Errore DMARC: guida completa alla risoluzione dei problemi per le email a freddo B2B (2026)

Se hai già avuto a che fare con errori DMARC, ne conosci bene i sintomi: email che finiscono nella cartella dello spam, calo dei tassi di risposta e attività di outreach che subiscono un rallentamento proprio nel momento meno opportuno.

E probabilmente avrai già sentito il solito consiglio: 

• Controlla l'SPF
• Allinea DKIM
• Configurare una politica DMARC

Questo funziona nei casi più semplici. 

Per i mittenti B2C o le e-mail transazionali, potrebbe anche essere sufficiente. Ma il cold outreach B2B funziona in modo diverso. Spesso si inviano e-mail da più domini, utilizzando strumenti diversi e affidandosi a configurazioni che cambiano a ogni campagna. In un contesto del genere, le soluzioni superficiali non reggono.

Il problema, di solito, è che la configurazione non è allineata tra i vari sistemi. L'autenticazione fallisce in qualche punto della catena e non te ne accorgi finché la deliverability non cala.

Questa guida va dritto al cuore delle vere cause degli errori DMARC nelle campagne di outreach a freddo e spiega cosa fare quando i consigli standard non bastano.

Cominciamo col capire innanzitutto quali sono le cause di questi guasti.

Perché il DMARC non funziona nel cold outreach B2B

I modelli di insuccesso più comuni che riscontriamo nei team di crescita, nelle agenzie e nelle operazioni di outbound sono:

Domini non allineati tra le campagne

Molti team B2B utilizzano sottodomini per separare il traffico in uscita. Ad esempio, il team di marketing potrebbe inviare newsletter da brand.com, mentre gli SDR potrebbero utilizzare sales.brand.com o anche brandhq.io. Se questi non sono correttamente autenticati con record SPF, DKIM e DMARC coerenti, l'allineamento non funziona.

Anche piccole differenze, come la mancanza di un tag p= in un record DNS, possono impedire la consegna delle e-mail senza alcun preavviso.

Strumenti per l'invio di email a freddo con configurazione dell'autenticazione incompleta

Molte piattaforme di outreach a freddo promettono funzionalità integrate di deliverability e automazione. Tuttavia, la maggior parte di esse non fornisce una guida completa alla configurazione del DNS. Spesso danno per scontato che SPF e DKIM siano “configurati automaticamente”, quando in realtà i record sono incompleti o non allineati. Si finisce così per credere che tutto funzioni, salvo poi scoprire che le e-mail vengono silenziosamente respinte a causa del DMARC.

La situazione peggiora se si utilizzano più strumenti in campagne o aree geografiche diverse. Una sola piattaforma configurata in modo errato può compromettere la reputazione dell'intero dominio.

Le incongruenze nell'indirizzo del mittente causano errori di allineamento

Anche se i tuoi domini sono allineati, eventuali incongruenze negli indirizzi del mittente, come il passaggio da hello@brand.com a outreach@brandhq.io e poi a reply@brand.co, possono causare problemi di autenticazione. DMARC verifica la corrispondenza tra ciò che è visibile al destinatario e ciò che è riportato nelle intestazioni dell'e-mail.

Questa è una delle cause principali più comuni degli errori di autenticazione DNS DMARC nelle campagne "a freddo" reali.

Modifiche al DNS o cambi di strumento che compromettono i record

Cambiare strumento di posta elettronica, aggiungere nuovi domini o migrare il provider DNS comporta dei rischi. Le modifiche possono richiedere ore per propagarsi ed è frequente che la configurazione risulti incompleta. Un record TXT o un CNAME trascurato può compromettere l'intero sistema, e la maggior parte delle piattaforme di email a freddo non ti avvisa quando ciò accade.

Spesso è proprio durante questi periodi di transizione che i mittenti iniziano a ricevere avvisi del tipo "Mailchimp DMARC fail", senza rendersi conto che ciò è legato ai recenti cambiamenti apportati all'infrastruttura.

