Salta al contenuto
Tutorial

Configurare SPF, DKIM e DMARC su Microsoft 365: guida passo-passo per PMI

Email che finiscono in spam o dominio usato per phishing? SPF, DKIM e DMARC sono la difesa di base. Ecco come configurarli su Microsoft 365 con dominio personalizzato, nell'ordine giusto.

SynSphere Italia 7 min di lettura
Configurazione dei record SPF, DKIM e DMARC su Microsoft 365 per le PMI

Tre record DNS proteggono il tuo dominio dallo spoofing e fanno arrivare le email nella posta in arrivo invece che nello spam: SPF, DKIM e DMARC. Da quando Google e Yahoo li richiedono per chi invia volumi, non sono più opzionali. Su Microsoft 365 si configurano in un’oretta — ma nell’ordine giusto e con qualche trappola da evitare. Ecco la guida per un dominio personalizzato.

A cosa servono (in breve)

  • SPF dichiara quali server possono inviare per il tuo dominio.
  • DKIM firma crittograficamente le email: il destinatario verifica che non siano state alterate e che provengano davvero da te.
  • DMARC dice ai destinatari cosa fare se SPF/DKIM falliscono, e ti manda report.

Vanno configurati in quest’ordine: SPF → DKIM → DMARC.

1. SPF (record TXT)

Aggiungi al DNS del dominio un solo record TXT SPF:

v=spf1 include:spf.protection.outlook.com -all
  • -all (hard fail) è la scelta corretta a regime; usa ~all (soft fail) solo in fase di test.
  • Un solo record SPF per dominio: se usi altri mittenti (es. un CRM, un gestionale), aggiungi i loro include: nello stesso record, non in record separati.
  • Attento al limite di 10 lookup DNS: troppi include invalidano l’SPF.

2. DKIM (2 record CNAME + attivazione)

Su Microsoft 365 il DKIM è disabilitato di default sui domini personalizzati. Procedura:

  1. Aggiungi al DNS i due CNAME selector1._domainkey e selector2._domainkey che punta­no a ...onmicrosoft.com (i valori esatti sono nel Defender portal → Email & collaboration → Policies → DKIM, o via PowerShell con il toolkit sotto).
  2. Nel Defender portal, seleziona il dominio e imposta “Sign messages for this domain with DKIM signatures” → On.

Se attivi prima del propagarsi dei CNAME ottieni un errore: aspetta la propagazione DNS.

3. DMARC (record TXT graduale)

Crea il record TXT su _dmarc.tuodominio.it. Parti morbido e inasprisci nel tempo:

v=DMARC1; p=none; rua=mailto:dmarc@tuodominio.it; fo=1
  • p=none = solo monitoraggio (ricevi i report rua senza bloccare nulla).
  • Dopo 2-4 settimane di report puliti, passa a p=quarantine e infine p=reject.
  • Non passare subito a reject: rischi di bloccare email legittime di sistemi che non hai ancora allineato.

Errori più comuni

  • Due record SPF → entrambi invalidi. Unificali.
  • DMARC a reject troppo presto → email legittime perse.
  • Mittenti dimenticati (gestionale, mailing, fatturazione) non inclusi in SPF/DKIM → falliscono il DMARC.
  • Dimenticare il sottodominio usato per l’invio.

Verifica e gestione

Dopo la propagazione, controlla con un validatore DNS e leggi i report DMARC. Per configurare e auditare tutto via PowerShell, usa il toolkit PowerShell email security M365. Completa la difesa con anti-phishing di Defender for Office 365.

SynSphere configura SPF/DKIM/DMARC e la sicurezza email come parte dei servizi su Microsoft Defender e dell’assistenza cybersecurity gestita. Contattaci per un check del tuo dominio.

Tag

Potrebbe interessarti anche

Articoli correlati per argomento e categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci