SPF, DKIM e DMARC: cosa sono e perché ogni azienda dovrebbe averli configurati   

Immagina di ricevere un’email apparentemente inviata dal tuo fornitore di fiducia, con il suo indirizzo corretto e il suo logo. Ti chiede di effettuare un pagamento urgente su un nuovo IBAN. Tutto sembra legittimo. Ma quell’email non è stata inviata dal tuo fornitore: è stata inviata da un truffatore che ha usato il suo dominio per ingannarti.

Questo attacco si chiama email spoofing ed è una delle tecniche di frode più diffuse a livello aziendale. La buona notizia è che esiste una difesa efficace: tre configurazioni tecniche chiamate SPF, DKIM e DMARC, che proteggono il dominio email della tua azienda e rendono molto più difficile falsificarne l’identità.

In questo articolo spieghiamo cosa sono, a cosa servono e perché è importante averli attivi.

Per come è stato progettato originariamente il sistema email, non esiste un meccanismo nativo che impedisca a qualcuno di inviare un messaggio dichiarando come mittente un indirizzo che non gli appartiene. È come se chiunque potesse spedire una lettera con il tuo nome sulla busta.

Questo apre la porta a scenari pericolosi per le aziende:

• email di phishing inviate ai tuoi clienti fingendo di essere te
• richieste di pagamento fraudolente a fornitori o dipendenti
• comunicazioni false che danneggiano la reputazione del tuo brand
• email aziendali che finiscono in spam perché il dominio non è autenticato correttamente

SPF, DKIM e DMARC sono stati creati esattamente per risolvere questo problema.

Sender Policy Framework (SPF) è una lista pubblicata nel DNS del tuo dominio che indica quali server di posta sono autorizzati a inviare email a tuo nome.

Quando un server riceve un’email che dichiara di provenire da “tuaazienda.it”, controlla il record SPF di quel dominio. Se il mittente non è nella lista, il messaggio può essere segnalato come sospetto o rifiutato direttamente.

In termini pratici: senza SPF, qualsiasi server al mondo può spedire email fingendo di essere la tua azienda. Con SPF, solo i server che hai esplicitamente autorizzato possono farlo.

DKIM (DomainKeys Identified Mail) aggiunge una firma digitale invisibile a ogni email inviata dal tuo dominio. Questa firma viene generata al momento dell’invio e verificata dal server del destinatario al momento della ricezione.

Se il messaggio è stato alterato durante il tragitto — anche solo di un carattere — la firma non corrisponde più e l’email viene segnalata come non attendibile.

DKIM garantisce quindi due cose: che l’email sia stata inviata da un server legittimamente associato al tuo dominio, e che il contenuto non sia stato modificato da terzi.

DMARC (Domain-based Message Authentication, Reporting and Conformance) è il livello che unisce SPF e DKIM e stabilisce una politica chiara: cosa deve fare il server del destinatario quando riceve un’email che non supera i controlli?

Le opzioni sono tre: non fare nulla (modalità di sola osservazione, utile in fase iniziale), mettere il messaggio in spam, oppure rifiutarlo completamente.

DMARC permette anche di ricevere report periodici su chi sta cercando di inviare email a nome del tuo dominio — informazioni preziose per identificare tentativi di abuso in corso.

Senza DMARC, anche avere SPF e DKIM configurati non è sufficiente: manca la politica che dice ai server come comportarsi quando qualcosa non torna.

SPF, DKIM e DMARC esistono da anni, ma una quota significativa di domini aziendali — specialmente tra le PMI — non li ha configurati correttamente, o non li ha affatto.

I motivi sono diversi: spesso nessuno se ne è mai occupato, oppure sono stati configurati parzialmente durante il setup del dominio senza un controllo successivo. In altri casi, la configurazione è presente ma errata: un record SPF troppo permissivo, un DMARC in modalità “solo monitoraggio” dimenticato lì da anni.

Il risultato è un dominio che sembra protetto ma non lo è davvero.

Configurare correttamente SPF, DKIM e DMARC porta vantaggi diretti e misurabili:

• le email legittime della tua azienda arrivano a destinazione invece di finire in spam
• diventa molto più difficile per i truffatori usare il tuo dominio per ingannare clienti e fornitori
• la reputazione del tuo dominio migliora agli occhi dei principali provider email
• hai visibilità su eventuali tentativi di abuso tramite i report DMARC
• rispetti i requisiti sempre più stringenti di Google e Microsoft per la deliverability delle email

Vale la pena sottolineare quest’ultimo punto: dal 2024 Google e Yahoo richiedono esplicitamente che i mittenti di grandi volumi di email abbiano SPF, DKIM e DMARC configurati. La tendenza si estenderà progressivamente a tutti i domini.

In Easy PC ci occupiamo della verifica e configurazione di SPF, DKIM e DMARC per i domini aziendali. Il processo si articola in tre fasi. 

Prima di tutto verifichiamo la situazione attuale del tuo dominio: se i record esistono, se sono completi e se sono configurati correttamente. Molti clienti scoprono in questa fase di avere impostazioni incomplete o errate che non avevano mai notato. 

Poi configuriamo o correggiamo i record necessari, partendo da una politica DMARC in modalità monitoraggio per raccogliere dati senza rischiare di bloccare email legittime, e portandola progressivamente a una politica più restrittiva. 

Infine monitoriamo i report DMARC nel tempo, così da identificare rapidamente eventuali anomalie o tentativi di abuso del dominio. 

Non sai se il tuo dominio è protetto?