Vai al contenuto principale
IT Deutsch English Español Français Português

Linee guida per i mittenti di email di Google

Nota

Le e-mail inviate da Duda seguono già le migliori pratiche di autenticazione delle e-mail. I passaggi descritti in questo articolo spiegano come implementare le best practice per l'autenticazione delle email per i tuoi account Gmail personali. Tieni presente che Duda non offre né supporta l'hosting di posta elettronica.

A partire dal 1° febbraio 2024, Google richiede standard specifici di autenticazione delle email per l'invio di messaggi agli account Gmail personali. Questi standard sono essenziali per evitare che le email vengano contrassegnate come spam o bloccate.

  • Tutti i mittenti: Implementare SPF (Sender Policy Framework) o DKIM (DomainKeys Identified Mail)

  • Mittenti di massa (qualsiasi mittente di posta elettronica che invia quasi 5.000 o più messaggi al giorno): implementare SPF, DKIM e DMARC (Domain-based Message Authentication, Reporting and Conformance)

Le linee guida si applicano a tutti i mittenti di email, indipendentemente dal provider di servizi email che utilizzi, purché invii email agli account personali di Gmail (account che terminano con @gmail.com o @googlemail.com).

Nota

Per assistenza con le informazioni di accesso al dominio, le impostazioni o i record TXT, contatta il tuo provider di dominio.

Perché l'autenticazione delle e-mail è importante

I requisiti di autenticazione email di Google migliorano la sicurezza e prevengono attività dannose come lo spoofing e il phishing. Implementando queste best practice per l'autenticazione delle email, puoi migliorare il recapito e l'affidabilità delle email inviate agli account Gmail, proteggendo al contempo sia l'organizzazione che i destinatari dall'impersonificazione e dal contrassegno di spam.

Per prestazioni ottimali di recapito delle email:

  1. Configura SPF: assicurati la consegna della posta e previeni lo spoofing specificando i server autorizzati per il tuo dominio.

  2. Configura DKIM: aumenta la sicurezza delle e-mail in uscita aggiungendo firme digitali crittografate.

  3. Configura il DMARC: infine, migliora la sicurezza per lo spam contraffatto con il DMARC. Il DMARC indica ai server riceventi cosa fare con le e-mail che non superano l'SPF o il DKIM e fornisce rapporti sull'attività di autenticazione.

Assicurati che SPF, DKIM e DMARC siano configurati per ciascuno dei tuoi domini di invio tramite il tuo provider di dominio. Se utilizzi un provider di servizi di posta elettronica, verifica che autentichi l'email del tuo dominio con SPF e DKIM per evitare problemi di consegna.

Standard di autenticazione delle e-mail

Di seguito sono riportati i metodi di autenticazione chiave che devi configurare per soddisfare i requisiti di Google e migliorare la sicurezza della tua email:

  • SPF (Sender Policy Framework): SPF impedisce lo spoofing delle e-mail specificando quali server di posta sono autorizzati a inviare e-mail per conto del tuo dominio. Funziona pubblicando un record DNS che elenca questi server autorizzati. Quando viene ricevuta un'e-mail, il server di posta del destinatario controlla il record SPF per verificare il mittente. Per istruzioni sulla configurazione, vedere Configurare i record TXT SPF per il dominio.

  • DKIM (DomainKeys Identified Mail): DKIM garantisce l'autenticità e l'integrità delle e-mail aggiungendo una firma digitale all'intestazione dell'e-mail. Ciò si ottiene utilizzando una coppia di chiavi crittografiche, una privata e una pubblica. La chiave privata viene utilizzata per firmare l'e-mail e la chiave pubblica, pubblicata nei record DNS del dominio, viene utilizzata dal server ricevente per verificare la firma. Per istruzioni sulla configurazione, consulta Configurare i record TXT DKIM per il tuo dominio.

  • DMARC (Domain-based Message Authentication, Reporting, and Conformance): il DMARC si basa su SPF e DKIM fornendo istruzioni ai server riceventi su come gestire le e-mail che non superano questi controlli. Pubblica una politica in DNS che indica ai server di posta riceventi cosa fare con le e-mail che non superano la verifica SPF o DKIM, come il rifiuto o la messa in quarantena. Il DMARC fornisce anche un meccanismo per la ricezione di rapporti sull'attività di autenticazione delle e-mail, che puoi utilizzare per monitorare le e-mail inviate dal tuo dominio e identificare i mittenti che potrebbero impersonare il tuo dominio. Per istruzioni sulla configurazione, consulta Configurare i record TXT DMARC per il tuo dominio.

Impostazione dei record TXT SPF per il dominio

Sender Policy Framework (SPF) è un protocollo di autenticazione delle e-mail progettato per prevenire lo spoofing delle e-mail e gli attacchi di phishing, specificando quali server di posta sono autorizzati a inviare e-mail per conto del tuo dominio. Impostando un record SPF, aiuti i server dei destinatari a verificare che le email che dichiarano di provenire dal tuo dominio siano effettivamente inviate da server autorizzati. Se un'e-mail viene inviata da un server non autorizzato, potrebbe essere contrassegnata come spam o rifiutata.

Nota

Per assistenza con le informazioni di accesso al dominio, le impostazioni o i record TXT, contatta il tuo provider di dominio.

Prima di configurare SPF, assicurati di avere:

  • Accesso al provider di dominio: credenziali per l'accesso alla console di gestione del provider di dominio. SPF è configurato presso il provider host di dominio, non nella Console di amministrazione Google.

