DMARC, SPF e DKIM: perché oggi non sono più dettagli tecnici da rimandare
Una mail aziendale che finisce in spam può sembrare un problema isolato.
Un cliente non risponde. Un’offerta non viene vista. Una comunicazione importante arriva nella cartella sbagliata. Poi il problema si ripete e diventa chiaro che non si tratta più di un caso.
Oggi la reputazione del dominio email è un elemento sempre più delicato. I principali provider stanno rafforzando i controlli sull’autenticazione dei messaggi, sulla coerenza dei record DNS e sulla capacità dei domini di dimostrare che le email inviate siano effettivamente legittime.
In questo scenario, configurare correttamente SPF, DKIM e DMARC non è più una buona pratica “da sistemisti”. È una misura concreta per proteggere la continuità delle comunicazioni aziendali.
Cosa sta cambiando nella gestione delle email
Negli ultimi anni provider come Gmail, Yahoo, Microsoft, Aruba e altri operatori hanno aumentato l’attenzione verso l’autenticazione delle email. L’obiettivo è ridurre spoofing, phishing, impersonificazione del dominio e messaggi non affidabili.
Google, ad esempio, richiede ai mittenti bulk l’utilizzo di SPF, DKIM e DMARC, oltre a requisiti sulla reputazione, sulla corretta configurazione DNS e sulla gestione delle disiscrizioni. Inoltre, segnala che i messaggi non autenticati possono essere contrassegnati come spam o rifiutati.
Questo non riguarda solo chi invia newsletter massive. Anche aziende che inviano comunicazioni commerciali, documenti, offerte, email transazionali o messaggi tramite strumenti esterni possono essere impattate da configurazioni non complete o incoerenti.
Il problema: SPF e DKIM possono non bastare
Molte aziende hanno già SPF e DKIM configurati. Questo però non significa automaticamente che il dominio sia protetto o che le email superino tutti i controlli.
SPF serve a dichiarare quali server sono autorizzati a inviare email per conto del dominio.
DKIM aggiunge una firma digitale al messaggio, permettendo al destinatario di verificare che l’email non sia stata alterata.
DMARC, invece, aggiunge un livello in più: dice ai server destinatari come comportarsi quando un messaggio non supera correttamente i controlli di autenticazione e allineamento.
La differenza è importante. Una mail può sembrare autenticata da alcuni controlli, ma risultare comunque debole agli occhi del provider destinatario se manca una policy DMARC o se il dominio del mittente non è correttamente allineato.
Cosa significa “DMARC none”
Quando un dominio non ha DMARC configurato, oppure ha una policy solo in monitoraggio, i server destinatari possono rilevare una situazione poco solida.
Una configurazione iniziale con p=none è spesso corretta come primo passo: permette di osservare i flussi email, raccogliere report e capire quali sistemi stanno inviando messaggi per conto del dominio.
Il punto è che p=none non chiede al destinatario di applicare azioni restrittive. È una fase di analisi, non una protezione piena.
Le policy più mature sono:
p=none: Monitoraggio – Il proprietario del dominio chiede solo di ricevere i report. I messaggi non conformi vengono consegnati normalmente alla posta in arrivo;p=quarantine: I messaggi non conformi vengono trattati come sospetti – Nella pratica, il server ricevente li sposta nella cartella Spam/Quarantena;p=reject: I messaggi non conformi vengono bloccati e rifiutati alla fonte – Il server ricevente non li consegna in nessuna cartella e genera un errore di mancato recapito (bounce).
Aruba stessa descrive DMARC come un record DNS che definisce la policy da applicare quando i controlli SPF e DKIM non vengono superati, includendo esempi di policy p=none e p=reject.
Perché il rischio non è solo tecnico
Il rischio più immediato è la deliverability: email legittime che finiscono in spam, vengono penalizzate o non arrivano.
Ma c’è anche un tema di sicurezza.
Un dominio senza DMARC, o con DMARC configurato in modo debole, è più esposto a tentativi di impersonificazione. In pratica, un attaccante può provare a inviare email che sembrano provenire dal dominio aziendale, con impatti potenziali su clienti, fornitori e reputazione.
