Come configurare DKIM e far arrivare finalmente le tue email a freddo nelle caselle di posta in arrivo

Se stai configurando un nuovo dominio per l'email marketing a freddo e il tuo indirizzo email è simile a outreach.tuaazienda.com, la prima cosa che devi fare è autenticarlo correttamente. 

In caso contrario, i provider di posta elettronica come Gmail e Outlook potrebbero considerare le tue e-mail come sospette. Inoltre, con l'inasprimento dei filtri previsto per il 2024, anche i mittenti con un volume di invii ridotto stanno vedendo le loro e-mail legittime finire nella cartella dello spam.

Configurare DKIM è il modo per dimostrare che le tue e-mail sono autentiche, non contraffatte né manomesse.

Se manca, potresti già aver notato che:

❌ Errori "DKIM mancante" nel tuo strumento di warm-up 

❌ Le intestazioni di Gmail riportano "dkim=fail"

❌ Campagne con risultati deludenti, caratterizzate da un basso tasso di aperture, un'elevata percentuale di messaggi classificati come spam e nessuna risposta

In questa guida ti spiegheremo passo dopo passo come configurare DKIM, a seconda della tua configurazione:

• Se utilizzi Google Workspace, ti mostreremo come generare e attivare DKIM nella console di amministrazione

• Se utilizzi Microsoft 365, ti spiegheremo come configurarlo nel portale di Defender

• Se utilizzi un dominio personalizzato su GoDaddy o Cloudflare, ti spiegheremo come aggiungere manualmente i record corretti, anche se non hai mai avuto a che fare con il DNS prima d'ora

Guida rapida: scegli il tuo percorso DKIM

• Usi Gmail (Google Workspace)? Configuralo nella Console di amministrazione di Google
  
• Usi Outlook (Microsoft 365)? Configuralo in Microsoft Defender + DNS
  
• Utilizzi un dominio personalizzato con strumenti come Instantly, Smartlead o ActiveCampaign? Aggiungi i record DKIM nel tuo provider DNS (come GoDaddy)

Come funziona DKIM

Ogni volta che invii un'e-mail, DKIM vi aggiunge una firma digitale invisibile. Tale firma dimostra due cose:

1. L'e-mail proviene davvero dal tuo dominio
   
2. Il contenuto non è stato modificato dopo che hai cliccato su "Invia"

Ecco come funziona, in parole semplici:

• Il tuo sistema di posta elettronica utilizza una chiave privata per «firmare» ogni email in modo invisibile.
  
• Quella firma è allegata all'intestazione dell'e-mail (tu non la vedi, ma i server di posta sì).
  
• Quando viene ricevuta l'e-mail, il server di posta cerca la tua chiave pubblica, che è memorizzata nei record DNS del tuo dominio.
  
• Utilizza la chiave pubblica per verificare la firma.
  
  
  • Se la verifica ha esito positivo: l'e-mail supera il controllo DKIM
    
  • In caso contrario: potrebbe essere segnalato come sospetto
    

Spesso lo vedrai comparire nelle intestazioni delle tue e-mail in una forma simile a questa:
dkim=pass header.i=@yourcompany.com

Se quella riga manca o riporta il messaggio "dkim=fail", è più probabile che le tue e-mail finiscano nella cartella dello spam o vengano bloccate del tutto.

Perché il DKIM è più importante che mai

Nel 2024, Gmail e Yahoo hanno iniziato ad applicare requisiti rigorosi a chiunque invii più di 5.000 e-mail al giorno, compresi i contatti a freddo e il traffico di riscaldamento. Il DKIM non è più facoltativo se vuoi che le tue e-mail arrivino a destinazione.

Anche se invii meno di 5.000 e-mail, il mancato superamento dei controlli DKIM ti espone comunque al rischio di finire nella cartella dello spam. Ecco perché gli strumenti di deliverability come MailReach verificano la presenza di un record DKIM valido.

Se in MailReach viene visualizzato l'errore "DKIM mancante", significa che le tue e-mail non sono firmate e che i servizi di posta come Gmail non possono verificare che provengano effettivamente da te.

