Dati e statistiche8 min di lettura

Adozione di SPF, DKIM e DMARC in Italia

Cosa dicono i dati sulla diffusione dell'autenticazione email tra i domini italiani? E come implementarla correttamente per garantire la consegna.

Nel febbraio 2024, Gmail e Yahoo hanno annunciato requisiti ancora più severi per gli indirizzi che intendono raggiungere le loro piattaforme in massa. Da allora, l'autenticazione email è passata da «consigliata» a «obbligatoria»: senza SPF, DKIM e DMARC, i tuoi messaggi hanno probabilità altissime di finire nello spam, persino se legittimi. Ma quanti domain italiani hanno davvero implementato questi standard? E quali barriere frenano chi non l'ha ancora fatto?

Scopriamolo insieme basandoci sui dati reali che raccogliamo settimanalmente attraverso check.live-direct-marketing.online.

Cosa sono SPF, DKIM e DMARC?

Sono tre standard di autenticazione email che lavorano insieme per verificare che il mittente di un messaggio sia veramente chi dice di essere. Ognuno risolve una parte del problema:

  • SPF (Sender Policy Framework) — comunica ai server di ricezione quali IP sono autorizzati a inviare email per conto del tuo dominio.
  • DKIM (DomainKeys Identified Mail) — firma digitale del messaggio, generata dal server di invio e verificabile dal destinatario usando una chiave pubblica nel DNS.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) — policy che stabilisce cosa fare se SPF o DKIM falliscono (reject, quarantine, accept), e genera rapporti su autenticazioni fallite.
SPFControlla gli IP autorizzati nel DNSDKIMValida la firma crittografica del messaggioDMARCApplica una policy in caso di fallimento
Flusso di autenticazione email: verifica SPF, DKIM e DMARC

Lo stato dell'adozione in Italia

Raccogliamo dati settimanali dai domini italiani (Tranco top-1M) per tracciare quanto SPF, DKIM e DMARC sono diffusi. I risultati? Interessanti e in parte incoraggianti, in parte ancora da migliorare.

SPF è relativamente diffuso tra i domain italiani. La maggior parte di chi invia email in massa ha implementato almeno un record SPF. Tuttavia, la qualità varia: molti record sono obsoleti (includono servizi dismessi), o troppo aperti (in pratica inutili dal punto di vista della sicurezza).

DKIM è più arretrato rispetto a SPF. Meno della metà dei domain italiani ha DKIM configurato in modo pubblico e verificabile. Questo è un gap significativo, perché Gmail e Yahoo lo considerano obbligatorio dal 2024.

DMARC è il più indietro. La maggior parte dei domain che hanno implementato DMARC lo usa in modalità «reporting only» (p=none). Pochissimi hanno raggiunto il livello di compliance «hard» (p=reject o p=quarantine), che è il vero obiettivo.

Leggi i dati completi e aggiornati su /email-stats/ — ogni settimana aggiorniamo il panorama dell'adozione dei principali standard di autenticazione e delivery.

Perché molti domini italiani non hanno ancora implementato questi standard?

Nonostante gli annunci di Google e Yahoo, l'adozione rimane frammentaria. Le ragioni principali:

  • Confusione tecnica. SPF, DKIM e DMARC richiedono competenze DNS e crittografia che molte PMI italiane non hanno in casa. L'outsourcing a un'agenzia o a un consulente costa tempo e denaro.
  • Barriere organizzative. Cambiamenti al DNS richiedono coordinamento tra IT, marketing e compliance — non sempre fluido in realtà piccole o medie.
  • Mancanza di urgenza percepita. Chi non riceve feedback diretto sullo spam, non vede il problema finché non è troppo tardi.
  • ESP locali legati a standard vecchi. Alcuni provider locali (hosting con PHP mail, piattaforme e-commerce pre-configurate) ancora non guidano gli utenti verso DKIM e DMARC.
  • Paura di errori. Modifiche al DNS sono percepite come rischiose. In realtà, SPF/DKIM/DMARC non toccano i record critici (MX, A), ma la percezione rimane.

Cosa richiedono Gmail e Yahoo dal febbraio 2024?

Google e Yahoo hanno annunciato chiaramente: a partire dal febbraio 2024, i mittenti in massa devono rispettare standard minimi:

  1. SPF e DKIM obbligatori. Almeno uno dei due (idealmente entrambi) deve passare l'autenticazione di ogni messaggio.
  2. DMARC almeno p=none. La policy DMARC deve essere pubblicata, anche se in reporting-only mode. Questo avvia il processo di monitoraggio.
  3. One-click unsubscribe (RFC 8058). I messaggi di marketing devono includere un link di unsubscribe con meccanismo semplice, non sepolto.
  4. Spam rate sotto lo 0.3%. Monitorato via Gmail Postmaster Tools e Yahoo Postmaster Tools. Superare questa soglia significa rischio di blocco.

Se sei un'azienda italiana che invia email verso Gmail, Outlook, Yahoo e gli altri big provider, questi requisiti non sono «buone pratiche» — sono prerequisiti di consegna. Ignorarli significa rischiare che i tuoi messaggi non arrivino nemmeno nella cartella Spam, ma nel vuoto.

