Come configurare il DKIM in Amazon SES (Easy DKIM vs BYODKIM)

Scopri come configurare il DKIM di Amazon SES usando Easy DKIM o BYODKIM, verificare l'allineamento, risolvere gli errori e correggere i problemi di spam dopo la configurazione.

Valutato 4.9 su Capterra

Genera più guadagni con ogni email che invii.

Inizia a migliorare la deliverability
Inizia a migliorare la deliverability

TL;DR:

  • Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.

  • Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.

  • Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.

I filtri antispam sono spietati. Sconfiggili con MailReach.

Ogni email che finisce nello spam è un'opportunità persa. Fai subito un test spam gratuito e scopri cosa ti impedisce di arrivare nella casella di posta.

Trova e Risolvi Problemi di Spam Gratis
Trova e Risolvi Problemi di Spam Gratis

Sei in blacklist? Scopri se sta danneggiando la tua deliverability.

Alcune blacklist non contano, ma altre possono danneggiare la tua reputazione come mittente. Controlla il tuo stato ora e vedi se sta influenzando il posizionamento nella tua casella di posta.

Controlla lo Stato della Blacklist Gratis
Controlla lo Stato della Blacklist Gratis

Se le tue email Amazon SES risultano “Consegnate” ma finiscono comunque nello spam, la tua configurazione DKIM potrebbe essere incompleta o non allineata.

Di default, Amazon SES può firmare le email usando una firma DKIM amazonses.com se il DKIM a livello di dominio non è configurato. Sebbene questo autentichi tecnicamente il messaggio, non autentica il tuo dominio.

Senza allineamento del dominio, i provider di posta non possono costruire una reputazione per il tuo dominio, e DMARC potrebbe fallire. 

Dal 2024, Gmail e Yahoo richiedono un'autenticazione allineata per i mittenti di massa. Se stai configurando DKIM per un dominio usando il servizio Amazon Simple Email Service, il tuo obiettivo è proteggere il posizionamento nella casella di posta e costruire la reputazione del dominio. La maggior parte dei team scopre i problemi DKIM solo dopo che le email iniziano a finire nello spam o a fallire l'allineamento DMARC.

In questo articolo, imparerai come scegliere tra Easy DKIM e BYODKIM, configurarli correttamente, verificare che funzionino, risolvere i problemi comuni e capire perché l'autenticazione da sola non garantisce il posizionamento nella casella di posta.

Il DKIM è richiesto per Amazon SES?

No, il DKIM non è strettamente richiesto per inviare email tramite Amazon SES. Tuttavia, configurare un DKIM personalizzato è consigliato se vuoi un corretto allineamento DMARC, costruire la reputazione del dominio e un posizionamento stabile nella casella di posta.

DKIM (DomainKeys Identified Mail) permette ai provider di posta di verificare che:
• l'email sia stata autorizzata dal dominio mittente
• il messaggio non sia stato modificato durante il transito

Amazon SES può inviare email senza un DKIM personalizzato perché applica automaticamente una firma DKIM predefinita usando amazonses.com. Sebbene questo autentichi tecnicamente il messaggio, autentica il dominio di Amazon, non il tuo.

Di conseguenza:
• il tuo dominio non costruisce reputazione di invio
• l'allineamento DMARC può fallire
• i provider di posta potrebbero trattare il messaggio come non autenticato dal tuo dominio

Quando il DKIM personalizzato diventa necessario

Dovresti configurare il DKIM per il tuo dominio se si applica una delle seguenti condizioni:
• pubblichi una policy DMARC
• vuoi costruire una reputazione di invio a livello di dominio
• configuri un dominio MAIL FROM personalizzato
• il tuo indirizzo From usa il tuo dominio verificato
• invii email di massa o di marketing

Se il tuo dominio non è allineato tramite DKIM o SPF, DMARC può fallire anche quando DKIM tecnicamente passa.

Per una deliverability affidabile, la maggior parte dei programmi di invio Amazon SES configura Easy DKIM o BYODKIM per l'identità del dominio.

Opzioni DKIM per Amazon SES: Quale Metodo Dovresti Usare?