  • (Facoltativo) Record SPF esistente: controlla se un record SPF è già impostato.

  • Informazioni sul server di posta: un elenco di indirizzi IP o domini per tutti i server di posta che inviano email per conto del tuo dominio.

Per impostare SPF:

  1. Accedi alla console di gestione del tuo provider di dominio: Effettuate l'accesso alla console di gestione fornita dal vostro provider di dominio (ad es. GoDaddy). Individua la pagina o la dashboard dedicata all'aggiornamento dei record TXT DNS per il tuo dominio.

  2. Controlla il record SPF esistente: Potresti aver già impostato un record TXT per SPF con il tuo provider di dominio. Verifica se esiste già un record SPF utilizzando Google Admin Toolbox:

    • Inserisci il tuo nome di dominio e fai clic su Esegui controlli!.

    • Dopo il test, fare clic su Intervalli di indirizzi SPF efficaci.

    • Esamina i risultati per le voci SPF esistenti, ad esempio:

      • _spf.google.com

      • _netblocks.google.com seguito da diversi indirizzi IP

      • _netblocks2.google.com seguito da diversi indirizzi IP

      • _netblocks3.google.com seguito da diversi indirizzi IP

        Nota

        I risultati contengono un riepilogo contenente flag che mostrano se il flusso di posta è:

        • lavorando senza intoppi e senza bisogno di azioni,

        • funzionante ma che indica problemi che devono essere affrontati, o

        • deve essere configurato.

  3. Definire il record SPF: Per definire il record SPF, è necessario creare un record TXT. Dopo aver effettuato l'accesso alla console di gestione del dominio, individua la pagina in cui puoi aggiornare i record TXT per il tuo dominio. Tenete presente che un singolo dominio può avere un solo record TXT per SPF.

    • Record SPF: se utilizzi solo Google Workspace. Se tutte le email della tua organizzazione vengono inviate solo tramite Google Workspace, copia questa riga di testo per il record SPF:

      v=SPF1 include:_spf.google.com ~all

    • Record SPF: se utilizzi Google Workspace e altri mittenti. Se invii posta in altri modi oltre a Google Workspace, devi creare un record TXT personalizzato affinché SPF autorizzi questi mittenti. Il record SPF deve includere un riferimento a Google Workspace e a tutti i server che inviano email per la tua organizzazione o dominio. Questi potrebbero includere servizi che inviano email automatiche, ad esempio i moduli "Contattaci", e qualsiasi provider o servizio di terze parti che invia email per il tuo dominio.

      Per creare un record TXT personalizzato per il tuo record SPF che includa un riferimento a Google Workspace e ad altri mittenti che utilizzi:

      Si noti che gli indirizzi IP e i nomi di dominio utilizzati nei passaggi seguenti sono esempi. Sostituiscili con indirizzi IP e domini per i tuoi mittenti. Un record normale avrà un mix di elementi.)

      1. Inizia con il record SPF per Google Workplace:

        v=SPF1 include:_spf.google.com ~all

      2. Aggiungi indirizzi IP autorizzati: elenca i singoli indirizzi IP (ad esempio, 198.51.100.1 e 2001:db8:1:1:1:1:1:1:1) o le subnet IP (ad esempio, 198.51.100.0/24 e 2001:db8:1:1::/64) autorizzati a inviare e-mail. Utilizzare il tag per gli ip4: indirizzi IPv4 e il tag per gli ip6: indirizzi IPv6. Per esempio:

        v=SPF1 IP4:198.51.100.0/24 IP6:2001:DB8:1:1:1:1:1:1 include:_spf.google.com ~tutto

      3. Includi servizi di terze parti: se altri servizi inviano email per tuo conto, utilizza il include: tag per includere un altro dominio o sottodominio. Per esempio:

        v=SPF1 IP4:198.51.100.0/24 IP6:2001:DB8:1:1:1:1:1:1 include:thirdpartydomain.com include:_spf.google.com ~tutto

      4. Specifica i server di posta: se altri server di posta inviano e-mail per tuo conto, utilizza il a: tag. Per esempio:

        V=SPF1 a:mail.exampledomain.com IP4:198.51.100.0/24 IP6:2001:DB8:1:1:1:1:1:1 include:thirdpartydomain.com include:_spf.google.com ~tutto

      5. Specificare la politica per i server non autorizzati: Termina con ~all per definire come devono essere trattate le e-mail provenienti da server non autorizzati. Ad esempio, come già specificato dal record SPF utilizzato per Google Workspace:

        V=SPF1 a:mail.exampledomain.com IP4:198.51.100.0/24 IP6:2001:DB8:1:1:1:1:1:1 include:thirdpartydomain.com include:_spf.google.com ~tutto

      A partire da un errore temporaneo (~all) si consiglia di monitorare e regolare il record SPF senza interrompere la consegna delle e-mail, assicurandosi che tutte le fonti di posta elettronica legittime siano correttamente autorizzate prima di applicare un errore rigido rigoroso (-all). L'utilizzo ~all è in genere efficace, in quanto contrassegna i messaggi non corrispondenti come spam.

      • ~all (soft fail): le e-mail provenienti da server non elencati vengono accettate ma contrassegnate come sospette.

      • -all (errore hardware): le e-mail provenienti da server non elencati vengono rifiutate completamente.

