Defaults.Exposed › Configurazione › DKIM

Come configurare il DKIM su Microsoft 365

Pubblica due record DKIM nel tuo DNS e attiva il DKIM in Microsoft 365, così le tue email viaggiano con una firma a prova di manomissione.

Perché è importante per la tua attività

Il DKIM (DomainKeys Identified Mail) aggiunge una firma digitale invisibile a ogni email che invii. Il provider di posta del destinatario usa una chiave pubblica che hai pubblicato nel tuo DNS per confermare due cose: che il messaggio proviene davvero dal tuo dominio e che nessuno lo ha modificato lungo il percorso.

In parole semplici: il DKIM è un sigillo di autenticità sulle tue email. Rende più difficile spacciarsi per te e aumenta le probabilità che la posta legittima arrivi in casella invece che nello spam. È gratuito e si configura una volta sola.

Importante: su Microsoft 365 il DKIM si configura in due posti

Il DKIM è l’unico record in cui conta davvero chi fa cosa. Inoltre Microsoft 365 lo gestisce in modo leggermente diverso dalla maggior parte dei provider: vale la pena saperlo per non rimanere bloccato.

• Microsoft usa due record CNAME, non una lunga chiave TXT. La maggior parte dei provider ti consegna una sola, enorme chiave pubblica TXT. Microsoft invece ti fa pubblicare due brevi record CNAME (chiamati selector1 e selector2) che rimandano a Microsoft. Microsoft conserva le chiavi vere e proprie e può ruotarle in sicurezza dietro quei puntatori.
• Il tuo servizio DNS pubblica i due CNAME. Li aggiungi dove puntano i nameserver del tuo dominio — il tuo registrar, web host, Cloudflare, ecc. Di solito non è Microsoft (a meno che tu non lasci a Microsoft la gestione del tuo DNS).
• Poi attivi il DKIM dentro Microsoft. Pubblicare i record non basta: c’è un passaggio finale nel portale di sicurezza di Microsoft in cui abiliti la firma.

Quindi: pubblica due CNAME nel tuo servizio DNS, poi entra in Microsoft e attiva il DKIM.

Passo 1 — Ottieni i valori dei due record da Microsoft

1. Accedi come amministratore e apri il portale di sicurezza Microsoft su security.microsoft.com.
2. Vai nell’area Email & collaboration e trova Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft sposta di tanto in tanto queste voci, cerca DKIM sotto le impostazioni di autenticazione email o anti-spam).
3. Seleziona il tuo dominio.
4. Microsoft ti mostrerà i due record da creare. Hanno questo aspetto, con il tuo dominio e i codici univoci già compilati:
   • Host 1: selector1._domainkey → punta a selector1-<tuo-dominio>._domainkey.<tuo-tenant>.onmicrosoft.com
   • Host 2: selector2._domainkey → punta a selector2-<tuo-dominio>._domainkey.<tuo-tenant>.onmicrosoft.com
5. Copia entrambi i valori di destinazione con precisione. Non puoi inventarteli: Microsoft li genera per il tuo tenant.

Passo 2 — Pubblica i due CNAME nel tuo servizio DNS

Prima di tutto, assicurati di lavorare nell’azienda che gestisce davvero il tuo DNS. I record funzionano solo se aggiunti dove puntano i nameserver del tuo dominio. In caso di dubbio, controlla la sezione Nameservers nel tuo account presso il registrar, oppure chiedi a chi gestisce il tuo sito.

1. Accedi al tuo servizio DNS e apri le impostazioni DNS del tuo dominio (cerca DNS / Records / Advanced DNS).
2. Aggiungi un nuovo record e scegli CNAME (non TXT — è la parte che le persone sbagliano).
3. Per il primo record, nel campo Name / Host inserisci solo selector1._domainkey. Non aggiungere il dominio alla fine: il servizio DNS lo accoda in automatico.
4. Nel campo Value / Points to / Target, incolla la prima destinazione di Microsoft, es. selector1-<tuo-dominio>._domainkey.<tuo-tenant>.onmicrosoft.com.
5. Ripeti per il secondo record: Name = selector2._domainkey, Value = la seconda destinazione di Microsoft.
6. Lascia il TTL sul valore predefinito.
7. Salva entrambi.

Passo 3 — Attiva il DKIM, di nuovo in Microsoft

Pubblicare i record non basta: devi dire a Microsoft di iniziare a firmare.

1. Torna alla pagina DKIM nel portale di sicurezza Microsoft.
2. Seleziona il tuo dominio e porta su On l’opzione Sign messages for this domain with DKIM signatures (l’interruttore potrebbe essere indicato come Enable).
3. Microsoft verifica che i due record siano visibili nel tuo DNS. Se non riesce ancora a trovarli, concedi un po’ di tempo alla propagazione DNS (da pochi minuti a un paio d’ore) e riprova.

Trappole tipiche

• CNAME, non TXT. Il DKIM di Microsoft usa due record CNAME che rimandano a Microsoft. Provare a incollare una chiave pubblica TXT (come fanno gli altri provider) qui non funziona.
• Entrambi i record, poi l’interruttore. Devi avere pubblicati sia selector1 sia selector2, poi eseguire il passaggio di abilitazione dentro Microsoft. Saltare l’interruttore significa che i record esistono ma Microsoft non firma mai la tua posta.
• Non mettere il dominio completo in Host. Inserisci solo selector1._domainkey / selector2._domainkey: il resto viene aggiunto per te. Ripetere il dominio crea un host rotto come selector1._domainkey.tuodominio.com.tuodominio.com.
• Incolla le destinazioni con precisione. Le destinazioni onmicrosoft.com contengono il nome del tuo tenant e codici univoci: un carattere sbagliato e il DKIM non valida.
• Attenzione alle virgolette. Una destinazione CNAME è un semplice nome host; non racchiuderla tra "...". Le virgolette vanno sui record TXT, non sui CNAME.
• Dai tempo al sistema. Le modifiche al DNS possono richiedere da pochi minuti a un paio d’ore prima che Microsoft possa confermare e il DKIM inizi a validare.

Verifica che abbia funzionato

Dopo aver pubblicato entrambi i record, attivato il DKIM e atteso un po’ per la propagazione, esegui il controllo gratuito su Defaults.Exposed. Ti confermerà in parole semplici se il tuo DKIM è pubblicato e leggibile. I tuoi dati vengono elaborati nell’UE.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.