Un audit completo della sicurezza e della deliverability email
La configurazione email di un dominio si gioca su due fronti. In invio, l'autenticazione (SPF, DKIM, DMARC) decide se i tuoi messaggi raggiungono la casella di posta o finiscono nello spam. In ricezione, la sicurezza del trasporto (MTA-STS, DANE, TLS-RPT) e l'integrità del DNS (DNSSEC) proteggono i tuoi scambi da intercettazione e usurpazione. Una falla su un solo lato indebolisce l'insieme.
Questo audit di deliverability e sicurezza email (chiamato anche "DMARC checker", "SPF lookup", "DKIM validator", "domain health check" o "email security audit") verifica in una sola scansione l'igiene, la sicurezza e l'autenticazione email del tuo dominio, sia in invio che in ricezione. L'audit analizza 9 protocolli organizzati in 3 pilastri:
Invio (outbound):
| Protocollo | Ruolo | Impatto se assente o non valido |
|---|---|---|
| SPF | Autorizza i server a inviare per conto del tuo dominio | Rischio di rifiuto o classificazione spam |
| DKIM | Firma crittograficamente i tuoi messaggi | Autenticazione debole, rischio di spoofing |
| DMARC | Definisce la policy in caso di fallimento SPF/DKIM | Nessuna protezione contro l'impersonificazione |
| BIMI | Mostra il tuo logo nelle caselle di posta | Opzionale, rafforza la fiducia visiva |
Ricezione (inbound):
| Protocollo | Ruolo | Impatto se assente o non valido |
|---|---|---|
| MX | Indica dove ricevere le email | Dominio considerato non destinato all'email |
| MTA-STS | Forza la crittografia TLS per le email in entrata | Email trasmesse in chiaro, vulnerabili all'intercettazione |
| DANE | Autentica i certificati TLS dei MX tramite DNSSEC | Nessuna verifica crittografica del server di posta |
| TLS-RPT | Riceve i report di errore TLS | Nessuna visibilità sui problemi di crittografia |
Questo audit si lancia in tre situazioni. Prima di una campagna, per confermare che il dominio è pronto a inviare. Per mettere in sicurezza la ricezione, controllando la crittografia del trasporto e l'integrità del DNS. E dopo un cambio di piattaforma, quando serve verificare che i nuovi selettori DKIM e i relativi record siano pubblicati.
Come usare l'audit email in 3 passi
Passo 1: Inserisci il tuo dominio
Digita il dominio da verificare (captaindns.com). Se invii tramite più piattaforme (Mailchimp, Brevo, Google Workspace), aggiungi i selettori DKIM corrispondenti per una verifica completa dell'invio.
Dove trovare i tuoi selettori DKIM:
- Mailchimp:
k1(impostazioni → dominio → autenticazione) - Brevo:
mail(impostazioni → mittenti → DKIM) - Google Workspace:
google(Console di Admin → App → Gmail → Autenticazione) - Microsoft 365:
selector1,selector2(Admin → Domini → Record DNS)
Passo 2: Avvio dell'analisi
Lo strumento interroga i tuoi record DNS senza alcun intervento da parte tua.
In invio, verifica la sintassi SPF, il suo conteggio di lookup e il meccanismo -all, valida ogni selettore DKIM e la dimensione della chiave (2048 bit o più), controlla la policy DMARC e i suoi report, poi conferma che il record BIMI punti a un logo accessibile.
In ricezione, elenca i tuoi MX e ne testa la risoluzione e la ridondanza, verifica il record MTA-STS, la sua policy HTTPS e la modalità (enforce o testing), confronta i record TLSA di DANE con la validazione DNSSEC, e si accerta che il TLS-RPT dichiari davvero una destinazione per i report.
