Cosa sono i DMARC SPF DKIM?

Cosa sono DMARC, SPF e DKIM? Guida all'autenticazione e-mail di WordPress (per principianti)

Aggiornato: Divulgazione dei lettori
LinkedIn
Riassumere:ChatGPTPerplessità

L'anno scorso le e-mail false sono costate alle aziende e alle persone oltre 10 miliardi di dollari. Ogni tre secondi, qualcuno clicca su un'e-mail di phishing. Questi attacchi avvengono perché le e-mail hanno un grosso problema: chiunque può fingere di essere chiunque altro.

Quando inviate un'e-mail, non c'è un modo integrato per dimostrare che provenga davvero da voi. I truffatori sfruttano questa debolezza per inviare milioni di e-mail false ogni giorno. Fingono di essere banche, aziende o persino il vostro capo. 

Senza la giusta protezione, i provider di posta elettronica non sono in grado di distinguere le e-mail reali da quelle false. SPF, DKIM e DMARC risolvono questo problema. Considerateli come un controllo di identità in tre parti per ogni e-mail inviata. 

In questo articolo spiegherò come DMARC, SPF e DKIM lavorano insieme per verificare la posta in uscita e assicurarsi che i messaggi arrivino sempre a destinazione.

Ho davvero bisogno di SPF, DKIM e DMARC per le mie e-mail?

Sì, sono necessari tutti e tre, ed ecco perché non è più facoltativo.

A partire dal febbraio 2024, Google e Yahoo hanno reso questi protocolli obbligatori per chiunque invii più di 5.000 e-mail al giorno. Ma anche se inviate solo 10 e-mail al mese, ne avete comunque bisogno. Senza una corretta autenticazione delle e-mail, fino al 76% delle vostre e-mail legittime potrebbe finire nelle cartelle di spam o essere rifiutato completamente.

I numeri raccontano una storia spaventosa. Secondo il Rapporto sulla criminalità su Internet 2024 dell'FBI, le truffe di Business Email Compromise (BEC) sono costate alle vittime 2,9 miliardi di dollari solo lo scorso anno. Questo solo negli Stati Uniti. Questi attacchi funzionano perché la maggior parte dei domini non utilizza ancora un'adeguata sicurezza delle e-mail.

Se non avete impostato SPF, DKIM e DMARC, i criminali possono inviare e-mail che sembrano provenire proprio da voi. Ecco cosa fa ciascuno di essi e perché non potete ignorarne nessuno:

  • L'SPF blocca lo spoofing dei server. Crea un elenco di server autorizzati a inviare e-mail per il vostro dominio. Ma l'SPF si rompe quando le e-mail vengono inoltrate. Questo è il problema numero uno.
  • DKIM aggiunge una firma. Ogni e-mail riceve una firma crittografata unica che dimostra che non è stata modificata. Ma il DKIM da solo non impedisce a qualcuno di utilizzare il vostro nome di dominio. Questo è il problema numero due.
  • Il DMARC collega tutto. Indica ai server riceventi cosa fare quando SPF o DKIM falliscono. Senza DMARC, gli altri due sono solo suggerimenti che i server possono ignorare.

    Il punto cruciale? L'autenticazione delle e-mail non si tratta più di seguire le regole o di evitare le cartelle di spam. Si tratta di proteggere la vostra azienda, la vostra reputazione e tutti coloro che si fidano delle vostre e-mail.

    Correggete subito le vostre e-mail di WordPress

    Dove si aggiungono i record SPF, DKIM e DMARC?

    L'impostazione di SPF, DKIM e DMARC richiede circa 15 minuti se si sa dove guardare. Tutti e tre vengono aggiunti come record TXT nelle impostazioni DNS del vostro dominio. Lo stesso luogo in cui si gestiscono i nameserver e gli altri record del proprio sito web.

    Per trovare i record DNS bastano 30 secondi:

    • Se avete acquistato dominio + hosting insieme: Accedere al proprio account di hosting (come Bluehost, SiteGround o HostGator). Cercate "DNS Zone Editor" o "DNS Management" nel vostro pannello di controllo.
    • Se li avete acquistati separatamente: Accedere alla registrazione del dominio (GoDaddy, Namecheap, Google Domains). Trovate "Impostazioni DNS" o "Gestisci DNS" nel cruscotto del vostro dominio.
    • Se si utilizza Cloudflare o simili: Accedere alla dashboard di Cloudflare, selezionare il dominio, quindi fare clic sulla scheda "DNS" nel menu a sinistra. Ecco un esempio da Cloudflare:
    Che cosa sono DMARC, SPF e DKIM?

