Perché l'autenticazione email è essenziale
Tre componenti che si completano
SPF indica quali server hanno il diritto di inviare per il tuo dominio. La regola è pubblicata in un record TXT all'apex. Ben configurato, limita lo spoofing. Troppo permissivo, lascia passare abusi.
DKIM firma i tuoi messaggi. La chiave pubblica vive in un TXT sotto selector._domainkey. Una firma valida dimostra che il messaggio non è stato modificato e indica quale dominio l'ha firmato.
DMARC collega l'indirizzo visibile a SPF e DKIM. Se SPF o DKIM passa ed è allineato con il dominio del mittente, il messaggio è considerato conforme. La policy decide poi il trattamento in caso di fallimento: osservazione, quarantena o rifiuto.
Cosa vede un server destinatario
Alla ricezione, il server legge i tuoi record DNS e aggiunge un header Authentication-Results. Troverai spf=pass o fail, dkim=pass o fail, dmarc=pass o fail, con il dominio valutato. Questo header è la tua verità sul campo. Conferma l'effetto reale delle tue impostazioni, oltre la teoria.
Cosa cambia BIMI
BIMI non è un filtro antispam. Mostra un logo validato quando DMARC è in atto con una policy applicata. Il logo viene richiesto tramite un record DNS dedicato e talvolta un certificato VMC. Risultato: il destinatario identifica meglio il tuo brand e riconosce più velocemente un falso.
Gli errori più comuni
- Due SPF con lo stesso nome → Unire in un unico valore
- SPF che supera 10 lookup → Semplificare gli include o usare lo SPF Flattener
- Selettore DKIM scritto male → La chiave diventa introvabile
- Chiave pubblica troncata → La verifica fallisce silenziosamente
- DMARC senza allineamento → Il messaggio passa ma non protegge l'identità
- Report DMARC a casella non monitorata → Perdi l'osservabilità. Usa il Monitoring DMARC per raccogliere e visualizzare i report automaticamente
TTL e propagazione DNS
La rete non "propaga" in senso stretto. Mette in cache secondo il TTL. Un TTL breve aiuta durante un aggiornamento. Un TTL troppo breve a lungo termine sovraccarica inutilmente. Un TTL medio (3600-86400s) stabilizza un'impostazione validata. Riduci prima di un cambiamento, ripristina dopo.
Come usare la toolbox CaptainDNS
Validatori di sintassi SPF, DKIM, DMARC
I validatori leggono i tuoi record grezzi e spiegano ogni elemento:
SPF: ordine dei meccanismi, include, redirect, presenza di all, conteggio query DNS, IP e domini inesistenti. L'obiettivo è restare sotto 10 lookup ed evitare loop.
DKIM: lettura dei tag v, k, p, t, s. Verifica della lunghezza della chiave, rilevamento di troncamenti, caratteri non validi e best practice di rotazione.
DMARC: lettura dei tag v, p, sp, adkim, aspf, pct, rua, ruf. Verifica dell'allineamento scelto e validità degli indirizzi di report.
Ispettori di record in diretta
Gli ispettori risolvono il DNS e mostrano la risposta così come vista da Internet:
- Ispettore SPF: srotola la catena include, mostra i domini chiamati e dove il limite verrebbe superato
- Ispettore DKIM: risolve il selettore, estrae la chiave pubblica e verifica la coerenza del formato
- Ispettore DMARC: legge _dmarc.dominio, mostra la policy attiva, indirizzi rua/ruf e percentuale di applicazione
Questi strumenti verificano il presente, non la teoria. Ideale per un ticket o un deployment in produzione.
Audit deliverability email
Questo controllo analizza MX, SPF, DKIM e DMARC simultaneamente per rispondere a una domanda semplice: il dominio è pronto per inviare? Indica anche la causa più probabile di fallimento: SPF troppo permissivo, chiave DKIM mancante, policy DMARC non applicata, allineamento strict che fallisce su un sottodominio, MX che punta a un CNAME.
Generatore record DMARC
Il generatore ti aiuta a creare record DMARC completi e conformi alle RFC:
- Configurazione dominio: input semplice con generazione automatica dell'hostname _dmarc
- Policy flessibili: scegli tra none, quarantine e reject con gestione dei sottodomini
- Reporting integrato: indirizzi rua/ruf con validazione e guida all'implementazione
- Opzioni avanzate: allineamenti DKIM/SPF, percentuali, intervalli e opzioni di fallimento
Lo strumento genera il record completo pronto per la pubblicazione e guida all'ispettore per la verifica post-deployment.
DMARCbis: prepararsi alla transizione verso DMARC v2
DMARCbis succede alla RFC 7489 e promuove DMARC al rango di Proposed Standard IETF. Il cambiamento principale: la Public Suffix List viene sostituita da un algoritmo DNS Tree Walk per identificare il dominio organizzativo.