Quando configuri la firma DKIM in Amazon SES, hai tre opzioni.  La scelta giusta determina come viene gestita la firma DKIM. Definisce chi genera e gestisce le chiavi DKIM e dove avviene la firma del messaggio. In Amazon SES, AWS può gestire le chiavi e il processo di firma (Easy DKIM), oppure puoi controllare tu stesso la coppia di chiavi pubblica-privata e la configurazione della firma (BYODKIM).

Funzionalità Easy DKIM BYODKIM Firma Manuale
Generazione della chiave Generata da SES Generi tu la coppia di chiavi RSA Generi e firmi esternamente
Record DNS richiesti 3 record CNAME 1 record TXT (chiave pubblica) Record TXT (chiave pubblica)
Metodo di firma SES firma automaticamente SES firma usando la tua chiave privata La tua applicazione firma prima dell'invio
Rotazione della chiave Gestita da SES Rotazione manuale richiesta Completamente manuale
Complessità della configurazione Basso Medio Alto
Miglior caso d'uso La maggior parte degli utenti SES Ambienti multi-ESP, esigenze di conformità Infrastrutture avanzate o controllo personalizzato del Mail Transfer Agent (MTA)

*Nota: la firma manuale è meno comune nei tipici flussi di lavoro di Amazon SES. Nella maggior parte dei casi, Amazon SES firma automaticamente i messaggi in uscita una volta abilitato il DKIM. La firma manuale viene utilizzata principalmente in configurazioni avanzate dove le applicazioni firmano i messaggi prima dell'invio o quando le organizzazioni utilizzano un Mail Transfer Agent (MTA) personalizzato al di fuori di SES.

Easy DKIM

Easy DKIM è l'opzione predefinita e consigliata per la maggior parte degli utenti di Amazon SES perché semplifica la configurazione DKIM e la gestione continua delle chiavi.

Quando abiliti Easy DKIM, Amazon SES genera automaticamente la coppia di chiavi DKIM pubblica-privata e fornisce i record CNAME richiesti che devono essere pubblicati nel DNS del tuo dominio. Dopo aver aggiunto i record, SES gestisce la firma DKIM per i messaggi in uscita e la rotazione delle chiavi internamente.

Devi solo pubblicare i record CNAME generati nel tuo DNS e abilitare il DKIM nella console di Amazon SES. Una volta completata la verifica, SES firma automaticamente le email inviate dal tuo dominio.

BYODKIM (Usa il tuo DKIM)

BYODKIM è un'opzione più avanzata che ti permette di usare le tue chiavi DKIM, invece di quelle generate da Amazon SES. La maggior parte degli utenti non ha bisogno di questo approccio, ma può essere utile per le organizzazioni che richiedono una gestione centralizzata delle chiavi, specifiche politiche di conformità o sicurezza, o che già gestiscono la propria infrastruttura DKIM.

Con BYODKIM, generi la tua coppia di chiavi pubblica-privata, pubblichi la chiave pubblica come record TXT nel DNS del tuo dominio e configuri la firma tramite l'API SES o la AWS CLI. Questo ti dà il controllo completo sulla chiave di firma DKIM e su come viene gestita la rotazione delle chiavi.

Gestire il DKIM tra diverse regioni può diventare ripetitivo e soggetto a errori perché le identità di Amazon SES sono configurate separatamente in ogni regione AWS. Questo problema si presenta tipicamente nelle implementazioni multi-regione, dove le organizzazioni inviano email da più regioni AWS, implementano il failover regionale per l'affidabilità o gestiscono infrastrutture distribuite.

In queste configurazioni, il DKIM deve normalmente essere abilitato e verificato individualmente in ogni regione. Amazon SES risolve questa limitazione con una variante specializzata di Easy DKIM.

Deterministic DKIM (DEED)

Deterministic Easy DKIM ti permette di replicare la stessa configurazione DKIM su più regioni Amazon SES senza generare nuovi record DKIM in ogni regione. Semplifica le implementazioni multi-regione assicurando che gli stessi selettori DKIM e record DNS possano essere riutilizzati tra le regioni.

