Fondamenti8 min di lettura

SPF, DKIM e DMARC spiegati in pratica

Tre meccanismi di autenticazione email che lavorano insieme per proteggere il tuo dominio, garantire ai destinatari che i tuoi messaggi sono autentici e migliorare la consegna in inbox.

Se il tuo email finisce nello spam, le prime due colpe sono quasi sempre una: il destinatario non conosce il tuo dominio, oppure il tuo server di posta non si “presenta” correttamente. Ecco dove entrano in gioco SPF, DKIM e DMARC. Non sono tecnologie magiche, ma tre meccanismi di autenticazione email che, insieme, dicono ai provider (Gmail, Outlook, Libero, Virgilio, Aruba e altri) che il tuo messaggio è davvero partito da te e non da un impostore. In questa guida ti spiego come funzionano, perché sono obbligatori dal febbraio 2024 per chi spedisce a Gmail e Yahoo, e come configurarli correttamente.

Perché SPF, DKIM e DMARC sono essenziali

Per decenni, il protocollo SMTP non ha chiesto a nessuno di provare chi fosse davvero il mittente di un email. Chiunque, con un minimo di conoscenza tecnica, poteva spedire un messaggio fingendo di essere il Papa. Gli spammer se ne sono approfittati, e ancora oggi una buona parte dello spam mondiale usa falsificazione del dominio mittente (spoofing).

SPF, DKIM e DMARC sono il rimedio: tre standard complementari che certificano il dominio mittente direttamente a livello DNS. Quando un email arriva sui server di Gmail, Outlook o Libero, il provider controlla questi tre record e decide se fidarsi del tuo messaggio.

A partire da febbraio 2024, Gmail e Yahoo hanno reso obbligatoria una configurazione minima: SPF e DKIM devono essere sempre presenti, DMARC almeno in modalità p=none (monitoraggio senza rifiuto), e ogni email commerciale deve contenere un modo semplice (one-click) per disiscriversi. Se non lo fai, il tuo tasso di spam può salire, e i tuoi messaggi potrebbero finire in spam o essere rifiutati direttamente.

Cos'è SPF (Sender Policy Framework)

SPF è il più semplice dei tre. In pratica, tu dici al mondo (tramite un record DNS di tipo TXT): “Gli email che arrivano dal dominio mieidominio.it possono venire solo dai server con questi indirizzi IP: 1.2.3.4 e 5.6.7.8”. Quando un email arriva, il provider controlla il record SPF del tuo dominio, verifica l'IP del server mittente, e se corrisponde, il messaggio passa il test SPF.

Una sintassi minima di SPF è:

v=spf1 include:mailserver.com ~all

Questo significa: “versione 1 di SPF, accetta server elencati in mailserver.com, tutti gli altri sono softfail (~all)”. Se vuoi essere più restrittivo e rifiutare tutto il resto, usi -all:

v=spf1 include:mailserver.com -all

Errore comune: aggiungere troppi indirizzi IP finché il record non supera i 255 caratteri (limite DNS). Soluzione: usa include:provider per raggruppamenti logici, non IP singoli.

Cos'è DKIM (DomainKeys Identified Mail)

DKIM è un livello più sofisticato. Funziona così: il tuo server di posta firma ogni email con una chiave privata crittografica. Il provider ricevente controlla la firma tramite la chiave pubblica che tu pubblichi nel DNS. Se la firma è corretta, il provider sa che il messaggio non è stato alterato nel tragitto e viene davvero dal tuo dominio.

A differenza di SPF, che funziona solo con l'IP del server, DKIM funziona anche se il tuo email passa per un relay o un provider di email marketing (come MailUp o Brevo): il provider intermedio firma il messaggio col suo dominio, e il destinatario vede che sia il primo mittente (te) che il relay (MailUp) hanno una firma valida. È più flessibile e robusto.

Nel DNS, un record DKIM ha questa forma:

selector1._domainkey.mieidominio.it TXT v=DKIM1; k=rsa; p=MIGfMA0B...[chiave pubblica lunga]...AQAB

Il “selector” è un identificativo (puoi averne più di uno se usi più provider). La chiave pubblica è molto lunga. Se non la metti nel DNS, nessuno potrà verificare le tue firme.

Cos'è DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC è il capolavoro dei tre. Non autentica il messaggio direttamente (lo fanno SPF e DKIM), ma invece dice ai provider cosa fare se SPF o DKIM falliscono. Inoltre, ti invia report su quanti email autenticati e quanti no sono stati inviati dal tuo dominio.

Un record DMARC minimo è:

v=DMARC1; p=none; rua=mailto:dmarc@mieidominio.it

Questo significa: “Versione 1 di DMARC, se SPF e DKIM falliscono, non fare nulla (p=none), ma inviami i report aggregati a dmarc@mieidominio.it”. In questa fase di “monitoraggio”, raccorgli dati su cosa funziona e cosa no. Dopo qualche settimana, quando sei sicuro che il 100% dei tuoi email legittimi passa SPF o DKIM, puoi irrigidire a p=quarantine (isola in spam) o p=reject (rifiuta).

La policy p=reject è la più severa: Gmail, Yahoo e altri rifiutano outright qualsiasi email dal tuo dominio che non superi SPF e DKIM. È il gold standard, perché impedisce lo spoofing del tuo dominio.

