SPF, DKIM e DMARC: Autenticare le Email WordPress con WP Mail SMTP
L’autenticazione delle email è diventata un requisito imprescindibile per garantire che i messaggi inviati dal tuo sito WordPress raggiungano effettivamente la casella di posta dei destinatari. A partire dal 2024, Google e Yahoo hanno reso obbligatoria l’implementazione di SPF, DKIM e DMARC per tutti i mittenti che inviano più di 5.000 email al giorno, ma anche per volumi inferiori questi standard sono ormai essenziali. In questo articolo vedremo cosa sono questi protocolli di autenticazione, come configurarli e come WP Mail SMTP ti aiuta a implementarli correttamente.
Cos’è l’autenticazione email e perché è fondamentale
L’autenticazione email è un insieme di protocolli che permettono ai server di posta di verificare che un’email provenga effettivamente dal mittente dichiarato e che non sia stata alterata durante il trasporto. Senza autenticazione, chiunque può inviare un’email dichiarando di essere info@tuodominio.it, una tecnica nota come email spoofing ed è alla base della maggior parte degli attacchi di phishing.
I tre pilastri dell’autenticazione email sono:
- SPF (Sender Policy Framework): specifica quali server sono autorizzati a inviare email per conto del tuo dominio.
- DKIM (DomainKeys Identified Mail): aggiunge una firma crittografica alle email per garantirne l’integrità.
- DMARC (Domain-based Message Authentication, Reporting and Conformance): definisce cosa fare con le email che non superano i controlli SPF e DKIM.
SPF: Sender Policy Framework
Come funziona SPF
SPF è un record DNS di tipo TXT che elenca tutti i server autorizzati a inviare email per conto del tuo dominio. Quando un server di posta riceve un’email che dichiara di provenire da tuodominio.it, controlla il record SPF del dominio per verificare se il server mittente è effettivamente autorizzato.
Come configurare il record SPF
Il record SPF viene aggiunto come record TXT nella configurazione DNS del tuo dominio. Ecco alcuni esempi di record SPF per i mailer più comuni utilizzati con WP Mail SMTP:
Per Gmail / Google Workspace:
v=spf1 include:_spf.google.com ~allPer Microsoft 365:
v=spf1 include:spf.protection.outlook.com ~allPer SendGrid:
v=spf1 include:sendgrid.net ~allPer Mailgun:
v=spf1 include:mailgun.org ~allPer Amazon SES:
v=spf1 include:amazonses.com ~allSe utilizzi più servizi (ad esempio Google Workspace per la posta aziendale e SendGrid per le email transazionali), puoi combinarli in un unico record:
v=spf1 include:_spf.google.com include:sendgrid.net ~allRegole importanti per SPF
- Un solo record SPF per dominio: se ne hai più di uno, l’autenticazione fallirà. Combina tutti i server autorizzati in un unico record.
- Massimo 10 lookup DNS: ogni
include:conta come un lookup. Se superi il limite di 10, SPF fallirà. Per ottimizzare, usa servizi come SPF Flattening. - Usa ~all (softfail) anziché -all (hardfail): il softfail indica ai server di posta di contrassegnare le email non autorizzate come sospette senza rifiutarle completamente, il che è più sicuro durante la fase di configurazione.
DKIM: DomainKeys Identified Mail
Come funziona DKIM
DKIM aggiunge una firma digitale crittografica all’intestazione di ogni email inviata. Il server mittente firma il messaggio con una chiave privata, mentre la chiave pubblica corrispondente è pubblicata nel DNS del dominio. Il server ricevente utilizza la chiave pubblica per verificare la firma e confermare che:
- L’email proviene effettivamente dal dominio dichiarato.
- Il contenuto dell’email non è stato modificato durante il trasporto.
Come configurare DKIM
La configurazione di DKIM dipende dal servizio che utilizzi per l’invio delle email:
Per Google Workspace:
- Accedi alla Console di amministrazione Google (admin.google.com).
- Vai su App → Google Workspace → Gmail → Autentica email.
- Genera il record DKIM e aggiungilo al DNS del tuo dominio come record TXT.
- Attiva l’autenticazione DKIM dalla console.
Per SendGrid:
- Nel pannello SendGrid, vai su Settings → Sender Authentication → Authenticate Your Domain.
- SendGrid genererà automaticamente i record CNAME per DKIM.
- Aggiungi i record CNAME al DNS del tuo dominio.
Per Mailgun:
- Quando aggiungi un dominio in Mailgun, i record DKIM vengono generati automaticamente.
- Aggiungi il record TXT fornito da Mailgun al DNS del tuo dominio.
DMARC: Domain-based Message Authentication, Reporting and Conformance
Come funziona DMARC
DMARC è il protocollo che completa il quadro dell’autenticazione email. Definisce cosa deve fare il server ricevente quando un’email non supera i controlli SPF e/o DKIM. Inoltre, DMARC consente di ricevere rapporti aggregati e forensi sull’uso del tuo dominio come mittente email, permettendoti di identificare tentativi di spoofing.
Come configurare DMARC
Il record DMARC viene aggiunto come record TXT nel DNS del tuo dominio con il nome _dmarc.tuodominio.it. Ecco una progressione consigliata di policy DMARC:
Fase 1: Monitoraggio (nessuna azione)
v=DMARC1; p=none; rua=mailto:dmarc@tuodominio.it; ruf=mailto:dmarc@tuodominio.itQuesta configurazione non influisce sulla consegna delle email ma ti invia rapporti su chi sta inviando email utilizzando il tuo dominio. Mantieni questa configurazione per almeno 2-4 settimane per analizzare i rapporti.
