Le email di reset password sono critiche: ogni minuto di mancata consegna è un utente frustrato che potrebbe abbandonare la tua piattaforma. Eppure, è sorprendentemente comune che queste transazionali finiscano direttamente nello spam, o scompaiano completamente.
In Italia, dove una grande parte della tua audience usa Libero, Virgilio, TIM/Alice accanto a Gmail e Outlook, i problemi di autenticazione email si amplificano. Questi provider locali hanno filtri antifrode specifici e, a differenza di Gmail, non sempre riportano chiaramente il motivo del rifiuto.
Questa guida ti mostrerà dove cercare il messaggio mancante e come rimediare, dalla verifica DNS alla scelta del relay SMTP corretto.
Reset password: la priorità assoluta
Un'email di reset password non è una newsletter: è un messaggio transazionale, che l'utente ha indirettamente richiesto facendo clic su «Ho dimenticato la password». Per questo motivo, mailbox provider (Gmail, Outlook, Libero) dovrebbero dare priorità assoluta alla consegna.
Ma c'è una condizione fondamentale: il tuo dominio deve dimostrare di essere legittimo. Senza autenticazione (SPF, DKIM), anche le transazionali vengono marcate come sospette o bloccate del tutto.
Se il reset non arriva, il problema ha poche cause radice, tutte controllabili:
- Autenticazione email mancante o mal configurata (SPF/DKIM).
- Messaggio arrivato in una cartella nascosta (Spam, Promotions, Social su Gmail; Posta Indesiderata su Outlook).
- Il tuo CMS (WordPress, WooCommerce, PrestaShop) usa PHP mail() anziché SMTP esterno → i server di hosting rifiutano il messaggio.
- Provider di posta locale (Aruba, TIM/Alice) con regole diverse rispetto a Gmail.
SPF e DKIM: il fondamento
Da febbraio 2024, Google e Yahoo hanno reso obbligatorio SPF e DKIM per chiunque invii più di 5.000 email al giorno a indirizzi Gmail o Yahoo. Ma anche per numeri inferiori, implementare l'autenticazione è il primo passo per garantire la consegna.
SPF (Sender Policy Framework) dice ai server di ricezione: «Questi server hanno il diritto di inviare email per il mio dominio». DKIM (DomainKeys Identified Mail) firma crittograficamente ogni messaggio in modo che il ricevente possa verificare che non è stato alterato.
Come verificare che SPF e DKIM siano configurati:
- Accedi al pannello di controllo del tuo hosting (Aruba, SiteGround, ecc.).
- Trova la sezione «Zone DNS» o «DNS».
- Aggiungi un record TXT SPF simile a questo:
v=spf1 include:_spf.google.com include:sendgrid.net ~all(Sostituisci i provider con i tuoi: se usi MailUp, aggiungi il loro SPF include; se usi il server SMTP del tuo hosting, metti l'indirizzo IP conip4:.) - Per DKIM, il tuo provider SMTP (Gmail per Google Workspace, Aruba per mailbox Aruba, oppure un ESP come MailUp o Brevo) dovrebbe fornirti una stringa CNAME o TXT da aggiungere al DNS. Non è sempre automatico: controlla le loro istruzioni di setup.
Guarda nel Spam, Promozioni e altre cartelle
Su Gmail, un messaggio può finire in cinque posti diversi: Inbox (Posta in arrivo), Spam, Promozioni, Social oppure Aggiornamenti. Outlook divide similmente in Posta in arrivo, Posta indesiderata, Altro.
Libero, Virgilio e TIM/Alice spesso raggruppano tutto nella cartella principale, ma alcuni filtri avanzati possono spostare il messaggio in una cartella «Sospetti» o simile.
Se il reset non arriva:
- Controlla lo spam. Accedi direttamente all'account Gmail/Outlook dell'utente, cerca nella cartella Spam, Promozioni e Posta indesiderata.
- Verifica il timing. A volte Gmail ritarda la consegna di 1–5 minuti se è sospetto. Aspetta prima di dichiarare fallito.
- Prova con un indirizzo personale. Crea un test account con Gmail, Yahoo, Libero, Outlook e invia a te stesso un reset finto. Vedi dove finisce.
Problemi comuni di CMS e piattaforme e-commerce
WordPress, WooCommerce, PrestaShop e Contact Form 7 hanno un difetto di design: per default, usano la funzione PHP mail(), che invia email come se venissero dal server di hosting, non dal tuo dominio.
Se il tuo hosting è presso una società grande (SiteGround, Bluehost) o una locale come Aruba, gli SPF record del hosting potrebbero conflittare con i tuoi, oppure il server di hosting potrebbe rifiutare la mail se la vede originare da un'IP sconosciuto.
La soluzione: configurare un relay SMTP esterno.
Installa un plugin come WP Mail SMTP (gratuito per WordPress/WooCommerce) o, per PrestaShop, usa il modulo nativo «Configura SMTP» e punta a un servizio come:
- SendGrid (gratuito fino a 100 email/giorno, buono per test).
- Brevo (ESP francese, locale in Italia, piano gratuito).
- MailUp (ESP italiano, molto usato da agenzie e retailer).
- Il tuo hosting se supporta SMTP esterno: Aruba, ad esempio, fornisce credenziali SMTP per i clienti hostati.
Una volta configurato SMTP, ogni email (comprese le transazionali di reset) partirà dal tuo dominio con autenticazione corretta.
Verifica con il tuo provider di posta
Se usi un dominio hostato presso Aruba (il più grande hosting provider italiano), TIM/Alice, o un altro fornitore locale, contatta il loro supporto tecnico per verificare che:
- SPF/DKIM siano configurati correttamente nella zona DNS (alcuni hoster li impostano automaticamente).
- Non ci siano rate limit o blocchi sul numero di email da inviare per ora.
- Il relay SMTP sia correttamente impostato se usi transazionali esterne.
Aruba in particolare gestisce sia l'hosting che il servizio di posta PEC (che è diverso da email commerciale), quindi a volte le configurazioni si incrociano. Se sei cliente Aruba, il loro team può fornire istruzioni specifiche.
Come testare prima che il problema si manifesti
Non aspettare che gli utenti segnalino il problema. Testa tu stesso il tuo sistema di reset:
- Crea un account test sul tuo sito con email fittizie su Gmail, Yahoo, Libero, Virgilio e Outlook.
- Fai un reset password da ogni account.
- Controlla le cartelle. Se il messaggio non arriva in 30 secondi, c'è un problema.
- Usa il tool gratuito check.live-direct-marketing.online: invia un'email di test e ricevi il verdetto su quali provider la ricevono, quale cartella, e i dettagli di autenticazione.
Questo test ti dirà esattamente dove il problema si trova – prima che gli utenti si trovino bloccati fuori dai loro account.