Finché il problema non verrà risolto, le tue comunicazioni risulteranno invisibili o verranno segnalate come inaffidabili. Il DKIM è uno dei primi e più importanti passi da compiere per garantire la visibilità dei tuoi messaggi.

Prima di configurare DKIM: cosa ti serve

1. Accesso alle impostazioni DNS del tuo dominio

Dovrai accedere al tuo provider DNS, come GoDaddy, Cloudflare o Namecheap, per aggiungere un record TXT o CNAME. Se non hai accesso, chiedilo a chi gestisce il tuo dominio.

2. Accesso alla tua piattaforma di invio e-mail

Le chiavi DKIM vengono generate all'interno della piattaforma che invia le tue e-mail, ovvero Google Workspace, Microsoft 365, Zoho o Mailgun. 

Prima di aggiungere il record DNS, è necessario configurare la piattaforma in modo che apponga la firma alle tue e-mail.

3. Chiarezza su chi invia le e-mail dal tuo dominio

Le email a freddo possono essere inviate tramite strumenti come Instantly, Smartlead o Lemlist. Le email di marketing possono provenire da Mailchimp o Brevo.

Le e-mail transazionali potrebbero essere inviate tramite SendGrid, Postmark o Amazon SES.

Di solito, ciascuno richiede un proprio record DKIM con un selettore univoco. Se utilizzi più strumenti, dovrai aggiungere più record.

4. Un modo per verificare se funziona

Non dare per scontato che funzioni dopo aver pubblicato il record. È bene verificare che le e-mail vengano effettivamente firmate.

Una volta completata la configurazione, utilizza lo strumento gratuito DKIM Checker di MailReach. Ti spiegheremo come farlo più avanti in questo articolo (scorri fino in fondo). 

Come configurare DKIM

La configurazione di DKIM varia a seconda del provider di posta elettronica. Di seguito sono elencate le piattaforme più comuni. Scegli quella che utilizzi e segui alla lettera le istruzioni. 

Configurazione di DKIM in Google Workspace (Gmail)

1. Accedi alla Console di amministrazione di Google utilizzando un account di superamministratore. Si tratta dell'account amministratore principale utilizzato per configurare Google Workspace per il tuo dominio. Se non hai accesso a tale account, dovrai rivolgerti al tuo amministratore IT o al responsabile del dominio.

Una volta effettuato l'accesso, vai su: App → Google Workspace → Gmail → Autenticazione e-mail
Qui vedrai un elenco dei domini collegati al tuo account. Seleziona il dominio che utilizzi per inviare e-mail (ad esempio, la-tua-azienda.com). Se DKIM non è ancora configurato, vedrai un pulsante con la dicitura "Genera nuovo record". Cliccaci sopra.

 2. Ti verrà ora chiesto di scegliere due cose:

• Un nome per il selettore (basta usare "google", che è quello predefinito. Non è necessario personalizzarlo, a meno che non ci sia un motivo specifico)
• Una lunghezza della chiave (scegli 2048 bit, che è più sicura e raccomandata da Google)
  
  

Fai clic su "Genera". Google ti mostrerà quindi due informazioni importanti:

• Un nome host DNS (ad es., google._domainkey.tuaazienda.com)
  
  
• Il valore di un record TXT — una stringa molto lunga che inizia con v=DKIM1; k=rsa; p=... Questa è la tua chiave pubblica DKIM e ora devi pubblicarla affinché i server di posta possano trovarla.

3. Apri la dashboard del tuo provider DNS. Si tratta del servizio presso cui è ospitato il tuo dominio. Tra i più diffusi ci sono GoDaddy, Cloudflare, Namecheap o Google Domains. Dovrai aggiungere un record TXT, cosa che potrebbe sembrare complicata, ma in realtà si tratta solo di un semplice copia-incolla.

