In sintesi – L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le nuove linee guida ufficiali per la configurazione della posta elettronica. Il documento indica come implementare correttamente SPF, DKIM e DMARC – i tre protocolli che autenticano il mittente e proteggono il dominio da phishing e spoofing. Se la tua posta non è configurata secondo questi standard, rischi che le email vengano filtrate come spam o rifiutate dai server destinatari, spesso senza che tu lo sappia. Se hai affidato la gestione della posta a un tecnico o a un’agenzia, è il momento di chiedere una verifica.
L’ACN ha pubblicato le nuove linee guida per l’autenticazione email
L’Agenzia per la cybersicurezza nazionale ha pubblicato le Linee guida per la configurazione del servizio di posta elettronica per l’autenticazione del mittente, con l’obiettivo di rafforzare l’affidabilità del servizio di posta elettronica di tutte le organizzazioni interessate.
Non si tratta di raccomandazioni generiche: è un framework tecnico operativo, rivolto a tutte le organizzazioni pubbliche e private, che stabilisce come configurare correttamente tre protocolli ormai fondamentali per qualsiasi infrastruttura email.
Il documento ufficiale è disponibile sul sito ACN: Framework di Autenticazione per la Posta Elettronica
Perché la posta elettronica è un punto critico
Il funzionamento della posta elettronica si basa sul protocollo SMTP, che non incorpora nativamente meccanismi di autenticazione del mittente né di protezione dell’integrità dei messaggi. Queste vulnerabilità espongono le organizzazioni al rischio di spoofing, phishing e manomissione del contenuto durante il transito.
In termini pratici questo significa che, senza protezioni adeguate, chiunque potrebbe inviare email fingendo di provenire dal tuo dominio — spacciandosi per te con i tuoi clienti, fornitori o colleghi — senza che tu lo sappia e senza che sia necessario accedere al tuo account.
Il problema non è teorico: quasi una organizzazione italiana su quattro non è in grado di impedire a soggetti terzi di inviare email fraudolente a suo nome.
I tre protocolli al centro delle linee guida
Le linee guida dell’ACN forniscono indicazioni operative per la corretta implementazione di SPF, DKIM e DMARC: tre standard ampiamente adottati a livello internazionale che, se configurati in modo coerente, permettono di aumentare il livello di fiducia nei messaggi ricevuti e di limitare l’uso fraudolento dei domini.
SPF — Chi può inviare email a nome del tuo dominio?
SPF pubblica nel DNS del dominio un elenco degli indirizzi IP autorizzati a inviare email per suo conto. Quando arriva un messaggio che dichiara di provenire dal tuo dominio, il server ricevente controlla se il mittente è nella lista. Se non lo è, si attiva la policy configurata.
Esempio concreto
se usi Microsoft 365 come client email principale ma hai anche un CRM o un gestionale che invia notifiche automatiche, entrambi devono essere esplicitamente autorizzati nel record SPF. Dimenticare anche una sola sorgente significa che quelle email vengono trattate come sospette dai server destinatari.
DKIM — Il messaggio è integro?
DKIM firma digitalmente i messaggi tramite crittografia asimmetrica. Il server ricevente può verificare l’autenticità del messaggio recuperando la chiave pubblica dal DNS del mittente. Se il contenuto è stato modificato anche di un solo carattere durante il transito, la firma non corrisponde e la verifica fallisce.
DKIM garantisce quindi non solo che il mittente sia autentico, ma anche che il messaggio sia arrivato esattamente com’era stato inviato.
DMARC — Come devono comportarsi i server se qualcosa non torna?
DMARC unifica e governa SPF e DKIM. Permette al proprietario del dominio di specificare una policy di gestione per le email che non superano le verifiche, e di ricevere report aggregati sull’utilizzo del dominio.
| Policy DMARC | Cosa succede alle email sospette |
|---|---|
p=none |
Vengono registrate nei report, ma non bloccate (fase di monitoraggio) |
p=quarantine |
Finiscono nella cartella spam del destinatario |
p=reject |
Vengono rifiutate e non recapitate |
DMARC introduce anche il concetto di allineamento: verifica che il dominio visibile nel campo “Da:” corrisponda a quello autenticato via SPF o DKIM, intercettando le impersonificazioni anche nei casi tecnici più sofisticati.
Non è solo sicurezza: è anche recapitabilità
Questo è l’aspetto che le aziende sottovalutano più spesso. I principali provider di posta — Gmail, Microsoft 365, Yahoo — hanno progressivamente irrigidito i loro filtri antispam. Oggi valutano attivamente la presenza e la correttezza di SPF, DKIM e DMARC. Un dominio privo di questi record, o con una configurazione errata, viene automaticamente trattato con più sospetto.
Il risultato è che puoi inviare un preventivo, una conferma d’ordine, una risposta urgente — e il destinatario non la riceve, o la trova nello spam giorni dopo. Il tuo server non ti segnala nessun errore: l’email parte regolarmente. Il problema avviene in silenzio, sul lato del destinatario.
