Defaults.Exposed

Defaults.ExposedCorrezioniGuides

DKIM passa ma DMARC fallisce: la trappola della firma predefinita gappssmtp.com / onmicrosoft.com (2026)

Pubblicato 2026-07-08

Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. Veda come assegniamo i voti.

La Sua posta passa DKIM con la firma predefinita del provider — d= che termina in gappssmtp.com (Google Workspace) o onmicrosoft.com (Microsoft 365) — ma quel dominio non corrisponde al Suo dominio From, quindi DMARC non ottiene alcun pass allineato. Per risolvere, attivi la firma con dominio personalizzato. Di 12.145.313 domini che autorizzano i server di posta di Google, solo il 18,5% applica DMARC, secondo il censimento Defaults.Exposed di 261.086.232 domini valutati.

La soluzione è una delle più pulite dell’autenticazione email: attivare la firma DKIM con dominio personalizzato. Su Google Workspace è la schermata “Autentica email” della console di amministrazione — generi la chiave, pubblichi un record TXT, la attivi. Su Microsoft 365 è la pagina DKIM del portale Defender — pubblichi due CNAME dei selettori e attivi. Venti minuti di lavoro, e DMARC ottiene finalmente il pass allineato che stava aspettando.

Perché DKIM passa ma DMARC continua a fallire?

Perché DMARC non chiede “esiste una firma DKIM valida?” — chiede “esiste una firma DKIM valida per il dominio nell’intestazione From?” Quella seconda condizione si chiama allineamento, ed è l’intero scopo di DMARC: dimostrare che il dominio che il destinatario vede è il dominio che ha firmato.

Di serie, Google Workspace firma la Sua posta con un dominio come yourdomain-com.20230601.gappssmtp.com (la data varia per dominio) e Microsoft 365 firma con yourtenant.onmicrosoft.com. Entrambe le firme sono crittograficamente valide — i verificatori DKIM dicono pass — ma il dominio d= appartiene a Google o Microsoft, non a Lei. Anche con l’allineamento rilassato di DMARC, che richiede solo la corrispondenza dei domini organizzativi, gappssmtp.com non è yourdomain.com. Nessuna corrispondenza, nessun pass allineato, e se nemmeno SPF si allinea (spesso non può — i destinatari valutano SPF sul dominio del Return-Path, non sull’intestazione From, e l’inoltro lo rompe del tutto), DMARC fallisce.

Questa è la trappola per eccellenza dei default dei provider: il default Le dà la consegna, non la protezione — l’allineamento è il giro di chiave mancante. Il censimento mostra quanti mittenti si fermano al default: dei 12.145.313 domini che autorizzano i server di posta di Google tramite _spf.google.com (su 138.927.207 publisher SPF nel mondo), solo il 18,5% applica DMARC. Il quadro di Microsoft ha la stessa forma: 10.205.070 domini autorizzano spf.protection.outlook.com, il 85,0% ha il record SPF rigoroso che la configurazione di M365 gli consegna — e solo il 21,7% applica DMARC. Il confronto completo è nella nostra classifica SPF dei provider email.

La trappola è invisibile nell’uso quotidiano: la posta viene consegnata, i test in inbox sembrano a posto, niente dà errore — finché non pubblica una policy DMARC e la Sua stessa posta comincia a fallirla. La nostra scansione gratuita fa emergere esattamente questa lacuna.

Come riconosco la trappola della firma predefinita in Authentication-Results?