Tre tag vengono aggiunti (psd, np, t), tre vengono rimossi (pct, ri, rf). Il reporting viene separato in tre documenti normativi distinti.
DMARCbis Checker analizza la compatibilità dei tuoi record DMARC con il nuovo standard. Rileva i tag obsoleti, verifica la scoperta tramite Tree Walk e raccomanda gli aggiustamenti necessari.
Migrazione DMARCbis genera automaticamente un record conforme al nuovo standard a partire dal tuo record DMARC attuale, con un confronto prima/dopo.
BIMI operativo
Il validatore BIMI controlla la struttura del record, testa l'URL HTTPS del logo, verifica i vincoli Tiny-PS e scarica il VMC quando disponibile. Combinato con DMARC applicato in quarantine o reject, protegge la visualizzazione del tuo logo nei client webmail compatibili.
MTA-STS per la sicurezza del trasporto
MTA-STS (RFC 8461) aggiunge un livello critico di protezione imponendo la crittografia TLS per le email in entrata. Senza MTA-STS, il TLS opportunistico può essere degradato dagli attaccanti. Con MTA-STS, i server mittenti devono usare TLS o rifiutare la consegna.
Strumenti MTA-STS
Validatore di sintassi: Incolla il tuo record DNS TXT e il contenuto del file di policy. Il validatore verifica versione, modalità, pattern MX e direttive max_age prima della pubblicazione.
Ispettore di record: Inserisci un dominio per recuperare il record MTA-STS e il file di policy in diretta. Verifica i certificati TLS e incrocia i pattern MX con i mail server reali.
Generatore: Crea record e file di policy MTA-STS conformi. Configura modalità testing o enforce, aggiungi pattern MX, imposta la durata cache. Output pronto da copiare con istruzioni di deployment.
Hosting MTA-STS: Lascia che CaptainDNS ospiti il tuo file di policy MTA-STS. Nessun server web da configurare: crea la tua policy, verifica la proprietà del dominio, punta un CNAME e hai finito. HTTPS automatico, certificati gestiti e aggiornamenti istantanei quando modifichi la tua policy.
Deployment MTA-STS raccomandato
- Genera il record DNS TXT e il file di policy
- Ospita il file di policy: usa l'hosting MTA-STS per un hosting senza manutenzione, oppure ospitalo tu su
https://mta-sts.tuodominio.it/.well-known/mta-sts.txt - Pubblica il record DNS TXT su
_mta-sts.tuodominio.it - Inizia in modalità testing per identificare problemi senza interrompere la consegna
- Passa a enforce una volta verificato che tutti i server MX supportano TLS
- Monitora con TLS-RPT per ricevere i report di fallimento
TLS-RPT per i report di trasporto
TLS-RPT (RFC 8460) completa MTA-STS ricevendo report sui fallimenti di negoziazione TLS. Senza questi report, non sapresti se le email in entrata stanno fallendo silenziosamente a causa di un certificato scaduto o di una configurazione errata.
Validatore di sintassi: Incolla il tuo record DNS TXT TLS-RPT e valida la conformità RFC prima della pubblicazione. Controllo degli URI di report mailto e HTTPS.
Ispettore di record: Risolvi il record TLS-RPT di un dominio in diretta. Verifica gli indirizzi di report, incluse le autorizzazioni di ricezione esterna.
Generatore: Crea un record TLS-RPT valido con URI di report mailto e/o HTTPS. Output pronto da copiare nella tua zona DNS.
Monitoraggio TLS-RPT: Segui i report TLS-RPT dei tuoi domini senza uscire da CaptainDNS. Visualizza i fallimenti di negoziazione TLS, identifica i certificati problematici e ricevi avvisi in caso di anomalie.
DANE/TLSA per l'autenticazione dei certificati
DANE (RFC 6698/7672) lega i certificati TLS ai nomi di dominio tramite record DNS TLSA firmati con DNSSEC. A differenza del modello classico basato sulle autorità di certificazione, DANE permette al proprietario del dominio di specificare esattamente quale certificato un server deve presentare.
Validatore di sintassi: Incolla un record TLSA grezzo e verifica i campi usage, selector, matching type e dati del certificato prima della pubblicazione. Rileva combinazioni non raccomandate e errori di formato esadecimale.
Ispettore di record: Inserisci un dominio per verificare la configurazione DANE completa: risoluzione MX, ricerca TLSA, validazione DNSSEC e corrispondenza con il certificato TLS del server.
Generatore: Crea un record TLSA dal tuo certificato PEM o direttamente dal server via STARTTLS. Supporta DANE-EE, DANE-TA, SHA-256, SHA-512 e selettore SPKI.