Conflitti tra i sistemi di posta elettronica aziendali e gli strumenti di comunicazione

Se utilizzi Google Workspace o Office 365 per le operazioni quotidiane e integri strumenti come Instantly o Mailshake, è facile che si verifichino conflitti. I record SPF a livello aziendale potrebbero non includere gli indirizzi IP del tuo strumento di outreach. Il DKIM potrebbe non essere configurato per l'invio esterno.

Anche LinkedIn, uno dei marchi più spesso oggetto di spoofing negli attacchi di phishing, deve aver rafforzato la propria configurazione DMARC adottando una rigorosa politica "p=reject" per prevenire lo spoofing e l'uso improprio dei domini. Se piattaforme di tale portata applicano misure di autenticazione per proteggere le comunicazioni, nemmeno i team che gestiscono le comunicazioni in uscita possono permettersi di ignorarle.

Strumenti diagnostici avanzati, come il test antispam di MailReach, possono individuare con precisione quale disallineamento sta compromettendo la deliverability.

Leggi anche: Migliora la deliverability delle tue e-mail: le 18 azioni da intraprendere (2026)

Come individuare un errore DMARC

 Per individuare un errore DMARC, controlla i tuoi rapporti DMARC per verificare i risultati dell'autenticazione, verifica l'allineamento SPF e DKIM tra il tuo dominio "Da" e il dominio mittente, e verifica le intestazioni delle tue e-mail utilizzando strumenti come MXToolbox o DMARC Analyzer per individuare quale controllo di autenticazione non sta andando a buon fine.

Ecco come individuare in modo sistematico la causa del guasto:

Passaggio 1: Controlla i tuoi rapporti DMARC

Verifica che il tuo DNS sia configurato correttamente per l'invio dei rapporti aggregati DMARC. Se il tuo record DMARC include un tag rua= valido, riceverai rapporti in formato XML che indicano quali fonti inviano e-mail a tuo nome e se hanno superato i controlli SPF e DKIM.

Fai attenzione a segnali di allarme come:

• Indirizzi IP o domini mittenti che non riconosci
• Strumenti legittimi che non superano i controlli SPF o DKIM
• Picchi di volume imprevisti provenienti da un'unica fonte

Fase 2: Eseguire i controlli di autenticazione di base

Utilizza lo strumento di verifica SPF e quello di verifica DKIM di MailReach per controllare le tue configurazioni. Questi strumenti richiedono l'invio di un'e-mail, per poi verificare le risposte di Google e Microsoft ai tuoi record SPF e DKIM. Questa verifica end-to-end controlla la correttezza di ciascun protocollo, rendendola il metodo più affidabile per testare SPF e DKIM.

Ma c'è un problema: anche se la tua configurazione tecnicamente "supera il controllo", se il tuo dominio "da" non corrisponde al dominio autenticato, Gmail potrebbe comunque contrassegnare la tua email.

Fase 3: Tieni traccia del percorso delle tue e-mail a freddo

Sono i titoli a rivelare la vera storia. Ecco come verificare:

• Invia un'e-mail di prova a te stesso o a una casella di posta Gmail
• Apri le intestazioni complete e controlla i campi Return-Path, From e Received
• Confrontali con i tuoi record DNS e con la documentazione dello strumento di invio

Se il tuo strumento di comunicazione invia i messaggi tramite i propri server ma il tuo DNS non li ha autorizzati, si verificheranno delle discrepanze. Ciò può causare il fallimento del controllo DMARC, anche se i controlli SPF e DKIM superano singolarmente la verifica. 

Fase 4: Verifica della deliverability in condizioni reali 

Utilizza uno strumento specifico per le email a freddo, come lo spam test di MailReach, per:

• Invia email di prova a oltre 30 caselle di posta reali (Gmail, Outlook, Yahoo, ecc.)
• Controlla la posizione delle schede "Posta in arrivo", "Spam" e "Promozioni "
• Individuare i problemi relativi alla reputazione dei domini che variano a seconda del provider
• Confronta i risultati con l'impostazione e le intestazioni effettive delle tue email a freddo
• Rilevare i filtri basati sui contenuti o sulla reputazione

Questo va ben oltre un semplice controllo statico di superamento o meno del test. Ti mostra come i provider di caselle di posta trattano le tue e-mail in produzione e spiega perché uno strumento di warmup che indica che "superi il test DMARC" potrebbe comunque far finire le tue e-mail nella cartella dello spam.