Apra un messaggio che ha inviato (a una casella Gmail o Outlook), visualizzi il sorgente originale/raw e trovi l’intestazione Authentication-Results. Il segnale rivelatore è un pass DKIM con il d= sbagliato — un esempio ricevuto su Gmail appare così:

Authentication-Results: mx.google.com;
       dkim=pass [email protected];
       spf=pass smtp.mailfrom=yourdomain.com;
       dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=yourdomain.com

Lo legga come tre domande:

Frammento dell’intestazioneCosa significaVerdetto
dkim=pass header.d=yourdomain.comFirma valida E corrispondente al Suo dominio FromAllineato — questo è l’obiettivo
dkim=pass header.d=…gappssmtp.com o …onmicrosoft.comFirma valida ma è il dominio predefinito del provider — DMARC la ignora ai fini dell’allineamentoLa trappola: pass senza protezione
dkim=fail (qualunque d=)Firma non valida — problema diversoVeda come sistemare DKIM

Sulla posta ricevuta da Microsoft, la stessa storia appare come dkim=pass (signature was verified) header.d=yourtenant.onmicrosoft.com accanto a compauth=fail — lo schema trattato nella guida ai rifiuti di Outlook.

Se invece la Sua intestazione mostra sia dkim=pass sia spf=pass con un fail DMARC, è nel caso di allineamento più generale — la guida “DMARC fallisce ma SPF e DKIM passano” spiega per esteso l’allineamento rilassato e quello rigoroso.

Come attivo la firma DKIM con dominio personalizzato?

  1. Esegua la scansione gratuita su defaults.exposed prima di toccare qualsiasi cosa. Mostra se il Suo dominio ha DKIM allineato, qual è davvero la Sua policy DMARC e se qualcos’altro (SPF, sintassi del record DMARC) La bloccherà anche dopo questa correzione — così fa tutto il lavoro una volta sola.
  2. Identifichi con quale default sta firmando. Controlli header.d= in Authentication-Results come sopra: gappssmtp.com significa default di Google Workspace, onmicrosoft.com significa default di Microsoft 365.
  3. Google Workspace: generi e pubblichi la Sua chiave. Nella console di amministrazione vada su App → Google Workspace → Gmail → Autentica email, selezioni il Suo dominio e clicchi su Genera nuovo record (2048 bit, salvo che il Suo host DNS non riesca a memorizzarlo). Pubblichi il record TXT fornito su google._domainkey.yourdomain.com, attenda il DNS (fino a 48 ore), poi — il passaggio che tutti dimenticano — clicchi su Avvia autenticazione. Generare il record non produce alcun effetto finché non attiva la firma. Procedura completa: configurare DKIM su Google Workspace.
  4. Microsoft 365: pubblichi i due CNAME dei selettori e attivi. Nel portale Defender vada su Email e collaborazione → Criteri e regole → Criteri di minaccia → Impostazioni di autenticazione della posta elettronica → DKIM, selezioni il Suo dominio personalizzato e crei le chiavi. Pubblichi entrambi i CNAME — selector1._domainkey e selector2._domainkey, puntati verso le destinazioni che Microsoft Le mostra (copi le destinazioni esatte dal portale — i domini attivati prima di maggio 2025 terminano nel .onmicrosoft.com del Suo tenant; quelli più recenti terminano in .dkim.mail.microsoft) — poi attivi la firma. Due selettori non sono facoltativi: Microsoft ruota le chiavi tra i due. Procedura completa: configurare DKIM su Microsoft 365.
  5. Verifichi la nuova firma. Invii un nuovo messaggio a una casella esterna e ricontrolli Authentication-Results: dkim=pass dovrebbe ora mostrare header.d=yourdomain.com. Se il Suo pannello DNS ha aggiunto automaticamente la Sua zona alla destinazione del CNAME o ha alterato il lungo valore TXT, la firma non passerà al nuovo dominio — la maggior parte dei fallimenti qui è causata dalle stranezze dei pannelli, non dal provider.
  6. Riesegua la scansione e usi il pass allineato per qualcosa. Confermi che la scansione mostri DKIM allineato, poi lo metta a frutto: una policy DMARC a p=none non protegge nulla. Su tutti i 261.086.232 domini valutati, solo il 10,59% applica DMARC (dati al 2026-06-29) — il DKIM allineato è ciò che rende sicuro stringere l’applicazione. Cominci da come sistemare DMARC.

Attivare il DKIM personalizzato romperà qualcosa?