    Esempio di record SPF

    Descrizione

    v=SPF1 IP4:198.51.100.0/24 include:_spf.google.com ~all

    Autorizza le e-mail da:

    • Server con indirizzi IP compresi tra 198.51.100.0 e 198.51.100.255

    • Google Workspace

    Questo record consente di inviare email da un intervallo di indirizzi IPv4 specifico e da Google Workspace, contrassegnando le fonti non elencate come sospette.

    v=SPF1 IP4:198.51.100.0/24 include:_spf.google.com include:thirdpartydomain.com ~all

    Autorizza le e-mail da:

    • Server con indirizzi IP compresi tra 198.51.100.0 e 198.51.100.255

    • Google Workspace

    • Servizio di posta elettronica di terze parti Thirdpartydomain

    Questo record consente di inviare email provenienti da un intervallo di indirizzi IPv4 specifico, da Google Workspace e da un servizio aggiuntivo di terze parti, contrassegnando le persone non elencate come sospette.

    v=SPF1 IP6:2001:DB8::/32 include:_spf.google.com ~All

    Autorizza le e-mail da:

    • Server con indirizzi IP compresi tra 2001:db8:0000:0000:0000:0000:0000:0000 e 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff

    • Google Workspace

    Questo record consente di inviare email da un ampio intervallo di indirizzi IPv6 e da Google Workspace, contrassegnando le fonti non elencate come sospette.

    V=SPF1 a:mail.exampledomain.com IP4:198.51.100.0/24 IP6:2001:DB8::/32 include:_spf.google.com ~tutto

    Autorizza le e-mail da:

    • Server di posta mail.exampledomain.com

    • Server con indirizzi IP compresi tra 198.51.100.0 e 198.51.100.255

    • Server con indirizzi IP compresi tra 2001:db8:0000:0000:0000:0000:0000:0000 e 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff

    • Google Workspace

    Questo record copre sia gli intervalli IPv4 che IPv6, Google Workspace e un server di posta specifico, contrassegnando gli altri come sospetti.

  4. Aggiungi record SPF: per attivare SPF per il tuo dominio, aggiungi il tuo record SPF nella console di gestione del tuo provider di dominio:

    1. Accedi alla console di gestione del tuo provider di dominio: accedi alla console di gestione fornita dal tuo provider di dominio. Individua la pagina o la dashboard dedicata all'aggiornamento dei record TXT DNS per il tuo dominio.

    2. Immettere i seguenti valori:

      Nome del campo

      Valore da inserire

      Tipo

      Txt

      Host

      • Per il dominio radice: @

      • Quando configuri un record SPF, utilizza @ nel campo Host per il tuo dominio principale e consolida tutti gli elementi (ad esempio, include:, ip4:, ip6:, a:) in un singolo record TXT, poiché un dominio può avere un solo record TXT SPF.

      Valore

      • Se utilizzi solo Google Workspace, inserisci: v=spf1 include:_spf.google.com ~all

      • • Se si utilizzano mittenti e-mail aggiuntivi, inserire il record SPF creato.

      Tempo di vivere (TTL)

      1 ora o 3600 secondi

Risoluzione dei problemi relativi a SPF

Nota

Per assistenza con le informazioni di accesso al dominio, le impostazioni o i record TXT, contatta il tuo provider di dominio.

Se hai configurato SPF (Sender Policy Framework) ma riscontri problemi come l'autenticazione SPF non riuscita, le e-mail rifiutate o i messaggi che finiscono nelle cartelle spam, segui questi passaggi per la risoluzione dei problemi:

  1. Verificare l'impostazione del record SPF

    • Controlla il record SPF esistente: utilizza un tool come MXToolbox o l'interfaccia di gestione DNS del tuo dominio per confermare che esiste un record SPF per il tuo dominio.

    • Definisci e aggiungi record SPF: assicurati che il tuo record SPF sia formattato correttamente e includa tutti i server di posta pertinenti. Ad esempio, un record SPF potrebbe essere simile a v=spf1 ip4:192.168.0.1 include:_spf.example.com -all.

  2. Controlla i risultati dell'autenticazione SPF

    • Intestazioni e-mail: in Gmail, apri un'e-mail, fai clic sui tre punti nell'angolo in alto a destra e seleziona "Mostra originale" per visualizzare i risultati SPF nella sezione "Risultati autenticazione".

    • Google Admin Toolbox: copia le intestazioni delle email e utilizza il tool Messageheader di Google Admin Toolbox per analizzare i risultati SPF.

  3. Assicurarsi che tutti i mittenti siano inclusi nel record SPF

    • Rivedi le voci SPF: assicurati che tutti i server di posta e i servizi che inviano email per il tuo dominio siano inclusi. Ciò include provider di posta elettronica di terze parti e moduli di siti Web.

    • Aggiorna record SPF: aggiungi eventuali indirizzi IP o domini mancanti al tuo record SPF. Ad esempio, se utilizzi un servizio di email marketing, assicurati che i loro IP di invio o i meccanismi di inclusione siano aggiunti al tuo record.

  4. Risolvere i problemi di inoltro delle e-mail

    • Controlla i dettagli dell'inoltro: Utilizza la ricerca nei registri e-mail per verificare se le e-mail inoltrate non superano l'SPF. Cerca l'indirizzo del destinatario originale per confermare se è previsto l'inoltro.