Come verificare SPF, DKIM e DMARC del tuo dominio?

Il modo più rapido e affidabile è testare il dominio con check.live-direct-marketing.online. In pochi secondi:

  • Controlla se SPF, DKIM e DMARC sono configurati correttamente nel DNS.
  • Mostra i veredetti di autenticazione (Pass/Fail/Neutral).
  • Fornisce screenshot del tuo messaggio reso negli inbox reali di Gmail, Libero, Virgilio, Outlook e altri provider italiani.
  • Avvisa di errori di configurazione, errori di sintassi, e problemi comuni (come SPF troppo aperto, DKIM mancante, DMARC non ancora pubblicato).

Non richiede registrazione, non ha limiti di test, e i risultati sono immediatamente fruibili. È il modo più efficiente per diagnosticare problemi di deliverability prima di lanciare una campagna.

Verifica prima di implementare
Non basta aggiungere i record SPF/DKIM/DMARC al DNS — devi verificarli per assicurarti che siano sintatticamente corretti e che i server di ricezione li leggano. Usa check.live-direct-marketing.online per testare il tuo dominio gratuitamente: controlla SPF, DKIM, DMARC, e come il tuo messaggio viene reso negli inbox reali di Gmail, Outlook, Libero e altri provider italiani.

Passi per implementare SPF, DKIM e DMARC

Se sei una PMI italiana che sta muovendo i primi passi:

  1. Documenta il tuo setup di invio. Quali IP, quali ESP, quali servizi di terze parti usano il tuo dominio per inviare email? Creati una lista.
  2. Aggiungi SPF. Comincia con un record SPF di base che autorizza i tuoi IP/ESP principali. Sintassi: v=spf1 ip4:192.0.2.1 include:esp.com ~all.
  3. Aggiungi DKIM. Configura DKIM nel tuo DNS tramite il pannello di controllo dell'hosting o tramite il tuo ESP. La chiave pubblica va nel DNS in un record TXT; la chiave privata rimane nel server di invio.
  4. Crea DMARC di base. Pubblica un record DMARC con p=none e indirizzo email di reporting: v=DMARC1; p=none; rua=mailto:dmarc@example.it. Inizia a monitorare i rapporti.
  5. Testa tutto. Usa check.live-direct-marketing.online per verificare che SPF, DKIM, DMARC passino.
  6. Monitora e rafforza. Una volta che SPF+DKIM passano stabilmente per 1-2 settimane, considera di cambiare DMARC a p=quarantine, poi a p=reject.

Cosa fare dopo: il passo successivo

Implementare SPF, DKIM e DMARC è la base, ma non basta per garantire inbox placement al 100%. I tuoi provider di invio devono anche:

  • Rispettare le best practice di contenuto (lista pulita, contenuto non-spammy, conformità a GDPR/Codice Privacy italiano).
  • Implementare BIMI (Brand Indicators for Message Identification) — mostra il logo del brand nella preview dell'email.
  • Usare MTA-STS per proteggere la connessione SMTP da eavesdropping.
  • Tenere bassi i tassi di bounce, complaint e spam rate (< 0.3% per Gmail/Yahoo).

Questi topic meriteranno articoli a parte. Per ora, focalizzati su SPF, DKIM e DMARC — sono il fondamento.

Se implemento solo SPF, senza DKIM, riusciranno comunque a passare i miei messaggi?

In teoria sì, se SPF passa e DMARC è impostato a p=none o non esiste. Nella pratica, Gmail e Yahoo dal 2024 richiedono almeno uno tra SPF e DKIM per ogni messaggio. Se sai che DKIM è implementato dal tuo ESP, usarlo. Se no, SPF da solo è un buon punto di partenza, purché DKIM sia il prossimo passo della tua roadmap.

DMARC p=reject significa che rigetto i miei stessi messaggi?

No. DMARC p=reject significa: «Se un messaggio che dichiara di venire dal mio dominio fallisce l'autenticazione SPF E DKIM, il server destinatario lo deve rifiutare». Finché i tuoi messaggi passano SPF o DKIM, non sono interessati. p=reject protegge da altri che cercano di impersonare il tuo dominio (spoof).

Dove posso vedere se il mio dominio .it sta usando SPF, DKIM, DMARC rispetto agli altri?

Visita /email-stats/. Aggiorniamo settimanalmente le statistiche di adozione dei principali standard tra i domain italiani. Potrai vedere quanto sono diffusi SPF, DKIM, DMARC, BIMI, MTA-STS e altri standard.
Letture correlate
Found this useful? Share it
AB
Sull'autore
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifica la tua deliverability su oltre 20 provider

Gmail, Outlook, Yahoo, Libero, GMX, ProtonMail e altri. Screenshot reali della posta in arrivo, SPF/DKIM/DMARC, verdetti dei filtri antispam. Gratis, senza registrazione.

Avvia il test gratuito →

Test illimitati · Oltre 20 caselle · Risultati in tempo reale · Nessun account