È importante sottolineare che Deterministic Easy DKIM è ancora gestito da SES. Amazon SES continua a generare le chiavi DKIM, a gestire il processo di firma e a occuparsi automaticamente della rotazione delle chiavi. Questo significa che mantiene la semplicità operativa di Easy DKIM, rendendo al contempo le configurazioni multi-regione più facili da mantenere.

Con DEED, non devi creare record CNAME separati per ogni regione. Invece, gli stessi record DNS possono funzionare su più regioni SES.

Questo approccio è utile quando:

  • Invii email da più regioni AWS
  • Vuoi selettori DKIM coerenti tra le regioni
  • Stai implementando un failover regionale o un disaster recovery
  • Gestisci un'infrastruttura email distribuita tra le regioni

Questo mantiene la configurazione DKIM coerente, evitando la complessità di gestire record separati per ogni regione.

Considerazioni Multi-Regione in Amazon SES

In Amazon SES, le identità sono regionali.

Quando verifichi un dominio in una regione AWS, quella verifica non si applica automaticamente a un'altra regione. Ogni regione mantiene le proprie:

  • Identità verificate
  • Configurazione DKIM
  • Impostazioni MAIL FROM
  • Quote di invio

Se invii sia da us-east-1 che da eu-west-1, il DKIM deve essere configurato separatamente in ogni regione, a meno che tu non usi Deterministic Easy DKIM.

Cosa succede se una regione non ha il DKIM?

Se il DKIM è configurato in una regione ma non in un'altra:

• Le email inviate dalla regione configurata includeranno la firma DKIM del tuo dominio
• Le email inviate dalla regione non configurata:
    ◦ Useranno la firma predefinita amazonses.com, oppure
    ◦ Verranno inviate senza autenticazione del dominio allineata

Ad esempio, se il DKIM è configurato in us-east-1 ma non in eu-west-1, le email inviate dalla regione UE potrebbero ripiegare sulla firma predefinita amazonses.com. Questo causa risultati di autenticazione incoerenti e può compromettere l'allineamento DMARC.

Per qualsiasi configurazione multi-regione, assicurati che la configurazione DKIM sia intenzionalmente replicata e verificata in ogni regione di invio attiva.

Come configurare Easy DKIM in Amazon SES (Passo dopo passo)

Easy DKIM è l'opzione consigliata per la maggior parte degli utenti Amazon SES, perché la generazione e la firma delle chiavi sono gestite da SES. Devi solo pubblicare i record DNS.

Ecco i prerequisiti che devi avere prima della configurazione.

  • Un'identità di dominio verificata
  • Accesso alle impostazioni DNS del tuo dominio
  • Controllo del tuo provider di hosting DNS

Passo 1: Apri le identità verificate

Accedi alla console di gestione AWS, poi:

  • Apri la dashboard di Amazon SES
  • Vai a Gestione identità
  • Seleziona il tuo dominio

Controlla le impostazioni DKIM esistenti.

Passo 2: Seleziona Easy DKIM

Nella sezione DKIM, scegli Easy DKIM come metodo di firma.

Se DKIM era stato configurato in precedenza con un altro metodo, valuta bene le implicazioni della migrazione prima di cambiare.

Passo 3: Scegli la lunghezza della chiave (Seleziona 2048-bit)

Seleziona 2048-bit a meno che tu non abbia una limitazione DNS legacy.

  • Le chiavi a 2048-bit offrono una sicurezza crittografica più robusta
  • Le chiavi a 1024-bit sono supportate ma non sono più raccomandate per un uso a lungo termine.

Alcuni provider DNS potrebbero avere limiti sulla lunghezza dei record. I provider moderni di solito supportano i 2048-bit senza problemi.

Passo 4: Abilita DKIM e genera i record CNAME

Dopo aver abilitato Easy DKIM, SES genera tre record CNAME.

Questi record:

  • Pubblicano la chiave pubblica
  • Consentono a SES di gestire la firma automaticamente
  • Abilitano la rotazione automatica delle chiavi

Passo 5: Aggiungi i record CNAME al tuo DNS

Copia i tre record CNAME esattamente come forniti.

Errori comuni di configurazione includono:

  • Modificare il nome del record
  • Aggiungere suffissi di dominio duplicati
  • Troncare il campo valore
  • Formattazione TTL errata

Inserisci i record presso il tuo provider DNS e salva le modifiche.

