Sicurezza e-mail: configurare correttamente SPF, DKIM e DMARC

Scritto da ExposIQ | Marzo 13, 2026

L’e-mail e tuttora il canale di comunicazione piu importante per le aziende svizzere e, contemporaneamente, uno dei bersagli preferiti degli attacchi. Phishing, Business Email Compromise (BEC) ed e-mail spoofing causano danni miliardari in tutto il mondo. La buona notizia: con i tre standard DNS SPF, DKIM e DMARC, l’e-mail spoofing puo essere prevenuto efficacemente. La cattiva notizia: molte PMI non hanno configurato questi standard o li hanno configurati in modo errato.

Perche l’e-mail spoofing e cosi pericoloso

L’e-mail spoofing significa che un aggressore invia e-mail che sembrano provenire dal vostro dominio. Il mittente mostra “info@vostraazienda.ch”, ma l’e-mail proviene da un server completamente estraneo. Senza adeguate misure di protezione, non esiste alcuna possibilita tecnica per il destinatario di riconoscere la falsificazione.

Le conseguenze possono essere gravi:

  • Business Email Compromise (BEC): Gli aggressori si spacciano per l’amministratore delegato o il responsabile finanziario e dispongono pagamenti. Secondo le statistiche dell’FBI, il BEC causa piu danni finanziari del ransomware.
  • Phishing verso clienti e partner: I vostri partner commerciali ricevono e-mail ingannevolmente autentiche con il vostro indirizzo mittente, che rimandano a pagine di phishing o malware. Il danno reputazionale e enorme.
  • Problemi di recapito: Se il vostro dominio viene utilizzato per lo spam, anche le vostre e-mail legittime finiscono nelle blocklist. La consegnabilita ne risente.

In Svizzera, l’UFCS (Ufficio federale della cibersicurezza, in precedenza NCSC) osserva da anni un aumento degli attacchi BEC che colpiscono specificamente le PMI svizzere. Gli importi dei danni vanno da poche migliaia a diverse centinaia di migliaia di franchi per incidente.

I tre meccanismi di protezione spiegati

SPF (Sender Policy Framework)

SPF e il piu semplice dei tre standard. Un record SPF e una voce DNS (record TXT) che definisce quali server sono autorizzati a inviare e-mail per conto del vostro dominio.

Un tipico record SPF si presenta cosi:

v=spf1 include:_spf.google.com include:spf.hostpoint.ch ip4:203.0.113.5 -all

Questo record dice: “Solo Google Workspace, i server di posta di Hostpoint e il server con IP 203.0.113.5 possono inviare e-mail per questo dominio. Tutti gli altri vengono rifiutati.”

Errori SPF frequenti:

  • ~all al posto di -all: Il carattere tilde significa “Softfail”: le e-mail sospette vengono contrassegnate ma non rifiutate. Solo “-all” (Hardfail) offre una protezione reale.
  • Voci mancanti: Servizi di newsletter, sistemi CRM o moduli web inviano e-mail tramite server di terze parti non presenti nel record SPF.
  • Troppe query DNS: SPF consente un massimo di 10 query DNS. Chi ha troppi “include” supera il limite e il record SPF diventa invalido.
  • Record SPF multipli: Per ogni dominio puo esistere un solo record SPF. Due record portano all’ignoramento completo di SPF.

DKIM (DomainKeys Identified Mail)

DKIM fa un passo in piu rispetto a SPF: firma ogni e-mail in uscita con una chiave crittografica. Il server ricevente verifica la firma tramite una chiave pubblica, anch’essa depositata come record DNS.

DKIM offre due vantaggi rispetto a SPF:

  • Protezione dell’integrita: DKIM verifica non solo il mittente, ma anche se l’e-mail e stata modificata durante il trasporto.
  • Inoltro: SPF fallisce con le e-mail inoltrate (il server di inoltro non e nel record SPF). Le firme DKIM sopravvivono all’inoltro, purche il contenuto non venga modificato.