SPFControlla l'IP del server mittente nel DNSDKIMVerifica la firma crittografica del messaggioDMARCStabilisce la policy se SPF/DKIM falliscono e raccoglie report
Flusso di autenticazione email: come SPF, DKIM e DMARC lavorano insieme

Come verificare le tue record SPF, DKIM e DMARC

La configurazione al DNS è il primo passo. Ma come sai se funziona davvero? Ecco tre modi:

  1. Strumenti online gratuiti: siti come MXToolbox o similar ti dicono se il tuo record SPF, DKIM e DMARC sono presenti e ben formattati. È gratis e veloce.
  2. Spedi un email di prova al tuo provider: usa il nostro test di inbox placement gratuito e invia un email ai seed-address di Gmail, Libero, Outlook, Aruba e altri provider italiani. Vedrai direttamente se SPF, DKIM e DMARC passano, se il messaggio arriva in Inbox o Spam, e avrai screenshot di come appare il tuo email nel vero uccello.
  3. Controlla i report DMARC: dopo 24–48 ore, Gmail, Yahoo e altri ti mandano un report (in genere compresso in formato XML) all'indirizzo rua= nel tuo record DMARC. Ti dice esattamente quanti email dal tuo dominio hanno passato SPF, quanti DKIM, quanti nessuno dei due. Se vedi anomalie, capisci subito cosa è rotto.
Verifica pratica subito
Dopo aver messo i record SPF, DKIM e DMARC nel DNS, non aspettare giorni. Spedi un email di prova e verifica che SPF e DKIM passino davvero. Il nostro test di inbox placement gratuito ti mostra i risultati istantanei di SPF, DKIM e DMARC, e dove il tuo messaggio arriva (Inbox, Spam, Promotions) nelle inbox di 20+ provider italiani e internazionali.

Errori comuni nella configurazione

Ecco i problemi che vedo più spesso:

  • SPF record troppo lungo: aggiungere troppi include: o indirizzi IP finché superi 255 caratteri. DNS non ti lascia andare oltre. Soluzione: raggruppa gli IP in un singolo include:, o usa un provider di consolidamento (alcuni provider di posta offrono un include: loro che sostituisce 5–10 record).
  • DKIM non aggiornato al cambio provider: passi da Aruba a MailUp, ma dimentichi di aggiungere un nuovo selector DKIM per MailUp nel DNS. Risultato: le email da MailUp hanno una firma che nessuno può verificare. Soluzione: quando cambi provider, aggiungi il nuovo selector nel DNS, non rimpiazzare il vecchio (gli email in transito ancora lo useranno).
  • DMARC impostato con p=reject fin da subito: metti subito p=reject senza verificare che il 100% dei tuoi email passa SPF o DKIM. Risultato: molti email legittimi vengono rifiutati. Soluzione: partisci sempre con p=none, monitora per 1–2 settimane, poi scala a p=quarantine, infine p=reject quando sei sicuro.
  • Manca From:-header alignment in DMARC: SPF e DKIM verificano il dominio tecnico (MAIL FROM per SPF, d= per DKIM), ma non sempre il From: che l'utente vede. DMARC esige che almeno uno tra SPF e DKIM sia “aligned” (il dominio sia lo stesso del From:). Se no, DMARC fallisce anche se SPF passa. Soluzione: accertati che il dominio MAIL FROM (SPF) e il dominio DKIM siano lo stesso del From: dell'email.
v=spf1 include:mailprovider.com include:sendgrid.net -allVersione 1 di SPFAutorizza server IP elencati da mailprovider.comAutorizza anche SendGrid se lo usi come relayNega (reject) tutto il resto: solo questi server possono mandare email dal dominio
Esempio di record DNS di SPF con dettagli

Quale dei tre (SPF, DKIM, DMARC) è il più importante?

Tutti e tre lavorano insieme, ma se devi scegliere uno, inizia con SPF: è il più semplice e copre il 70% dei problemi. DKIM aggiunge un livello di crittografia che i relay (come provider di email marketing) possono mantenere. DMARC è il supervisore: imposta la policy e ti dice come i provider reagiscono. Per Gmail e Yahoo dal febbraio 2024, devi avere sia SPF che DKIM (obbligatori), quindi non puoi sceglierne uno solo.

Quanto tempo impiega DNS a riconoscere il record SPF/DKIM/DMARC che ho appena aggiunto?

Teoricamente 15 minuti (il TTL standard è 3600 secondi = 1 ora). Nella pratica, i provider come Gmail aggiornano il loro cache in pochi minuti, ma Outlook e altri potrebbero impiegare qualche ora. Se hai fretta, abbassa il TTL a 300 secondi (5 minuti) prima di aggiungere il record, aspetta che propaghi, aggiungi il record, verifica, e poi ripristina TTL a 3600. Oppure usa il nostro test gratuito di inbox placement per controllare subito dopo aver messo il record.

In Italia, quali provider richiedono SPF/DKIM/DMARC? O solo Gmail e Yahoo?

Ufficialmente dal febbraio 2024, Gmail e Yahoo sono stati i primi a renderlo obbligatorio. Tuttavia, provider italiani come Aruba, Libero, Virgilio e TIM seguono le stesse best practice. Se non hai configurato questi tre record, il tuo tasso di spam aumenta presso tutti i provider, non solo Gmail e Yahoo. In pratica, oggi è obbligatorio per chiunque voglia avere una buona reputazione di mittente.
Letture correlate
Found this useful? Share it
AB
Sull'autore
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifica la tua deliverability su oltre 20 provider

Gmail, Outlook, Yahoo, Libero, GMX, ProtonMail e altri. Screenshot reali della posta in arrivo, SPF/DKIM/DMARC, verdetti dei filtri antispam. Gratis, senza registrazione.

Avvia il test gratuito →

Test illimitati · Oltre 20 caselle · Risultati in tempo reale · Nessun account