1,709 25/03/2026 07/04/2026 12 min

Come configurare SPF, DKIM, DMARC lato Pannello

Se la posta del tuo dominio finisce in spam, il problema spesso non è il contenuto. Il problema è l’identità del mittente. SPF, DKIM e DMARC servono proprio a questo. Sono i tre controlli che dicono ai server riceventi se una mail è autorizzata, se non è stata alterata e cosa fare quando fallisce la verifica.

Qui vediamo come configurarli dal pannello hosting, senza dare per scontato il terminale. Userò i percorsi tipici di cPanel, Plesk e pannelli simili. Dove serve, aggiungo anche l’equivalente DNS da inserire manualmente.

Warning: il titolo parla di “DMAR”, ma il record corretto è DMARC. Se nel pannello trovi quella voce, stai cercando la policy di autenticazione del dominio per la posta.

Prerequisiti

Prima di toccare i record DNS, controlla questi punti. Ti evitano metà dei problemi.

  • Hai accesso al pannello del dominio o alla zona DNS.
  • Sai quale provider invia le mail: hosting, Google Workspace, Microsoft 365, SMTP esterno, CRM o piattaforma newsletter.
  • Hai l’elenco degli IP o degli host autorizzati a spedire.
  • Il dominio usa già i DNS del provider corretto, oppure sai dove modificare i record.
  • Hai attivo un indirizzo per ricevere i report DMARC, anche dedicato.

Note: se il dominio punta a DNS esterni, le modifiche nel pannello hosting non avranno effetto. In quel caso devi entrare nel provider DNS reale, non nel solo pannello del sito.

Una configurazione minima credibile, per un dominio che invia solo dal server hosting, è questa:

  • SPF con un solo record TXT.
  • DKIM attivo con chiave generata dal pannello o dal mail server.
  • DMARC con policy iniziale p=none per osservare i report.

Se invece usi più servizi, la configurazione va progettata. Non basta incollare record trovati online. Ogni servizio aggiunto deve essere esplicitamente autorizzato.

Step 1: mappa chi invia davvero le email

Questo passaggio è fondamentale. SPF e DMARC falliscono quando autorizzi un server sbagliato o dimentichi un mittente reale.

Nel pannello hosting, cerca le aree legate a posta e DNS. I percorsi cambiano, ma in genere sono simili a questi:

  • cPanel → Email Deliverability oppure Zone Editor.
  • Plesk → MailMail Settings oppure DNS Settings.
  • Altri pannelli → DominiDNS / Zona DNS.

Fai una lista dei servizi che inviano mail per il tuo dominio. Un esempio reale:

  • server web/hosting: mail.tuodominio.it
  • Google Workspace per le mail aziendali
  • Mailchimp per newsletter
  • CRM per notifiche transazionali

Ogni sorgente deve comparire nel futuro SPF. DKIM invece richiede una chiave per ogni sistema che firma. DMARC controllerà il risultato finale.

Elenco da compilare prima di iniziare:
- dominio principale: tuodominio.it
- provider posta principale: hosting / Google / Microsoft / altro
- IP o host SMTP autorizzati: ...
- servizi terzi che inviano: newsletter, CRM, helpdesk, e-commerce
- casella per i report DMARC: dmarc@tuodominio.it

Step 2: configura SPF dal pannello DNS

SPF è un record TXT che dice quali server possono inviare email per il dominio. Il server ricevente confronta l’IP del mittente con la lista autorizzata. Se non trova corrispondenza, la mail può essere rifiutata o marcata come sospetta.

Nel pannello DNS, cerca la voce TXT e il nome @ oppure il dominio principale. In alcuni pannelli il nome va lasciato vuoto, in altri va inserito il dominio completo.

Un record SPF base per un server hosting singolo può essere così:

v=spf1 a mx ip4:203.0.113.10 -all

Significato pratico:

  • a: autorizza l’IP associato al record A del dominio.
  • mx: autorizza i server elencati nei record MX.
  • ip4:203.0.113.10: autorizza quell’IP preciso.
  • -all: tutto il resto è non autorizzato.