Procedura per risolvere l'errore DMARC nelle e-mail di contatto a freddo B2B

Ecco il tuo piano d'azione con le priorità per risolvere gli errori DMARC e ripristinare la deliverability delle email a freddo. Ogni soluzione è elencata in ordine di impatto e difficoltà, così potrai risolvere prima le questioni più importanti senza compromettere l'intero sistema.

Risultati immediati (risoluzione entro 24-48 ore)

1. Assicurati che il dominio del mittente corrisponda al dominio di invio

Aggiorna i tuoi record DNS per autorizzare il dominio esatto che compare nel tuo indirizzo "Da". Inoltre, utilizza uno strumento di verifica della propagazione DNS a livello globale (ad esempio, whatsmydns.net) per assicurarti che gli aggiornamenti dei record siano effettivi in tutte le regioni. 

2. Configura correttamente DKIM per il tuo strumento di email a freddo

‍Alcunistrumenti saltano questo passaggio o sostengono che sia "configurato automaticamente". Non fidarti ciecamente di questi strumenti.

Manualmente:

• Aggiungi il record TXT DKIM fornito dal tuo strumento
• Assicurati che il selettore e il dominio corrispondano esattamente
• Utilizza uno strumento di verifica DKIM per verificare che sia valido

Se la verifica DKIM non va a buon fine, le tue e-mail corrono un alto rischio di essere contrassegnate o ignorate da Gmail e Outlook, anche se la verifica SPF ha esito positivo.

3. Imposta la tua politica DMARC in modo che metta in quarantena (anziché rifiutare)

Impostando direttamente p=reject si bloccano tutti gli invii non autenticati, comprese le incongruenze innocue o gli strumenti appena aggiunti.

Durante la risoluzione dei problemi, imposta la politica su p=quarantine in modo da poter monitorare gli errori di autenticazione senza rischiare che i messaggi finiscano nella posta in arrivo. Puoi anche aggiungere un tag ruf= per ottenere rapporti forensi sugli errori. Questi forniscono ulteriori dettagli sui motivi per cui i messaggi non sono stati recapitati.

Esempio di record DMARC:
v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com

Una volta verificato che tutte le fonti di invio siano allineate, è possibile impostare p=reject.Correzioni a medio termine (1–2 settimane)

4. Utilizzare i sottodomini per le attività di outreach a freddo

Isolare il traffico delle email a freddo su un sottodominio come outreach.brand.com protegge la reputazione del tuo dominio principale e ti offre la flessibilità necessaria per testare e ottimizzare le attività di outreach a freddo senza compromettere la deliverability di base.

Configura l'autenticazione completa tramite SPF, DKIM e DMARC sul sottodominio e assicurati che il tuo strumento di email a freddo invii messaggi solo da quel dominio, non dal dominio principale.

5. Coordinare le diverse piattaforme di invio

Se utilizzi Lemlist per le attività di outreach, MailerSend per le notifiche e Google Workspace per la comunicazione interna, la configurazione di SPF e DKIM può diventare presto complicata.

Attenzione a:

• Tra le oltre 10 operazioni figurano: le ricerche nel tuo record SPF (questo lo renderà non funzionante)
• I selettori DKIM vengono riutilizzati in più strumenti
• I vecchi record DNS provenienti da strumenti disattivati: se sono ancora attivi e causano interferenze

Metti in ordine la configurazione DNS, disattiva le piattaforme inutilizzate e documenta a quale strumento corrispondono i vari selettori. In questo modo si evitano conflitti di autenticazione nascosti che causano silenziosamente errori DMARC. 

Correzioni in corso

6. Controlla nel tempo la tua conformità al DMARC

Non basta configurare l'autenticazione una volta sola. Gli strumenti di outreach a freddo si evolvono, le modalità di invio cambiano e anche piccole modifiche al DNS possono causare nuovi problemi. Il monitoraggio costante è l'unico modo per stare al passo con i tempi.