Passo 3: Lettura dei risultati
Ottieni:
- Punteggio globale su 100 con badge di configurazione (Eccellente, Buono, Medio, Insufficiente)
- Diagnosi per protocollo con stato pass/fail
- Azioni correttive classificate per priorità
- Esportazione JSON per condividere con il tuo team tecnico
Calcolo del punteggio su 100
Il punteggio globale aggrega tre pilastri ponderati: invio (50%), ricezione (35%) e sicurezza DNS (15%). Ecco la loro composizione.
| Pilastro | Peso | Componenti |
|---|---|---|
| Invio (outbound) | 50% | SPF, DKIM, DMARC, BIMI |
| Ricezione (inbound) | 35% | MX, MTA-STS, DANE, TLS-RPT |
| Sicurezza DNS | 15% | DNSSEC, CAA |
Ogni pilastro viene valutato su 100, poi ponderato in base al suo peso. Il totale sfocia in un grado. Oltre 90, tutto è al suo posto: è l'Eccellente. Tra 75 e 89, la base regge, restano alcune regolazioni (Buono). Da 55 a 74, errori o avvisi erodono la tua deliverability o la tua sicurezza (Medio). Sotto il 55 per cento, la prognosi è cupa: un blocco maggiore compromette l'invio o la ricezione (Insufficiente).
Dettaglio punti per pilastro
Invio (100 punti):
| Componente | Punti max | Criteri principali |
|---|---|---|
| DMARC | 40 | Policy p=reject, report rua/ruf, allineamento stretto |
| SPF | 30 | Sintassi valida, limite 10 lookup, meccanismo -all |
| DKIM | 25 | Selettori validi, chiave ≥2048 bit, ridondanza |
| BIMI | 5 | Record valido, logo SVG Tiny PS, VMC presente |
Ricezione (100 punti):
| Componente | Punti max | Criteri principali |
|---|---|---|
| MX | 40 | Presenza, risoluzione, ridondanza (2+ MX) |
| MTA-STS | 30 | DNS valido, policy HTTPS, modalità enforce |
| DANE | 15 | Record TLSA pubblicati, DNSSEC firmato |
| TLS-RPT | 15 | Record valido, destinazioni RUA configurate |
Sicurezza DNS (100 punti):
| Componente | Punti max | Criteri principali |
|---|---|---|
| DNSSEC | 80 | Zona firmata e catena validata |
| CAA | 20 | Record presente, emissione limitata, contatto iodef impostato |
Un record CAA (Certification Authority Authorization) dichiara quali autorità di certificazione hanno il diritto di emettere un certificato per il tuo dominio. Senza, una qualsiasi può firmare un certificato per captaindns.com. Il valore 0 issue ";" chiude la porta a ogni emissione, e il tag iodef apre un canale per segnalarti i tentativi.
Errori frequenti rilevati dall'audit
Quattro problemi tornano nella grande maggioranza degli audit andati male. Ecco come riconoscerli e correggerli.
SPF: troppe query DNS (permerror)
SPF tollera al massimo 10 lookup DNS. Basta un include: di troppo e tutto crolla: il resolver restituisce permerror e ignora puramente e semplicemente la tua policy. Il sintomo tipico è un punteggio SPF a terra mentre il record esiste eccome. L'audit riconta i tuoi lookup, individua gli include: annidati (spesso 12 o più) e ti indica lo sforamento. La via d'uscita: sostituisci gli include: con range IP, oppure fai il lavoro con un clic grazie al nostro SPF Flattener.
DKIM: selettore non trovato
Ogni piattaforma di invio ha il suo selettore DKIM. Finché non è pubblicato nella tua zona, la firma fallisce a ogni email, senza eccezioni. Tu credi DKIM configurato, l'audit mostra un NXDOMAIN su k1._domainkey.captaindns.com: la chiave non esiste lato DNS. Recupera il selettore giusto dal tuo provider di invio e pubblica il record TXT corrispondente.
DMARC: policy troppo permissiva
Una policy p=none non protegge da nulla. Osserva, non blocca: i provider email lasciano passare le email non autenticate inviate a tuo nome. L'audit lo segnala appena legge p=none, soprattutto quando mancano anche i report rua. Cosa fare: irrigidisci per gradi, p=quarantine poi p=reject, tenendo d'occhio i report DMARC per non bloccare nessun invio legittimo.