Passo 6: Attendi la verifica

Amazon SES controlla periodicamente i tuoi record DNS e verifica automaticamente il DKIM una volta rilevati i record CNAME.

Tempo di propagazione tipico:

  • Spesso in pochi minuti
  • A volte qualche ora
  • Raramente fino a 72 ore a seconda del TTL DNS e della cache del provider

Se vuoi confermare i record prima che SES li rilevi, puoi controllarli tu stesso usando strumenti di DNS lookup o utility da riga di comando come dig o nslookup.

Una volta che i record vengono rilevati e convalidati, lo stato DKIM mostrerà "Successful" nella console SES.

Vincoli di configurazione e casi limite

• Evita di cambiare frequentemente tra metodi DKIM o lunghezze di chiave in brevi finestre di tempo
• Pianifica attentamente le migrazioni da BYODKIM a Easy DKIM per prevenire email temporaneamente non firmate
• Non rimuovere i vecchi record TXT finché i nuovi record CNAME non mostrano "Successful"
• Controlla il comportamento di auto-append del DNS per prevenire voci di dominio duplicate
• Aspettati ritardi di propagazione che vanno da minuti a diverse ore a seconda del TTL
• Verifica i record pubblicamente usando uno strumento di DNS lookup se lo stato rimane "Pending"

Come configurare BYODKIM in Amazon SES.

BYODKIM (Bring Your Own DKIM) ti permette di usare la tua coppia di chiavi RSA invece delle chiavi generate da Amazon SES. Questo approccio è comunemente usato da organizzazioni che vogliono mantenere selettori e chiavi DKIM coerenti su più piattaforme email o provider di servizi email.

Gestendo le chiavi tu stesso, puoi riutilizzare la stessa configurazione DKIM su diversi sistemi di invio, mantenendo un controllo centralizzato sulle chiavi di firma.

Quando usare BYODKIM

Usa BYODKIM se:

  • Hai bisogno della stessa chiave DKIM su più ESP.
  • La tua organizzazione ha requisiti di conformità o di gestione delle chiavi.
  • Vuoi selettori coerenti tra provider e regioni.
  • Gestisci il controllo crittografico centralizzato.

Per la maggior parte dei team, Easy DKIM è sufficiente. BYODKIM di solito viene scelto per standardizzare l'infrastruttura o per motivi normativi. Ad esempio, le organizzazioni che inviano email da più ESP (come SES, SendGrid e Mailgun) spesso usano BYODKIM in modo che ogni provider firmi le email usando lo stesso selettore di dominio.

Passo 1: Genera una coppia di chiavi RSA

Generare chiavi DKIM usando OpenSSL

Genera una chiave privata RSA a 1024 o 2048 bit usando OpenSSL:

openssl genrsa -out DKIM_private.key 2048

Estrai la chiave pubblica:

openssl rsa -in DKIM_private.key -pubout -out DKIM_public.pem

Pubblicherai la chiave pubblica nel DNS. La chiave privata rimane sicura e viene fornita a SES.

Passo 2: Prepara la chiave pubblica per il DNS

Apri il file DKIM_public.pem e:

  • Rimuovi le righe di intestazione e piè di pagina
  • Rimuovi tutte le interruzioni di riga
  • Mantieni solo la stringa della chiave codificata in Base64
Esempio di formato DKIM nel DNS

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A...

L'intero p= valore deve essere su una singola riga.

Passaggio 3: Configura BYODKIM in Amazon SES (API v2)

La configurazione BYODKIM viene eseguita utilizzando l'API SES v2.

Ecco cosa devi fare:

  • Specifica il nome del selettore
  • Fornisci la chiave privata codificata in Base64
  • Abilita la firma per l'identità del dominio
Esempio di struttura CLI

aws sesv2 put-email-identity-dkim-signing-attributes \
--email-identity yourdomain.com \
--signing-attributes-origin EXTERNAL \
--signing-attributes SigningAttributes={DomainSigningPrivateKey="BASE64_PRIVATE_KEY",DomainSigningSelector="selector1"}


Sostituisci:

BASE64_PRIVATE_KEY con la tua chiave privata codificata
selector1 con il selettore scelto

Passo 4: Pubblica il record TXT nel DNS

Crea un record TXT usando questo formato

Host:
selector1._domainkey.yourdomain.com

Valore:
v=DKIM1; k=rsa; p=YOUR_PUBLIC_KEY

Una volta pubblicato, SES convaliderà il record DNS.

