Se stai configurando un nuovo dominio per le email a freddo e la tua email assomiglia a outreach.yourcompany.com, la prima cosa che devi fare è autenticarla correttamente.
Senza questo, i provider di posta come Gmail e Outlook probabilmente tratteranno le tue email come sospette. E con i filtri che stanno diventando più severi nel 2024, anche i mittenti con volumi bassi stanno vedendo email legittime finire nello spam.
Configurare DKIM è il modo in cui dimostri che le tue email sono reali, non falsificate o manomesse.
Se manca, potresti già vedere:
❌ Errori “Missing DKIM” nel tuo tool di warm-up
❌ Header di Gmail che mostrano dkim=fail
❌ Campagne con prestazioni scarse, con poche aperture, molti posizionamenti nello spam e nessuna risposta
In questa guida, ti guideremo passo dopo passo su come configurare DKIM, a seconda della tua configurazione:
- Se stai usando Google Workspace, ti mostreremo come generare e attivare DKIM nella console di amministrazione
- Se sei su Microsoft 365, ti spiegheremo come configurarlo nel portale Defender
- Se usi un dominio personalizzato su GoDaddy o Cloudflare, ti mostreremo come aggiungere manualmente i record corretti, anche se non hai mai toccato il DNS prima d'ora
Avvio Rapido: Scegli il Tuo Percorso DKIM
Come Funziona DKIM
Ogni volta che invii un'email, DKIM aggiunge una firma digitale invisibile. Quella firma dimostra due cose:
- L'email è davvero partita dal tuo dominio
- Il contenuto non è stato modificato dopo che hai cliccato invia
Ecco come funziona in termini semplici:
- Il tuo sistema di email usa una chiave privata per “firmare” ogni email dietro le quinte.
- Quella firma è allegata all'header dell'email (tu non la vedi, ma i server di posta sì).
- Quando l'email viene ricevuta, il server di posta cerca la tua chiave pubblica, che è memorizzata nei record DNS del tuo dominio.
- Usa la chiave pubblica per verificare la firma.
- Se la corrispondenza è valida: l'email supera il controllo DKIM.
- Se non lo è: potrebbe essere segnalata come sospetta.
Spesso vedrai questo apparire negli header delle tue email come qualcosa del tipo:
dkim=pass header.i=@yourcompany.com
Se quella riga manca o dice dkim=fail, le tue email hanno più probabilità di finire nello spam o di essere bloccate del tutto.
Perché il DKIM è più importante che mai.
Nel 2024, Gmail e Yahoo hanno iniziato a imporre requisiti severi per chiunque invii più di 5.000 email al giorno, inclusi cold outreach e traffico di warm-up. Il DKIM non è più facoltativo se vuoi che le tue email arrivino a destinazione.
Anche se invii meno di 5.000 email, non superare i controlli DKIM ti mette comunque sulla corsia preferenziale per lo spam. Ecco perché gli strumenti di deliverability come MailReach verificano la presenza di un record DKIM valido.
Se vedi un errore “Missing DKIM” in MailReach, significa che le tue email non sono firmate e le caselle di posta come Gmail non possono verificare che provengano davvero da te.
Finché non sarà risolto, il tuo outreach sarà invisibile o segnalato come inaffidabile. Il DKIM è uno dei primi e più importanti passi per essere visibili.
Prima di configurare il DKIM: cosa ti servirà.
1. Accesso alle impostazioni DNS del tuo dominio.
Dovrai accedere al tuo provider DNS come GoDaddy, Cloudflare o Namecheap per aggiungere un record TXT o CNAME. Se non hai accesso, chiedilo a chi gestisce il tuo dominio.
2. Accesso alla tua piattaforma di invio email.
Le chiavi DKIM vengono generate all'interno della piattaforma che invia le tue email, come Google Workspace, Microsoft 365, Zoho o Mailgun.
Quella piattaforma deve essere configurata per firmare le tue email prima di aggiungere il record DNS.
Errore comune: Le persone aggiungono il record TXT ma dimenticano di abilitare il DKIM nella piattaforma di invio, quindi non viene mai effettivamente utilizzato.
3. Chiarezza su chi sta inviando email dal tuo dominio.
Le cold email possono passare attraverso strumenti come Instantly, Smartlead o Lemlist. Le email di marketing possono provenire da Mailchimp o Brevo.
Le email transazionali potrebbero essere instradate tramite SendGrid, Postmark o Amazon SES.
Ognuno di solito ha bisogno del proprio record DKIM con un selettore unico. Se stai usando più strumenti, aggiungerai più record.
4. Un modo per testare se funziona.
Non dare per scontato che funzioni dopo aver pubblicato il record. Ti consigliamo di verificare che le email vengano effettivamente firmate.