    • Contatta il servizio di inoltro: contatta il servizio di inoltro di terze parti per verificare se possono modificare il loro metodo di inoltro o fornire approfondimenti sui problemi SPF.

  5. Risoluzione avanzata dei problemi SPF

    • Analizza le intestazioni dei messaggi: Esamina la sezione "Risultati dell'autenticazione" per i risultati SPF come "softfail", "fail" o "neutral" e indirizza in base al risultato. Per esempio:

      • Nessuna voce SPF: Assicurati che il tuo record SPF sia impostato correttamente.

      • Softfail o Fail: verifica che tutti gli IP di invio legittimi siano inclusi nel record SPF.

      • TempError o PermError: verifica la presenza di problemi DNS o il superamento del limite di 10 ricerche.

  6. Controlla le ricercheDNS

    • Monitora i conteggi delle ricerche: I record SPF sono limitati a 10 ricerche DNS. Pertanto, il record TXT SPF non può includere più di 10 riferimenti ad altri domini. Ognuno di questi meccanismi, incluse le ricerche nidificate, nel record SPF genera una ricerca: a, mx, include, ptr. Utilizza tool come Check MX di Google Admin Toolbox per monitorare i conteggi delle ricerche e regolare il record SPF per evitare di superare questo limite.

Impostazione dei record TXT DKIM per il dominio

DKIM, o DomainKeys Identified Mail, è un metodo essenziale di autenticazione delle e-mail che aiuta a proteggere il tuo dominio dallo spoofing e impedisce che i messaggi in uscita vengano contrassegnati come spam. Lo spoofing è una pratica ingannevole di posta elettronica che falsifica l'indirizzo del mittente in modo che sembri provenire da un'organizzazione o da un dominio legittimo. DKIM svolge un ruolo cruciale nel rilevare eventuali modifiche non autorizzate al contenuto dei messaggi, comprese le modifiche all'indirizzo del mittente. Senza DKIM, è più probabile che le e-mail inviate dal tuo dominio vengano contrassegnate come spam dai server di posta riceventi. Per garantire che i tuoi messaggi vengano recapitati in modo affidabile, soprattutto agli utenti di Gmail, ti consigliamo di configurare DKIM insieme all'autenticazione SPF (Sender Policy Framework) per il tuo dominio. In questo modo è possibile rispettare le linee guida di Google per i mittenti di email e migliorare l'autenticazione delle email della tua organizzazione.

Nota

Per assistenza con le informazioni di accesso al dominio, le impostazioni o i record TXT, contatta il tuo provider di dominio.

Prima di configurare DKIM, assicurati di avere:

  • Accesso amministratore Google: credenziali per accedere alla Console di amministrazione Google. Riceverai la tua chiave DKIM dalla Console di amministrazione Google.

  • Accesso al provider di dominio: credenziali per l'accesso alla console di gestione del provider di dominio. Aggiungerai le informazioni della chiave DKIM dalla Console di amministrazione Google alle impostazioni del tuo provider di dominio.

  • Impostazioni dei gateway in uscita configurate in modo da non alterare le e-mail dopo l'invio: verificare che le impostazioni dei gateway e-mail in uscita non interferiscano con il corretto funzionamento dell'autenticazione DKIM per i messaggi in uscita, poiché modifiche come l'aggiunta di piè di pagina o la riscrittura del contenuto dopo l'invio del messaggio possono causare il mancato superamento della verifica DKIM dell'e-mail.

    • Configura il gateway in modo che non modifichi i messaggi in uscita oppure imposta il gateway in modo che modifichi prima il contenuto del messaggio, quindi aggiungi la firma DKIM.

  • (Facoltativo) Chiave DKIM esistente: verifica la presenza di una chiave DKIM esistente per il tuo dominio.

Per configurare DKIM:

  1. Accedi alla Console di amministrazione Google: accedi alla Console di amministrazione Google. Per ottenere la chiave DKIM, devi aver effettuato l'accesso come Super Amministratore.

  2. Controlla la chiave DKIM esistente: se stai già utilizzando una chiave DKIM per il tuo dominio, potrebbe essere con Google Workspace o con un altro sistema di posta elettronica.

    1. Nella Console di amministrazione Google, vai su Menu e seleziona App , seleziona Google Workspace e fai clic su Gmail.

    2. Fai clic su Autentica e-mail e seleziona il dominio che desideri controllare nel menu Dominio selezionato .

    3. Individua la sezione Nome host DNS (nome del record TXT):

      • Se non hai mai configurato DKIM in Google Workspace, questo campo sarà vuoto.

      • Se questo campo ha un valore, prendere nota del testo che precede ._domainkey. Questo è il prefisso del selettore.

    4. Vai a Google Admin Toolbox e inserisci il tuo nome di dominio nel campo Nome di dominio.

    5. Fare clic sul pulsante Esegui controlli! e attendere il completamento del test.

    6. Al termine del test, esaminare quale di questi messaggi viene visualizzato:

      • Configurazione DNS dell'autenticazione DKIM: viene impostata una chiave DKIM per il dominio e il selettore.

      • DKIM non è configurato: non esiste alcuna chiave DKIM per il tuo dominio con il selettore di prefisso inserito. Per risolvere questo problema, impostare una nuova chiave utilizzando il selettore fornito (il selettore predefinito è google).

