Qual è la differenza tra un validatore di sintassi e un ispettore di record?

Un validatore di sintassi analizza un record DNS grezzo che incolli, senza risoluzione DNS. Un ispettore risolve il dominio in diretta da Internet e mostra la risposta così come vista dai server di posta.

In che ordine configurare SPF, DKIM e DMARC?

Inizia con SPF per autorizzare i tuoi server di invio, poi configura DKIM per firmare i tuoi messaggi. Attiva DMARC in modalità p=none per osservare, poi passa gradualmente a quarantine e reject.

Perché le mie email finiscono nello spam nonostante SPF e DKIM validi?

SPF e DKIM validi non bastano sempre. Verifica l'allineamento DMARC (il dominio SPF/DKIM deve corrispondere al From), la reputazione del tuo IP, e usa il tester email per una diagnosi completa.

Cos'è il limite di 10 lookup DNS per SPF?

Ogni meccanismo include, a, mx, ptr e redirect attiva una query DNS. La specifica SPF limita queste query a 10 per verifica. Oltre, SPF restituisce permerror e le tue email possono essere rifiutate.

BIMI è necessario per una buona deliverability?

No, BIMI non influisce sulla deliverability. È un livello di identità visiva che mostra il tuo logo nei client webmail compatibili. Richiede DMARC in quarantine o reject per funzionare.

Come faccio a sapere se la mia chiave DKIM è troppo corta?

L'ispettore DKIM mostra la lunghezza della chiave pubblica. Le chiavi a 1024 bit sono accettate ma sono raccomandati 2048 bit. Le chiavi a 512 bit sono considerate deboli e possono essere rifiutate.

Cosa significa allineamento strict vs relaxed in DMARC?

L'allineamento strict richiede una corrispondenza esatta tra il dominio From e il dominio SPF/DKIM. L'allineamento relaxed accetta i sottodomini. Di default, DMARC usa relaxed per maggiore flessibilità.

Cos'è MTA-STS e perché ne ho bisogno?

MTA-STS (Mail Transfer Agent Strict Transport Security) impone la crittografia TLS per le email in entrata. Previene gli attacchi man-in-the-middle e downgrade dicendo ai server mittenti di richiedere TLS quando si connettono ai tuoi mail server.

Come funziona MTA-STS con DMARC?

MTA-STS e DMARC sono complementari. DMARC valida l'identità del mittente, mentre MTA-STS impone la crittografia del trasporto. Insieme proteggono sia l'autenticità che la riservatezza delle tue email.

Strumenti SPF DKIM DMARC MTA-STS - Verifica autenticazione email

Validatori di sintassi

Validatore di sintassi SPF

Controlla la tua stringa SPF prima delle modifiche. Verifica l'ordine dei meccanismi, conta i lookup DNS ed evita superamenti.

Validatore di sintassi DKIM

Incolla un record DKIM grezzo e verifica ogni tag prima della pubblicazione. Rileva errori di sintassi, chiavi troncate e opzioni non valide.

Validatore di sintassi DMARC

Valida i tag p=, sp=, adkim=, aspf= e verifica gli indirizzi di report rua/ruf prima della pubblicazione.

Validatore di sintassi BIMI

Verifica la conformità Tiny-PS del tuo logo SVG, l'URL HTTPS e la presenza del certificato VMC.

Validatore sintassi MTA-STS

Valida il tuo record DNS TXT MTA-STS e il contenuto del file di policy offline. Verifica versione, modalità, pattern MX e max_age prima del deployment.

Validatore sintassi TLS-RPT

Valida i record TXT TLS-RPT offline prima della distribuzione.

Ispettori di record

Ispettore record SPF

Risolvi il dominio e srotola la catena SPF completa. Individua dove verrebbe superato il limite di 10 query DNS.

Ispettore record DKIM

Risolvi un selettore DKIM in diretta da Internet. Visualizza la chiave pubblica, la sua lunghezza e rileva problemi di rotazione.

Ispettore record DMARC

Risolvi _dmarc.dominio, visualizza la policy attiva e la percentuale di applicazione. Verifica prima di passare a reject.

Ispettore record BIMI

Risolvi default._bimi.dominio, scarica il logo e verifica il VMC prima di distribuire la tua identità visiva.

Ispettore record MTA-STS

Risolvi i record MTA-STS in diretta. Recupera il file di policy, verifica i certificati TLS e incrocia i pattern MX con i tuoi mail server.

Ispettore record TLS-RPT

Verifica la configurazione TLS-RPT per qualsiasi dominio con verifica RUA esterna.

DKIM Selector Finder

Scopri automaticamente tutti i selettori DKIM configurati per un dominio senza conoscerne i nomi.