Se usi Google Workspace, l’SPF tipico include:

v=spf1 include:_spf.google.com -all

Se usi più servizi, li devi combinare in un solo record. Ecco un esempio realistico:

v=spf1 include:_spf.google.com include:servers.mcsv.net ip4:203.0.113.10 -all

Attenzione: SPF deve esistere come un solo record TXT per dominio. Se ne crei due, molti server considerano il risultato come errore.

Nel pannello hosting, la procedura è in genere questa:

  1. Apri la zona DNS del dominio.
  2. Aggiungi o modifica il record TXT.
  3. Inserisci come nome @ o il dominio principale.
  4. Incolla il valore SPF completo.
  5. Salva e attendi la propagazione.

Se il pannello offre un generatore SPF, usalo solo come base. Verifica sempre che non stia duplicando meccanismi già presenti.

Esempio di SPF corretto per più sorgenti

Supponiamo che il dominio invii da hosting, Google Workspace e Mailchimp. Il record può essere:

v=spf1 ip4:203.0.113.10 include:_spf.google.com include:servers.mcsv.net -all

Se in futuro aggiungi un altro servizio, devi aggiornare questo stesso record. Non aggiungere un secondo TXT SPF separato.

Errori comuni SPF

  • Più record SPF nello stesso dominio.
  • Uso di ~all senza sapere cosa comporta.
  • Inserimento di IP sbagliati o vecchi.
  • Autorizzazione di servizi non più usati.
  • Record TXT scritto con virgolette, spazi o ritorni a capo non previsti dal pannello.

Se il pannello mostra un messaggio tipo “too many DNS lookups”, significa che il record SPF è troppo complesso. SPF ha un limite pratico di ricerche DNS. In quel caso devi semplificare, eliminare servizi inutili o usare un relay unico.

Step 3: attiva DKIM dal pannello mail

DKIM firma digitalmente le email. Il server ricevente verifica la firma usando la chiave pubblica pubblicata nel DNS. Se il messaggio viene alterato lungo il percorso, la firma non torna.

Molti pannelli hosting hanno una sezione dedicata. I nomi più comuni sono:

  • Email Deliverability in cPanel.
  • DKIM o Mail Authentication in Plesk.
  • Sezione Posta con opzione “abilita firma DKIM”.

In genere il pannello può fare due cose:

  • generare automaticamente la coppia di chiavi;
  • pubblicare da solo il record DNS corretto.

Se il sistema lo consente, scegli la generazione automatica. È la strada più semplice e riduce gli errori di sintassi.

Un record DKIM è un TXT sotto un nome specifico, ad esempio:

selector1._domainkey.tuodominio.it

Il valore contiene la chiave pubblica. Un esempio semplificato:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A...

Nel pannello potresti vedere un selettore come default, s1, google o mail. Il selettore serve a distinguere chiavi diverse nel tempo o tra servizi diversi.

Procedura tipica in cPanel

  1. Apri Email Deliverability.
  2. Seleziona il dominio.
  3. Se il sistema segnala DKIM mancante, clicca su Repair o Manage.
  4. Copiati il record TXT proposto, se non viene scritto automaticamente.
  5. Verifica che il record sia presente nella zona DNS.

Procedura tipica in Plesk

  1. Apri Mail e poi Mail Settings o DNS Settings.
  2. Attiva la firma DKIM per il dominio.
  3. Se il pannello richiede la pubblicazione manuale, copia il record TXT generato.
  4. Salva e attendi la propagazione.

Se usi un servizio esterno come Google Workspace, la firma DKIM va attivata anche lì. In molti casi il pannello del dominio non basta: devi generare il record dal provider che invia le mail, poi pubblicarlo nel DNS del dominio.

Per Google Workspace, ad esempio, si crea un selettore nel pannello amministrativo e si pubblica un TXT simile a:

google._domainkey.tuodominio.it
v=DKIM1; k=rsa; p=...

Per Microsoft 365, la logica è simile: il provider ti indica il selettore e la chiave da pubblicare nel DNS.

Se il pannello non genera DKIM

Alcuni hosting non creano la chiave da soli, ma ti danno solo il campo DNS. In quel caso devi recuperare i parametri dal mail server o dal provider. Se hai accesso SSH, il comando può variare, ma l’idea è sempre quella di ottenere il record TXT da pubblicare. Se non hai terminale, cerca nell’area mail una voce come Authentication o DomainKeys.