Fase 2: Quarantena parziale
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@tuodominio.itIn questa fase, il 25% delle email che non superano i controlli viene messo in quarantena (cartella spam). Aumenta gradualmente la percentuale dopo aver verificato che le email legittime passano i controlli.
Fase 3: Protezione completa
v=DMARC1; p=reject; rua=mailto:dmarc@tuodominio.itQuesta è la configurazione più sicura: tutte le email che non superano i controlli SPF e DKIM vengono rifiutate. Attivala solo dopo aver verificato che tutte le sorgenti email legittime sono configurate correttamente.
Tag DMARC importanti
- p=: la policy da applicare (none, quarantine, reject).
- rua=: l’indirizzo a cui inviare i rapporti aggregati giornalieri.
- ruf=: l’indirizzo a cui inviare i rapporti forensi (dettagli sulle email che falliscono i controlli).
- pct=: la percentuale di email a cui applicare la policy (utile per implementazioni graduali).
- sp=: la policy per i sottodomini (se diversa da quella del dominio principale).
- adkim=: allineamento DKIM (s=strict, r=relaxed).
- aspf=: allineamento SPF (s=strict, r=relaxed).
WP Mail SMTP e l’autenticazione email
WP Mail SMTP non configura direttamente i record DNS (SPF, DKIM, DMARC sono impostazioni del dominio, non del sito WordPress), ma svolge un ruolo cruciale nell’autenticazione email:
- Forza l’uso di server SMTP autenticati: garantendo che le email vengano inviate attraverso server autorizzati (inclusi nel record SPF).
- Mantiene la coerenza del mittente: l’opzione “Forza Email Mittente” assicura che tutte le email utilizzino lo stesso indirizzo, allineato con i record di autenticazione.
- Supporta i provider con DKIM integrato: quando utilizzi mailer come SendGrid, Mailgun o Google Workspace, la firma DKIM viene aggiunta automaticamente alle email inviate tramite WP Mail SMTP.
- Fornisce strumenti di verifica: la versione Pro include strumenti per verificare lo stato dell’autenticazione direttamente dalla bacheca WordPress.
Verificare la configurazione dell’autenticazione
Dopo aver configurato SPF, DKIM e DMARC, è fondamentale verificare che tutto sia corretto. Ecco gli strumenti consigliati:
Verifica tramite intestazioni email
Invia un’email di test e analizza le intestazioni del messaggio ricevuto. Cerca le seguenti righe:
Authentication-Results:
spf=pass
dkim=pass
dmarc=passSe tutti e tre mostrano “pass”, la configurazione è corretta.
Verifica con strumenti online
- mail-tester.com: analisi completa con punteggio.
- mxtoolbox.com/spf.aspx: verifica specifica del record SPF.
- mxtoolbox.com/dkim.aspx: verifica specifica del record DKIM.
- mxtoolbox.com/dmarc.aspx: verifica specifica del record DMARC.
- dmarcian.com: analisi approfondita dei rapporti DMARC.
Errori comuni nella configurazione dell’autenticazione
- Record SPF multipli: avere più di un record SPF per lo stesso dominio invalida l’autenticazione. Combina tutto in un unico record.
- Record SPF con troppi lookup: il superamento del limite di 10 lookup causa un “permerror” che invalida SPF.
- DKIM non attivato: la semplice aggiunta del record DNS non è sufficiente; devi anche attivare la firma DKIM nel pannello del provider.
- DMARC troppo restrittivo troppo presto: passare direttamente a
p=rejectsenza una fase di monitoraggio può causare la perdita di email legittime. - Indirizzo mittente non allineato: l’indirizzo From dell’email deve corrispondere al dominio configurato in SPF e DKIM.
L’importanza dell’allineamento
L’allineamento è un concetto fondamentale in DMARC: il dominio utilizzato nei controlli SPF e DKIM deve corrispondere al dominio nell’indirizzo From dell’email. WP Mail SMTP ti aiuta a mantenere questo allineamento forzando l’uso di un indirizzo mittente coerente. Senza allineamento, anche se SPF e DKIM passano individualmente, DMARC potrebbe comunque fallire.
Conclusioni
L’implementazione di SPF, DKIM e DMARC non è più opzionale: è un requisito fondamentale per garantire che le email del tuo sito WordPress raggiungano i destinatari. WP Mail SMTP fornisce la base tecnica necessaria inviando le email attraverso server SMTP autenticati, ma la configurazione dei record DNS deve essere effettuata separatamente nel pannello di gestione del dominio.
Investire il tempo necessario per configurare correttamente questi protocolli di autenticazione si traduce in un miglioramento immediato e misurabile del tasso di consegna delle email, nella protezione del tuo dominio contro lo spoofing e in una maggiore fiducia da parte dei destinatari.
Articoli correlati della serie WP Mail SMTP
La configurazione di SPF, DKIM e DMARC può sembrare complessa, ma con la giusta guida è un processo gestibile. Contattaci per una consulenza sulla configurazione dell’autenticazione email del tuo dominio: il nostro team verificherà e ottimizzerà i tuoi record DNS per la massima deliverability.
Migliora il Tuo Sito WordPress
Scopri le nostre guide complete sugli altri plugin essenziali per WordPress: