Autenticazione delle e-mail: metodi, best practice e importanza nel 2026

L'autenticazione delle e-mail è il processo tecnico che verifica l'identità del mittente utilizzando protocolli come SPF, DKIM e DMARC. Indica ai gestori delle caselle di posta elettronica: «Questa e-mail è autentica, non è contraffatta né è spam».

Senza un'autenticazione adeguata, le tue e-mail – per quanto siano pulite o ben scritte – rischiano molto di più di finire nella cartella dello spam o di essere bloccate del tutto. E nel 2026, con filtri più rigorosi e algoritmi più sofisticati, quel rischio sarà ancora maggiore.

Questa guida illustra i protocolli fondamentali, spiega come configurarli correttamente (senza interrompere il flusso attuale delle e-mail) e fornisce strumenti per verificare la configurazione, in modo da poter proteggere il proprio dominio e migliorare l'arrivo dei messaggi nella casella di posta con la massima sicurezza.

I tre elementi fondamentali: SPF, DKIM e DMARC

Non esiste un'autenticazione affidabile delle e-mail senza SPF, DKIM e DMARC. Questi tre protocolli costituiscono la base della fiducia che i provider di posta elettronica ripongono nel tuo dominio.

Immaginali come i tre lati di un triangolo della fiducia. Ognuno di essi si occupa di una parte diversa del processo di verifica e si integra con gli altri. Se un lato manca o non è allineato, l'intera struttura si indebolisce. Il risultato? Un impatto diretto sulla tua capacità di arrivare nella casella di posta in arrivo.

‍

SPF (Sender Policy Framework)

L'SPF specifica quali indirizzi IP o server sono autorizzati a inviare e-mail a nome del tuo dominio. Se un'e-mail proviene da una fonte non autorizzata, i provider di posta elettronica sono più propensi a contrassegnarla come contraffatta o spam. L'SPF è il tuo primo livello di protezione contro la contraffazione del dominio.

DKIM (DomainKeys Identified Mail)

DKIM appone una firma digitale alle tue e-mail utilizzando un sistema a chiave pubblica-privata. Ciò dimostra che il contenuto non è stato alterato durante il trasferimento. Se DKIM manca o non è valido, anche le e-mail legittime possono apparire sospette.

DMARC (Autenticazione dei messaggi basata sul dominio, segnalazione e conformità)

DMARC si basa su SPF e DKIM. Indica ai provider di posta elettronica come gestire le e-mail che non superano i controlli di autenticazione: se consegnarle, inviarle nella cartella dello spam o rifiutarle del tutto. Inoltre, fornisce rapporti dettagliati su chi utilizza il tuo dominio e sulle prestazioni delle tue e-mail.

Senza DMARC, non è possibile verificare chi invia messaggi dal proprio dominio né impedire ad altri di falsificarne l'identità. Inoltre, non si potrà sapere se SPF o DKIM non funzionano correttamente, il che significa che eventuali problemi di consegna potrebbero passare completamente inosservati. 

Guida alla configurazione passo dopo passo

Per far funzionare SPF, DKIM e DMARC, segui attentamente questi passaggi:

Passaggio 1: Elenca i tuoi fornitori di servizi di posta elettronica (ESP)

Prima di modificare qualsiasi impostazione DNS, dedica un minuto a fare un elenco di tutte le piattaforme che inviano e-mail utilizzando il tuo dominio. Tra queste figurano strumenti come:

• Google Workspace (Gmail): e-mail quotidiane
• Outlook/Office 365: e-mail interne o transazionali
• Brevo (precedentemente Sendinblue): newsletter o campagne
• Mailgun, Amazon SES, SendGrid: email automatiche o inviate tramite app
• Qualsiasi CRM, strumento per l'invio di email a freddo o servizio SMTP (anche se attivato da MailReach)

Passaggio 2: Accedi alle impostazioni DNS del tuo dominio

Ora che sai quali provider stai utilizzando, è il momento di aggiornare i record DNS del tuo dominio.

Per iniziare:

1. Accedi al tuo registrar di domini o al tuo provider DNS. Si tratta della società presso la quale hai acquistato o gestisci il tuo dominio, ad esempio:

• GoDaddy
• Namecheap
• Google Domains
• Cloudflare
• Bluehost
• OVH
• Hostinger

2. Trova le impostazioni DNS.

Il nome del menu può variare, ma cerca qualcosa del tipo:

• “Impostazioni DNS”
• “Gestisci il DNS”
• “Editor di zone DNS”
• “DNS avanzato”

3. Seleziona il dominio che desideri modificare. Se disponi di più domini, assicurati di aver selezionato quello corretto, ovvero quello da cui vengono effettivamente inviate le tue e-mail.

Nota: 💡 Non è necessario comprendere tutto ciò che viene spiegato in questa sezione, basta sapere come aggiungere un record TXT. È tutto ciò che serve per SPF, DKIM e DMARC.

Suggerimento: se non sai dove trovarlo, basta cercare:

Come accedere alle impostazioni DNS su [nome del tuo registrar]

La maggior parte dei registrar mette a disposizione semplici guide o pannelli di controllo con collegamenti diretti al DNS.

Passaggio 3: Configurazione dell'SPF

Inizia accedendo al tuo account presso il registrar di domini o il provider di hosting DNS, ovvero dove gestisci i tuoi record DNS (come GoDaddy, Cloudflare o Namecheap). Cerca una sezione denominata "Impostazioni DNS" o "Editor di zona".

Se il tuo dominio dispone già di un record SPF, questo apparirà come un record TXT che inizia con v=spf1. In caso contrario, dovrai crearne uno nuovo.

Supponiamo che tu utilizzi Google Workspace e SendGrid. Dovresti aggiungere un unico record SPF come questo:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

È consentito un solo record SPF per dominio. Se utilizzi più di uno strumento di posta elettronica, raggruppa tutte le voci "include:" in un'unica riga, senza creare record separati.

Dopo aver salvato le modifiche, potrebbero essere necessari da pochi minuti a qualche ora prima che entrino in vigore. Per sicurezza, attendi fino a 48 ore affinché la propagazione del DNS sia completa.

Una volta fatto, usa lo strumento SPF Checker di MailReach per verificare che sia configurato correttamente. Ti segnalerà eventuali problemi, come errori di sintassi o un numero eccessivo di ricerche, così potrai risolverli prima che compromettano la deliverability.

Passaggio 4: Aggiungere DKIM.

Per configurarlo:

• Genera la tua coppia di chiavi DKIM dal pannello di amministrazione della tua piattaforma di posta elettronica (ad esempio, Google Workspace, Zoho, Outlook). Cerca una sezione denominata "Autenticazione e-mail" o "Impostazioni DKIM". La chiave privata rimane presso il tuo provider e firma ogni e-mail in uscita.
• Copia la chiave pubblica e il selettore forniti dalla tua piattaforma. Questi dati servono per creare il record DNS.
• Aggiungi un record TXT alle impostazioni DNS del tuo dominio.

Esempio di formato:

Nome: default._domainkey.tuodominio.com

Valore: v=DKIM1; k=rsa; p=la tua chiave pubblica qui

• Incollalo esattamente come indicato. Anche piccoli errori di formattazione, come interruzioni di riga o caratteri mancanti, possono impedire il corretto funzionamento di DKIM.
• Salva e attendi che le modifiche al DNS vengano propagate. L'operazione può richiedere da pochi minuti a 48 ore.

Per verificare che tutto funzioni correttamente, esegui un test utilizzando lo strumento gratuito DKIM Checker di MailReach. In questo modo potrai verificare se il tuo dominio sta firmando correttamente le e-mail in uscita.

È possibile avere più record DKIM?

Sì. Se invii e-mail da più provider (ad esempio, Gmail per le comunicazioni interne e SendGrid per le campagne in uscita), dovrai creare un record DKIM separato per ciascun provider.

Ogni servizio di posta elettronica genera un proprio selettore e una propria chiave pubblica, che devono essere aggiunti al DNS del proprio dominio. Questi selettori aiutano i provider di caselle di posta a capire quale chiave utilizzare per verificare la firma di un messaggio.
Si tratta di una differenza importante rispetto all'SPF:

• SPF: un record per dominio (con tutti i provider elencati in un unico record)
• DKIM: un record per ogni provider di invio (ciascuno con un selettore e una chiave univoci)

Passaggio 5: Implementare DMARC

• Inizia con una politica "solo monitoraggio", in modo da poter effettuare dei test senza compromettere la deliverability:

            → L'impostazione "p=none " consente di ricevere i rapporti senza bloccare alcuna e-mail.

• Accedi al tuo provider DNS e aggiungi un nuovo record TXT.
  Esempio di formato:
  → Nome: _dmarc.tuodominio.com
  → Valore: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
  
  
• Inserisci un indirizzo e-mail valido nel campo "rua" per ricevere i rapporti DMARC. Questa casella di posta deve essere in grado di gestire allegati XML di grandi dimensioni.
  
  
• Salva e attendi che il DNS si aggiorni. La maggior parte delle modifiche diventa effettiva entro 24 ore, ma con alcuni provider potrebbero essere necessarie fino a 48 ore.
  
  
• Controlla i rapporti DMARC in arrivo dopo 24-48 ore. Ti mostreranno se i tuoi record SPF e DKIM sono validi, quali strumenti stanno inviando messaggi dal tuo dominio e se c'è qualcosa di sospetto.

Una volta che avrai la certezza che SPF e DKIM superano costantemente i controlli, potrai modificare gradualmente la tua politica in modo da: 

→ mettere in quarantena (inviare i messaggi non riusciti alla cartella dello spam), oppure

→ rifiuta (blocca completamente gli errori).

Errori comuni da evitare durante l'installazione

Anche un record scritto alla perfezione può fallire se configurato in modo errato. SPF, DKIM e DMARC si basano tutti su voci DNS precise, su un allineamento coerente dei domini e su un comportamento di invio corretto. Un solo errore in uno qualsiasi di questi elementi può compromettere silenziosamente la tua deliverability senza alcun preavviso.

Analizziamo i principali errori di configurazione in base al protocollo e vediamo come individuarli tempestivamente.

Errori comuni nella configurazione dell'autenticazione e-mail SPF

1. Troppe ricerche DNS
   SPF consente solo 10 ricerche DNS per record. Ogni record "include", "a" o "mx" viene conteggiato ai fini di questo limite. Se si supera il limite, il record viene completamente ignorato.
   
   
2. Record SPF multipli
   È possibile avere un solo record SPF per dominio. Se ne pubblichi più di uno, entrambi risulteranno non validi. Unisci tutte le voci in un unico record correttamente strutturato.
   
   
3. Piattaforma di invio mancante
   Se la tua piattaforma di posta elettronica (ad es. CRM, strumento di outreach a freddo) non è esplicitamente indicata nel record SPF, tali email potrebbero non essere recapitate senza alcun avviso. Aggiungi l'inclusione corretta: per ogni strumento, consulta la relativa documentazione per i dettagli.
   
   
4. Passare troppo presto a -all
   Un "hard fail" (-all) indica ai provider di caselle di posta di rifiutare tutti i mittenti non autorizzati. Sembra sicuro, ma se non hai ancora verificato tutto, potresti bloccare email legittime. Usa ~all (soft fail) durante i test per evitare incidenti.

Errori comuni nella configurazione dell'autenticazione DKIM delle e-mail

1. Nome del record TXT errato
   Il formato del selettore DKIM deve essere esatto:
   default._domainkey.yourdomain.com
   Anche un solo errore di battitura, un punto mancante o un prefisso errato lo renderanno non funzionante.
   
   
2. Formattazione errata della chiave pubblica
   Alcuni provider forniscono la chiave pubblica in blocchi. Se durante la copia si inseriscono spazi o interruzioni di riga in posizioni errate, i provider di caselle di posta non saranno in grado di analizzarla.
   