  3. Genera chiave DKIM:

    1. Nella Console di amministrazione Google, vai su Menu e seleziona App, seleziona Google Workspace e fai clic su Gmail.

    2. Fai clic su Autentica e-mail e seleziona il dominio in cui desideri configurare DKIM nel menu Dominio selezionato.

    3. Fare clic sul pulsante Genera nuovo record.

    4. Seleziona le impostazioni della chiave DKIM:

      Impostazione

      Opzioni

      Lunghezza bit chiave DKIM

      2048. Se il provider di dominio supporta le chiavi a 2048 bit, selezionare questa opzione. Le chiavi più lunghe sono più sicure di quelle più corte. 1024. Se l'host del dominio non supporta le chiavi a 2048 bit, selezionare questa opzione.

      1024. Se l'host del dominio non supporta le chiavi a 2048 bit, selezionare questa opzione.

      Selettore di prefisso

      Il prefisso del selettore predefinito è google. Si consiglia di utilizzare l'impostazione predefinita. Tuttavia, se il tuo dominio utilizza già una chiave DKIM con il prefisso google, inserisci un prefisso diverso.

    5. Fare clic su Genera e copiare i valori DKIM visualizzati nella finestra Autentica e-mail:

      • Nome host DNS (nome del record TXT): questo testo è il nome del record TXT DKIM che aggiungerai ai record DNS del tuo provider di dominio.

      • Valore del record TXT: questo testo è la chiave DKIM che aggiungerai al tuo record TXT DKIM.

  4. Aggiungi chiave DKIM: Si noti che dopo aver aggiunto una chiave DKIM, possono essere necessarie fino a 48 ore prima che l'autenticazione DKIM inizi a funzionare.

    1. Accedi alla console di gestione del tuo provider di dominio: accedi alla console di gestione fornita dal tuo provider di dominio. Individua la pagina o la dashboard dedicata all'aggiornamento dei record TXT DNS per il tuo dominio.

    2. Aggiungi un nuovo record TXT per DKIM: inserisci i seguenti valori, quindi salva le modifiche.

      Nome del campo

      Valore da inserire

      Nome del record TXT (nel primo campo, sotto il nome host DNS)

      Inserisci il nome host DNS (nome del record TXT) visualizzato nella Console di amministrazione Google.

      Valore del record TXT (nel secondo campo)

      Inserisci il valore del record TXT (chiave DKIM) mostrato nella Console di amministrazione Google.

  5. Attiva la firma DKIM: Tieni presente che la pagina Autentica email nella Console di amministrazione Google potrebbe continuare a visualizzare questo messaggio per un massimo di 48 ore: "Devi aggiornare i record DNS per questo dominio. Se hai aggiunto correttamente la tua chiave DKIM al tuo provider di dominio, puoi ignorare il messaggio.

    1. Nella Console di amministrazione Google, vai su Menu e seleziona App, seleziona Google Workspace e fai clic su Gmail.

    2. Fai clic su Autentica e-mail e seleziona il dominio in cui desideri configurare DKIM nel menu Dominio selezionato .

    3. Fare clic sul pulsante Avvia autenticazione .

  6. Verifica autenticazione DKIM:

    1. Invia un messaggio email a un utente che utilizza Gmail o Google Workspace. Non è possibile verificare che DKIM sia attivo inviando un messaggio di prova.

    2. Apri il messaggio nella posta in arrivo del destinatario e trova l'intera intestazione del messaggio. I passaggi per visualizzare l'intestazione del messaggio variano a seconda delle diverse applicazioni di posta elettronica. Per mostrare le intestazioni dei messaggi in Gmail, fai clic su Altro Mostra originale accanto a Rispondi.

    3. Nell'intestazione del messaggio cercare Authentication-Results. I servizi di ricezione utilizzano formati diversi per le intestazioni dei messaggi in arrivo, tuttavia i risultati DKIM dovrebbero dire qualcosa come DKIM=pass o DKIM=OK. Se l'intestazione del messaggio non include una riga relativa a DKIM, i messaggi inviati dal tuo dominio non vengono firmati con DKIM.

Risoluzione dei problemi relativi a DKIM

Nota

Per assistenza con le informazioni di accesso al dominio, le impostazioni o i record TXT, contatta il tuo provider di dominio.

Se le email provenienti dal tuo dominio non superano l'autenticazione DKIM o vengono rifiutate o contrassegnate come spam, segui questi passaggi per risolvere i problemi relativi a DKIM:

  1. Verifica dell'installazione DKIM

    1. Ottieni la chiave DKIM: nella Console di amministrazione, ottieni la chiave DKIM necessaria per il tuo dominio.

    2. Aggiungi chiave DKIM: aggiungi la chiave DKIM come record TXT nelle impostazioni DNS del tuo provider di dominio. Assicurarsi che la chiave sia inserita correttamente e completa.

    3. Attiva DKIM: nella Console di amministrazione, abilita la firma DKIM per il tuo dominio.

  2. Verifica dei risultati dell'autenticazione DKIM

    1. Verifica messaggi: invia un'email di prova a un account email personale (ad es. Gmail) per escludere problemi con server di ricezione specifici.

    2. Rivedi le intestazioni delle email: in Gmail, fai clic su "Mostra originale" per visualizzare lo stato DKIM sotto l'intestazione "Authentication-Results".

    3. Utilizza Google Admin Toolbox: analizza le intestazioni dei messaggi con il toolMessageheader di Google Admin Toolbox per controllare i risultati DKIM.

