Risolvere i problemi relativi al DKIM

Segui i passaggi descritti in questo articolo se hai configurato DKIM (DomainKeys Identified Mail), ma i messaggi inviati dal tuo dominio continuano a:

  • Non superare l'autenticazione DKIM
  • Vengono rifiutati dai server di destinazione
  • Sono inviati alle cartelle Spam dei destinatari

In questa pagina

Soluzioni più comuni

Assicurati di avere un record DKIM

Verifica se hai un record DKIM:

  • Se non utilizzi Google Workspace, usa uno strumento disponibile su internet.
  • Se utilizzi Google Workspace, segui i passaggi descritti in questa sezione.

  1. Nella Console di amministrazione Google, vai a Menu e poi App e poi Google Workspace e poi Gmail.

    È necessario disporre del privilegio di amministratore Impostazioni di Gmail.

  2. Fai clic su Autentica email.
  3. Nel menu Dominio selezionato, seleziona il dominio in cui vuoi configurare DKIM.
  4. Se il nome host DNS e i valori del record TXT sono vuoti, non hai un record DKIM.

Per creare un nuovo record DKIM, vai a Generare una coppia di chiavi DKIM. Poi, vai ad Aggiungere il record DKIM al tuo dominio (in questa pagina).

Aggiungi il record DKIM al tuo dominio

Dopo aver creato un record DKIM, devi aggiungerlo (contiene la chiave DKIM) al tuo dominio.

  1. Accedi all'host del tuo dominio.
  2. Vai alla pagina in cui aggiornare i record TXT DNS per il tuo dominio.
  3. Aggiungi o aggiorna il record TXT con il nome host DKIM e il valore consigliato.

Vai ad Aggiungere la chiave DKIM al tuo dominio.

Correggi gli errori di autenticazione

Se visualizzi un errore "Autenticazione non riuscita" dopo aver creato un record DKIM e averlo aggiunto al tuo dominio, devi completare la configurazione.

Passaggio consigliato: vai alla pagina Autentica email e fai clic su Avvia autenticazione. Consulta Attivare e verificare DKIM.

Verifica i valori del record DKIM

Assicurati che il record DKIM contenga il nome host/nome del record TXT e il valore del record TXT/chiave DKIM corretti. Consulta Aggiungere la chiave DKIM al tuo dominio.

Cosa significa avere successo?

Dopo aver creato un record DKIM, averlo aggiunto al tuo dominio, aver corretto eventuali errori di autenticazione e aver verificato che il record DKIM abbia i valori corretti, lo stato di DKIM dovrebbe essere "Autenticazione delle email con DKIM". La configurazione è completa.

Risoluzione avanzata dei problemi

Verifica che i messaggi superino l'autenticazione DKIM

Puoi verificare se un'email ha superato l'autenticazione DKIM in Gmail.

Passaggi consigliati:

  1. Apri Gmail da un browser.
  2. Apri l'email di cui vuoi controllare le intestazioni.
  3. Accanto a Rispondi , fai clic su Altro e poi Mostra originale.
    • In una nuova finestra viene visualizzata l'intestazione completa.
  4. Fai clic su Copia negli appunti.

Passaggi aggiuntivi:

Verifica la chiave DKIM presso il provider del tuo dominio

La maggior parte dei record TXT DKIM può contenere un massimo di 255 caratteri. Se il limite di lunghezza per il record TXT è 255 caratteri, non è possibile inserire una chiave a 2048 bit come singola stringa di testo. È possibile che la chiave DKIM sia stata troncata o che i record DKIM siano stati inviati in ordine errato.

Passaggi consigliati:

  • Se non riesci a inserire l'intero valore del record TXT DKIM come singola stringa di testo, segui i passaggi descritti in Verificare i limiti relativi al numero di caratteri dei record TXT.
  • Confronta il valore del record TXT DKIM presso il provider con quello riportato nella Console di amministrazione e verifica che la chiave DKIM sia corretta:
    1. Recupera il valore del record TXT DKIM dalla Console di amministrazione, ad esempio google._domainkey.
    2. Vai allo strumento Dig degli Strumenti amministrativi Google.
    3. Fai clic su TXT.
    4. Inserisci il valore del record TXT DKIM che hai recuperato nel passaggio 1, quindi aggiungi un punto (.) e il nome di dominio a questo valore.
    5. Confronta i risultati con il valore riportato nella Console di amministrazione. Se tutti i caratteri della chiave sono inclusi e nell'ordine corretto, la chiave DKIM può essere suddivisa in due parti.