   
3. Dimenticare di abilitare la firma DKIM
   Anche se il record DNS è corretto, le tue e-mail non saranno firmate a meno che l' a attivamente abilitato all'interno della tua piattaforma di posta elettronica. Spesso si tratta di un'opzione nascosta nelle impostazioni di amministrazione.
   
   
4. Riutilizzo dei selettori
   Se due strumenti (come SendGrid e HubSpot) utilizzano lo stesso nome di selettore (ad es. "default"), i loro record potrebbero sovrascriversi a vicenda. Ciò causa errori silenziosi, specialmente quando si utilizzano più piattaforme di invio. 

Utilizza selettori univoci per ogni strumento e segui le istruzioni specifiche del fornitore.

Errori comuni nella configurazione dell'autenticazione e-mail DMARC

1. SPF e DKIM non sono allineati
   Il DMARC viene superato solo se SPF o DKIM hanno esito positivo E il dominio mittente corrisponde a quello indicato nell'indirizzo "Da:". Se la tua piattaforma utilizza un proprio dominio (come @mail.sendgrid.com), anche un SPF/DKIM valido non sarà considerato valido.
   
   
2. Inizia con una politica rigorosa
   . Impostare p=reject prima che i tuoi record siano stabili è rischioso. Potresti bloccare email legittime senza rendertene conto. Inizia con p=none per monitorare la situazione in tutta sicurezza. Passa alla quarantena o al rifiuto solo quando sei sicuro che tutto funzioni correttamente.
   
   
3. Ignorare i rapporti aggregati (rua)
   Molte aziende configurano i rapporti DMARC ma non li consultano mai. Si tratta di un'occasione persa per individuare casi di spoofing, errori di allineamento o configurazioni errate dei mittenti. Configura uno strumento di analisi dei rapporti DMARC ed esamina i rapporti settimanalmente, soprattutto dopo aver modificato i mittenti o gli strumenti di posta elettronica.
   
   
4. Errori di sintassi nel record TXT
   I tag DMARC sono molto delicati. Un solo punto e virgola, due punti o segno di uguale fuori posto — come ad esempio "aspf: r" invece di "aspf=r" — può invalidare l'intera politica.

Come risolvere i problemi di configurazione dell'autenticazione e-mail

Se le tue e-mail finiscono nella cartella dello spam, non vengono inviate o generano errori SPF/DKIM/DMARC, ecco come risolvere il problema in tutta sicurezza:

1. Invia un'e-mail di prova dal tuo strumento attivo
   Invia un messaggio a una casella di posta Gmail. Aprilo, clicca sul menu con i tre puntini e seleziona "Mostra originale". 

Verrà visualizzato un rapporto del tipo: spf=pass, dkim=fail, dmarc=fail  

Questo ti aiuta a individuare quale protocollo non funziona correttamente.

2. Eseguire controlli diagnostici utilizzando dati reali
   Utilizza strumenti di autenticazione delle e-mail per verificare la correttezza della tua configurazione dal punto di vista della casella di posta in arrivo:
   
   • Utilizza lo strumento SPF Checker di MailReach per verificare le inclusioni, la sintassi e i limiti di ricerca.
   • Utilizza lo strumento DKIM Checker di MailReach per verificare se i messaggi in uscita sono firmati e se la firma corrisponde.
   • Utilizza gli strumenti di monitoraggio DMARC per verificare la conformità del dominio e analizzare i modelli di errore.
     
     
3. Verifica la corrispondenza dei domini su
   Assicurati che il dominio presente nei campi Return-Path, From: e nella firma DKIM sia lo stesso. In caso contrario, anche i record validi non supereranno il controllo DMARC.
   
   
4. Monitoraggio continuo
   I controlli sporadici non bastano. Una piccola modifica al DNS o un nuovo strumento possono compromettere l'autenticazione senza che te ne accorga. MailReach segnala tempestivamente eventuali scostamenti, spoofing ed errori silenziosi per aiutarti a prevenire i problemi di deliverability.

Devi gestire più caselle email warmup servizio email warmup " email warmup di MailReach email warmup l'attività reale della casella di posta per proteggere la tua reputazione di mittente. 