Il collegamento con NIS 2 e il quadro normativo italiano
Le linee guida ACN non sono un documento isolato. Le misure descritte si inseriscono nel contesto della Direttiva NIS 2, del Perimetro di Sicurezza Nazionale Cibernetica e del Regolamento Cloud ACN. In questo scenario, la sicurezza della posta elettronica non è più solo una best practice: per molte organizzazioni diventa un requisito di conformità.
Oggi in Italia sono già stati identificati oltre 21.000 soggetti obbligati dalla NIS 2, di cui almeno 5.000 classificati come essenziali. Per queste realtà, verificare la configurazione della posta non è più rimandabile.
Configurare SPF, DKIM e DMARC: più complesso di quanto sembri
Questi protocolli agiscono sui record DNS del dominio. In teoria bastano poche modifiche. In pratica ci sono insidie frequenti che portano a configurazioni errate, spesso senza che nessuno se ne accorga:
- SPF ha un limite di 10 lookup DNS. Superarlo causa errori su tutte le email in uscita. È un problema comune nelle aziende che usano più servizi in parallelo (CRM, newsletter, gestionale, PEC).
- DKIM richiede la gestione di chiavi crittografiche che vanno protette, ruotate periodicamente e configurate per ogni sorgente di invio.
- Passare subito a
p=rejectsenza una fase di monitoraggio preliminare può bloccare email legittime, creando disservizi immediati. - L’inoltro automatico delle email (forwarding) può invalidare le verifiche SPF e DKIM se non gestito correttamente.
- I servizi di terze parti — piattaforme di email marketing, CRM, ERP — devono essere esplicitamente inclusi e configurati per firmare con DKIM.
L’approccio corretto è graduale: partire con DMARC in monitoraggio per mappare i flussi reali, poi passare a quarantine e reject quando la configurazione è stabile e verificata.
Cosa fare adesso
Hai un tecnico o un’agenzia che gestisce la tua posta?
Contattali e chiedi una verifica esplicita su questi quattro punti:
- Il record SPF è presente, corretto e ottimizzato (entro il limite dei 10 lookup)?
- DKIM è configurato per tutte le sorgenti di invio, non solo per il client principale?
- È presente un record DMARC con una policy attiva?
- I report DMARC vengono monitorati regolarmente?
Non dare per scontato che sia già tutto a posto. La posta “che funziona” non è la stessa cosa della posta “correttamente autenticata”.
Gestisci direttamente la tua infrastruttura IT?
Segui il percorso raccomandato dall’ACN:
- Avvia DMARC in modalità
p=nonecon indirizzi di report configurati - Analizza i report per 2–4 settimane e mappa tutte le sorgenti di invio
- Configura SPF e DKIM in modo completo su tutte le sorgenti
- Passa progressivamente a
p=quarantinee poi ap=reject
In sintesi
Le linee guida pubblicate dall’ACN chiariscono un punto che per anni è stato sottovalutato: la posta elettronica non è un servizio “che funziona o non funziona”, ma un’infrastruttura che deve essere configurata, monitorata e governata.
SPF, DKIM e DMARC non sono più elementi opzionali o tecnici “da specialisti”: sono il livello minimo per garantire affidabilità, protezione del dominio e continuità operativa nelle comunicazioni.
In questo scenario, il vero rischio non è solo subire un attacco, ma non accorgersi che qualcosa non sta funzionando correttamente: email che non arrivano, dominio utilizzato da terzi, reputazione compromessa senza segnali evidenti.
Le indicazioni dell’ACN offrono oggi un riferimento chiaro. Il punto non è tanto “implementarle”, ma essere consapevoli dello stato reale della propria infrastruttura email e delle sue implicazioni in termini di sicurezza e conformità.
Fonte ufficiale: ACN — Framework di Autenticazione per la Posta Elettronica Articolo redatto da Alchimie Digitali
FAQ
Le linee guida ACN sono obbligatorie per tutte le aziende?
Il framework non introduce scadenze obbligatorie universali, ma è integrato con gli obblighi NIS 2 e del Perimetro di Sicurezza Nazionale per i soggetti rientranti in quelle normative. Per tutte le altre organizzazioni rappresenta una raccomandazione tecnica ufficiale che è prudente seguire.
Come verifico se il mio dominio è già configurato correttamente?
Puoi usare strumenti online come MXToolbox o mail-tester.com per una prima verifica autonoma. Per un’analisi completa di tutte le sorgenti di invio e della deliverability, è consigliabile affidarsi a un tecnico specializzato.
Quanto tempo richiede la configurazione?
Per un’azienda con un unico provider (Google Workspace o Microsoft 365) la configurazione base richiede poche ore. Per organizzazioni con più sorgenti di invio, la fase di monitoraggio e ottimizzazione richiede 2–4 settimane.
Se uso Microsoft 365 o Google Workspace sono già a posto?
Non automaticamente. Queste piattaforme supportano SPF, DKIM e DMARC, ma devono essere configurati esplicitamente dall’amministratore. E se hai altri servizi che inviano email dal tuo dominio, devono essere inclusi nella configurazione.
Cosa rischio concretamente se non intervengo?
Le tue email possono finire nello spam o essere rifiutate senza che tu riceva notifiche di errore. Il tuo dominio rimane inoltre esposto all’uso fraudolento da parte di terzi, con potenziali danni alla tua reputazione e a quella dei tuoi contatti.