Passo 5: Verifica lo stato DKIM

Torna alla console SES e controlla lo stato DKIM per l'identità.

Lo stato dovrebbe passare da In sospeso a Riuscito dopo la propagazione DNS.

Risoluzione dei problemi BYODKIM

1. Errori di formattazione Base64

  • Rimuovi -----BEGIN PUBLIC KEY----- e -----END PUBLIC KEY-----
  • Rimuovi tutte le interruzioni di riga
  • Assicurati che non ci siano spazi extra

La formattazione errata è la causa più comune di fallimento della validazione.

2. Problemi di interruzione di riga nel DNS

I record DNS TXT devono contenere la chiave pubblica su una singola riga logica. Alcuni provider DNS dividono automaticamente i valori lunghi. Conferma che il record finale pubblicato sia intatto.

3. Verifica della lunghezza della chiave

SES supporta chiavi a 1024 e 2048 bit.
Quelle a 2048 bit sono consigliate per gli standard di autenticazione moderni.

Se SES rifiuta la chiave:

  • Conferma la lunghezza corretta della chiave
  • Conferma il formato RSA
  • Assicurati che le chiavi private e pubbliche corrispondano

BYODKIM offre il controllo completo sulla firma DKIM, ma richiede un'attenta gestione delle chiavi e precisione DNS.

Successivamente, verifichiamo se SES sta firmando correttamente e se i provider di caselle di posta stanno riconoscendo la firma.

Come verificare che il tuo DKIM di Amazon SES funzioni

Abilitare il DKIM non è lo stesso che confermare che funzioni in produzione. La verifica richiede di controllare sia lo stato di SES che il comportamento delle email in tempo reale.

Usa la checklist qui sotto per verificare che la firma DKIM funzioni correttamente.

Controllo 1: Conferma lo stato DKIM in SES

Nella console di Amazon SES, apri il tuo dominio sotto 'Identità verificate'.

Lo stato DKIM deve mostrare: 'Riuscito'

Se mostra 'In sospeso', la validazione DNS non è completa.
Se mostra 'Fallito', controlla la formattazione DNS.

Questo conferma che Amazon SES riconosce i tuoi record DNS. Tuttavia, non conferma che i provider di mailbox riconoscano la firma DKIM.

Controllo 2: Ispeziona le intestazioni dell'email

Invia un'email di test a Gmail o a un'altra casella di posta e apri le intestazioni complete del messaggio.

Cerca:

  • DKIM-Signature
  • d=yourdomain.com

Se vedi solo:

  • d=amazonses.com

allora la tua firma DKIM personalizzata non viene applicata.

Conferma anche:

  • DKIM=pass
  • header.d=yourdomain.com

Se il DKIM non funziona o non c'è, l'allineamento dell'autenticazione si romperà con DMARC.

Verifica 3: Convalida pubblicamente i record DNS

Anche se SES mostra “Riuscito”, conferma che i record siano visibili pubblicamente.

Usa il DKIM checker di MailReach per:

  • Verifica la formattazione dei record
  • Conferma la visibilità del selettore
  • Rileva problemi di troncamento
  • Individua le lacune nella propagazione DNS

Verifica 4: Fai un test di deliverability

Il report di SES che dice “Consegnato” significa solo che il server di ricezione ha accettato il messaggio. Non indica il posizionamento nella inbox.

Anche se l'autenticazione va a buon fine, non garantisce l'arrivo in inbox.

Fai un test di deliverability delle email per scoprire:

  • Posizionamento in inbox vs spam
  • Classificazione di Gmail
  • Posizionamento su Outlook e Yahoo
  • Risultati dell'autenticazione
  • Indicatori di blacklist

È qui che molti team scoprono che il DKIM passa, ma i segnali di reputazione spingono comunque i messaggi nello spam. Strumenti come lo spam test di MailReach aiutano a far emergere questi problemi, mostrando come i provider di caselle di posta classificano le tue email e dove sono necessarie delle correzioni.