    L'ordine di impostazione è importante (la maggior parte delle persone sbaglia):

    Per prima cosa, aggiungere SPF → Attendere 1 ora → Aggiungere DKIM → Attendere 1 ora → Aggiungere DMARC

    Perché questo ordine?

    Il DMARC controlla se SPF e DKIM funzionano. Se si aggiunge prima il DMARC, questo fallisce immediatamente e può bloccare le e-mail. Molti provider non vi permetteranno di aggiungere il DMARC finché SPF non avrà superato la convalida.

    Cosa aggiungerete in realtà:

    • SPF: un record TXT che inizia con "v=spf1" (richiede 2 minuti)
    • DKIM: uno o due record TXT con stringhe di caratteri lunghe (richiede 3 minuti)
    • DMARC: un record TXT su "_dmarc.yourdomain.com" (richiede 2 minuti)

    Tempo fino a quando non funzionano:

    • SPF: attivo in 5-30 minuti
    • DKIM: attivo in 1-4 ore
    • DMARC: attivo in 1-24 ore (ma prima deve funzionare SPF/DKIM)

    Errori comuni di impostazione che rovinano tutto:

    • Avere due record SPF (combinarli in uno)
    • Nome del selettore DKIM errato (verificare il formato esatto del proprio provider di posta elettronica)
    • Avviare il DMARC con p=reject (iniziare sempre con p=none, poi aumentare)
    • Aggiunta di record al sottodominio sbagliato
    • Spazi o virgolette extra nei valori dei record

    Test rapido dopo la configurazione:

    Inviate un'e-mail di prova a Gmail e controllate le intestazioni del messaggio (fate clic sui tre punti e poi su Mostra originale). Cercate queste righe:

    • SPF: PASS
    • DKIM: PASS
    • DMARC: PASS

    test spf dkim dmarc gmail

    Cosa sono DMARC, SPF e DKIM?

    Che cos'è il DMARC?

    Il DMARC aiuta a prevenire lo spoofing dei domini e genera rapporti sulle e-mail se viene rilevata un'attività sospetta. È l'acronimo di Domain-based Authentication, Reporting, and Conformance (Autenticazione, segnalazione e conformità basati sul dominio), quindi l'indizio è in parte nel nome.

    Esempio di un record DMARC valido

    A livello di base, il record DMARC funge da collante tra i record SPF e DKIM. E fa tre cose:

    • Confronta l'IP di invio con il mittente autorizzato per il dominio esaminando SPF e DKIM. Ecco come questi tre record lavorano insieme per impedire che le e-mail di WordPress finiscano nello spam.
    • Se il controllo fallisce, indica al server di posta elettronica cosa fare. Ad esempio, l'e-mail potrebbe essere rifiutata o messa in quarantena.
    • Il DMARC può anche generare rapporti sulle e-mail se rileva e-mail non autenticate correttamente. Nel record DMARC, è possibile specificare l'indirizzo e-mail che riceverà questi rapporti. I rapporti saranno inviati come file XML.

    Se ricevete rapporti DMARC, non preoccupatevi. Il vostro record DMARC sta facendo il lavoro che dovrebbe fare. È importante non ignorare le segnalazioni, perché potrebbero essere il segno di un abuso del vostro dominio per inviare spam. Potete inoltrare il rapporto al vostro provider di servizi e-mail se avete bisogno di aiuto per comprenderne il contenuto.

    E-mail di phishing e spam

    Come aggiungere un record DMARC

    Se il vostro provider di posta elettronica vi fornisce un record DMARC specifico, dovrete aggiungerlo al vostro DNS. Se il vostro provider non vi dice cosa includere, consultate il nostro articolo su cos'è un record DMARC e come crearne uno. Include un record DMARC generico che potete copiare e incollare e che funzionerà su qualsiasi dominio.

    L'unica volta che non Il DMARC è necessario quando si invia da un dominio che non si controlla. Ad esempio, un account Gmail con un dominio @gmail.com L'indirizzo e-mail non necessita di DMARC, ma un account Google Workspace con un nome di dominio personalizzato sì.

    Che cos'è l'SPF?

    Il record SPF è un record TXT nel DNS. Il nome sta per Sender Policy Framework. SPF è responsabile della verifica che un indirizzo IP sia autorizzato a inviare e-mail dal dominio di invio. Funziona un po' come l'indirizzo di ritorno di una lettera.

