SPF, DKIM, DMARC: i 3 pilastri della sicurezza email spiegati

Comprendi finalmente i 3 protocolli di autenticazione email. Cosa sono, come funzionano, come configurarli per il tuo dominio.

Dernière mise à jour : 25 aprile 2026
← Torna al blog
Tecnico 🕑 10 min 📅 25 aprile 2026 ✍️ Il team tecnico Fiabli
SPF, DKIM, DMARC. Tre acronimi che ogni admin sente ma che pochi capiscono fino in fondo. Sono i tre pilastri della sicurezza email moderna. Capire come funzionano permette di proteggere il proprio dominio dallo spoofing e di rilevare il phishing piu facilmente. Tutorial completo con esempi DNS reali.

Il problema: l'email e nata senza autenticazione

Quando il protocollo SMTP fu creato negli anni '80, nessuno pensava al phishing. Chiunque poteva inviare un'email indicando "da: presidente@elysee.fr" senza alcuna verifica. Quarant'anni dopo, il problema persiste: senza protezione, il tuo dominio puo essere usurpato in 30 secondi da chiunque sappia configurare un server SMTP.

SPF, DKIM e DMARC sono le 3 risposte successive a questo problema. Si completano: SPF dice "chi puo inviare", DKIM dice "questo messaggio non e stato modificato", DMARC dice "cosa fare se i due falliscono".

SPF: chi e autorizzato a inviare?

SPF (Sender Policy Framework) e un record DNS che elenca i server autorizzati a inviare email per il tuo dominio.

Esempio per azienda.it:

v=spf1 include:_spf.google.com include:mailjet.com -all

Significa: "Solo Google Workspace e Mailjet possono inviare email da @azienda.it. Tutti gli altri (-all) sono da rifiutare." Quando un destinatario riceve un'email che dice di venire da @azienda.it, controlla l'IP del server di invio. Se non e nella lista, e SPF fail.

DKIM: la firma crittografica

DKIM (DomainKeys Identified Mail) firma ogni email con una chiave privata. Il destinatario verifica la firma con la chiave pubblica pubblicata nel tuo DNS.

Vantaggio rispetto a SPF: DKIM garantisce che il contenuto del messaggio non sia stato modificato in transito. Anche se un server intermedio modifica l'email, la firma fallisce e viene rilevata.

Configurazione tipica: il tuo provider email (Google, Microsoft 365, Mailjet) genera una coppia di chiavi e ti chiede di pubblicare la chiave pubblica in un record TXT del tipo default._domainkey.azienda.it.

DMARC: la policy decisiva

DMARC (Domain-based Message Authentication, Reporting & Conformance) coordina SPF e DKIM e dice ai destinatari: "Se SPF E DKIM falliscono entrambi, ecco cosa devi fare."

3 possibili policy:

  • p=none — non fare nulla, ricevimi solo i report (modalita osservazione, raccomandata all'inizio)
  • p=quarantine — metti in quarantena (cartella spam)
  • p=reject — rifiuta puramente

Esempio: v=DMARC1; p=reject; rua=mailto:dmarc@azienda.it

Come Fiabli usa SPF/DKIM/DMARC

Quando Fiabli analizza un'email in arrivo, il primo passo e estrarre i risultati di autenticazione dagli header (Authentication-Results). I tre status (pass, fail, none) entrano nel punteggio di rischio:

  • SPF fail + DKIM fail + DMARC reject → +0,4 sul punteggio rischio (forte sospetto)
  • SPF pass + DKIM pass + DMARC pass → -0,2 (rassicurante)
  • Tutto a none → +0,15 (dominio mal configurato, tipico di domini piccoli o usurpazione)

Per il tuo dominio aziendale, raccomandiamo: SPF strict (-all), DKIM 2048 bit, DMARC reject dopo 30 giorni di osservazione p=none.

Da ricordare

SPF, DKIM, DMARC: tre strati indispensabili. Senza, il tuo dominio puo essere usurpato in 30 secondi. Con, il phishing che pretende di provenire dal tuo dominio viene automaticamente rifiutato dai destinatari.

Per verificare gratuitamente la configurazione del tuo dominio: MXToolbox DMARC checker. E per analizzare automaticamente le email in arrivo che falliscono questi controlli, prova Fiabli.

Pronto a proteggere la tua casella?

Crea un account Fiabli gratuitamente. 50 analisi/mese senza carta di credito.

Inizia gratuitamente

Articoli simili

Guida 🕑 6 min

Come riconoscere un'email di phishing in 30 secondi

La guida pratica per identificare i tentativi di phishing prima che sia troppo tardi. 7 segnali infallibili che chiunque puo verificare.
Attualita 🕑 8 min

Le 5 truffe via email piu diffuse del 2026

Falso rimborso fiscale, finto pacco, falso Amazon, sextortion, frode del CEO: le truffe che fanno piu vittime quest'anno.
IA & Prodotto 🕑 7 min

Perche Fiabli usa Claude di Anthropic per rilevare il phishing

I motivi tecnici della scelta di Claude Haiku 4.5 + Sonnet 4.6 vs altre opzioni (GPT-4, modelli locali). Performance, costi, sicurezza.