Generatori di record

Generatore Record SPF

Genera un record SPF valido con provider email preconfigurati.

SPF Flattener

Appiattisci i record SPF per eliminare gli include annidati e rispettare il limite di 10 query DNS.

Generatore DKIM

Genera coppie di chiavi DKIM (RSA/Ed25519) e record DNS TXT.

Generatore record DMARC

Crea un record DMARC completo con tutte le opzioni: policy, allineamenti, report, percentuali. Pronto per la pubblicazione.

Generatore MTA-STS

Genera record e file di policy MTA-STS conformi a RFC 8461. Configura modalità, pattern MX e durata cache con guida passo per passo.

Generatore TLS-RPT

Genera record DNS TLS-RPT con URI di segnalazione mailto e HTTPS.

Generatore record BIMI

Genera record BIMI DNS con URL del logo e certificato VMC opzionale.

Strumenti di recapitabilità

Audit deliverability email

Analizza MX, SPF, DKIM e DMARC simultaneamente. Identifica in pochi secondi le cause che bloccano la deliverability.

Tester email

Invia un'email di test e ottieni un punteggio di deliverability su 100. Diagnosi completa con azioni raccomandate.

Analizzatore header email

Incolla gli header grezzi di un'email ricevuta. Identifica il mittente, verifica SPF/DKIM/DMARC e traccia il routing completo.

Verifica blacklist IP

Verifica se il tuo IP è in blacklist

Verifica blacklist dominio

Verifica se il tuo dominio è in blacklist URI

Perché l'autenticazione email è essenziale

Tre componenti che si completano

SPF indica quali server hanno il diritto di inviare per il tuo dominio. La regola è pubblicata in un record TXT all'apex. Ben configurato, limita lo spoofing. Troppo permissivo, lascia passare abusi.

DKIM firma i tuoi messaggi. La chiave pubblica vive in un TXT sotto selector._domainkey. Una firma valida dimostra che il messaggio non è stato modificato e indica quale dominio l'ha firmato.

DMARC collega l'indirizzo visibile a SPF e DKIM. Se SPF o DKIM passa ed è allineato con il dominio del mittente, il messaggio è considerato conforme. La policy decide poi il trattamento in caso di fallimento: osservazione, quarantena o rifiuto.

Cosa vede un server destinatario

Alla ricezione, il server legge i tuoi record DNS e aggiunge un header Authentication-Results. Troverai spf=pass o fail, dkim=pass o fail, dmarc=pass o fail, con il dominio valutato. Questo header è la tua verità sul campo. Conferma l'effetto reale delle tue impostazioni, oltre la teoria.

Cosa cambia BIMI

BIMI non è un filtro antispam. Mostra un logo validato quando DMARC è in atto con una policy applicata. Il logo viene richiesto tramite un record DNS dedicato e talvolta un certificato VMC. Risultato: il destinatario identifica meglio il tuo brand e riconosce più velocemente un falso.

Gli errori più comuni

Due SPF con lo stesso nome → Unire in un unico valore
SPF che supera 10 lookup → Semplificare gli include o usare lo SPF Flattener
Selettore DKIM scritto male → La chiave diventa introvabile
Chiave pubblica troncata → La verifica fallisce silenziosamente
DMARC senza allineamento → Il messaggio passa ma non protegge l'identità
Report DMARC a casella non monitorata → Perdi l'osservabilità

TTL e propagazione DNS

La rete non "propaga" in senso stretto. Mette in cache secondo il TTL. Un TTL breve aiuta durante un aggiornamento. Un TTL troppo breve a lungo termine sovraccarica inutilmente. Un TTL medio (3600-86400s) stabilizza un'impostazione validata. Riduci prima di un cambiamento, ripristina dopo.

Come usare la toolbox CaptainDNS

Validatori di sintassi SPF, DKIM, DMARC

I validatori leggono i tuoi record grezzi e spiegano ogni elemento:

SPF: ordine dei meccanismi, include, redirect, presenza di all, conteggio query DNS, IP e domini inesistenti. L'obiettivo è restare sotto 10 lookup ed evitare loop.

DKIM: lettura dei tag v, k, p, t, s. Verifica della lunghezza della chiave, rilevamento di troncamenti, caratteri non validi e best practice di rotazione.

DMARC: lettura dei tag v, p, sp, adkim, aspf, pct, rua, ruf. Verifica dell'allineamento scelto e validità degli indirizzi di report.

Ispettori di record in diretta

Gli ispettori risolvono il DNS e mostrano la risposta così come vista da Internet:

Ispettore SPF: srotola la catena include, mostra i domini chiamati e dove il limite verrebbe superato
Ispettore DKIM: risolve il selettore, estrae la chiave pubblica e verifica la coerenza del formato
Ispettore DMARC: legge _dmarc.dominio, mostra la policy attiva, indirizzi rua/ruf e percentuale di applicazione

Questi strumenti verificano il presente, non la teoria. Ideale per un ticket o un deployment in produzione.

