Perché un cambiamento di record conta per la recapitabilità?

I provider di posta valutano l'allineamento SPF, DKIM e DMARC su ogni messaggio. Un meccanismo SPF indebolito, una chiave DKIM rimossa o una policy DMARC declassata a p=none può mandare la tua posta legittima nello spam o esporre il tuo dominio allo spoofing. Il monitoraggio rileva questi cambiamenti prima che ti penalizzino.

Un DNSSEC rotto influisce davvero sull'email?

Sì. Se la firma DNSSEC si rompe o un record non supera la validazione, i resolver che applicano DNSSEC possono smettere del tutto di risolvere il tuo dominio, bloccando sia il sito sia la posta. Il monitoraggio segnala una catena DNSSEC rotta o rimossa come un cambiamento prioritario.

Posso monitorare più domini?

Sì, nei piani a pagamento. Il numero di domini monitorati aumenta con il piano, così come la possibilità di scegliere quali pilastri e record sorvegliare e con quale frequenza viene controllato ogni dominio.

Monitoraggio sicurezza e recapitabilità email

Perché monitorare la sicurezza e la recapitabilità email?

Eseguire un audit del dominio email una volta ti dice a che punto sei oggi. Ma la tua configurazione DNS non è statica. I fornitori aggiornano la loro infrastruttura di invio, i team ruotano le chiavi DKIM, i registrar migrano le zone e una sola modifica a un record TXT può rompere in silenzio l'autenticazione o indebolire la tua postura di sicurezza.

Il monitoraggio di sicurezza e recapitabilità email colma questo divario. CaptainDNS ripete l'audit completo secondo la frequenza scelta, confronta il risultato con la scansione precedente e invia un riepilogo via email non appena qualcosa di significativo cambia. Vedi il valore precedente, il nuovo valore e il motivo, perché nessuna regressione passi inosservata.

Non si limita alla recapitabilità. Il monitoraggio copre il quadro completo: come il tuo dominio invia posta, come la riceve e come il suo DNS è protetto.

Cosa sorveglia il monitoraggio

L'audit, e quindi il monitoraggio, copre nove protocolli suddivisi in tre pilastri:

Pilastro	Protocolli	Cosa può significare un cambiamento
Invio	SPF, DKIM, DMARC, BIMI	Autenticazione indebolita, posta nello spam, logo del marchio perso
Ricezione	MX, MTA-STS, TLS-RPT, DANE	TLS in entrata declassato, instradamento alterato, reporting perso
Sicurezza DNS	DNSSEC	Risoluzione a rischio, il dominio può smettere di risolvere

Per ogni pilastro, il monitoraggio segue sia il punteggio sia i singoli record. Un cambiamento in uno dei due può far scattare un avviso.

I cambiamenti che fanno scattare un avviso

Ogni avviso è un riepilogo che nomina il record o il pilastro interessato, mostra il valore prima e dopo e spiega perché conta. Trigger tipici:

SPF indebolito o troppo grande: il qualificatore passa a ~all (softfail) o ?all (neutro), oppure il record supera il limite di 10 lookup DNS e inizia a fallire. Validalo con lo SPF Record Check.
Chiave DKIM rimossa o scaduta: un selettore pubblicato sparisce o smette di restituire una chiave pubblica, rompendo le firme di quel flusso. Verificalo con il DKIM Record Check.
DMARC declassato: la policy scende da p=reject o p=quarantine a p=none, rimuovendo la protezione contro lo spoofing. Controllalo con il DMARC Record Check.
DNSSEC rotto o non firmato: la catena di firma si rompe o DNSSEC viene rimosso, mettendo a rischio la risoluzione per i resolver che validano.
Record di ricezione alterati: i MX cambiano, la modalità della policy MTA-STS viene abbassata, il reporting TLS-RPT viene rimosso, oppure i record TLSA di DANE vengono modificati.
BIMI modificato: il record BIMI o il riferimento al logo cambia, il che può rimuovere il tuo indicatore di marchio dalle caselle compatibili.

Come configurare il monitoraggio in 3 passi

Passo 1: esegui un audit del dominio

Apri l'audit del dominio email e analizza il dominio da sorvegliare. CaptainDNS valuta SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, DANE e DNSSEC, poi produce un punteggio per ciascuno dei tre pilastri.

Passo 2: crea un monitoraggio

Clicca il pulsante Monitora nel risultato dell'audit, oppure crea un nuovo monitoraggio da questa pagina. Accedi per salvare il monitoraggio nel tuo account. Nei piani a pagamento scegli quali pilastri e record sorvegliare e con quale frequenza viene controllato il dominio.

Passo 3: ricevi gli avvisi di cambiamento via email

CaptainDNS ripete l'audit secondo la tua frequenza e confronta ogni scansione con la precedente. Quando cambia un punteggio di pilastro o un record sorvegliato viene modificato, ricevi un riepilogo via email con i valori prima e dopo e il motivo. Nessuna sorveglianza manuale di una dashboard.

Piani e frequenza dei controlli

Piano	Domini	Personalizzazione	Frequenza dei controlli
Gratuito	1	Nessuna	Ogni 24 h
Starter	30	Scegli pilastri e record	Da 6 h
Pro	75	Scegli pilastri e record	Da 3 h
Business	250	Scegli pilastri e record	Da 1 h
Enterprise	2500	Scegli pilastri e record	Da 1 h

Il monitoraggio gratuito basta per rilevare la maggior parte delle regressioni lente. Le frequenze più rapide contano quando gestisci domini ad alto volume, esegui cambiamenti di infrastruttura frequenti o devi reagire in fretta a un incidente di sicurezza.