Usa il DKIM Checker gratuito di MailReach per farlo dopo aver finito la configurazione. Vediamo come fare più avanti nell'articolo (scorri fino in fondo).
Come configurare DKIM
La configurazione di DKIM cambia a seconda del tuo provider email. Qui sotto trovi le piattaforme più comuni. Scegli quella che usi e segui i passaggi esatti.
Configura DKIM in Google Workspace (Gmail)
1. Accedi alla Google Admin Console usando un account super admin. Questo è l'account admin principale usato per configurare Google Workspace per il tuo dominio. Se non hai accesso, dovrai chiederlo al tuo amministratore IT o al gestore del dominio.
Una volta dentro, vai su: App → Google Workspace → Gmail → Autentica email
Qui vedrai un elenco di domini collegati al tuo account. Seleziona il dominio che usi per inviare email (come iltuodominio.com). Se DKIM non è ancora configurato, vedrai un pulsante che dice “Genera nuovo record.” Cliccalo.
⚠️ Suggerimento MailReach: Se il tuo dominio è stato aggiunto di recente, aspetta qualche ora che si sincronizzi prima che DKIM diventi disponibile.
2. Ora ti verrà chiesto di scegliere due cose:
- Un nome selettore (usa semplicemente google, il predefinito. Non c'è bisogno di personalizzarlo a meno che tu non abbia un motivo specifico)
- Una lunghezza della chiave (scegli 2048-bit, che è più sicura e raccomandata da Google)
Clicca Genera. Google ti mostrerà quindi due informazioni importanti:
- Un Nome host DNS (es. google._domainkey.iltuodominio.com)
- Un valore del record TXT — una stringa molto lunga che inizia con v=DKIM1; k=rsa; p=... Questa è la tua chiave DKIM pubblica, e ora devi pubblicarla in modo che i server di posta possano trovarla.
3. Apri la dashboard del tuo provider DNS. È dove è ospitato il tuo dominio. I più comuni sono GoDaddy, Cloudflare, Namecheap o Google Domains. Aggiungerai un record TXT lì, il che potrebbe sembrare complicato, ma è solo un'operazione di copia-incolla.
4. Nella tua dashboard DNS, clicca su “Aggiungi nuovo record” e scegli:
- Tipo: TXT
- Nome / Host: google._domainkey (non includere il tuo dominio completo a meno che il tuo provider non lo richieda — molti lo compilano automaticamente)
- Valore: incolla l'intera stringa della chiave che Google ti ha fornito
Salva il record. Le modifiche DNS di solito si propagano entro 5-30 minuti, ma in rari casi possono richiedere fino a 24 ore.
💡 Suggerimento MailReach: Usa l'anteprima del record o il checker di propagazione del tuo provider DNS per confermare che il record TXT sia visibile pubblicamente.
5. Ora, torna alla Google Admin Console e clicca su “Avvia autenticazione”. Questo dice a Google di iniziare a firmare tutte le tue email in uscita con quella chiave DKIM. Se vedi un errore, è probabilmente perché il record DNS non si è ancora propagato. Aspetta 10-30 minuti e riprova.
6. Una volta avviata l'autenticazione, Google mostrerà lo stato come “Autenticazione email con DKIM.” Questo significa che è attivo.
7. Per confermare che tutto funzioni, invia un'email di prova dal tuo dominio a un account Gmail (come il tuo personale). Apri l'email, clicca sui tre puntini in alto a destra e scegli “Mostra originale.” Scorri verso il basso e cerca questa riga:
dkim=pass header.i=@iltuodominio.com
Se vedi questo, sei a posto. Il tuo dominio è ora protetto da DKIM e le tue email hanno più probabilità di arrivare nelle caselle di posta, non nello spam.
Devi farlo solo una volta per dominio, e hai finito. DKIM non cambia spesso, ma ti consigliamo di eseguire un rapido test spam email settimanalmente o dopo modifiche DNS. Questo aiuta a individuare problemi accidentali prima che influiscano sulla deliverability.
Suggerimento: Se vuoi un controllo più semplice, usa il DKIM checker gratuito di MailReach. Inserisci semplicemente il tuo dominio e il selettore (che è google), e ti dirà se il record DNS è a posto e funziona.
✅ Configura DKIM in Microsoft 365 (Outlook / Office 365)
Se la tua email aziendale funziona su Microsoft 365 (ad esempio, Outlook), i tuoi messaggi per impostazione predefinita vengono firmati con la chiave DKIM condivisa di Microsoft legata a onmicrosoft.com, il che non è l'ideale, soprattutto se stai facendo cold outreach. Ti conviene usare il DKIM del tuo dominio in modo che i tuoi messaggi sembrino legittimi e affidabili, specialmente per Gmail e gli altri filtri antispam.