4. Nella dashboard del tuo DNS, clicca su “Aggiungi nuovo record” e seleziona:

• Tipo: TXT
  
• Nome / Host: google._domainkey (non inserire il dominio completo a meno che il tuo provider non lo richieda — molti compilano automaticamente questa parte)
  
• Valore: incolla la stringa completa della chiave fornita da Google
  

Salva il record. Le modifiche al DNS vengono solitamente propagate entro 5–30 minuti, ma in casi rari possono richiedere fino a 24 ore.

5. Ora torna alla Console di amministrazione di Google e clicca su “Avvia autenticazione”. In questo modo indichi a Google di iniziare a firmare tutte le tue email in uscita con quella chiave DKIM. Se viene visualizzato un errore, probabilmente è perché il record DNS non si è ancora propagato. Attendi 10–30 minuti e riprova.

6. Una volta avviata l’autenticazione, Google mostrerà lo stato “Autenticazione email con DKIM”. Ciò significa che è attivo.

7. Per confermare che tutto funzioni, invia un'e-mail di prova dal tuo dominio a un account Gmail (come quello personale). Apri l'e-mail, clicca sui tre puntini in alto a destra e scegli "Mostra originale". Scorri verso il basso e cerca questa riga:

dkim=pass header.i=@yourcompany.com

Se vedi questo messaggio, sei a posto. Il tuo dominio è ora protetto da DKIM e le tue e-mail avranno maggiori possibilità di arrivare nella posta in arrivo, anziché finire nella cartella dello spam.

Basta farlo una volta per ogni dominio e il gioco è fatto. Il DKIM non cambia spesso, ma consigliamo di eseguire un rapido test antispam settimanale o dopo ogni modifica al DNS. Questo aiuta a individuare eventuali problemi accidentali prima che compromettano la consegna dei messaggi.

✅ Configurazione di DKIM in Microsoft 365 (Outlook / Office 365)

Se la tua posta elettronica aziendale utilizza Microsoft 365 (ad esempio Outlook), i tuoi messaggi vengono firmati di default con la chiave DKIM condivisa di Microsoft associata a onmicrosoft.com, il che non è l'ideale, soprattutto se stai effettuando contatti a freddo. È consigliabile utilizzare la chiave DKIM del proprio dominio, in modo che i messaggi appaiano legittimi e affidabili, in particolare a Gmail e ad altri filtri antispam.

1. Inizia accedendo al portale di Microsoft 365 Defender come amministratore:
   
   
2. Vai su https://security.microsoft.com → quindi seleziona:
   Posta elettronica e collaborazione → Politiche e regole → Politiche sulle minacce → DKIM
   
   
3. Qui vedrai un elenco dei tuoi domini di posta elettronica. Individua il dominio dal quale invii le e-mail (ad esempio, la tuaazienda.com) e cliccaci sopra.
   
   
4. Se DKIM non è ancora stato configurato, vedrai l'opzione "Crea chiavi DKIM". Cliccaci sopra. Microsoft genererà ora due record DNS che dovrai aggiungere alle impostazioni DNS del tuo dominio. Si tratta di record CNAME, non TXT, e dovrai aggiungerli entrambi.
   
   
5. Microsoft ti indicherà i valori da utilizzare. Per ciascuno di essi, otterrai:

• Un nome/host del tipo selector1._domainkey.tuaazienda.com
  
  
• A Points to / Value like: selector1-yourcompany-com._domainkey.<region>.onmicrosoft.com
  
  

6. Copia entrambi questi record: uno per selector1 e uno per selector2.
7. A questo punto, vai sul sito del tuo provider DNS (ad esempio GoDaddy, Cloudflare, Namecheap o qualsiasi altro servizio su cui gestisci il tuo dominio).
8. Aggiungi due nuovi record CNAME, utilizzando i nomi e i valori esatti forniti da Microsoft:
   
   

• Tipo: CNAME
  
  
• Nome: selector1._domainkey
  
  
• Value: selector1-yourcompany-com._domainkey.<region>.onmicrosoft.com
  

• Tipo: CNAME
  
  
• Nome: selector2._domainkey
  
  
• Value: selector2-yourcompany-com._domainkey.<region>.onmicrosoft.com
  Save both records. Make sure to replace <region> with what Microsoft shows (like europe or us), and match your actual domain. Once added, give the records some time to propagate—5 minutes to a few hours depending on your DNS provider.
  