Casi d'uso reali

Caso 1: un fornitore indebolisce SPF in silenzio

Sintomo: il punteggio Invio cala qualche giorno dopo aver integrato un nuovo provider di posta.

Diagnosi: l'avviso di monitoraggio mostra che il record SPF è passato da -all a ~all, e ora include un include: in più che ha portato il record oltre 10 lookup DNS. Alcuni ricevitori trattano il record come un permerror.

Azione: appiattire il record SPF e ripristinare un qualificatore rigoroso. La scansione successiva conferma che il punteggio si riprende.

Caso 2: DMARC declassato di nascosto

Sintomo: il monitoraggio segnala un cambiamento del pilastro DMARC.

Diagnosi: durante una pulizia del DNS, la policy è stata riportata da p=reject a p=none, rimuovendo la protezione contro lo spoofing senza che nessuno se ne accorgesse.

Azione: ripubblicare p=reject (o p=quarantine durante una transizione). I valori prima e dopo nell'avviso rendono evidente la regressione.

Caso 3: DNSSEC si rompe durante una migrazione

Sintomo: un avviso prioritario segnala il pilastro Sicurezza DNS.

Diagnosi: un trasferimento di zona verso un nuovo fornitore ha lasciato la catena DNSSEC rotta. I resolver che validano rischiano di non risolvere più il dominio, minacciando web e posta.

Azione: rifirmare la zona o disattivare DNSSEC in modo pulito presso il registrar. Il monitoraggio conferma che la risoluzione è di nuovo sicura.

FAQ - Domande frequenti

D: Cosa fa il monitoraggio di sicurezza e recapitabilità email?

R: Ripete l'audit email completo del tuo dominio secondo la frequenza scelta e confronta ogni scansione con la precedente. Quando cambia un punteggio di pilastro o un record sorvegliato (SPF, DKIM, DMARC, BIMI, MTA-STS, DANE, TLS-RPT, DNSSEC) viene modificato, ricevi un riepilogo via email con il valore prima e dopo e il motivo.

D: Quali record sono monitorati?

R: I nove protocolli coperti dall'audit: SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, DANE, DNSSEC e i record MX dietro la ricezione. Il monitoraggio segue sia i record stessi sia i punteggi dei tre pilastri: Invio, Ricezione e Sicurezza DNS.

D: Quando ricevo un avviso?

R: Ricevi un riepilogo via email quando cambia un punteggio di pilastro o quando cambia un record sorvegliato. Trigger tipici: SPF che passa a ~all o ?all o supera i 10 lookup, una chiave DKIM rimossa o scaduta, DMARC declassato a p=none, DNSSEC rotto o non firmato, e modifiche a MX, MTA-STS, TLS-RPT, DANE o BIMI.

D: Con quale frequenza viene controllato il mio dominio?

R: Il piano gratuito controlla un dominio ogni 24 ore senza personalizzazione. I piani a pagamento monitorano più domini, ti lasciano scegliere quali pilastri e record sorvegliare e aumentano la frequenza: ogni 6 ore con Starter, ogni 3 ore con Pro e ogni ora con Business ed Enterprise.

D: Come avvio il monitoraggio di un dominio?

R: Esegui l'audit del dominio email e clicca il pulsante Monitora nel risultato. Puoi anche creare un nuovo monitoraggio direttamente da questa pagina. Serve un account CaptainDNS; accedi e il monitoraggio viene salvato al suo interno.

D: Il monitoraggio è gratuito?

R: Sì. Il monitoraggio gratuito copre un dominio controllato ogni 24 ore senza personalizzazione. I piani a pagamento aggiungono più domini, pilastri e record selezionabili e frequenze di controllo più rapide, fino a ogni ora.

D: Qual è la differenza con il monitoraggio DMARC?

R: Il monitoraggio DMARC raccoglie i report aggregati inviati dai provider di posta per mostrare chi invia posta per il tuo dominio. Il monitoraggio di sicurezza e recapitabilità email sorveglia la tua configurazione DNS stessa sui nove protocolli e ti avvisa quando un record o un punteggio cambia. I due sono complementari.

Strumenti complementari

Strumento	Scopo
Audit del dominio email	Eseguire l'audit completo dei nove protocolli e avviare un monitoraggio
Monitoraggio DMARC	Raccogliere e analizzare i report aggregati DMARC
SPF Record Check	Controllare il tuo record DNS SPF
DKIM Record Check	Controllare il tuo record DNS DKIM
DMARC Record Check	Controllare il tuo record DNS DMARC
Hosting MTA-STS	Ospitare gratis la tua policy MTA-STS
Monitoraggio TLS-RPT	Monitorare i report TLS SMTP
Hosting BIMI	Ospitare gratis il tuo logo e certificato BIMI

Risorse utili

RFC 7208: SPF, Sender Policy Framework
RFC 6376: DKIM, DomainKeys Identified Mail
RFC 7489: DMARC, Domain-based Message Authentication
RFC 8461: MTA-STS, SMTP MTA Strict Transport Security
RFC 8460: TLS-RPT, SMTP TLS Reporting
RFC 6698: DANE, DNS-Based Authentication of Named Entities
RFC 4033: DNSSEC, DNS Security Introduction and Requirements

Monitoraggio di sicurezza e recapitabilità email

Ricevi un avviso non appena un cambiamento di record o di punteggio mette a rischio il tuo dominio

Il tuo audit completo, ripetuto da solo

Cosa è cambiato, e perché

Un punteggio cala? Ti avvisiamo

Scegli cosa viene sorvegliato

Attiva il monitoraggio con un clic