  3. Conferma dell'integrità della chiave DKIM

    1. Controlla il record TXT DKIM: assicurati che il tuo record TXT DKIM non sia troncato e sia formattato correttamente. Le chiavi DKIM di dimensioni superiori a 255 caratteri possono essere suddivise in più record TXT.

    2. Confronta record: utilizza il tool Dig di Google Admin Toolbox per verificare che il valore del record TXT corrisponda alla chiave nella Console di amministrazione. Inserisci il tuo record DKIM (ad es. google._domainkey) seguito dal tuo dominio per confrontare i risultati.

  4. Risolvere i problemi di inoltro dei messaggi

    1. Verifica la presenza di modifiche: ispeziona l'intestazione "Authentication-Results" per eventuali messaggi "l'hash del corpo non ha verificato", che indica che l'e-mail è stata alterata durante l'inoltro.

    2. Gateway in uscita: assicurarsi che i gateway in uscita non modifichino il contenuto dei messaggi in uscita, in quanto ciò può causare errori DKIM.

    3. Verifica inoltro: utilizza la ricerca nei log e-mail per verificare se i messaggi inoltrati sono la causa dei problemi DKIM. Se necessario, contattare il servizio di spedizione.

  5. Contatta gli amministratori per i messaggi firmati DKIM rifiutati

    1. Contatta: se DKIM è configurato correttamente ma i messaggi vengono ancora rifiutati o inviati allo spam, contatta l'amministratore del server di posta elettronica che rifiuta per ulteriore assistenza.

  6. Controlla i limiti di caratteri dei record TXT

    • Verifica i limiti: assicurati che i tuoi record TXT DKIM rispettino i limiti di caratteri del tuo provider di dominio. La maggior parte dei record TXT può contenere fino a 255 caratteri. Per i record TXT che includono più di 255 caratteri, DNS aggiunge più stringhe in un singolo record.

      Se si utilizza una chiave DKIM a 2048 bit, non è possibile inserirla come singola stringa di testo in un record DNS con un limite di 255 caratteri. Invece, segui questi passaggi:

      1. Dividi i caratteri chiave in più stringhe di testo.

      2. Metti ogni stringa tra virgolette.

      3. Inserisci le stringhe una dopo l'altra nel campo Valore record TXT del tuo provider di dominio.

Impostazione dei record TXT DMARC per il dominio

Il Domain-based Message Authentication, Reporting, and Conformance (DMARC) è un protocollo di autenticazione delle e-mail che si basa su SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) per prevenire lo spoofing delle e-mail e gli attacchi di phishing. Con il DMARC, i proprietari dei domini possono istruire i server di posta riceventi su come gestire le e-mail che non superano i controlli SPF e DKIM.

I componenti chiave del DMARC sono:

  • Politica (p): Specifica l'azione da intraprendere quando un'e-mail non supera i controlli di autenticazione. Le opzioni dei criteri sono nessuna (solo monitoraggio), quarantena (contrassegna come posta indesiderata) o rifiuta (non recapitare).

  • Reporting (rua=mailto:): Specifica dove devono essere inviati i report DMARC. Questi report forniscono informazioni dettagliate sulle e-mail che superano e non superano i controlli di autenticazione.

Prima di configurare il DMARC, assicurati di avere:

  • Accesso al provider di dominio: Credenziali per l'accesso alla console di gestione del provider di dominio. DMARC è abilitato presso il provider host di dominio, non nella Console di amministrazione Google.

  • SPF e DKIM già configurati: Prima di implementare il DMARC, assicurati che Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) siano attivati per il tuo dominio. Questa autenticazione è essenziale per la funzionalità DMARC, in quanto il DMARC indica ai server di posta riceventi cosa fare quando ricevono un messaggio che sembra provenire dalla vostra organizzazione, ma il messaggio non supera i controlli di autenticazione SPF e/o DKIM per le e-mail.

    Attenzione

    • Se non hai configurato SPF e DKIM prima di abilitare DMARC, è probabile che i messaggi inviati dal tuo dominio riscontrino problemi di consegna.

    • Attendi 48 ore dopo aver configurato SPF e DKIM prima di configurare DMARC.

  • (Facoltativo) Record DMARC esistente: Verifica la presenza di un record DMARC esistente per il tuo dominio.

  • Autenticazione della posta di terze parti: assicurati che i messaggi inviati da fornitori di terze parti siano autenticati per rispettare le politiche DMARC. Per migliorare l'autenticazione per i messaggi inviati da provider di terze parti:

    • Verifica con il tuo provider di terze parti che DKIM sia configurato correttamente.

    • Assicurati che il dominio del mittente della busta utilizzato dal provider corrisponda al tuo dominio.

    • Aggiungi gli indirizzi IP dei server di posta di invio del provider al record SPF del tuo dominio.

Impostazione del DMARC

Per configurare il DMARC:

  1. Accedi alla console di gestione del tuo provider di dominio: Accedi alla piattaforma del tuo provider di dominio e vai alla sezione di gestione dei record TXT DNS.