- Inizia accedendo al portale Microsoft 365 Defender come amministratore:
- Vai su https://security.microsoft.com → poi naviga fino a:
Email & Collaboration → Policies & Rules → Threat Policies → DKIM
- Qui vedrai un elenco dei tuoi domini email. Trova il dominio da cui invii le email (come yourcompany.com) e cliccaci sopra.
- Se il DKIM non è ancora stato configurato, vedrai un'opzione per “Crea chiavi DKIM.” Cliccaci sopra. Microsoft genererà due record DNS che dovrai aggiungere alle impostazioni DNS del tuo dominio. Questi sono record CNAME, non TXT — e dovrai aggiungerli entrambi.
- Microsoft ti mostrerà i valori da usare. Per ciascuno, otterrai:
- Un Nome / Host come selector1._domainkey.yourcompany.com
- A Points to / Value like: selector1-yourcompany-com._domainkey.<region>.onmicrosoft.com
- Copia entrambi questi record: uno per selector1 e uno per selector2.
- Successivamente, vai al tuo provider DNS (ad esempio GoDaddy, Cloudflare, Namecheap—ovunque sia gestito il tuo dominio).
- Aggiungi due nuovi record CNAME, usando i nomi e i valori esatti forniti da Microsoft:
- Tipo: CNAME
- Nome: selector1._domainkey
- Value: selector1-yourcompany-com._domainkey.<region>.onmicrosoft.com
- Tipo: CNAME
- Nome: selector2._domainkey
- Value: selector2-yourcompany-com._domainkey.<region>.onmicrosoft.com
Save both records. Make sure to replace <region> with what Microsoft shows (like europe or us), and match your actual domain. Once added, give the records some time to propagate—5 minutes to a few hours depending on your DNS provider.
- Una volta che i record sono stati salvati e hanno avuto un po' di tempo per propagarsi, torna al portale Microsoft Defender dove hai creato le chiavi.
- Lì, vedrai ora un interruttore che dice qualcosa come “Firma i messaggi per questo dominio con firme DKIM.” Imposta l'interruttore su Attivo.
Se tutto è configurato correttamente, Microsoft confermerà che il DKIM è ora attivo. Da quel momento in poi, ogni email inviata dal tuo dominio tramite Microsoft 365 sarà firmata usando le chiavi DKIM del tuo dominio.
Per ricontrollare che tutto funzioni:
- Invia un'email di prova a una casella di posta Gmail o Yahoo
- Apri il messaggio → clicca sul menu a tre puntini → “Mostra originale”
- Cerca questa riga:
dkim=pass header.i=@yourcompany.com
Se vedi dkim=pass, complimenti, significa che funziona tutto.
Una volta fatto, non dovrai più toccarlo, a meno che tu non cambi il tuo DNS o voglia ruotare le chiavi per sicurezza. Microsoft gestirà la rotazione delle chiavi in automatico, usando quei due selettori (selector1 e selector2), quindi sei a posto.
Perché è importante: Senza questa configurazione, le tue email potrebbero essere segnalate come sospette, specialmente con le nuove regole di Gmail per i mittenti di massa. Il DKIM ti aiuta a costruire una solida reputazione come mittente, fondamentale se stai facendo cold outreach o scaldando le caselle di posta usando email warmup tools come MailReach.
Configura il DKIM con altri provider di email (GoDaddy, Zoho, Mailchimp)
Anche se non usi Google Workspace o Microsoft 365 per inviare email, dovrai configurare il DKIM.
La maggior parte dei provider, inclusi GoDaddy email hosting, Zoho Mail, Mailchimp, SendGrid o Brevo, generano un DKIM che devi copiare e incollare nelle impostazioni del tuo dominio.
Ti guideremo attraverso tre delle configurazioni più comuni non-Google/Microsoft:
GoDaddy Email Hosting (cPanel o GoDaddy Webmail)
Se hai acquistato il tuo dominio e l'email tramite GoDaddy e usi il loro servizio email integrato (Webmail o basato su cPanel), ecco cosa fare:
- Accedi al tuo account GoDaddy e apri il tuo dashboard di cPanel (per i piani cPanel) o il dashboard di Email & Office (per GoDaddy Webmail).
- In cPanel, cerca una sezione chiamata Deliverability delle email o Autenticazione Email.
Qui troverai le impostazioni DKIM, se esistono.
- Se il DKIM è già abilitato, cPanel mostrerà il record TXT esistente e se funziona.
- Se non lo è, clicca su “Abilita DKIM” o “Ripara”.
- Se GoDaddy fornisce il record DKIM manualmente:
- Copia il Nome / Host (qualcosa come default._domainkey.yourdomain.com)
- Copia il Valore TXT (inizia con v=DKIM1; k=rsa; p=...)
- Vai alle tue impostazioni DNS di GoDaddy (My Products → Domain → Manage DNS).