Una volta attivo, invia una mail di prova verso una casella esterna e controlla gli header. Dovresti vedere un risultato DKIM tipo pass.

Step 4: configura DMARC dal pannello DNS

DMARC si appoggia a SPF e DKIM e decide cosa fare quando una mail non supera i controlli. Inoltre permette di ricevere report sull’uso del dominio.

Il record DMARC è un TXT sul nome:

_dmarc.tuodominio.it

Per iniziare, la policy più prudente è:

v=DMARC1; p=none; rua=mailto:dmarc@tuodominio.it; adkim=s; aspf=s

Spieghiamo i parametri principali:

  • p=none: non blocca le mail, ma raccoglie report.
  • rua=mailto:...: indirizzo per i report aggregati.
  • adkim=s: allineamento DKIM stretto.
  • aspf=s: allineamento SPF stretto.

Se vuoi una configurazione iniziale meno rigida, puoi usare allineamento rilassato:

v=DMARC1; p=none; rua=mailto:dmarc@tuodominio.it; adkim=r; aspf=r

Nel pannello DNS, aggiungi un record TXT con nome _dmarc e il valore completo. Alcuni pannelli vogliono il nome completo _dmarc.tuodominio.it; altri solo il prefisso. Segui il formato richiesto dal provider.

Policy DMARC: da osservazione a protezione

DMARC non si imposta una volta sola. Si evolve in tre fasi:

  1. none: osservi i report e sistemi gli errori.
  2. quarantine: le mail sospette possono finire in spam.
  3. reject: le mail non conformi vengono rifiutate.

Una progressione prudente può essere questa:

v=DMARC1; p=none; rua=mailto:dmarc@tuodominio.it

Dopo aver verificato che tutto passa correttamente:

v=DMARC1; p=quarantine; rua=mailto:dmarc@tuodominio.it; pct=25

Infine, quando sei sicuro della configurazione:

v=DMARC1; p=reject; rua=mailto:dmarc@tuodominio.it; pct=100

Consiglio pratico: se il dominio è usato da più dipartimenti o da servizi terzi, non passare subito a reject. Prima verifica che tutti i flussi di invio siano allineati.

Step 5: verifica i record pubblicati

Dopo il salvataggio, non dare per scontato che tutto sia corretto. Verifica sempre i record pubblicati.

Se hai accesso a un terminale, puoi usare questi comandi:

dig TXT tuodominio.it +short
dig TXT _dmarc.tuodominio.it +short
dig TXT selector1._domainkey.tuodominio.it +short

Per SPF, cerca un solo record che inizi con v=spf1. Per DMARC, cerca v=DMARC1. Per DKIM, controlla che il selettore corretto restituisca la chiave pubblica.

Se non hai terminale, usa un controllo online affidabile oppure il tester del provider hosting. Molti pannelli mostrano anche lo stato con un semaforo: verde, giallo o rosso.

Controlla anche gli header di una mail inviata dal dominio. In Gmail o in altri client, apri i dettagli del messaggio e cerca:

  • SPF: pass
  • DKIM: pass
  • DMARC: pass

Se uno dei tre fallisce, non significa sempre che il record sia sbagliato. Potrebbe esserci un problema di allineamento, di forwarding o di firma lato provider.

Step 6: interpreta i report DMARC

I report DMARC sono la parte più utile della configurazione. Ti dicono chi sta inviando mail con il tuo dominio, da dove, e con quale risultato.

Ci sono due tipi di report:

  • Aggregati: riepilogo periodico dei flussi di invio.
  • Forensi: dettagli su singoli fallimenti, quando supportati.

All’inizio riceverai file XML compressi. Puoi leggerli manualmente, ma è più comodo usare un servizio di analisi DMARC o il visualizzatore del provider.

Nel report cerca questi elementi:

  • IP sorgente che ha inviato la mail.
  • Dominio dichiarato nel From.
  • Esito SPF e DKIM.
  • Stato di allineamento DMARC.

Se vedi un IP sconosciuto, potrebbe essere un servizio dimenticato, un vecchio server o un abuso. In quel caso devi decidere se autorizzarlo, correggerlo o bloccarlo.