La configurazione di DKIM richiede la collaborazione con il provider e-mail: il provider genera la coppia di chiavi, firma le e-mail in uscita e fornisce la chiave pubblica da inserire come record DNS.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC e il tassello decisivo del puzzle. Definisce cosa deve accadere alle e-mail che non superano ne SPF ne DKIM e fornisce report a riguardo.

Un record DMARC si presenta cosi:

v=DMARC1; p=reject; rua=mailto:dmarc@vostraazienda.ch; ruf=mailto:dmarc@vostraazienda.ch; adkim=s; aspf=s

I parametri piu importanti:

  • p=none: Modalita di monitoraggio: le e-mail vengono recapitate ma vengono generati report. Adatto per iniziare.
  • p=quarantine: Le e-mail sospette vengono spostate nella cartella spam.
  • p=reject: Le e-mail sospette vengono completamente rifiutate. Questo e l’obiettivo.
  • rua: Indirizzo per report aggregati (riepilogo giornaliero)
  • ruf: Indirizzo per report forensi (singole e-mail non riuscite)

Configurazione passo dopo passo

La seguente guida descrive la configurazione presso i provider di hosting svizzeri piu comuni.

Passo 1: Verificare lo stato attuale

Prima di apportare modifiche, verificate lo stato attuale dei vostri record DNS. Uno scanner DNS automatizzato mostra immediatamente se SPF, DKIM e DMARC sono presenti e configurati correttamente. Molte PMI scoprono in questa fase che SPF esiste ma e errato, o che DMARC manca completamente.

Passo 2: Creare o correggere il record SPF

Elencate tutti i servizi che inviano e-mail tramite il vostro dominio:

  • Il vostro provider e-mail (Hostpoint, Infomaniak, Google Workspace, Microsoft 365)
  • Servizi di newsletter (Mailchimp, CleverReach, Brevo)
  • Sistemi CRM ed ERP
  • Moduli dei siti web (spesso tramite il web server)
  • Sistemi di ticketing o helpdesk

Con Hostpoint: Accedete al pannello di controllo, navigate su “Domains” – il vostro dominio – “Editor DNS”. Create un record TXT per il dominio principale con il valore SPF. Hostpoint utilizza tipicamente: include:spf.hostpoint.ch

Con Infomaniak: In “Web & Domain” – “DNS Zone” – “Aggiungi voce”. Infomaniak utilizza: include:_spf.infomaniak.ch

Con cyon: In “my.cyon.ch” – “Domains” – “DNS/Nameserver”. cyon utilizza: include:spf.cyon.ch

Passo 3: Attivare DKIM

L’attivazione di DKIM dipende fortemente dal provider:

  • Hostpoint: DKIM viene configurato automaticamente per gli account e-mail. Verificate nel pannello di controllo che i record DNS siano impostati correttamente.
  • Infomaniak: DKIM e attivato di default. Il record DNS viene impostato automaticamente.
  • Google Workspace: DKIM deve essere attivato manualmente nella console di amministrazione sotto “App” – “Google Workspace” – “Gmail” – “Autenticazione e-mail”. Il record TXT generato deve essere inserito manualmente nel DNS.
  • Microsoft 365: DKIM viene configurato nell’Exchange Admin Center sotto “Protezione” – “DKIM”. Sono necessari due record CNAME.

Passo 4: Configurare il record DMARC

Iniziate sempre in modalita di monitoraggio (p=none) per vedere quali e-mail superano SPF e DKIM e quali no.

Create un record TXT per _dmarc.vostrodominio.ch con il valore:

v=DMARC1; p=none; rua=mailto:dmarc@vostrodominio.ch

Lasciate attiva questa modalita per 2-4 settimane e analizzate i report ricevuti. I report mostrano quali server inviano e-mail per il vostro dominio e se superano SPF/DKIM. In questo modo potete verificare se mancano ancora server nel record SPF, prima di passare a “quarantine” o “reject”.

Passo 5: Inasprire

Dopo aver verificato che tutte le fonti e-mail legittime sono correttamente autenticate, inasprire la policy DMARC gradualmente:

  1. Prima p=quarantine per 2 settimane
  2. Poi p=reject come impostazione permanente

Assicuratevi di continuare a monitorare i report rua per riconoscere tempestivamente eventuali problemi.

