SPF, DKIM e DMARC sono i tre record DNS che determinano se le tue email arrivano nella casella di posta o nello spam. Dal 2024, Google richiede questi standard di autenticazione da tutti i mittenti massivi — ignorarli significa che le tue email finiscono nello spam o vengono rifiutate direttamente. Questa guida ti mostra la configurazione passo dopo passo.
Cos'è l'autenticazione email e perché è importante?
L'autenticazione email è un insieme di standard tecnici che consente ai provider email di verificare se un'email proviene davvero dal dominio mittente indicato. Il problema: il protocollo email originale (SMTP) non ha una verifica del mittente integrata. Chiunque può tecnicamente inviare un'email con qualsiasi indirizzo mittente.
I tre standard di autenticazione risolvono questo problema in modi diversi:
| Standard | Meccanismo di protezione | Contro |
|---|---|---|
| SPF | Lista bianca di server autorizzati | Spoofing da server non autorizzati |
| DKIM | Firma crittografica del messaggio | Manomissione durante la trasmissione |
| DMARC | Policy per i fallimenti di autenticazione | Uso non autorizzato del tuo dominio |
Dal febbraio 2024, Google richiede che tutti i mittenti che inviano più di 5.000 email al giorno a Gmail configurino SPF, DKIM e DMARC. Microsoft segue nel 2025. Per il cold email, questi standard non sono più opzionali — sono obbligatori, anche in conformità con il GDPR.
Configurare SPF — Passo per passo
Cos'è un record SPF?
Un record SPF è un'entrata TXT nel tuo DNS che elenca quali server possono inviare email a tuo nome. I server email riceventi controllano questa voce quando arriva un'email dal tuo dominio.
La struttura di base di un record SPF
v=spf1 include:_spf.google.com ~all
| Elemento | Significato |
|---|---|
v=spf1 | Versione del protocollo SPF (sempre identica) |
include:domain.com | Autorizza tutti i server del provider indicato |
ip4:1.2.3.4 | Autorizza un singolo indirizzo IPv4 |
~all | Soft Fail: contrassegnare altri server come sospetti |
-all | Hard Fail: rifiutare altri server |
Record SPF per i provider email più comuni
| Provider | Record SPF |
|---|---|
| Google Workspace | v=spf1 include:_spf.google.com ~all |
| Microsoft 365 | v=spf1 include:spf.protection.outlook.com ~all |
| Zoho Mail | v=spf1 include:zoho.eu ~all |
Regola più importante: È consentito un solo record SPF per dominio. Se usi più provider email, combinali in un unico record:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:123.45.67.89 ~all
Jetzt kostenlos starten — ohne Kreditkarte
1 Mailbox · 1 Kampagne · 50 Prospects. Starte in unter 5 Minuten mit anicampaign.io.
Configurare DKIM — La firma digitale
Come funziona DKIM
DKIM (DomainKeys Identified Mail) utilizza una coppia di chiavi: una chiave privata sul tuo server email e una chiave pubblica nel tuo DNS. Ogni email in uscita viene firmata con la chiave privata. Il server ricevente legge la chiave pubblica dal DNS e verifica la firma.
Configurazione di DKIM in Google Workspace
- Apri Google Admin Console (admin.google.com)
- Vai su App → Google Workspace → Gmail → Autenticazione email
- Seleziona il tuo dominio
- Clicca su "Genera nuovo record" (consigliato 2048 bit)
- Aggiungi il record TXT al tuo DNS (Nome:
google._domainkey, Tipo: TXT) - Attendi 15-30 minuti, poi clicca "Avvia autenticazione DKIM"
Configurare DMARC — La policy
Il modello di implementazione graduale di DMARC
Non iniziare mai con una policy rigida:
| Fase | Record | Significato | Durata |
|---|---|---|---|
| Fase 1 | p=none | Solo monitoraggio | 2-4 settimane |
| Fase 2 | p=quarantine; pct=25 | 25% dei sospetti nello spam | 2 settimane |
| Fase 3 | p=quarantine; pct=100 | Tutti i sospetti nello spam | 2-4 settimane |
| Fase 4 | p=reject | Rifiutare i sospetti | Permanente |
Configurare il record DMARC
Fase 1 (inizio):
Nome: _dmarc.tuodominio.it
Tipo: TXT
Valore: v=DMARC1; p=none; rua=mailto:dmarc@tuodominio.it; fo=1
Errori comuni e come evitarli
- Più record SPF: È consentito solo uno. Combina tutto in un unico record.
- DMARC prima di SPF e DKIM: Configura prima SPF e DKIM, poi DMARC con
p=none. - Troppe query DNS in SPF: Il limite è 10. Minimizza le direttive
include:. - Stato proxy errato in Cloudflare: I record TXT devono essere su "DNS only".
- Iniziare direttamente con
p=reject: Inizia sempre conp=nonee analizza i report.
Verifica con gli strumenti
- MXToolbox (mxtoolbox.com): Verificatori separati per SPF, DKIM e DMARC
- Google Admin Toolbox (toolbox.googleapps.com): Verifica tutti i record DNS in un passaggio
- mail-tester.com: Invia una vera email e ricevi un punteggio spam da 0 a 10
Obiettivo: 9/10 o superiore su mail-tester.com.
Domande frequenti
Cos'è SPF e perché ne ho bisogno?
SPF è un record DNS che specifica quali server possono inviare email per il tuo dominio. Senza SPF, i provider non possono verificare le tue email e spesso le inviano nello spam.
Qual è la differenza tra DKIM e SPF?
SPF verifica se il server mittente è autorizzato; DKIM firma l'email crittograficamente. Si completano a vicenda.
Cosa succede se configuro DMARC incorrettamente?
Un DMARC mal configurato con policy "reject" può causare il rifiuto di tutte le tue email. Inizia sempre con p=none e cambia policy solo dopo aver analizzato i report per 2-4 settimane.
Quanto tempo richiedono le modifiche DNS per avere effetto?
La propagazione DNS può richiedere da 15 minuti a 48 ore; 1-4 ore è tipico.
Ho bisogno di SPF, DKIM e DMARC per il cold email?
Sì, tutti e tre sono indispensabili. Senza autenticazione corretta, le tue email finiranno molto probabilmente nello spam.