Quindi, monitorare:

• Aggregare i rapporti DMARC (tramite il tag rua=)
• Rapporti sui guasti forensi (tramite il tag ruf=)
• Andamento della consegna nella posta in arrivo su Gmail, Outlook, Yahoo e altri provider

Con email warmup di MailReach, puoi monitorare la reputazione del dominio, automatizzare i test di consegna nella posta in arrivo e ricevere avvisi quando l'autenticazione o la consegna iniziano a peggiorare.

Strategie DMARC avanzate per il successo delle email a freddo

Una volta risolti gli errori DMARC più urgenti, inizia il vero lavoro: creare un sistema che impedisca che si ripetano. Ecco come fare: 

Strategia 1: Creare un'infrastruttura con domini secondari

Il tuo dominio principale è il biglietto da visita del tuo marchio. Per le attività di cold outreach nel settore B2B, utilizza domini secondari con estensioni note come .com, .co o .io e configurali appositamente per le campagne di email a freddo.

In questo modo si ottiene una netta separazione tra le e-mail di marketing, i messaggi transazionali e le attività di outreach a freddo. Ogni sottodominio dispone di una propria configurazione SPF, DKIM e DMARC, il che elimina i conflitti e semplifica la risoluzione dei problemi. Se un processo di warm-up va a monte o una campagna fa scattare i filtri antispam, il danno rimane circoscritto a quel sottodominio, anziché estendersi all'intero marchio.

Strategia 2: gestire ogni casella di posta come una risorsa indipendente

Per garantire davvero la recapitabilità, è necessario considerare ogni casella di posta come un'unità di prestazione a sé stante. Ognuna di esse presenta una reputazione del mittente, un'impronta di attività e un livello di rischio distinti.

Non è possibile applicare la stessa logica di "riscaldamento" in modo indiscriminato. Una casella di posta che invia messaggi troppo rapidamente, risponde troppo poco o si comporta in modo irregolare può compromettere la credibilità delle altre caselle presenti sullo stesso sottodominio. Ciò che conta non è solo il numero di email inviate, ma anche il comportamento di ciascuna casella di posta e la fiducia che i provider attribuiscono a tali modelli.

Gestire le caselle di posta in modo individuale significa:

• Impostazione di diversi programmi di riscaldamento in base al tipo di casella di posta, all'età e allo stato di salute attuale
• Monitoraggio dei tassi di risposta, dell'arrivo nella casella di posta e del coinvolgimento per casella di posta
• Capire quali caselle di posta stanno migliorando la reputazione e quali invece la stanno compromettendo

È proprio qui che la maggior parte delle configurazioni manuali fallisce. È difficile mantenere quel livello di controllo senza il sistema giusto.

email warmup di MailReach è stata progettata proprio per questo. Assegna pianificazioni di warmup personalizzate a ogni casella di posta, simula conversazioni reali e costruisce la reputazione del mittente attraverso modelli simili a quelli umani. Ogni casella di posta viene sottoposta a warmup in modo indipendente, il che mantiene il tuo dominio in buona salute anche man mano che la tua attività cresce.

Strategia 3: Monitorare in modo proattivo lo stato di salute del dominio e i segnali DMARC

La maggior parte delle aziende si rende conto che qualcosa non funziona solo quando le e-mail iniziano a finire nella cartella dello spam o smettono di essere recapitate. A quel punto, hai già perso delle opportunità e compromesso la reputazione del mittente.

L'approccio migliore consiste nel monitorare gli indicatori chiave prima che i problemi si aggravino. Ecco cosa tenere sotto controllo:

• Analisi del rapporto settimanale DMARC tramite i tag rua= e ruf=
• Test periodici di consegna nella posta in arrivo su Gmail, Outlook e Yahoo
• Avvisi automatici in caso di modifiche al DNS, problemi di warmup o cali nella deliverability

Se il monitoraggio manuale risulta complesso, ricorri a strumenti di monitoraggio come MailReach. La sua dashboard di monitoraggio offre una visibilità in tempo reale su tutte le tue caselle di posta e i tuoi domini, inviando avvisi non appena si verifica un cambiamento che potrebbe causare errori DMARC. 

