Nel febbraio 2024, Gmail e Yahoo hanno annunciato requisiti ancora più severi per gli indirizzi che intendono raggiungere le loro piattaforme in massa. Da allora, l'autenticazione email è passata da «consigliata» a «obbligatoria»: senza SPF, DKIM e DMARC, i tuoi messaggi hanno probabilità altissime di finire nello spam, persino se legittimi. Ma quanti domain italiani hanno davvero implementato questi standard? E quali barriere frenano chi non l'ha ancora fatto?
Scopriamolo insieme basandoci sui dati reali che raccogliamo settimanalmente attraverso check.live-direct-marketing.online.
Cosa sono SPF, DKIM e DMARC?
Sono tre standard di autenticazione email che lavorano insieme per verificare che il mittente di un messaggio sia veramente chi dice di essere. Ognuno risolve una parte del problema:
SPF(Sender Policy Framework) — comunica ai server di ricezione quali IP sono autorizzati a inviare email per conto del tuo dominio.DKIM(DomainKeys Identified Mail) — firma digitale del messaggio, generata dal server di invio e verificabile dal destinatario usando una chiave pubblica nel DNS.DMARC(Domain-based Message Authentication, Reporting and Conformance) — policy che stabilisce cosa fare se SPF o DKIM falliscono (reject, quarantine, accept), e genera rapporti su autenticazioni fallite.
Lo stato dell'adozione in Italia
Raccogliamo dati settimanali dai domini italiani (Tranco top-1M) per tracciare quanto SPF, DKIM e DMARC sono diffusi. I risultati? Interessanti e in parte incoraggianti, in parte ancora da migliorare.
SPF è relativamente diffuso tra i domain italiani. La maggior parte di chi invia email in massa ha implementato almeno un record SPF. Tuttavia, la qualità varia: molti record sono obsoleti (includono servizi dismessi), o troppo aperti (in pratica inutili dal punto di vista della sicurezza).
DKIM è più arretrato rispetto a SPF. Meno della metà dei domain italiani ha DKIM configurato in modo pubblico e verificabile. Questo è un gap significativo, perché Gmail e Yahoo lo considerano obbligatorio dal 2024.
DMARC è il più indietro. La maggior parte dei domain che hanno implementato DMARC lo usa in modalità «reporting only» (p=none). Pochissimi hanno raggiunto il livello di compliance «hard» (p=reject o p=quarantine), che è il vero obiettivo.
Leggi i dati completi e aggiornati su /email-stats/ — ogni settimana aggiorniamo il panorama dell'adozione dei principali standard di autenticazione e delivery.
Perché molti domini italiani non hanno ancora implementato questi standard?
Nonostante gli annunci di Google e Yahoo, l'adozione rimane frammentaria. Le ragioni principali:
- Confusione tecnica. SPF, DKIM e DMARC richiedono competenze DNS e crittografia che molte PMI italiane non hanno in casa. L'outsourcing a un'agenzia o a un consulente costa tempo e denaro.
- Barriere organizzative. Cambiamenti al DNS richiedono coordinamento tra IT, marketing e compliance — non sempre fluido in realtà piccole o medie.
- Mancanza di urgenza percepita. Chi non riceve feedback diretto sullo spam, non vede il problema finché non è troppo tardi.
- ESP locali legati a standard vecchi. Alcuni provider locali (hosting con PHP mail, piattaforme e-commerce pre-configurate) ancora non guidano gli utenti verso DKIM e DMARC.
- Paura di errori. Modifiche al DNS sono percepite come rischiose. In realtà, SPF/DKIM/DMARC non toccano i record critici (MX, A), ma la percezione rimane.
Cosa richiedono Gmail e Yahoo dal febbraio 2024?
Google e Yahoo hanno annunciato chiaramente: a partire dal febbraio 2024, i mittenti in massa devono rispettare standard minimi:
- SPF e DKIM obbligatori. Almeno uno dei due (idealmente entrambi) deve passare l'autenticazione di ogni messaggio.
- DMARC almeno p=none. La policy DMARC deve essere pubblicata, anche se in reporting-only mode. Questo avvia il processo di monitoraggio.