La verifica assicura:

  1. SES riconosce la tua configurazione DKIM
  2. I provider di caselle di posta convalidano la tua firma
  3. Il tuo dominio è correttamente allineato
  4. Le tue email arrivano nella casella di posta, non si fermano solo al server di ricezione.

Ora vediamo i problemi DKIM più comuni in Amazon SES e come risolverli.

Risolvere i problemi DKIM più comuni in Amazon SES

Anche se configurati correttamente, i problemi DKIM in Amazon SES rientrano solitamente in alcuni schemi prevedibili. Usa gli scenari qui sotto per capire la causa principale.

Problema 1: DKIM bloccato su “pending”

Se lo stato DKIM rimane 'Pending' nella console Amazon SES, SES non riesce a convalidare i tuoi record DNS.

Cause comuni:

  • Ritardo nella propagazione DNS
  • Hostname CNAME errato
  • Suffisso di dominio duplicato aggiunto dal provider DNS
  • Record pubblicato come TXT invece di CNAME
  • Vecchi record DKIM in conflitto ancora presenti

Soluzione:

  • Conferma che tutti e tre i record CNAME corrispondano esattamente a SES
  • Controlla che il tuo provider DNS non abbia aggiunto automaticamente il nome del dominio
  • Usa uno strumento di ricerca DNS pubblico per confermare la visibilità
  • Verifica le impostazioni TTL

Se i record sono visibili pubblicamente ma SES mostra ancora "Pending" dopo un tempo prolungato, apri un caso di supporto con AWS.

Problema 2: Email non firmate con DKIM

DKIM mostra "Successful", ma le email in uscita non contengono la firma del tuo dominio.

Cause comuni:

  • DKIM abilitato sull'identità del dominio ma invio da un sottodominio diverso
  • Identità email che sovrascrive l'identità del dominio
  • DKIM non abilitato al livello di identità corretto
  • Invio da una regione AWS diversa
  • Applicazione configurata per usare l'endpoint SES sbagliato

In Amazon SES, le identità sono regionali. Se invii da us-east-1 ma hai configurato DKIM solo in eu-west-1, i messaggi dalla regione non configurata non useranno la tua firma di dominio.

Verifica:

  • La regione di invio
  • L'esatto dominio del mittente (From)
  • Configurazione DKIM a livello di identità

Problema 3: DKIM passa ma le email finiscono comunque nello spam

Questo è il malinteso più comune.

DKIM prova l'integrità del messaggio e l'autenticità del dominio. Non garantisce il posizionamento nella casella di posta.

I provider di posta valutano segnali aggiuntivi, tra cui:

  • Reputazione del mittente
  • Tassi di engagement
  • Tassi di reclamo
  • Età del dominio
  • Reputazione IP
  • Picchi di volume
  • Modelli di contenuto
  • Allineamento SPF
  • Policy DMARC

Un dominio con DKIM valido ma con una reputazione debole può comunque finire nello spam.

Se il DKIM è valido ma il posizionamento nella casella di posta è instabile, esegui uno spam test per diagnosticare:

  • Allineamento autenticazione
  • Pattern che attivano lo spam
  • Posizionamento in inbox su Gmail, Outlook e Yahoo

Questo separa i problemi di autenticazione dai problemi di reputazione.

Problema 4: Configurazione DKIM multi-regione

Amazon SES non condivide le impostazioni DKIM tra le regioni.

Se verifichi e configuri DKIM in una sola regione:

  • Le email da quella regione verranno firmate correttamente
  • Le email da altre regioni potrebbero ricadere sulla firma predefinita

Questo crea un comportamento di autenticazione incoerente e può indebolire la fiducia nel dominio nel tempo.

Verifica tutte le regioni di invio attive e conferma che DKIM sia configurato intenzionalmente in ognuna.

Problema 5: Email di revoca DKIM da SES

Amazon SES controlla periodicamente i record DNS.