  

9. Una volta salvati i record e dopo aver atteso qualche istante affinché vengano propagati, torna al portale di Microsoft Defender in cui hai creato le chiavi.
10. A questo punto vedrai un pulsante con una dicitura del tipo «Firma i messaggi per questo dominio con firme DKIM». Attiva il pulsante.

Se tutto è configurato correttamente, Microsoft confermerà che DKIM è ora attivo. Da quel momento in poi, ogni e-mail inviata dal tuo dominio tramite Microsoft 365 verrà firmata utilizzando le chiavi DKIM del tuo dominio.

Per verificare che tutto funzioni correttamente:

• Invia un'e-mail di prova a una casella di posta Gmail o Yahoo
  
  
• Apri il messaggio → clicca sul menu con i tre puntini →“Mostra originale”
  
  
• Cerca questa riga:
  dkim=pass header.i=@yourcompany.com
  
  

Se vedi dkim=pass, congratulazioni, funziona tutto.

Una volta fatto, non dovrai più toccarlo, a meno che non modifichi il tuo DNS o desideri ruotare le chiavi per motivi di sicurezza. Microsoft gestirà automaticamente la rotazione delle chiavi in background utilizzando quei due selettori (selector1 e selector2), quindi sei a posto.

Perché è importante: senza questa configurazione, le tue e-mail potrebbero essere segnalate come sospette, soprattutto con le nuove regole di Gmail relative ai mittenti che inviano messaggi in massa. Il DKIM ti aiuta a costruire una solida reputazione come mittente, fondamentale se stai effettuando campagne di outreach a freddo o riscaldando le caselle email warmup tramite email warmup come MailReach.

Configurazione di DKIM con altri provider di posta elettronica (GoDaddy, Zoho, Mailchimp)

Anche se non utilizzi Google Workspace o Microsoft 365 per inviare e-mail, dovrai configurare DKIM

La maggior parte dei fornitori, tra cui GoDaddy Email Hosting, Zoho Mail, Mailchimp, SendGrid o Brevo, genera un codice DKIM che devi copiare e incollare nelle impostazioni del tuo dominio.

Ti illustreremo tre delle configurazioni più comuni diverse da quelle di Google e Microsoft:

Hosting e-mail GoDaddy (cPanel o GoDaddy Webmail)

Se hai acquistato il tuo dominio e l'indirizzo e-mail tramite GoDaddy e utilizzi il loro servizio di posta elettronica integrato (Webmail o basato su cPanel), ecco cosa devi fare:

1. Accedi al tuo account GoDaddy e apri la dashboard di cPanel (per i piani cPanel) o la dashboard di Email & Office (per GoDaddy Webmail).
   
2. In cPanel, cerca una sezione denominata Consegna delle e-mail oppure Autenticazione e-mail.
   Qui troverai le impostazioni DKIM, se presenti.
   
   
   • Se DKIM è già abilitato, cPanel mostrerà il record TXT esistente e indicherà se funziona correttamente.
     
   • Se così non fosse, clicca su "Abilita DKIM" o "Ripara".
     
3. Se GoDaddy fornisce manualmente il record DKIM:
   
   • Copia il nome / host (qualcosa del tipo default._domainkey.tuodominio.com)
     
   • Copia il valore TXT (che inizia con v=DKIM1; k=rsa; p=...)
     