Controlla l'inoltro dei messaggi

Anche se il DKIM è configurato correttamente per il tuo dominio, è possibile che i messaggi inoltrati non superino l'autenticazione DKIM a causa della modalità di inoltro dei messaggi da parte di un server di posta.

Passaggio consigliato per i mittenti di email:

  • Assicurati che il messaggio non sia stato modificato durante il transito. Individua l'intestazione Authentication-results:. Se il testo accanto alla voce dkim è body hash did not verify (body hash non verificato), il messaggio è stato modificato durante il transito.
  • Se utilizzi un gateway in uscita, assicurati che non modifichi i messaggi in uscita prima che vengano inviati. Ad esempio, alcuni gateway in uscita aggiungono un piè di pagina in calce a ciascun messaggio in uscita. Questo può causare il mancato superamento dell'autenticazione DKIM perché i contenuti dei messaggi vengono modificati dopo l'invio.

Passaggi consigliati per i destinatari di email:

  • Utilizza Ricerca nei log email per verificare se il messaggio è stato inoltrato. Se la persona che ha segnalato il messaggio come spam non è il destinatario originale, è probabile che il messaggio sia stato inoltrato.
  • Contatta il servizio che ha inoltrato il messaggio per scoprire se può modificare la modalità di inoltro dei messaggi.

Vedi anche Best practice per inoltrare le email a Gmail.

Verifica i limiti relativi al numero di caratteri dei record TXT

Se, quando inserisci un valore DKIM, viene visualizzato un messaggio di errore, il tuo provider di dominio potrebbe aver imposto un limite al numero di caratteri consentiti nel record TXT del DNS.

Passaggi consigliati:

Se utilizzi una chiave DKIM a 2048 bit, non puoi inserirla come singola stringa di testo in un record DNS con un limite di 255 caratteri. Segui invece questi passaggi:

  1. Suddividi i caratteri della chiave in più stringhe di testo.
  2. Inserisci ciascuna stringa tra virgolette.
  3. Inserisci le stringhe una dopo l'altra nel campo TXT record Value (Valore del record TXT) presso il provider del tuo dominio.

In questo esempio, una chiave DKIM lunga è suddivisa in due stringhe di testo e ciascuna stringa è racchiusa tra virgolette:

"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/"

"w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/zMthVPE2WZKA28+QomQDH7ludLGhXGxpc7kZZCoB5lQiP0o07Ful33fcED73BS9Bt1SNhnrs5v7oq1pIab0LEtHsFHAZmGJDjybPA7OWWaV3L814r/JfU2NK1eNu9xYJwA8YW7WosL45CSkyp4QeQIDAQAB"

Puoi anche provare a:

Ti consigliamo di non aggiungere più di 49 record TXT presso il provider del tuo dominio, perché questo è il numero massimo supportato dalla maggior parte dei provider di dominio.

Controlla il numero di firme DKIM

I messaggi possono essere firmati con più di una firma DKIM. Tuttavia, Gmail controlla solo le prime 5 firme elencate nell'intestazione del messaggio Authentication-Results:. Gmail controlla le firme nell'ordine in cui appaiono nell'intestazione. Se la firma di autenticazione non è una delle prime 5 firme elencate nell'intestazione, il messaggio non supera l'autenticazione DKIM. Questo potrebbe anche causare il mancato superamento dell'autenticazione DMARC del messaggio.

Per verificare le firme che Gmail controlla per qualsiasi messaggio, controlla l'intestazione Authentication-Results: nel messaggio. Per istruzioni dettagliate su come controllare le intestazioni dei messaggi di Gmail, visita Tracciare un'email con l'intestazione completa.

Rivedi le tue prassi per l'invio di email

Se DKIM è configurato correttamente, ma i messaggi vengono inviati allo spam, la causa potrebbe essere diversa da DKIM.

Passaggio consigliato:

Contatta gli amministratori dei server che rifiutano i messaggi con firma DKIM

Se il DKIM è configurato correttamente, è comunque possibile che i server di destinazione rifiutino i messaggi inviati dal tuo dominio o li inviino alla cartella Spam dei destinatari.

Passaggi consigliati:

  • Contatta l'amministratore del server email che ha rifiutato i messaggi.
  • Configura il protocollo DMARC in modo da ricevere report sui risultati dell'autenticazione DKIM. Vai a Configurare DMARC.
  • Se stai configurando DKIM con un sistema email diverso da Google Workspace, non utilizzare il tag di lunghezza DKIM (l=) nei messaggi in uscita. I messaggi che utilizzano questo tag sono vulnerabili agli abusi. Scopri di più nella Sezione 8.2 di RFC 6376.


Google, Google Workspace e i marchi e i loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.