Se i record CNAME o TXT richiesti vengono rimossi o modificati:

  • Cambiamenti di stato DKIM
  • La firma potrebbe interrompersi
  • Potresti ricevere una notifica di revoca

Questo può succedere dopo:

  • Migrazioni DNS
  • Cambiamenti di provider
  • Pulizia accidentale dei record
  • Trasferimenti di dominio

Se si verifica la revoca:

  1. Ripubblica i record corretti
  2. Attendi la verifica
  3. Conferma la firma nelle intestazioni email

Riverifica sempre il DKIM dopo modifiche all'infrastruttura DNS.

Questi passaggi di risoluzione dei problemi isolano gli errori di configurazione dai problemi della casella di posta legati alla reputazione.

Poi, completiamo lo stack di autenticazione con SPF e DMARC.

Completiamo lo Stack: DKIM + SPF + DMARC per Amazon SES

L'autenticazione funziona come un sistema. Ogni protocollo ha un ruolo ben preciso:

Protocollo Cosa verifica Cosa devi fare in Amazon SES
DKIM Integrità del messaggio e firma del dominio Abilita Easy DKIM o BYODKIM per il tuo dominio di invio
SPF Server di invio autorizzati Aggiungi include:amazonses.com e configura un dominio Custom MAIL FROM per l'allineamento
DMARC Allineamento + policy di applicazione Pubblica un record DMARC (inizia con p=none, poi passa a quarantine o reject)

Superare DKIM e SPF individualmente non basta. DMARC richiede l'allineamento tra il dominio From visibile e il dominio autenticato.

Se SPF usa un dominio Amazon MAIL FROM e DKIM non è allineato, DMARC può fallire anche quando l'autenticazione tecnicamente passa.

Per un processo di implementazione completo passo-passo che copre la configurazione SPF, la configurazione Custom MAIL FROM e la strategia di applicazione DMARC, consulta la guida di MailReach all'implementazione di SPF, DKIM e DMARC.

Un'immagine che mostra i modi per implementare i protocolli SPF, DKIM e DMARC
Implementazione di SPF, DKIM e DMARC

Con l'autenticazione allineata, i fattori rimanenti sono la reputazione e il posizionamento nella casella di posta. 

Perché l'autenticazione da sola non risolverà la tua deliverability

L'autenticazione è fondamentale. Non è un fattore di ranking per la casella di posta.

DKIM, SPF e DMARC confermano che sei autorizzato a inviare. Non dicono ai provider di caselle di posta se gli utenti vogliono le tue email.

Quando inizi a inviare da un nuovo dominio in Amazon SES, quel dominio non ha una cronologia di reputazione. I provider di caselle di posta valutano i segnali comportamentali prima di decidere il posizionamento.

Valutano:

  • La coerenza della cronologia di invio
  • I segnali di engagement, come le risposte
  • Tassi di bounce
  • Tassi di reclamo
  • Picchi di volume
  • Reputazione IP

Un dominio completamente autenticato, con scarso engagement o aumenti aggressivi del volume, può comunque finire nello spam.

L'autenticazione ti fa prendere in considerazione. La reputazione determina il posizionamento.

Prima di scalare le campagne, crea gradualmente una cronologia di invio, monitora le metriche di engagement e tieni d'occhio il posizionamento in inbox tra i principali provider. Senza una gestione della reputazione, l'autenticazione da sola non stabilizzerà la deliverability.

Trasformare l'autenticazione SES in stabilità della casella di posta

Una volta configurati correttamente DKIM, SPF e DMARC, il prossimo obiettivo è la gestione della reputazione.

Per stabilizzare il posizionamento in inbox:

  • Email warmup i nuovi domini gradualmente
  • Evita picchi improvvisi di volume
  • Monitora regolarmente il posizionamento in inbox
  • Testa prima di lanciare campagne importanti

I nuovi domini SES partono senza una reputazione storica. I provider di caselle di posta valutano il comportamento nel tempo. Aumenti graduali del volume e segnali di engagement costanti riducono il rischio di essere classificati come spam.

L'autenticazione dimostra la legittimità. Un comportamento di invio costante costruisce credibilità.