- Clicca Aggiungi → Scegli TXT
- Host: il selettore + _domainkey (es. default._domainkey)
- Valore: incolla la stringa chiave lunga dal passaggio 3
- Salva e attendi. Il DNS di solito si aggiorna in pochi minuti, ma può richiedere fino a 48 ore.
⚠️ GoDaddy non abilita sempre automaticamente il DKIM, anche per i piani email integrati. Potrebbe essere necessario aggiungere il record TXT manualmente. Inoltre, evita di inserire il dominio completo due volte nel campo host (GoDaddy spesso lo aggiunge automaticamente).
Zoho Mail
Zoho Mail è popolare tra startup e piccole imprese. Ecco come configurare il DKIM in Zoho:
- Vai alla Zoho Mail Admin Console
- Vai a:
Amministrazione Mail > Domini > [il tuo dominio] > DKIM
- Clicca su “Aggiungi Selettore” e scegli un nome per il selettore — qualcosa come zoho o default va benissimo.
- Zoho ti mostrerà quindi il record DNS da pubblicare:
- Host: zoho._domainkey.iltuodominio.com (o includi il dominio completo se richiesto)
- Tipo: TXT
- Valore: una stringa lunga che inizia con v=DKIM1; p=...
- Vai al tuo provider DNS, aggiungi un TXT record con:
- Host: zoho._domainkey
- Valore: incolla la chiave di Zoho
- Tornato nell'Admin di Zoho, clicca su “Verifica” una volta che il record si è propagato.
✅ Una volta verificato, Zoho inizierà a firmare tutte le email in uscita con DKIM.
Piattaforme di Email Marketing e Transazionali (Mailchimp, SendGrid, Brevo, ecc.)
Queste piattaforme di solito ti danno diversi record DNS da pubblicare per i record DKIM (e SPF o DMARC). Il formato più comune prevede due record CNAME:
- Nella dashboard del tuo strumento email, vai alla sezione Autenticazione Dominio o Verifica Mittente.
(In Mailchimp: Sito Web > Domini > Autentica)
- Aggiungi il tuo dominio, e lo strumento genererà i record necessari.
- Di solito, questo include 1-2 record CNAME per DKIM
- A volte include anche un record TXT per SPF
- Copia ogni record e aggiungili alle impostazioni DNS del tuo dominio.
Esempio (Mailchimp)
- CNAME 1: k1._domainkey.iltuodominio.com → dkim.mailchimp.com
- CNAME 2: k2._domainkey.iltuodominio.com → dkim2.mailchimp.com
- Una volta aggiunti, torna alla piattaforma e clicca su Verifica o Autentica
- Per SendGrid, Brevo e la maggior parte delle altre piattaforme, la configurazione è simile: mostrano coppie host/valore, spesso mte1._domainkey / dkim1, ecc., che devi inserire come CNAME nel tuo pannello DNS
SPF vs DKIM vs DMARC: Qual è la differenza?
Questi tre acronimi spesso vanno a braccetto e lavorano al meglio come una squadra. Ecco cosa significano:
| Protocollo |
Cosa fa |
Dove si configura |
Cosa succede se non funziona |
| SPF |
Verifica chi è autorizzato a inviare email per conto del tuo dominio |
DNS (record TXT) |
Le email potrebbero essere rifiutate o segnalate come spam |
| DKIM |
Verifica che l'email non sia stata modificata e provenga davvero dal tuo dominio |
DNS (TXT o CNAME) + configurazione del server di posta |
Le email potrebbero fallire i controlli di autenticità |
| DMARC |
Dice ai provider di email cosa fare se SPF o DKIM falliscono |
DNS (record TXT) |
Può istruire i provider a mettere in quarantena o rifiutare le email sospette |
Servono tutti e tre?
Sì, idealmente. Ma DKIM è spesso il più importante quando si tratta di deliverability e fiducia del dominio, specialmente per Gmail e Outlook.
Se parti da zero, inizia con DKIM e SPF. Poi aggiungi DMARC quando sei pronto a monitorare e applicare la policy.
Non lasciare che una configurazione perfetta finisca nello spam
A questo punto, hai fatto le cose più difficili: hai configurato DKIM, autenticato il tuo dominio e iniziato il warmup della tua casella di posta. Questa è la base.
Ma una deliverability costante è un processo continuo.
Cosa la mantiene forte?
- Modelli di invio stabili (nessun salto improvviso di volume)
- Segnali di engagement costanti (aperture, risposte, poco spam)
- Comportamento del mittente pulito (nessuna lista cattiva o link in blacklist)
MailReach monitora tutto questo dietro le quinte. Se la reputazione della tua casella di posta inizia a calare, saprai cosa c'è che non va prima che rovini le tue campagne.
Usa MailReach per rimanere nella casella di posta, non solo per arrivarci una volta.
Iscriviti a MailReach ora.