Errori frequenti e insidie

Dall’esperienza pratica di centinaia di analisi DNS emergono pattern di errore tipici:

  • SPF senza DMARC: SPF da solo ha un’utilita limitata. Senza DMARC, ogni server ricevente decide autonomamente cosa fare con le verifiche SPF fallite, nella maggior parte dei casi nulla.
  • DMARC lasciato su p=none: Molte PMI configurano DMARC in modalita di monitoraggio e dimenticano di inasprire la policy. “p=none” non protegge, osserva soltanto.
  • Servizi di newsletter dimenticati: Il motivo piu frequente di errori DMARC dopo l’inasprimento: un servizio di newsletter non presente nel record SPF e che non utilizza DKIM per il vostro dominio.
  • Sottodomini non considerati: DMARC puo coprire anche i sottodomini con “sp=reject”. Senza questa impostazione, gli aggressori possono utilizzare spoofing@qualsiasi.vostrodominio.ch.
  • Report DMARC non analizzati: I report sono in formato XML e non particolarmente user-friendly. Esistono servizi gratuiti che elaborano questi report: utilizzateli.

Verifica automatizzata: perche il controllo manuale non scala

Verificare manualmente i record SPF, DKIM e DMARC e fattibile con un singolo dominio. Ma la maggior parte delle PMI gestisce piu domini: il dominio principale, una variante .com, eventualmente un dominio di prodotto o il dominio di una societa controllata. Ogni dominio necessita di record propri e ogni modifica alla configurazione e-mail (nuovo provider di newsletter, nuovo CRM) richiede adeguamenti.

Gli scanner DNS automatizzati verificano regolarmente tutti i domini di un’azienda e segnalano:

  • Record SPF, DKIM o DMARC mancanti
  • Errori di sintassi nei record esistenti
  • Record SPF con troppe query DNS
  • DMARC in pura modalita di monitoraggio (p=none)
  • Policy per i sottodomini mancanti
  • Chiavi DKIM scadute o deboli

Cosa dovrebbero fare le PMI svizzere adesso

La configurazione di SPF, DKIM e DMARC non e un progetto mastodondico. Per una tipica PMI con un dominio e un provider e-mail, la configurazione si completa in poche ore. L’impegno e del tutto sproporzionato rispetto alla protezione che queste misure offrono.

Lista delle priorita:

  1. Verificate lo stato attuale di tutti i vostri domini con uno scanner DNS automatizzato
  2. Correggete i record SPF errati e passate a “-all” (Hardfail)
  3. Attivate DKIM presso il vostro provider e-mail
  4. Configurate DMARC in modalita di monitoraggio e analizzate i report
  5. Inasprire DMARC a “p=reject” dopo una fase di test positiva

Conclusione

L’e-mail spoofing e un problema risolto, almeno dal punto di vista tecnico. SPF, DKIM e DMARC offrono insieme una protezione efficace contro la falsificazione del mittente. Cio che manca e l’implementazione coerente. Molte PMI svizzere lasciano la loro infrastruttura di comunicazione piu importante senza protezione, nonostante la soluzione sia disponibile e gratuita.

ExposIQ verifica automaticamente la configurazione di sicurezza e-mail dei vostri domini nell’ambito di ogni scansione: SPF, DKIM, DMARC, record MX e DNSSEC. Gli errori di configurazione vengono evidenziati chiaramente e prioritizzati. Combinato con oltre 35 motori di scansione aggiuntivi per la sicurezza di rete, web e infrastruttura. Ospitato in Svizzera, conforme alla nLPD, a partire da CHF 99 al mese. Scoprite di piu su exposiq.ch.

ExposIQ è la piattaforma svizzera per la gestione automatizzata delle vulnerabilità. Aiutiamo le PMI e i fornitori di servizi IT a identificare e correggere le vulnerabilità – in modo sicuro, comprensibile e conforme alla nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Azienda

Chi siamo Contatto Blog
 Informativa sulla privacy Termini di utilizzo

Newsletter

Copyright © ExposIQ Svizzera 2026. Tutti i diritti riservati.