MailReach aiuta gli utenti Amazon SES a passare da “autenticati” a “che atterrano costantemente nella casella di posta” tramite:

  • Fare il warmup dei domini SES in sicurezza
  • Generare segnali di engagement positivi
  • Monitorare il posizionamento nella casella di posta su oltre 35 provider
  • Rilevare i problemi di spam in anticipo, prima che influenzino i ricavi

Se invii tramite Amazon SES, non fermarti all'autenticazione. Costruisci e monitora la reputazione prima di scalare con MailReach.

Non lasciare che i filtri antispam decidano il successo della tua campagna.

Riprendi il controllo della tua strategia email. Trova le lacune, risolvi i problemi e atterra dove conta.

Assicurati che le tue email arrivino nella casella di posta.

Una blacklist da sola non sempre compromette la tua deliverability, ma vale la pena controllare. Scansiona per problemi, fai un test spam e ottieni i prossimi passi chiari.

Indice:

Valutato 4.9 su Capterra
Smetti di perdere guadagni a causa di una deliverability scadente.

Una configurazione del dominio scadente o problemi con le email potrebbero tenerti fuori dalle caselle di posta. Testa la salute delle tue email e risolvi in pochi minuti.

Valutato 4.9 su Capterra
Il Warmup non è un'opzione, è essenziale.

Senza il warmup giusto, le tue migliori campagne sono inutili. Puoi iniziare testando il tuo inbox placement e iniziare a migliorarlo oggi stesso.

Inizia a usare MailReach ora e goditi il 20% di sconto per il primo mese del nostro Piano Pro.
Solo per attività di cold outreach B2B
Valutato 4.9 su Capterra
Finire nello spam costa più di quanto pensi.

Se i filtri spam ti stanno bloccando, stai perdendo lead, affari e guadagni. Testa il tuo placement e prendi il controllo.

Valutato 4.9 su Capterra
Le blacklist stanno tenendo le tue email fuori dalla casella di posta?

Solo perché sei in lista non significa che la tua deliverability sia condannata. Fai un test spam per vedere se le tue email stanno effettivamente arrivando, o se vengono bloccate.

Valutato 4.9 su Capterra
Pensi che la tua cold outreach non stia funzionando? Controlliamo.

Le email efficaci hanno bisogno di un'ottima deliverability. Metti alla prova il tuo posizionamento ora e assicurati che le tue email arrivino dove devono.

Valutato 4.9 su Capterra
Piccoli problemi, facilmente risolvibili, potrebbero essere il motivo per cui le tue email finiscono nello spam.

Fai un controllo dello stato di salute in pochi minuti e inizia a migliorare oggi stesso. Con MailReach!

Migliori Pratiche Email
Migliori Pratiche Email
Tutti i blog
I 5 migliori strumenti per il posizionamento nella casella di posta per ridurre il tasso di spam nel 2026

I 5 migliori strumenti per il posizionamento nella casella di posta per ridurre il tasso di spam nel 2026

Migliori Pratiche Email
Migliori Pratiche Email
Tutti i blog
Le 4 migliori alternative a Inbox Ally nel 2026

Le 4 migliori alternative a Inbox Ally nel 2026

Migliori Pratiche Email
Migliori Pratiche Email
Tutti i blog
Limiti di invio email di Google Workspace per il 2026: Una Guida Pratica per i Team di Cold Outreach

Limiti di invio email di Google Workspace per il 2026: Una Guida Pratica per i Team di Cold Outreach

Migliori Pratiche Email
Migliori Pratiche Email
Tutti i blog
Checklist di conformità email GDPR per il 2026

Checklist di conformità email GDPR per il 2026

Migliori Pratiche Email
Nessun elemento trovato.
Chiusure Email: Come chiudere le tue email come un professionista

Chiusure Email: Come chiudere le tue email come un professionista

Migliori Pratiche Email
Migliori Pratiche Email
Tutti i blog
Frequenza Email: Best Practice nel 2026: Quante volte dovresti inviare email?

Frequenza delle Email nel 2026: Trovare il Giusto Equilibrio per il Tuo Pubblico

Rimani un passo avanti anche ai filtri antispam più avanzati.

Assicurati il successo per le tue campagne di cold outreach B2B con lo spam score checker e lo strumento di email warmup di MailReach.