Strategia 4: Scegli strumenti in grado di adattarsi alla crescita della tua attività

Gli strumenti offrono un'infrastruttura progettata per gestire scalabilità e complessità.

Ad esempio, MailReach affronta in modo specifico queste sfide per i team B2B:

• Raggruppamento a livello di casella di posta: contrassegna e organizza le caselle di posta per campagna, dominio o cliente per mantenere una chiara separazione
• Pianificazione automatica del warm-up: ogni casella di posta segue il proprio schema di warm-up ottimizzato senza necessità di supervisione manuale
• Test continui di deliverability: monitoraggio in tempo reale dell'arrivo dei messaggi nella casella di posta in arrivo presso tutti i principali provider
• Avvisi integrati: notifiche su Slack e tramite webhook quando si verificano problemi, prima che questi abbiano ripercussioni sulle campagne

Questo approccio trasforma la deliverability delle e-mail da una situazione di emergenza continua a un sistema gestito e prevedibile. 

Prova MailReach
‍

Domandefrequenti

1. Perché il mio DMARC risulta conforme, ma le e-mail finiscono comunque nella cartella dello spam?

Il superamento del controllo DMARC conferma solo che la configurazione tecnica è corretta, ma non che i provider di posta elettronica considerino affidabile il tuo dominio. Gmail e Outlook utilizzano molti altri indicatori, come la reputazione del dominio, il coinvolgimento degli utenti, il volume di invio e i modelli di contenuto, per verificare l'affidabilità delle e-mail. Anche un'e-mail correttamente autenticata può finire nella cartella dello spam se il dominio non gode di affidabilità o non ha una storia consolidata.

2. Qual è la differenza tra SPF, DKIM e DMARC?

SPFindica ai provider di posta elettronica quali indirizzi IP sono autorizzati a inviare messaggi a tuo nome. DKIM aggiunge una firma crittografica per confermare che il messaggio non sia stato alterato. DMARC si basa su questi due meccanismi per verificare se il dominio del mittente corrisponde a quelli convalidati da SPF o DKIM. Assicura la conformità e contribuisce a prevenire lo spoofing.

3. Posso utilizzare lo stesso record DKIM per più strumenti?

È necessario un record DKIM per ogni provider di servizi di posta elettronica (ESP). Ogni ESP dovrebbe generare il proprio selettore e la propria chiave DKIM. Il riutilizzo dei selettori su più piattaforme può causare errori di verifica o conflitti DNS. La creazione di record separati per ogni ESP garantisce un'autenticazione stabile e semplifica la risoluzione dei problemi.

4. Perché DMARC fallisce anche quando SPF e DKIM superano il controllo?

‍Questo perchéDMARC verifica anche se il dominio presente nell'indirizzo "Da" visibile corrisponde ai domini convalidati da SPF o DKIM. Se il tuo strumento invia messaggi da un dominio diverso da quello autenticato, DMARC restituirà un errore nonostante i singoli controlli abbiano esito positivo. Questo fenomeno è noto come problema di allineamento dei domini.

5. È sicuro utilizzare p=reject fin dall'inizio?

A meno chetunonsia certo che ogni mittente sia correttamente autenticato. Impostare troppo presto l'opzione p=reject può bloccare email legittime, specialmente se stai utilizzando nuovi strumenti o non hai completato la configurazione. Inizia con p=none o p=quarantine per monitorare e individuare eventuali problemi.

6. Con quale frequenza dovrei controllare la mia configurazione di autenticazione?

Almeno una volta al trimestre, ma controllalo ogni volta che cambi strumenti, aggiungi nuove caselle di posta o aggiorni i record DNS. Anche un solo record obsoleto o in conflitto può causare errori invisibili. Controlli regolari aiutano a individuare i problemi in anticipo ed evitare di danneggiare la reputazione del mittente.