  2. Controlla il record DMARC esistente: prima di configurare DMARC, verifica se il tuo dominio dispone già di un record DNS TXT MARC. Se presenti, esaminare i rapporti DMARC per confermare l'autenticazione e la consegna del messaggio riuscite. Per verificare presso il tuo provider di dominio la presenza di un record TXT per DMARC:

    1. Accedere alla console di gestione fornita dal provider di dominio.

    2. Individua la pagina o la dashboard dedicata all'aggiornamento dei record TXT DNS per il tuo dominio.

    3. Esamina i record TXT DNS associati al tuo dominio. Se esiste un record DMARC, in genere inizia con v=DMARC.

  3. Definire il record DMARC: Per definire il record DMARC, è necessario creare un record TXT che definisca il controllo rigoroso dei messaggi da parte del DMARC e le azioni consigliate per i server riceventi.

    Quando si inizia a implementare il DMARC, si consiglia di iniziare con una politica di applicazione rilassata impostata su "nessuno". Man mano che acquisisci informazioni dettagliate sul modo in cui i messaggi provenienti dal tuo dominio vengono autenticati dai server riceventi, modifica gradualmente i criteri da "nessuno" a "quarantena" e, infine, a "rifiuta".

    Il record DMARC è sotto forma di una riga di testo normale costituita da un elenco di valori di tag DMARC, separati da punto e virgola. Alcuni tag sono obbligatori e altri sono facoltativi. Esempio: v=DMARC1; p=reject; rua=mailto:mailbox@example.com, mailto:dmarc@example.com; pct=10; adkim=r; aspf=r

    tag

    Obbligatorio?

    Descrizione

    Valori

    v

    Richiesta

    Specifica la versione DMARC.

    Deve essere DMARC1.

    p

    Obbligatorio

    Indica al server di posta ricevente le azioni da intraprendere per i messaggi che non superano l'autenticazione.

    none — Non intraprendere alcuna azione, consegnare il messaggio e registrarlo. I report vengono inviati all'indirizzo e-mail specificato nel tag rua.

    quarantine — Contrassegnare il messaggio come spam e inviarlo alla cartella spam. I destinatari possono esaminarlo per verificarne la legittimità.

    reject — Rifiuta il messaggio e di solito invia un messaggio di rimbalzo al mittente.

    Pct

    Obbligatorio

    Definisce la percentuale di messaggi soggetti al criterio DMARC.

    Deve essere un numero intero compreso tra 1 e 100. Se non specificato, il criterio si applica al 100% dei messaggi.

    Rua

    Facoltativo

    Ricevi i rapporti DMARC inviati a un indirizzo e-mail. L'indirizzo e-mail deve includere mailto:.

    Per inviare rapporti DMARC a più e-mail, separa ogni indirizzo e-mail con una virgola e aggiungi il prefisso mailto: prima di ogni indirizzo.

    Esempio: mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (sostituisci example.com con il tuo dominio).

    Sp

    Facoltativo

    Imposta i criteri per i sottodomini del dominio principale.

    none — Non intraprendere alcuna azione, consegnare il messaggio e registrarlo. I report vengono inviati all'indirizzo e-mail specificato nel tag rua.

    quarantine — Contrassegnare il messaggio come spam e inviarlo alla cartella spam. I destinatari possono esaminarlo per verificarne la legittimità.

    reject — Rifiuta il messaggio e di solito invia un messaggio di rimbalzo al mittente.

    Se non specificato, i sottodomini ereditano i criteri del dominio padre.

    adkim

    Facoltativo

    Specifica i criteri di allineamento per DKIM, indicando il livello di corrispondenza tra le firme DKIM del dominio d=domainname del mittente.

    s: allineamento rigoroso. Il nome di dominio del mittente deve corrispondere esattamente al corrispondente d=nomedominio nelle intestazioni delle e-mail DKIM.

    r - Allineamento rilassato (impostazione predefinita). Consente corrispondenze parziali. Viene accettato qualsiasi sottodominio valido di d=domain nelle intestazioni di posta DKIM

    ADSPF

    Facoltativo

    Specifica i criteri di allineamento per SPF, indicando il livello di corrispondenza tra il dominio del mittente e il dominio nel comando SMTP MAIL FROM.

    s: allineamento rigoroso. Il dominio del mittente deve corrispondere esattamente al dominio del comando SMTP MAIL FROM.

    r - Allineamento rilassato (impostazione predefinita). Consente corrispondenze parziali. È accettato qualsiasi sottodominio valido del nome di dominio.

  4. Aggiungi record DMARC: Si noti che DKIM e SPF devono autenticare i messaggi per almeno 48 ore prima di attivare DMARC.

    1. Accedi alla console di gestione del tuo provider di dominio: accedi alla console di gestione fornita dal tuo provider di dominio. Individua la pagina o la dashboard dedicata all'aggiornamento dei record TXT DNS per il tuo dominio.

    2. Aggiungere un nuovo record TXT per DMARC. Inserisci i seguenti valori, quindi salva le modifiche.

      Nome del campo

      Valore da inserire

      Nome del record TXT (nel primo campo, sotto il nome host DNS)

      Inserisci _dmarc.exampledomain.com (sostituisci exampledomain.com con il tuo dominio)

      Valore del record TXT (nel secondo campo)

      Inserisci il testo della tua politica DMARC.

      Ad esempio, inserisci v=DMARC1; p=none; rua=mailto:dmarc-reports@exampledomain.com (sostituisci exampledomain.com con il tuo dominio).

  5. Estendi a Sottodomini e Domini aggiuntivi (se applicabile). Se si dispone di più domini o sottodomini, ogni dominio può avere un criterio diverso e diverse opzioni di report (definite nel record). Per definire un criterio DMARC per i sottodomini, utilizza il tag sp policy nel record DMARC per il dominio principale. Se non crei criteri DMARC per i sottodomini, questi ereditano i criteri DMARC del dominio principale.