4. Vai alla tua Impostazioni DNS di GoDaddy (I miei prodotti → Dominio → Gestisci DNS).
   
   • Fai clic su Aggiungi → Scegli TXT
     
   • Host: il selettore + _domainkey (ad es. default._domainkey)
     
   • Valore: incolla la lunga stringa di caratteri ottenuta al punto 3
     
   • Salva e attendi. Di solito l'aggiornamento del DNS richiede pochi minuti, ma può richiedere fino a 48 ore

Zoho Mail

Zoho Mail è molto diffuso tra le startup e le piccole imprese. Ecco come configurare DKIM in Zoho:

1. Vai alla console di amministrazione di Zoho Mail
   
2. Vai su:
   Amministrazione posta > Domini > [il tuo dominio] > DKIM
   
3. Clicca su "Aggiungi selettore" e scegli un nome per il selettore: va bene qualcosa come "zoho" o "default".
   
4. Zoho ti mostrerà quindi il record DNS da pubblicare:
   
   • Host: zoho._domainkey.tuodominio.com (o includere il dominio completo se necessario)
     
   • Tipo: TXT
     
   • Valore: una stringa lunga che inizia con v=DKIM1; p=...
     
5. Accedi al sito del tuo provider DNS, aggiungi un TXT registra con:
   
   
   • Host: zoho._domainkey
     
   • Valore: incolla la chiave di Zoho
     
6. Una volta che il record è stato aggiornato, torna a Zoho Admin e clicca su "Verifica".
   

✅ Una volta completata la verifica, Zoho inizierà a firmare tutte le e-mail in uscita con DKIM.

Piattaforme di email marketing e transazionali (Mailchimp, SendGrid, Brevo, ecc.)

Queste piattaforme in genere forniscono diversi record DNS da pubblicare per i record DKIM (e SPF o DMARC). Il formato più comune prevede due record CNAME:

1. Nella dashboard del tuo strumento di posta elettronica, vai alla sezione " Autenticazione dominio " o "Verifica mittente ".
   (In Mailchimp: Sito web > Domini > Autentica)
   
   
2. Aggiungi il tuo dominio e lo strumento genererà i record necessari.
   
   • In genere, ciò comprende 1–2 record CNAME per DKIM
     
   • A volte include anche un record TXT per l'SPF
     
3. Copia ogni record e aggiungili alle impostazioni DNS del tuo dominio.
   
   Esempio (Mailchimp)
   
   
   • CNAME 1: k1._domainkey.tuodominio.com → dkim.mailchimp.com
     
   • CNAME 2: k2._domainkey.tuodominio.com → dkim2.mailchimp.com
     
4. Una volta aggiunto, torna alla piattaforma e clicca su "Verifica " o " Autentica"
   

• Per SendGrid, Brevo e la maggior parte delle altre piattaforme, la configurazione è simile: vengono visualizzate coppie host/valore, spesso del tipo mte1._domainkey / dkim1, ecc., che devi inserire come record CNAME nel tuo pannello DNS

SPF, DKIM e DMARC: qual è la differenza?

Questi tre acronimi compaiono spesso insieme e danno il meglio di sé quando vengono utilizzati in combinazione. Ecco una breve spiegazione:

Ti servono tutti e tre?

Sì, in teoria. Ma il DKIM è spesso l'elemento più importante quando si parla di deliverability e affidabilità del dominio, soprattutto per Gmail e Outlook.

Se parti da zero, inizia con DKIM e SPF. Aggiungi poi DMARC quando sei pronto a monitorare e applicare le politiche.

Non lasciare che una configurazione perfetta finisca per diventare spam   

A questo punto, hai già superato le parti più difficili: hai configurato DKIM, autenticato il tuo dominio e iniziato a "riscaldare" la tua casella di posta. Queste sono le basi.

Ma garantire una consegna costante è un processo continuo.

Cosa lo rende così forte?

• Andamento costante delle spedizioni (senza picchi improvvisi di volume)

• Segnali di coinvolgimento costanti (aperture, risposte, basso tasso di spam)

• Comportamento corretto del mittente (assenza di liste di indirizzi indesiderati o link inseriti in blacklist)

MailReach tiene tutto sotto controllo dietro le quinte. Se la reputazione della tua casella di posta inizia a peggiorare, saprai cosa non va prima che questo comprometta le tue campagne. 

Usa MailReach per rimanere nella posta in arrivo, non solo per arrivarci una volta.

Iscriviti subito a MailReach.