    Controllare lo stato SPF del proprio dominio in SMTP com

    Se non si dispone di un record SPF, le e-mail di WordPress saranno probabilmente contrassegnate come spam. In alcuni casi, verranno scartate.

    Ad esempio, Gmail blocca le e-mail senza autenticazione SPF. Quindi un record SPF mancante è una causa comune del mancato invio di e-mail da parte di WordPress.

    In effetti, WordPress potrebbe generare e-mail e inviarle senza problemi. Ma è probabile che le e-mail vengano scartate più avanti perché non c'è un record SPF che le convalidi.

    Non utilizzare più di 1 record SPF

    La creazione di un record SPF è importante e il vostro provider vi darà istruzioni su cosa aggiungere esattamente al vostro DNS.

    Quando si esegue questa operazione, è importante avere un solo record SPF sul proprio dominio, quindi è necessario verificare prima le regole esistenti.

    Ad esempio, potreste aver già creato un record SPF per il vostro provider di email marketing. Se poi volete aggiungerne un altro per il vostro provider di e-mail transazionali, dovrete combinare questi record SPF in uno solo.

    Per il modo più semplice di farlo, consultare la nostra guida su come unire più record SPF.

    Che cos'è il DKIM?

    Il vostro record DKIM è responsabile della verifica del vostro dominio tramite una chiave. È l'acronimo di DomainKeys Identified Mail.

    L'obiettivo principale del DKIM è dimostrare che il contenuto non è stato modificato tra il mittente e il destinatario. Quindi il DKIM è un po' come mettere la propria firma su ogni e-mail inviata.

    Record DKIM in Sendinblue

    Nel vostro DNS, avrete una parte del record DKIM: la chiave pubblica. E il server di posta possiede la chiave privata da abbinare. Confrontando queste due chiavi, i server di posta possono verificare che l'e-mail provenga davvero da voi.

    In seguito, il record DMARC controlla questa verifica e decide se l'e-mail è legittima.

    Come aggiungere un record DKIM

    Per aggiungere un record DKIM al vostro DNS, dovrete contattare il vostro provider di posta elettronica per sapere cosa includere. La maggior parte dei provider include istruzioni nella documentazione di configurazione.

    Se si utilizza WP Mail SMTP, abbiamo istruzioni dettagliate anche per tutti i provider di posta elettronica supportati:

    Mailers disponibili in tutte le versioniPostini in WP Mail SMTP Pro
    SendLayerAmazon SES
    SMTP.comMicrosoft 365 / Outlook.com
    Brevo (ex Sendinblue)Zoho Mail
    Spazio di lavoro Google / Gmail 
    Pistola postale 
    Timbro postale 
    InviaGrid 
    SparkPost 
    Altro SMTP 

    A volte può essere necessario dividere un record DKIM in due righe. Abbiamo una guida su come dividere un record DKIM che spiega come farlo.

    Infine, diamo una rapida occhiata a un modo semplice per controllare i record DNS in WordPress.

    Come controllare DMARC, SPF, DKIM in WP Mail SMTP

    Se inviate e-mail da WordPress, dovete assicurarvi che DMARC, SPF e DKIM siano configurati correttamente sul vostro dominio. WP Mail SMTP semplifica questo compito.

    È possibile inviare un'e-mail di prova in qualsiasi momento per assicurarsi che le e-mail di WordPress funzionino, e questo controllerà anche questi 3 importanti record DNS allo stesso tempo.

    Inviare un'e-mail di prova da WordPress

    Se il plugin rileva la mancanza o l'interruzione di uno dei vostri record DNS, ve lo comunicherà immediatamente.

    Controllare DMARC, SPF e DKIM in WordPress

    E per una maggiore tranquillità, vedrete anche gli avvisi di Domain Checker nella schermata Site Health. E questo è tutto! Ora sapete come DMARC, SPF e DKIM lavorano insieme per migliorare la deliverability delle e-mail.

    Domande frequenti sui record SPF, DKIM e DMARC

    Avete altre domande sui record DNS e sulla deliverability delle e-mail? Le affronterò qui di seguito.

    Come si crea un record DMARC?

    È possibile copiare e incollare un record DMARC e aggiungerlo alla zona DNS del proprio dominio. Un esempio di record DMARC è riportato nella nostra guida su come creare un record DMARC e aggiungerlo al vostro dominio.

    Come si aggiungono i record SPF per WordPress e WP Mail SMTP?