Non a caso, il tema dell’autenticazione email sta assumendo sempre più rilevanza anche in ottica compliance. Libraesva/LibraCyber evidenzia come SPF, DKIM e DMARC siano ormai controlli sempre più attesi per ridurre spoofing, phishing e impersonificazione del dominio, soprattutto in contesti regolati o con esigenze documentabili di sicurezza.
Il percorso corretto: non attivare tutto “a caso”
Attivare DMARC non significa necessariamente passare subito a p=reject.
Anzi, farlo senza analisi può creare problemi: alcune piattaforme legittime potrebbero non essere ancora correttamente autorizzate o allineate. Pensiamo a CRM, piattaforme di marketing automation, sistemi gestionali, strumenti di ticketing, servizi di firma, portali esterni o software che inviano email automatiche per conto dell’azienda.
Per questo il percorso corretto è progressivo:
- verificare SPF, DKIM e record DNS esistenti;
- mappare tutti i sistemi che inviano email per conto del dominio;
- attivare DMARC in modalità monitoraggio;
- analizzare i report;
- correggere le sorgenti non allineate;
- passare gradualmente a policy più restrittive, dove possibile.
L’obiettivo non è “bloccare tutto”. L’obiettivo è arrivare a una configurazione più sicura, affidabile e sostenibile.
Perché intervenire ora
Il tema non è nuovo, ma oggi è diventato più urgente.
I provider stanno stringendo i controlli. Le casistiche di email legittime finite in spam sono sempre più frequenti. La reputazione del dominio dipende anche dalla qualità delle configurazioni tecniche. E ogni dominio non correttamente autenticato può diventare un punto debole.
Rimandare significa accettare un rischio crescente: comunicazioni meno affidabili, maggiore esposizione a spoofing e più difficoltà nel diagnosticare i problemi quando le email iniziano a non arrivare.
Una gestione più semplice con Libraesva LetsDMARC
Per molte aziende, la parte più complessa non è solo “attivare un record DMARC”, ma capire davvero chi sta inviando email per conto del dominio.
Oltre alla posta aziendale, infatti, possono esserci CRM, piattaforme di marketing automation, gestionali, sistemi di ticketing, servizi esterni, applicazioni cloud e strumenti transazionali. Se queste sorgenti non sono correttamente autorizzate o allineate, il rischio è intervenire in modo troppo rigido e bloccare anche comunicazioni legittime.
Per questo Pipeline può supportare le aziende anche attraverso Libraesva LetsDMARC, una soluzione pensata per semplificare la gestione di DMARC, SPF, DKIM e BIMI, offrendo visibilità sui flussi email e aiutando a distinguere le sorgenti legittime da quelle non autorizzate. La piattaforma consente di monitorare i risultati, correggere gli allineamenti e accompagnare il dominio verso policy più restrittive in modo progressivo. Libraesva evidenzia inoltre funzionalità come la gestione da console, il monitoraggio dei flussi, il supporto BIMI e l’ottimizzazione SPF per superare il limite delle 10 lookup DNS.
In questo modo l’adozione di DMARC non diventa un intervento una tantum, ma un percorso controllato: prima si osserva, poi si corregge, infine si rafforza la policy del dominio con maggiore consapevolezza.
Come può aiutarti Pipeline
Pipeline supporta le aziende nella verifica e configurazione dei sistemi di autenticazione email, con un approccio prudente e progressivo.
Possiamo aiutarti a:
- analizzare la configurazione attuale del dominio;
- verificare SPF, DKIM e DMARC;
- individuare eventuali criticità nei record DNS;
- mappare i servizi che inviano email per conto dell’azienda;
- attivare DMARC in modo controllato;
- valutare l’adozione di Libraesva LetsDMARC per monitorare e gestire il percorso nel tempo;
- accompagnare il passaggio verso policy più restrittive, evitando interruzioni operative.
Una configurazione corretta non serve solo a “non finire in spam”. Serve a proteggere il dominio, la reputazione aziendale e l’affidabilità delle comunicazioni quotidiane.
Vuoi verificare se il tuo dominio è configurato correttamente? Contattaci: possiamo aiutarti ad analizzare la situazione e definire gli interventi necessari.