Deployment DANE raccomandato
- Attiva DNSSEC sul tuo dominio (prerequisito assoluto)
- Genera il record TLSA con il generatore DANE
- Pubblica il record su
_25._tcp.tuomailhost - Verifica con l'ispettore DANE dopo la propagazione
- Attiva TLS-RPT per ricevere i report di fallimento DANE
- Pianifica la rotazione: aggiorna il record TLSA prima di ogni rinnovo del certificato
Generatori di record
Oltre al generatore DMARC, la toolbox copre la creazione di record per ogni protocollo:
Generatore SPF: Costruisci un record SPF valido selezionando i tuoi provider email preconfigurati (Google Workspace, Microsoft 365, ecc.). Il generatore assembla i meccanismi, verifica il limite di 10 lookup e produce un record pronto per la pubblicazione.
SPF Flattener: Appiattisci i tuoi record SPF per eliminare gli include annidati. Lo strumento risolve ogni include in indirizzi IP diretti, riducendo i lookup DNS e prevenendo errori permerror in produzione.
Generatore DKIM: Genera una coppia di chiavi DKIM (RSA 1024/2048 bit o Ed25519) e il record DNS TXT associato. Lo strumento produce la chiave privata per il tuo server e la chiave pubblica per la pubblicazione DNS.
Generatore BIMI: Crea un record BIMI DNS con l'URL del tuo logo SVG e certificato VMC opzionale. Lo strumento verifica i prerequisiti DMARC e guida la pubblicazione.
DKIM Selector Finder
Trovare un selettore DKIM può essere noioso quando non si conosce il suo nome. Il DKIM Selector Finder interroga automaticamente un database di selettori conosciuti (Google, Microsoft, Amazon SES, ecc.) e testa ciascuno contro il tuo dominio. Risultato: l'elenco dei selettori attivi con le loro chiavi pubbliche, senza dover indovinare.
Verifica reputazione e connettività
Blacklist IP e dominio
SPF e DKIM perfetti non servono a nulla se il tuo IP o dominio è in una blacklist. Il verificatore blacklist IP interroga le principali DNSBL (Spamhaus, Barracuda, SORBS, ecc.) e il verificatore blacklist dominio controlla le liste URI (SURBL, URIBL, ecc.). Un dominio in blacklist vedrà le sue email rifiutate o segnalate come spam, indipendentemente dall'autenticazione.
SMTP/MX Tester
Il tester SMTP verifica la connettività dei tuoi server MX: risoluzione DNS, connessione SMTP, banner, supporto STARTTLS, validità del certificato TLS e rilevamento di open relay. È l'ultimo anello: l'autenticazione DNS è corretta, ma il server è davvero raggiungibile e sicuro?
Metodo raccomandato per il deployment in produzione
- Documentare lo stato iniziale: catture DNS ed esempi di Authentication-Results
- Ridurre il TTL prima delle modifiche (300-600s)
- Distribuire SPF pulito e unico, verificare con l'ispettore
- Pubblicare la chiave DKIM su un nuovo selettore, testare la firma
- Attivare DMARC a p=none, analizzare i report, correggere poi applicare
- Aggiungere BIMI quando DMARC è applicato e logo/VMC passano la validazione
- Ripristinare un TTL confortevole (3600-86400s) quando stabile
Monitoraggio e operazioni quotidiane
Le configurazioni evolvono con i provider, sottodomini, microservizi e campagne occasionali. Mantieni un ciclo semplice: controllo regolare, lettura dei report, rotazione delle chiavi, pulizia di include e selettori obsoleti. Un cambiamento deve sempre lasciare traccia: data, autore, valore precedente, nuovo valore, motivo. Questo accorcia ogni diagnosi.
Strumenti complementari
| Strumento | Utilità |
|---|---|
| Verificatore propagazione DNS | Confermare che le tue modifiche DNS sono visibili globalmente |
| Ricerca DNS | Interrogare qualsiasi tipo di record DNS |
| Whois IP | Identificare il proprietario di un indirizzo IP |
| Verificatore blacklist IP | Verificare se il tuo IP è in una blacklist |
| Verificatore blacklist dominio | Verificare se il tuo dominio è in blacklist |
| Monitoring DMARC | Raccogliere e visualizzare i report DMARC aggregati dei tuoi domini |
| SMTP/MX Tester | Testare connettività SMTP, STARTTLS e certificati TLS |
Risorse utili
- RFC 7208 - Sender Policy Framework (SPF) (specifica ufficiale)
- RFC 6376 - DomainKeys Identified Mail (DKIM) (specifica ufficiale)
- RFC 7489 - Domain-based Message Authentication (DMARC) (specifica ufficiale)
- RFC 8461 - MTA Strict Transport Security (MTA-STS) (specifica ufficiale)
- RFC 8460 - SMTP TLS Reporting (TLS-RPT) (specifica ufficiale)
- RFC 6698 - DNS-Based Authentication of Named Entities (DANE) (specifica ufficiale)
- RFC 7672 - SMTP Security via Opportunistic DANE TLS (DANE per SMTP)
- Google - Linee guida per i mittenti email (requisiti Gmail)
- Microsoft - Autenticazione email in Microsoft 365 (guida Outlook/M365)