    Per prima cosa, cercate le impostazioni DNS del vostro provider di domini (come GoDaddy o Namecheap). Aggiungete un nuovo record TXT con il vostro nome di dominio come host. Per il valore, iniziate con "v=spf1" e includete il vostro server di posta.

    Per WP Mail SMTP, il record esatto dipende dal mailer scelto. Se si utilizza SendLayer, aggiungere: "v=spf1 includesendlayer.net ~all". Per Gmail, utilizzare: "v=spf1 include:_spf.google.com ~all".

    L'errore che commette la maggior parte delle persone? Aggiungere due record SPF. È possibile averne solo uno. Se avete bisogno di più servizi, combinateli in questo modo: "v=spf1 includesendlayer.net include:_spf.google.com ~all". Salvare il record e attendere circa 15 minuti. Questo è tutto.

    Perché WP Mail SMTP ha bisogno della configurazione DKIM?

    WP Mail SMTP ha bisogno di DKIM perché WordPress non firma le e-mail da solo. Quando si invia un'e-mail tramite WordPress, questa viene inviata senza firma. I provider di posta elettronica come Gmail considerano sospette le e-mail non firmate, anche se sono reali.

    Il DKIM aggiunge una firma speciale a ogni e-mail inviata. Pensate a un sigillo di cera su una vecchia lettera. Questa firma dimostra due cose: l'e-mail proviene davvero dal vostro sito web e nessuno l'ha modificata nel corso del tempo.

    Senza DKIM, circa il 30% delle e-mail di WordPress potrebbe finire nelle cartelle di spam. Con il DKIM, il tasso di consegna delle e-mail salta a oltre il 95%. Il plugin semplifica l'impostazione del DKIM. Genera le chiavi per voi e vi dice esattamente cosa aggiungere al vostro DNS.

    Quale record SPF devo utilizzare per l'hosting WP Engine?

    Per WP Engine, utilizzare questo record SPF: "v=spf1 include:mail1.wpengine.com ~all"

    Ma ecco cosa succede: se si utilizza WP Engine per l'hosting ma si inviano le e-mail attraverso un altro servizio, è necessario l'SPF di quel servizio. Molti utenti di WP Engine inviano la posta attraverso SendGrid o Mailgun. In questo caso, dovreste usare i loro record SPF, non quelli di WP Engine.

    Se avete bisogno di entrambi, combinateli: "v=spf1 include:mail1.wpengine.com include:sendgrid.net ~all". Aggiungete questo come record TXT nel vostro DNS. Non aggiungetelo nel pannello di controllo di WP Engine, ma nelle impostazioni DNS del vostro registratore di dominio.

    È possibile utilizzare DMARC senza SPF e DKIM?

    Sì, il DMARC funziona con uno solo di essi, ma è rischioso. Il DMARC passa quando uno dei due SPF o DKIM passa e si allinea al vostro dominio. Quindi, tecnicamente, ne serve solo uno.

    Ma ecco perché è una cattiva idea: SPF si rompe quando le e-mail vengono inoltrate. DKIM può rompersi se il servizio di posta elettronica modifica i messaggi. Quando ne avete solo uno e si rompe, il DMARC fallisce completamente. Le vostre e-mail vengono rifiutate.

    Ho visto aziende perdere migliaia di dollari perché si affidavano al solo SPF. Un cliente ha inoltrato la fattura alla contabilità, l'SPF si è rotto e la fattura non è mai arrivata. Iniziate con SPF e DKIM, quindi aggiungete DMARC. Ci vogliono circa 20 minuti in tutto e si risparmiano enormi grattacapi in seguito.

    Qual è la differenza tra SPF, DKIM e DMARC?

    L'SPF è un elenco di server autorizzati a inviare e-mail per il vostro dominio. È come dire "solo questi uffici postali possono inviare la mia posta". Il problema? Controlla il server, non il mittente effettivo.

    DKIM è una firma che dimostra che un'e-mail non è stata modificata. Ogni e-mail riceve un timbro unico e crittografato. Ma il DKIM non impedisce a qualcuno di utilizzare il vostro nome di dominio su un server diverso.

    DMARC è il capo che controlla se SPF o DKIM sono stati superati, quindi indica ai server riceventi cosa fare in caso di fallimento. Senza DMARC, gli altri due sono solo suggerimenti. I server possono ignorarli.

    Ecco la semplice verità: SPF dice chi può inviare, DKIM dimostra che le e-mail sono reali e DMARC fa rispettare le regole. Sono necessari tutti e tre perché ognuno di essi risolve ciò che gli altri non riescono a fare.