- One-click unsubscribe (RFC 8058). I messaggi di marketing devono includere un link di unsubscribe con meccanismo semplice, non sepolto.
- Spam rate sotto lo 0.3%. Monitorato via Gmail Postmaster Tools e Yahoo Postmaster Tools. Superare questa soglia significa rischio di blocco.
Se sei un'azienda italiana che invia email verso Gmail, Outlook, Yahoo e gli altri big provider, questi requisiti non sono «buone pratiche» — sono prerequisiti di consegna. Ignorarli significa rischiare che i tuoi messaggi non arrivino nemmeno nella cartella Spam, ma nel vuoto.
Come verificare SPF, DKIM e DMARC del tuo dominio?
Il modo più rapido e affidabile è testare il dominio con check.live-direct-marketing.online. In pochi secondi:
- Controlla se SPF, DKIM e DMARC sono configurati correttamente nel DNS.
- Mostra i veredetti di autenticazione (Pass/Fail/Neutral).
- Fornisce screenshot del tuo messaggio reso negli inbox reali di Gmail, Libero, Virgilio, Outlook e altri provider italiani.
- Avvisa di errori di configurazione, errori di sintassi, e problemi comuni (come SPF troppo aperto, DKIM mancante, DMARC non ancora pubblicato).
Non richiede registrazione, non ha limiti di test, e i risultati sono immediatamente fruibili. È il modo più efficiente per diagnosticare problemi di deliverability prima di lanciare una campagna.
Passi per implementare SPF, DKIM e DMARC
Se sei una PMI italiana che sta muovendo i primi passi:
- Documenta il tuo setup di invio. Quali IP, quali ESP, quali servizi di terze parti usano il tuo dominio per inviare email? Creati una lista.
- Aggiungi SPF. Comincia con un record SPF di base che autorizza i tuoi IP/ESP principali. Sintassi:
v=spf1 ip4:192.0.2.1 include:esp.com ~all. - Aggiungi DKIM. Configura DKIM nel tuo DNS tramite il pannello di controllo dell'hosting o tramite il tuo ESP. La chiave pubblica va nel DNS in un record TXT; la chiave privata rimane nel server di invio.
- Crea DMARC di base. Pubblica un record DMARC con
p=nonee indirizzo email di reporting:v=DMARC1; p=none; rua=mailto:dmarc@example.it. Inizia a monitorare i rapporti. - Testa tutto. Usa check.live-direct-marketing.online per verificare che SPF, DKIM, DMARC passino.
- Monitora e rafforza. Una volta che SPF+DKIM passano stabilmente per 1-2 settimane, considera di cambiare DMARC a
p=quarantine, poi ap=reject.
Cosa fare dopo: il passo successivo
Implementare SPF, DKIM e DMARC è la base, ma non basta per garantire inbox placement al 100%. I tuoi provider di invio devono anche:
- Rispettare le best practice di contenuto (lista pulita, contenuto non-spammy, conformità a GDPR/Codice Privacy italiano).
- Implementare BIMI (Brand Indicators for Message Identification) — mostra il logo del brand nella preview dell'email.
- Usare MTA-STS per proteggere la connessione SMTP da eavesdropping.
- Tenere bassi i tassi di bounce, complaint e spam rate (< 0.3% per Gmail/Yahoo).
Questi topic meriteranno articoli a parte. Per ora, focalizzati su SPF, DKIM e DMARC — sono il fondamento.
Se implemento solo SPF, senza DKIM, riusciranno comunque a passare i miei messaggi?
p=none o non esiste. Nella pratica, Gmail e Yahoo dal 2024 richiedono almeno uno tra SPF e DKIM per ogni messaggio. Se sai che DKIM è implementato dal tuo ESP, usarlo. Se no, SPF da solo è un buon punto di partenza, purché DKIM sia il prossimo passo della tua roadmap.DMARC p=reject significa che rigetto i miei stessi messaggi?
p=reject significa: «Se un messaggio che dichiara di venire dal mio dominio fallisce l'autenticazione SPF E DKIM, il server destinatario lo deve rifiutare». Finché i tuoi messaggi passano SPF o DKIM, non sono interessati. p=reject protegge da altri che cercano di impersonare il tuo dominio (spoof).