Configurazioni reali per casi comuni

1. Solo hosting

Se invii solo dal server del sito e dalla casella email dell’hosting, la configurazione può essere semplice:

SPF: v=spf1 a mx ip4:203.0.113.10 -all
DKIM: attivo dal pannello mail
DMARC: v=DMARC1; p=none; rua=mailto:dmarc@tuodominio.it

2. Hosting + Google Workspace

In questo scenario, il dominio riceve e invia anche tramite Google. Il record SPF potrebbe essere:

v=spf1 ip4:203.0.113.10 include:_spf.google.com -all

DKIM va attivato sia sul provider hosting, se invia mail, sia su Google Workspace. DMARC resta inizialmente in osservazione.

3. Hosting + newsletter + CRM

Qui la configurazione va tenuta sotto controllo. Un esempio di SPF:

v=spf1 ip4:203.0.113.10 include:_spf.google.com include:servers.mcsv.net include:spf.protection.outlook.com -all

Se il record diventa troppo lungo, valuta di spostare gli invii su un relay unico o di ridurre i servizi autorizzati.

Problemi comuni e soluzioni

SPF non valido

Se il pannello mostra errore, controlla che:

  • ci sia un solo record SPF;
  • il valore inizi con v=spf1;
  • non ci siano spazi o caratteri strani;
  • gli include siano scritti correttamente.

DKIM non verificato

Se DKIM fallisce, verifica:

  • che il selettore nel DNS sia identico a quello usato dal server;
  • che il record TXT non sia stato spezzato male dal pannello;
  • che il provider stia davvero firmando le email;
  • che non ci siano vecchie chiavi rimaste in conflitto.

DMARC in fail anche se SPF e DKIM sono passati

Questo succede spesso per colpa dell’allineamento. DMARC non guarda solo il pass/fail tecnico, ma anche se il dominio del mittente è allineato con quello visibile nel campo From.

Per esempio, se una mail parte da bounce.provider.com ma il mittente visibile è tuodominio.it, SPF o DKIM possono anche passare, ma DMARC può fallire se non c’è allineamento.

Propagazione DNS lenta

Dopo una modifica, attendi il tempo di TTL e la propagazione. In pratica possono volerci da pochi minuti a qualche ora. Se il pannello mostra ancora il vecchio valore, svuota la cache del browser e riprova con un resolver pubblico.

Checklist finale

Prima di considerare il lavoro finito, verifica questa lista:

  • SPF presente come unico record TXT.
  • DKIM attivo e firmante sul provider che invia.
  • DMARC pubblicato su _dmarc.
  • Casella per i report DMARC funzionante.
  • Mail di test con esito pass per SPF, DKIM e DMARC.
  • Nessun servizio terzo dimenticato.

Quando passare a una policy più severa

Se i report mostrano che tutto è in ordine per alcuni giorni o settimane, puoi irrigidire la policy DMARC. La sequenza consigliata è:

  1. p=none per osservare.
  2. p=quarantine con percentuale limitata.
  3. p=reject quando sei sicuro che tutti i mittenti legittimi sono allineati.

Un esempio intermedio:

v=DMARC1; p=quarantine; rua=mailto:dmarc@tuodominio.it; pct=50; adkim=s; aspf=s

Un esempio finale più rigido:

v=DMARC1; p=reject; rua=mailto:dmarc@tuodominio.it; adkim=s; aspf=s

Ricorda: la sicurezza non aumenta solo alzando la severità. Aumenta quando la configurazione è corretta e i flussi reali sono sotto controllo.

Conclusione

Configurare SPF, DKIM e DMARC dal pannello hosting non è complicato, ma richiede precisione. SPF autorizza i server, DKIM firma i messaggi, DMARC decide come reagire e ti mostra chi sta usando il dominio.

La regola pratica è semplice: prima mappi i mittenti, poi pubblichi SPF, attivi DKIM sul provider che invia e infine aggiungi DMARC in modalità osservazione. Solo dopo aver controllato i report passi a una policy più rigida.

Se vuoi ridurre lo spam e proteggere il dominio, questa è la base giusta. Una configurazione fatta bene aumenta la deliverability e limita gli abusi del tuo brand.