    Come posso verificare se SPF, DKIM e DMARC funzionano correttamente?

    Inviate un'e-mail di prova a un account Gmail che controllate. Una volta arrivata, aprite l'e-mail e fate clic sul menu con i tre puntini. Selezionare "Mostra originale" per visualizzare i dettagli tecnici.

    Cercate queste tre linee:

    • SPF: PASS (con il vostro dominio)
    • DKIM: PASS (mostra 'header.d' con il vostro dominio)
    • DMARC: PASS

    Se qualcuno mostra FAIL, c'è un problema. I fallimenti di SPF indicano impostazioni errate del server. I fallimenti DKIM significano record o chiavi DNS errati. I fallimenti DMARC si verificano quando SPF e DKIM non corrispondono al dominio "Da".

    Per un test rapido, è possibile utilizzare la funzione di test delle e-mail di WP Mail SMTP. Inviate un'e-mail a qualsiasi indirizzo di prova e otterrete risultati immediati.

    È necessario autenticarsi sia con SPF che con DKIM o solo con uno?

    Dovreste impostarli entrambi, anche se tecnicamente uno è sufficiente per l'autenticazione di base. Google e Yahoo ora li richiedono entrambi per chiunque invii più di 5.000 e-mail al giorno. Ma anche i piccoli mittenti possono trarre vantaggio dall'uso di entrambi.

    Ecco cosa succede con uno solo: L'SPF da solo fallisce quando qualcuno inoltra la vostra e-mail. Il DKIM da solo non dimostra quale server ha inviato l'e-mail. Se si dispone di entrambi, uno dei due può fallire e l'e-mail viene comunque inoltrata.

    Esempio reale: Un cliente aveva solo SPF. La loro newsletter funzionava bene finché gli iscritti non hanno iniziato a inoltrarla agli amici. Ogni e-mail inoltrata veniva respinta. L'aggiunta del DKIM ha risolto immediatamente il problema.

    Come si risolvono i guasti DMARC in WordPress?

    I fallimenti DMARC in WordPress di solito avvengono perché l'indirizzo "Da" non corrisponde al vostro dominio. WordPress ha come impostazione predefinita "[email protected]", ma il vostro sito potrebbe inviare da "[email protected]". Si tratta di una mancata corrispondenza.

    Risolvete il problema andando nelle impostazioni SMTP di WP Mail. Impostate "Da e-mail" su un indirizzo del vostro dominio. Non utilizzate mai Gmail, Yahoo o altri indirizzi e-mail gratuiti come mittente. Assicuratevi poi che il record SPF includa il vostro effettivo server di posta. Se si utilizza SMTP.com, il record SPF deve contenere "include:smtp.com".

    Verificare che il DKIM sia attivo e che i record DNS siano corretti. Il selettore (di solito "default" o il nome del vostro servizio) deve corrispondere esattamente. Anche un solo carattere sbagliato rompe tutto.

    Successivamente, controllare il record PTR

    Mentre controllate il vostro DNS, è una buona idea controllare il vostro record PTR. Il record PTR è un tipo speciale di record che svolge anche un ruolo di prevenzione dello spam. Per saperne di più, consultate il nostro articolo Cos'è un record PTR (e ne ho bisogno?).

    Correggete subito le vostre e-mail di WordPress

    Siete pronti a sistemare le vostre e-mail? Iniziate oggi stesso con il miglior plugin SMTP per WordPress. Se non avete il tempo di sistemare le vostre e-mail, potete ottenere l'assistenza completa di White Glove Setup come acquisto aggiuntivo e c'è una garanzia di rimborso di 14 giorni per tutti i piani a pagamento.

    Se questo articolo vi è stato utile, seguiteci su Facebook e Twitter per altri consigli e tutorial su WordPress.

    Divulgazione: I nostri contenuti sono sostenuti dai lettori. Ciò significa che se fate clic su alcuni dei nostri link, potremmo guadagnare una commissione. Scoprite come WPForms viene finanziato, perché è importante e come potete sostenerci.

    Hamza Shahid

    Hamza è uno scrittore di WP Mail SMTP, specializzato anche in argomenti legati al marketing digitale, alla sicurezza informatica, ai plugin di WordPress e ai sistemi ERP.Per saperne di più

    Provate il nostro plugin gratuito WP Mail SMTP

    Utilizzate il vostro provider SMTP preferito per inviare in modo affidabile le e-mail di WordPress.