No — è la rara correzione dell’autenticazione email praticamente senza effetti collaterali: la posta che usciva con la firma predefinita esce semplicemente con una migliore, e il provider continua a gestire le chiavi (Microsoft le ruota automaticamente tra i due selettori). Il vero rischio è farla a metà — pubblicare il TXT di Google senza mai cliccare su Avvia autenticazione, o pubblicare un solo selettore M365 invece di entrambi. E non elimini i record DNS in seguito “per fare ordine”: la firma si interrompe nell’istante in cui la chiave scompare.

Una nota sull’ambito: questo sistema la posta inviata attraverso Google o Microsoft. Anche gli strumenti per newsletter e i CRM firmano con i propri default, e ciascuno richiede la propria attivazione del DKIM con dominio personalizzato — quello schema, e le regole per i bulk sender di Gmail che ormai lo esigono, sono trattati nella guida al 550-5.7.26.

Domande frequenti

DKIM risulta “pass” su ogni strumento di test — perché ci sarebbe qualcosa da sistemare? Perché gli strumenti rispondono a una domanda più ristretta di quella di DMARC. La firma è valida — ma è di gappssmtp.com o di onmicrosoft.com, non Sua, quindi non conta nulla ai fini dell’allineamento DMARC. Ecco perché tanti mittenti si fermano al default: di 12.145.313 domini che autorizzano Google, solo il 18,5% applica DMARC (dati al 2026-06-29).

L’allineamento DMARC rilassato lascia passare la firma predefinita? No. L’allineamento rilassato allenta solo la corrispondenza fino ai domini organizzativi — mail.yourdomain.com si allinea con yourdomain.com. Il dominio organizzativo della firma predefinita è gappssmtp.com o onmicrosoft.com, che non ha nulla in comune con il Suo. Nessuna modalità di allineamento salva un d= di terze parti.

La firma gappssmtp.com / onmicrosoft.com è dannosa? Devo rimuoverla? Non è dannosa — garantisce che la Sua posta porti una firma valida, il che aiuta il filtraggio antispam. Semplicemente non è Sua. Non la rimuove; la sostituisce attivando la firma con dominio personalizzato.

Il mio dominio è su Microsoft 365 con SPF rigoroso — sono già coperto? Probabilmente no: quel record rigoroso è il default di M365 che fa il suo unico lavoro. Di 10.205.070 domini che autorizzano spf.protection.outlook.com, il 85,0% ha SPF rigoroso ma solo il 21,7% applica DMARC (dati al 2026-06-29). SPF inoltre si rompe con l’inoltro, perché viene valutato sul Return-Path e non sull’intestazione From — il DKIM allineato è la gamba che sopravvive, ed è esattamente per questo che questa correzione conta.

Quanto tempo richiede la correzione? Il lavoro in console richiede pochi minuti per provider. Il DNS è l’attesa: Google dice di prevedere fino a 48 ore prima di avviare l’autenticazione; i CNAME di Microsoft sono di solito attivi entro qualche ora. Metta in conto una giornata lavorativa da un capo all’altro, per lo più di attesa.

Invii il report al titolare

Se sta sistemando questo per un cliente o per il Suo datore di lavoro, chiuda il cerchio con le prove. Riesegua la scansione gratuita quando la nuova firma è attiva e inoltri il report con il voto al titolare dell’azienda: datato, in linguaggio semplice, con DKIM allineato al suo dominio. È il documento per il rinnovo della polizza cyber e per il prossimo questionario di sicurezza dei fornitori — la prova che il dominio si autentica come se stesso, non come sub-tenant di gappssmtp.com.

Verifichi gratis il Suo allineamento DKIM

Veda se la Sua posta firma come il Suo dominio — e cosa sistemare esattamente — in modo privato e riservato al titolare.

Verifichi il Suo dominio → · DMARC fallisce ma SPF e DKIM passano → · Sistemare DKIM → · Configurare DKIM su Google Workspace → · Solo dati aggregati. Dati conservati e trattati nell’UE.