Come MailReach semplifica l'autenticazione delle e-mail (senza complicazioni)

Non occorre essere esperti di DNS per evitare lo spam. MailReach ti aiuta a verificare la configurazione, a monitorare la reputazione del mittente e a individuare tempestivamente eventuali errori silenziosi in tutti i tuoi account di invio.

Ecco come ti aiuta in ogni fase:

• Visibilità SPF e DKIM: la dashboard di warmup di MailReach rileva gli errori SPF o DKIM in condizioni di invio reali. Ti aiuta a evitare congetture o a dover setacciare i log DNS.
  
  
• Rilevamento degli errori DMARC: pur non essendo uno strumento di monitoraggio DMARC, MailReach segnala quando le tue e-mail non superano i controlli DMARC durante le fasi di rodaggio o i test antispam, aiutandoti a intervenire prima che la deliverability subisca un calo.
  
  
• Un processo di rodaggio che crea fiducia: MailReach genera interazioni realistiche e naturali tra le caselle di posta di Gmail e Outlook, come rispondere, inoltrare e archiviare le e-mail, per aiutarti a ricostruire o migliorare la reputazione del tuo dominio. Allo stesso tempo, verifica che le tue configurazioni SPF, DKIM e DMARC funzionino correttamente.
  
  
• Test antispam con diagnostica di autenticazione: invia la tua email di campagna tramite il test antispam di MailReach per verificare dove viene recapitata (Posta in arrivo, Promozioni o Spam) su oltre 30 provider. Potrai inoltre verificare quali controlli di autenticazione sono stati superati o non superati e per quale motivo.
  
  
• API per la scalabilità: per i team che gestiscono decine di mittenti, l'API Warmup di MailReach consente di automatizzare i controlli di autenticazione, i warmup e gli avvisi dal proprio backend.

Sei pronto a smettere di tirare a indovinare e iniziare a gestire la tua casella di posta?

Prova MailReach e prendi il controllo della deliverability delle tue email con l'unico strumento di warmup pensato appositamente per gli operatori B2B e B2C nel mondo reale.

‍

Domande frequenti

E se configurassi solo SPF o DKIM?

Il controllo DMARC verrà comunque superato se almeno uno dei due, SPF o DKIM, è valido e allineato con il dominio del mittente. Tuttavia, affidarsi a uno solo di essi comporta delle lacune. Se SPF fallisce a causa di un problema di inoltro, DKIM può fungere da soluzione alternativa. Configurare entrambi garantisce un'autenticazione più affidabile e riduce i rischi legati alla consegna.

Dopo quanto tempo arrivano i rapporti DMARC?

I rapporti aggregati DMARC iniziano in genere ad arrivare entro 24 ore dalla pubblicazione del record. Questi rapporti vengono inviati quotidianamente dai principali provider di posta elettronica e includono un riepilogo delle fonti che hanno superato o fallito i controlli SPF e DKIM. Potrai ottenere un quadro più completo della situazione dopo alcuni giorni di invio regolare di e-mail.

Quanto è importante il processo di autenticazione nell'email marketing?

È fondamentale. L'autenticazione delle e-mail è alla base del rapporto di fiducia tra il tuo dominio e i provider di posta elettronica. Senza di essa, le tue e-mail rischiano maggiormente di finire nella cartella dello spam, di essere bloccate o di essere oggetto di spoofing da parte di malintenzionati. 

Una corretta configurazione di SPF, DKIM e DMARC è ciò che distingue un mittente affidabile da uno sospetto agli occhi di Gmail, Outlook e altri servizi.

Cosa significa quando un'e-mail non è autenticata?

Un'e-mail non autenticata non è stata sottoposta a un'adeguata verifica tramite SPF, DKIM o DMARC. I provider di posta elettronica non sono in grado di confermare se provenga dal tuo dominio o se sia stata manomessa durante la consegna. Un'e-mail di questo tipo rischia maggiormente di essere contrassegnata come spam, segnalata come sospetta o respinta del tutto. 

‍