Monitoraggio dei rapporti DMARC

Monitora regolarmente i rapporti sull'attività DMARC per il tuo dominio. Questi rapporti, inviati all'indirizzo e-mail specificato nella politica DMARC (tag rua), forniscono informazioni dettagliate sull'attività del server e-mail. Sulla base di questi rapporti, modificate la vostra politica DMARC in base alle esigenze.

Esamina i rapporti per scoprirlo:

  • Quali server o mittenti di terze parti inviano posta per il tuo dominio

  • Qual è la percentuale di messaggi provenienti dal tuo dominio che superano il DMARC

Cerca eventuali tendenze problematiche, ad esempio:

  • Messaggi validi contrassegnati come spam

  • Messaggi di mancato recapito o di errore dai destinatari

Mettere in quarantena una piccola percentuale di messaggi

Inizialmente, iniziate con una politica DMARC rilassata con l'applicazione impostata su nessuno. In questo modo puoi iniziare a ricevere rapporti senza rischiare che i messaggi provenienti dal tuo dominio vengano rifiutati o contrassegnati come spam dai server di ricezione. Dopo aver osservato i rapporti DMARC per almeno una settimana, regolate la vostra politica in "quarantena" e aggiungete il tag pct per applicare la politica a una piccola percentuale della vostra posta.

Per mettere in quarantena una piccola percentuale di messaggi:

  1. Accedi alla console di gestione fornita dal tuo provider di hosting di dominio per aggiornare il record DNS TXT DMARC.

  2. Aggiungere un criterio che influisca su una piccola percentuale di messaggi e imponga la quarantena. Ad esempio, una politica che si applica solo al 5% delle e-mail in arrivo e indirizza i messaggi che non superano i controlli DMARC alle cartelle spam dei destinatari:

    v=DMARC1; p=quarantena; pct=5; rua=mailto:dmarc-reports@exampledomain.com

Suggerimento

Le organizzazioni di grandi dimensioni dovrebbero aumentare gradualmente la percentuale di messaggi interessati per ridurre al minimo il rischio di rifiuti o contrassegni di posta indesiderata. Ad esempio, una piccola organizzazione potrebbe iniziare con la quarantena del 10%, mentre un'azienda più grande potrebbe iniziare con l'1%.

Risoluzione dei problemi relativi al DMARC

Se le email provenienti dal tuo dominio non superano l'autenticazione DMARC, vengono rifiutate dai server riceventi o finiscono nelle cartelle spam dei destinatari, segui questi passaggi per risolvere i problemi DMARC:

  1. Verifica del record DMARC

    • Controlla la configurazione: Assicurati che il tuo record DMARC sia configurato correttamente. Verifica che il record DMARC sia configurato correttamente con il tuo provider di dominio e sia presente nelle impostazioni DNS.

  2. Assicurarsi che SPF e DKIM siano abilitati

    • Abilita SPF e DKIM: verifica che SPF e DKIM siano abilitati e configurati correttamente per il tuo dominio. Entrambi devono essere attivi per almeno 48 ore prima di abilitare il DMARC.

    • Configurazione dettagliata: Seguire le istruzioni di configurazione per SPF e DKIM per assicurarsi che siano implementate correttamente.

  3. Controlla i risultati dell'autenticazione

    • Rivedi le intestazioni: ispeziona le intestazioni delle e-mail per verificare i risultati SPF, DKIM e DMARC. In Gmail, fai clic su "Mostra originale" per visualizzare questi risultati.

    • Utilizza la tooldiagnostica: inserisci le intestazioni dei messaggi nel toolMessageheader di Google Admin Toolbox per verificare gli stati di autenticazione.

  4. Controlla i rapporti DMARC

    • Controlla i rapporti: Controlla i tuoi rapporti DMARC per assicurarti che i messaggi superino i controlli SPF, DKIM e DMARC. È possibile utilizzare un tool o un servizio di analisi dei rapporti DMARC per ottenere informazioni complete.

  5. Risolvere gli errori DMARC

    • Risolvi gli errori: se i messaggi in uscita non superano il DMARC, controlla le impostazioni SPF e DKIM. Assicurati che i messaggi superino almeno uno di questi controlli per essere conformi alle politiche DMARC.

    • Esamina la politica DMARC: verifica la politica DMARC e le impostazioni di allineamento. Una politica rigorosa può portare a un aumento dei tassi di rifiuto o al posizionamento di spam.

    • Controlla i rapporti giornalieri: Esamina i rapporti giornalieri DMARC per identificare quali messaggi in uscita non superano SPF, DKIM o DMARC.

  6. Valutare le pratiche di invio della posta

    • Segui le migliori pratiche: assicurati di rispettare le migliori pratiche per l'invio di e-mail, in particolare se invii grandi volumi. Consulta le linee guida per l'invio di email agli utenti di Gmail.

  7. Utilizzare la ricerca nei log e-mail per ottenere informazioni dettagliate

    • Ricerca dettagliata: Utilizza la ricerca nei log di posta elettronica per ottenere informazioni dettagliate su messaggi specifici inviati tramite Google Workspace. Cerca in base all'indirizzo IP del mittente ed esamina i dettagli del messaggio per diagnosticare i problemi.

Was this article helpful?

Torna in alto