Audit deliverability email

Questo controllo analizza MX, SPF, DKIM e DMARC simultaneamente per rispondere a una domanda semplice: il dominio è pronto per inviare? Indica anche la causa più probabile di fallimento: SPF troppo permissivo, chiave DKIM mancante, policy DMARC non applicata, allineamento strict che fallisce su un sottodominio, MX che punta a un CNAME.

Generatore record DMARC

Il generatore ti aiuta a creare record DMARC completi e conformi alle RFC:

Configurazione dominio: input semplice con generazione automatica dell'hostname _dmarc
Policy flessibili: scegli tra none, quarantine e reject con gestione dei sottodomini
Reporting integrato: indirizzi rua/ruf con validazione e guida all'implementazione
Opzioni avanzate: allineamenti DKIM/SPF, percentuali, intervalli e opzioni di fallimento

Lo strumento genera il record completo pronto per la pubblicazione e guida all'ispettore per la verifica post-deployment.

BIMI operativo

Il validatore BIMI controlla la struttura del record, testa l'URL HTTPS del logo, verifica i vincoli Tiny-PS e scarica il VMC quando disponibile. Combinato con DMARC applicato in quarantine o reject, protegge la visualizzazione del tuo logo nei client webmail compatibili.

MTA-STS per la sicurezza del trasporto

MTA-STS (RFC 8461) aggiunge un livello critico di protezione imponendo la crittografia TLS per le email in entrata. Senza MTA-STS, il TLS opportunistico può essere degradato dagli attaccanti. Con MTA-STS, i server mittenti devono usare TLS o rifiutare la consegna.

Strumenti MTA-STS

Validatore di sintassi: Incolla il tuo record DNS TXT e il contenuto del file di policy. Il validatore verifica versione, modalità, pattern MX e direttive max_age prima della pubblicazione.

Ispettore di record: Inserisci un dominio per recuperare il record MTA-STS e il file di policy in diretta. Verifica i certificati TLS e incrocia i pattern MX con i mail server reali.

Generatore: Crea record e file di policy MTA-STS conformi. Configura modalità testing o enforce, aggiungi pattern MX, imposta la durata cache. Output pronto da copiare con istruzioni di deployment.

Deployment MTA-STS raccomandato

Genera il record DNS TXT e il file di policy
Ospita il file di policy su https://mta-sts.tuodominio.it/.well-known/mta-sts.txt
Pubblica il record DNS TXT su _mta-sts.tuodominio.it
Inizia in modalità testing per identificare problemi senza interrompere la consegna
Passa a enforce una volta verificato che tutti i server MX supportano TLS
Monitora con TLS-RPT per ricevere i report di fallimento

Metodo raccomandato per il deployment in produzione

Documentare lo stato iniziale: catture DNS ed esempi di Authentication-Results
Ridurre il TTL prima delle modifiche (300-600s)
Distribuire SPF pulito e unico, verificare con l'ispettore
Pubblicare la chiave DKIM su un nuovo selettore, testare la firma
Attivare DMARC a p=none, analizzare i report, correggere poi applicare
Aggiungere BIMI quando DMARC è applicato e logo/VMC passano la validazione
Ripristinare un TTL confortevole (3600-86400s) quando stabile

Monitoraggio e operazioni quotidiane

Le configurazioni evolvono con i provider, sottodomini, microservizi e campagne occasionali. Mantieni un ciclo semplice: controllo regolare, lettura dei report, rotazione delle chiavi, pulizia di include e selettori obsoleti. Un cambiamento deve sempre lasciare traccia: data, autore, valore precedente, nuovo valore, motivo. Questo accorcia ogni diagnosi.

Strumenti complementari

Strumento	Utilità
Verificatore propagazione DNS	Confermare che le tue modifiche DNS sono visibili globalmente
Ricerca DNS	Interrogare qualsiasi tipo di record DNS
Whois IP	Identificare il proprietario di un indirizzo IP
Verificatore blacklist IP	Verificare se il tuo IP è in una blacklist
Verificatore blacklist dominio	Verificare se il tuo dominio è in blacklist

Risorse utili

RFC 7208 - Sender Policy Framework (SPF) (specifica ufficiale)
RFC 6376 - DomainKeys Identified Mail (DKIM) (specifica ufficiale)
RFC 7489 - Domain-based Message Authentication (DMARC) (specifica ufficiale)
Google - Linee guida per i mittenti email (requisiti Gmail)
Microsoft - Autenticazione email in Microsoft 365 (guida Outlook/M365)