esattamente uno), termina con -all o ~all
  • [ ] OpenDKIM installato, collegato a Postfix, servizi riavviati
  • [ ] Record TXT DKIM (mail._domainkey) pubblicato, opendkim-testkey segnala „key OK"
  • [ ] Record TXT DMARC (_dmarc) con p=none attivo
  • [ ] mail-tester.com mostra ≥ 8/10
  • [ ] Gmail „Mostra originale": SPF, DKIM, DMARC = PASS
  • [ ] Dopo una o due settimane DMARC aumentato a quarantine/reject

Domande frequenti (FAQ)

Non basta solo SPF? No. Google, Yahoo e Microsoft richiedono almeno SPF o DKIM, ma per la migliore protezione e recapitabilità configura tutti e tre.

Qual è la differenza tra ~all e -all? ~all („soft fail") segna i mittenti non elencati solo come sospetti, -all („hard fail") li rifiuta rigidamente. Nel dubbio inizia con ~all e passa più tardi a -all.

I rapporti DMARC sono rilevanti per la protezione dei dati? I rapporti aggregati (rua) non contengono il contenuto delle e-mail, ma statistiche su indirizzi IP e risultati di autenticazione. I rapporti forensi (ruf) possono contenere di più – molti rinunciano quindi a ruf per motivi di GDPR.

Devo mantenerlo regolarmente? Una volta configurato, funziona. All'inizio controlla i rapporti DMARC e aumenta la severità gradualmente.

Conclusione

In tre passi hai reso sicure le tue e-mail: SPF definisce chi può inviare, DKIM firma ogni messaggio, DMARC stabilisce la regola e fornisce rapporti. L'ordine è importante – prima SPF e DKIM, poi DMARC, e DMARC sempre da avviare con p=none. Dopo il test su mail-tester.com sai che le tue e-mail arrivano.

Così la serie è completa: nella Parte 1 hai configurato un server sicuro, nella Parte 2 hai installato Froxlor e qui hai messo in sicurezza l'invio di e-mail.

Non vuoi gestire tutto questo da solo, ma preferisci una soluzione chiavi in mano o uno sviluppo personalizzato? PepperTools ti supporta – contattaci tramite il modulo.

Fonti

Aggiornato a giugno 2026. I comandi e i requisiti dei grandi provider di posta possono cambiare – fanno fede le loro indicazioni ufficiali e la documentazione del software usato.

Gestire le fatture piu facilmente

Easy Invoice unisce preventivi, fatture e gestione clienti nel cloud.

Prova Easy Invoice

Versioni linguistiche