SPF, DKIM e DMARC — Autenticazione DNS email
spf dkim dmarc dns · email authentication records · spf record check · dmarc txt record
Come i record TXT SPF, DKIM e DMARC lavorano insieme, stringhe di esempio, basi alignment e verifica autenticazione mail con DNS Checker.
Di DN01 Network Team
La deliverability moderna dipende da tre standard basati su TXT: SPF elenca chi può inviare mail per il tuo dominio, DKIM firma i messaggi crittograficamente e DMARC dice ai destinatari come gestire fallimenti e dove inviare report aggregati.
Pubblica tutti e tre dopo l'onboarding di Google Workspace, Microsoft 365 o relay SMTP. Verifica valori live con il DNS Checker, poi monitora reputazione con il Blacklist Checker se mail bulk mostra deferrals improvvisi.
SPF (Sender Policy Framework)
TXT SPF all'apex spesso appare come `v=spf1 include:_spf.google.com ~all`. Meccanismi: ip4, include, a, mx e qualificatore all. Hard fail (-all) è più rigido di soft fail (~all).
Solo un TXT SPF per nome. Unisci include invece di aggiungere un secondo record. RFC 7208 documenta sintassi e limiti (10 lookup DNS durante valutazione SPF).
DKIM (DomainKeys Identified Mail)
DKIM pubblica una chiave pubblica in TXT su `selector._domainkey.example.com`. Il selettore viene dal provider mail. Le chiavi ruotano — aggiorna DNS quando il pannello genera un nuovo selettore.
Alignment significa che il dominio firmante corrisponde al dominio header From (strict) o organizzativo (relaxed). DKIM non allineato verifica crittograficamente ma può non soddisfare DMARC.
DMARC (Domain-based Message Authentication)
DMARC vive su `_dmarc.example.com` come `v=DMARC1; p=none|quarantine|reject; rua=mailto:[email protected]`. Inizia con p=none per raccogliere report, poi stringi la policy.
DMARC passa solo quando SPF o DKIM è allineato al dominio From e almeno uno passa. Correggere DMARC senza SPF/DKIM è impossibile — configura auth prima.
Checklist di verifica
Interroga TXT apex per SPF, TXT selettore per DKIM, `_dmarc` per policy. Invia messaggio test a casella che mostra header Authentication-Results. Ri-controlla dopo TTL quando ruoti chiavi.
Usa DIG con tipo TXT se servono risposte raw multi-stringa per allegati ticket.
| Standard | Posizione | Snippet esempio |
|---|---|---|
| SPF | example.com TXT | v=spf1 include:send.example.net -all |
| DKIM | s1._domainkey.example.com TXT | v=DKIM1; k=rsa; p=MIGfMA0G... |
| DMARC | _dmarc.example.com TXT | v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected] |
Domande frequenti
- SPF e DKIM possono fallire ma la mail viene consegnata?
Sì — i destinatari possono accettare con scoring spam. La policy DMARC determina se i fallimenti causano quarantena o reject.
- Quanti include SPF sono troppi?
Più di dieci lookup DNS durante valutazione SPF rompe SPF secondo spec. Appiattisci include o usa macro SPF con cautela.
- Serve DMARC dal primo giorno?
Pubblica prima p=none con reporting. Passa a quarantine/reject quando SPF e DKIM si allineano in modo affidabile.
- Dove si inserisce BIMI?
BIMI è branding opzionale sopra DMARC con p=quarantine o reject e certificato mark verificato — fuori scope setup base.