MX: record assente o non valido
Niente MX, niente posta in entrata. Un dominio senza MX non riceve alcuna email, e certi filtri lo giudicano persino illegittimo all'invio. Quando l'audit restituisce un punteggio MX a zero, vuol dire che non è stato trovato alcun record. Pubblica almeno un MX valido. Se il dominio non deve ricevere posta, dichiara un null MX (0 .): è una scelta esplicita, non un errore.
Piano d'azione per migliorare sicurezza e deliverability
Affronta il lavoro in ordine di impatto. Le due tabelle qui sotto classificano le correzioni dell'invio e poi della ricezione, dalla più critica all'opzionale.
Invio:
| Priorità | Azione | Impatto |
|---|---|---|
| 1. Critica | Configurare SPF con -all e rimanere sotto 10 lookup | Evita il rifiuto del server |
| 2. Alta | Pubblicare DKIM con chiave ≥2048 bit per ogni ESP | Firma email autentica |
| 3. Alta | Passare DMARC a p=quarantine poi p=reject | Protezione contro lo spoofing |
| 4. Media | Configurare i report DMARC (rua) con il Monitoring DMARC | Monitoraggio dei fallimenti |
| 5. Opzionale | Aggiungere BIMI con logo certificato | Rafforza la fiducia visiva |
Ricezione:
| Priorità | Azione | Impatto |
|---|---|---|
| 1. Alta | Pubblicare almeno 2 MX per ridondanza | Garantisce la ricezione anche in caso di guasto |
| 2. Media | Implementare MTA-STS in modalità enforce | Forza la crittografia TLS per email in entrata |
| 3. Bassa | Pubblicare un record TLS-RPT | Ricevi report di errore connessione TLS |
| 4. Bassa | Aggiungere record DANE/TLSA (se DNSSEC attivo) | Autenticazione crittografica dei certificati MX |
Consiglio: rilancia l'audit nei momenti che contano, prima di una campagna, dopo un cambio di provider, a ogni modifica DNS. Così individui i problemi prima che penalizzino i tuoi invii o espongano il tuo dominio.
Casi d'uso concreti
Caso 1: Campagna marketing con 80% nello spam
Sintomo: Invii una newsletter tramite Mailchimp, ma la maggior parte finisce nello spam.
Diagnosi dell'audit:
- MX = ✅ Pass
- SPF = ❌ Fail → 14 lookup (limite superato)
- DKIM = ❌ Fail → Selettore
k1non trovato - DMARC = ⚠️
p=none
Azioni prioritarie:
- Appiattire SPF per scendere sotto 10 lookup
- Pubblicare il CNAME DKIM di Mailchimp
- Passare DMARC a
p=quarantine
Caso 2: email B2B rifiutate da Microsoft 365
Sintomo: Le tue email aziendali vengono rifiutate dai clienti che usano Outlook/Microsoft 365.
Diagnosi dell'audit:
- SPF = ✅ Pass
- DKIM = ✅ Pass
- DMARC = ❌ Fail → Policy
p=rejectma allineamento fallito
Azioni prioritarie:
- Verificare che il dominio From corrisponda al dominio DKIM (allineamento stretto)
- Configurare
aspf=readkim=rper allineamento rilassato
Caso 3: migrazione a Google Workspace
Sintomo: Dopo la migrazione a Google Workspace, le email finiscono nello spam.
Diagnosi dell'audit:
- SPF = ⚠️ Warning →
include:_spf.google.commancante - DKIM = ❌ Fail → Selettore
googlenon pubblicato
Azioni prioritarie:
- Aggiungere
include:_spf.google.comal SPF - Generare e pubblicare la chiave DKIM dalla Console di Admin
FAQ - Domande frequenti
D: Cosa verifica esattamente questo audit email?
