Target SMTP
it
Menu
🇮🇹 IT 🇬🇧 EN
Accedi Crea account
Autenticazione

SPF, DKIM, DMARC: cosa sono e come configurarli (guida pratica)

I tre record DNS che decidono se le tue email arrivano in inbox o in spam. Spiegati con esempi reali, niente teoria astratta.

14 May 2026 · 12 min di lettura · Target SMTP

Senza SPF, DKIM e DMARC corretti, dal 2024 Gmail e Yahoo rifiutano email a 5000+ destinatari/giorno. Anche per volumi inferiori, finire in spam è quasi garantito. Questa guida ti porta da zero a una configurazione production-ready.

SPF — chi può inviare email per il tuo dominio

SPF (Sender Policy Framework, RFC 7208) è un record TXT sul DNS del tuo dominio che elenca gli IP autorizzati a inviare email a tuo nome. I server riceventi controllano: l'IP che mi sta consegnando questa email è autorizzato? Sì → ok, no → sospetto.

Sintassi base

tuodominio.it.  IN TXT  "v=spf1 include:_spf.targetsmtp.it ~all"

Significato:

  • v=spf1: versione (sempre questa).
  • include:_spf.targetsmtp.it: includi gli IP autorizzati di Target SMTP.
  • ~all: per tutto il resto, soft fail (sospetto ma non rifiutato). Usa -all (hard fail, rifiuto) solo dopo verifica.

Limite dei 10 lookup

SPF permette massimo 10 lookup DNS in totale (include, mx, a, ptr, exists). Superarli causa permerror e SPF fallisce silenziosamente. Errore comunissimo per chi accumula provider:

"v=spf1 include:google.com include:_spf.mailgun.org include:_spf.targetsmtp.it include:mailchimp.com ~all" → 12 lookup → fail

Soluzione: usa un servizio di "SPF flattening" oppure consolida i provider.

Errori frequenti

  • Due record SPF: deve essere uno solo. Combinali con più include:.
  • +all alla fine: autorizza chiunque, annulla SPF.
  • Manca ~all o -all: nessuna policy, alcuni server lo considerano sospetto.

DKIM — firma crittografica del messaggio

DKIM (RFC 6376) firma ogni email con una chiave privata; il ricevente verifica con la chiave pubblica pubblicata sul DNS. Garantisce che il messaggio non sia stato alterato in transito e che provenga davvero da un mittente autorizzato.

Setup su Target SMTP

Generiamo automaticamente la coppia di chiavi quando aggiungi un dominio mittente. Devi aggiungere un record CNAME nel DNS del tuo dominio:

target._domainkey.tuodominio.it.  IN CNAME  target._domainkey.targetsmtp.it.

Punti chiave:

  • Usa CNAME (non TXT diretto): così possiamo ruotare le chiavi senza che tu cambi nulla.
  • Chiave minima 1024 bit, raccomandato 2048 bit.
  • Rotazione automatica ogni 6 mesi.

DMARC — politica e visibilità

DMARC (RFC 7489) dice ai server riceventi cosa fare quando SPF e DKIM falliscono, e fornisce report aggregati su tutti gli invii che usano il tuo dominio, anche da terze parti non autorizzate (spoofing, phishing).

Setup in 3 fasi

Fase 1 — Monitor only (primo mese):

_dmarc.tuodominio.it. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@tuodominio.it; pct=100; adkim=s; aspf=s"

Non blocca nulla, ma riceverai report XML giornalieri dai principali provider.

Fase 2 — Quarantine (dopo verificare che SPF/DKIM funzionino per il 99%+ degli invii legittimi):

"v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@tuodominio.it; adkim=s; aspf=s"

Il 25% delle email che falliscono va in spam. Aumenta gradualmente pct.

Fase 3 — Reject (dopo 2-3 mesi di quarantine al 100% senza problemi):

"v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@tuodominio.it; ruf=mailto:dmarc@tuodominio.it; adkim=s; aspf=s"

Le email che falliscono vengono rifiutate dai server riceventi. Stop totale allo spoofing del tuo dominio.

Allineamento (adkim/aspf)

DMARC controlla che il dominio nel From: visibile all'utente corrisponda a quello firmato in DKIM e/o dichiarato in SPF. Modalità:

  • s (strict): match esatto del dominio.
  • r (relaxed, default): match anche dei sottodomini.

Per la massima sicurezza usa adkim=s; aspf=s.

Verifica della configurazione

Strumenti gratuiti per testare:

Bonus: BIMI per il logo nell'inbox

Dopo aver attivato DMARC p=quarantine o p=reject, puoi aggiungere BIMI per mostrare il tuo logo accanto al messaggio in Gmail, Yahoo, Apple Mail:

default._bimi.tuodominio.it. IN TXT "v=BIMI1; l=https://tuodominio.it/logo.svg; a=https://tuodominio.it/vmc.pem"

Richiede un VMC (Verified Mark Certificate) per Gmail, costa ~1500€/anno. Per Apple Mail basta il logo in formato SVG specifico (Tiny SVG 1.2).

Dubbi sulla configurazione? Mandaci il tuo dominio, ti facciamo un audit gratuito dei record.

Condividi: X LinkedIn Email

Articoli correlati

Il record CAA per email: serve davvero? Spiegato bene

Il record CAA limita quali CA possono emettere certificati per il tuo dominio. RFC 8659 estende il concetto a S/MIME. Vediamo se ti serve e come configurarlo.

9 min

MTA-STS e TLS-RPT: la sicurezza email che tutti ignorano

SPF, DKIM e DMARC proteggono dal mittente falso, ma cosa protegge la connessione SMTP in transito? MTA-STS forza TLS, TLS-RPT ti dice quando qualcosa va storto.

10 min