R: Nove protocolli ripartiti in tre pilastri. In invio, l'audit controlla SPF (server autorizzati), DKIM (firma crittografica), DMARC (policy di autenticazione) e BIMI (logo del brand). In ricezione, copre MX (server in entrata), MTA-STS (crittografia TLS forzata), DANE (autenticazione dei certificati tramite DNSSEC) e TLS-RPT (report di errore TLS). Il pilastro sicurezza DNS riguarda DNSSEC (firma della zona) e CAA (autorità di certificazione autorizzate).
D: Come funziona il punteggio su 100?
R: Tre pilastri ponderati si combinano: l'invio (50%) raggruppa DMARC (40 pt), SPF (30 pt), DKIM (25 pt) e BIMI (5 pt); la ricezione (35%) somma MX (40 pt), MTA-STS (30 pt), DANE (15 pt) e TLS-RPT (15 pt); la sicurezza DNS (15%) ripartisce DNSSEC (80 pt) e CAA (20 pt). Ogni pilastro viene valutato su 100, poi riportato al totale in base al suo peso. Oltre 90, la configurazione è a punto.
D: Perché il mio SPF mostra "troppi lookup"?
R: La RFC 7208 limita SPF a 10 risoluzioni DNS. Ogni include:, a:, mx: o redirect= ne consuma una. Impila Mailchimp, Brevo e Google, e il conto sale in fretta. Per tornare sotto la soglia, il nostro SPF Flattener converte i tuoi include in indirizzi IP diretti.
D: Come aggiungo un selettore DKIM?
R: Il selettore cambia da un provider all'altro: k1 per Mailchimp, mail per Brevo, google per Google Workspace, selector1 e selector2 per Microsoft 365. Inseriscilo nel modulo di audit, e lo strumento conferma che sia ben pubblicato nella tua zona.
D: Quale policy DMARC dovrei usare?
R: Avanza per gradi. Si parte da p=none per osservare senza bloccare niente, si passa a p=quarantine per mandare allo spam i messaggi sospetti, poi si chiude con p=reject per rifiutare tutto ciò che non è autenticato. A ogni tappa, tieni attivi i report rua: sono loro a evitarti di bloccare un invio legittimo.
D: L'audit è gratuito?
R: Sì, l'audit è 100% gratuito e senza registrazione. Inserisci il tuo dominio e ottieni i risultati immediatamente.
D: I miei dati vengono memorizzati?
R: L'audit interroga solo i record DNS pubblici del tuo dominio. Queste informazioni sono accessibili a chiunque tramite query DNS standard. Non memorizziamo i tuoi dati.
Strumenti complementari
| Strumento | Utilità |
|---|---|
| Analizzatore header email | Verificare i verdetti SPF/DKIM/DMARC su un'email ricevuta |
| Ispettore SPF | Analizzare il tuo record SPF in dettaglio |
| SPF Flattener | Appiattire il tuo SPF per rispettare il limite di 10 DNS lookup |
| Ispettore DKIM | Validare le tue chiavi DKIM selettore per selettore |
| Ispettore DMARC | Analizzare e testare la tua policy DMARC |
| Verificatore propagazione DNS | Confermare che i tuoi record DNS sono propagati globalmente |
| Verificatore blacklist IP | Verificare se il tuo IP è in una blacklist |
| Verificatore blacklist dominio | Verificare se il tuo dominio è in blacklist |
| Monitoring DMARC | Raccogliere e visualizzare i report DMARC aggregati dei tuoi domini |
| Analizzatore rapporti TLS-RPT | Analizzare i rapporti TLS-RPT ricevuti via email |
Risorse utili
- RFC 7208 - SPF (specifica ufficiale SPF)
- RFC 6376 - DKIM (specifica ufficiale DKIM)
- RFC 7489 - DMARC (specifica ufficiale DMARC)
- RFC 8461 - MTA-STS (SMTP MTA Strict Transport Security)
- RFC 8460 - TLS-RPT (SMTP TLS Reporting)
- RFC 6698 - DANE (DNS-Based Authentication of Named Entities)
- Google - Autenticazione email (guida Gmail)
- Microsoft - Autenticazione email (guida Microsoft 365)