Recapitabilità e-mail: evitare che i messaggi finiscano nello spam (SPF, DKIM, DMARC)
Affinché le e-mail aziendali arrivino in modo affidabile, i server di ricezione devono poter verificare che i messaggi provengano davvero dal vostro dominio. SPF, DKIM e DMARC aiutano a proteggere il dominio da abusi e a migliorare la recapitabilità delle e-mail.
La recapitabilità delle e-mail è oggi molto più esigente rispetto al passato. I grandi provider come Google, Microsoft, Yahoo e altri controllano con molta attenzione i messaggi in entrata. Non basta più che un’e-mail venga tecnicamente inviata. Il sistema di ricezione verifica anche se il mittente è affidabile, se il dominio è autenticato correttamente e se il messaggio assomiglia a spam, phishing o spoofing.
Per le aziende questo è particolarmente importante: se offerte, fatture, risposte di supporto, messaggi da moduli di contatto o conferme d’ordine finiscono nello spam, l’effetto è poco professionale e può causare perdite economiche dirette. Le basi tecniche più importanti per una corretta autenticazione e-mail sono SPF, DKIM e DMARC.
SPF, DKIM e DMARC migliorano l’affidabilità tecnica delle e-mail. Tuttavia non garantiscono da soli che ogni messaggio arrivi nella posta in arrivo. Contenuto, comportamento di invio, reazioni dei destinatari, blacklist, reputazione e tassi di reclamo contano anch’essi.
Perché le e-mail finiscono nello spam?
Un’e-mail può finire nella cartella spam o essere rifiutata completamente per molti motivi. Cause frequenti sono record DNS mancanti o errati, server mail configurato male, contenuti sospetti, troppi reclami da parte dei destinatari o invio tramite sistemi non autorizzati.
Il problema diventa particolarmente critico quando un server di ricezione non riesce a verificare che un messaggio provenga davvero dal dominio indicato. Spammer e truffatori cercano spesso di usare domini altrui come mittenti. Proprio qui entrano in gioco SPF, DKIM e DMARC.
I tre meccanismi di protezione più importanti
1. SPF
Sender Policy Framework definisce quali server sono autorizzati a inviare e-mail per conto del vostro dominio. I server di ricezione possono così verificare se il server mittente è autorizzato.
2. DKIM
DomainKeys Identified Mail aggiunge una firma digitale alle e-mail in uscita. Questo permette di verificare che il messaggio non sia stato modificato e sia stato inviato in modo autorizzato.
3. DMARC
Domain-based Message Authentication, Reporting and Conformance definisce come i server di ricezione devono gestire i messaggi che non superano i controlli SPF o DKIM.
SPF: chi può inviare per il vostro dominio?
SPF è un record DNS TXT che definisce quali server sono autorizzati a inviare e-mail per conto del dominio. Se il dominio invia e-mail tramite CURIAWEB, ad esempio, il server mail CURIAWEB deve essere autorizzato nel record SPF. Se anche servizi esterni come strumenti newsletter, CRM o software di contabilità inviano e-mail usando il dominio, anche questi servizi devono essere inclusi correttamente.
Dal punto di vista del server di ricezione, un record SPF risponde alla domanda: “Questo server è autorizzato a inviare e-mail per questo dominio?” Se la risposta è no o il record SPF è errato, il messaggio può essere considerato sospetto.
Di norma un dominio dovrebbe avere un solo record SPF. Più record TXT SPF separati per lo stesso dominio possono causare errori. Se vengono utilizzati più servizi di invio, devono essere combinati in un unico record SPF comune.
DKIM: la firma digitale della vostra e-mail
DKIM completa SPF con una firma digitale. Il server mittente firma crittograficamente i messaggi in uscita. La chiave pubblica necessaria per verificare la firma viene pubblicata come record DNS. Il server di ricezione può così controllare se il messaggio è stato modificato dopo l’invio e se la firma corrisponde al dominio.
DKIM è particolarmente utile perché non considera solo il server mittente, ma firma il messaggio stesso. Questo migliora l’affidabilità tecnica delle e-mail ed è un elemento importante dell’autenticazione presso i provider moderni.
DMARC: regole per autenticazioni fallite
DMARC si basa su SPF e DKIM. Definisce cosa devono fare i server di ricezione quando un’e-mail non supera l’autenticazione o non è allineata con il dominio visibile del mittente. DMARC può inoltre consentire report che mostrano quali sistemi inviano e-mail per conto del dominio.
DMARC può essere utilizzato con diverse policy:
| Policy DMARC | Significato | Uso tipico |
|---|---|---|
p=none |
Solo monitoraggio, senza rifiuto diretto | Fase iniziale e analisi |
p=quarantine |
I messaggi non conformi dovrebbero finire in spam o quarantena | Fase di protezione avanzata |
p=reject |
I messaggi non conformi devono essere rifiutati | Protezione rigorosa dopo configurazione corretta |
Raccomandazione
Iniziare con DMARC con prudenza, soprattutto se si utilizzano più servizi di invio. Una policy troppo rigorosa può bloccare e-mail legittime se SPF o DKIM non sono ancora completamente configurati correttamente.
Controllare la recapitabilità in cPanel
cPanel offre la funzione Email Deliverability per controllare i principali dati di autenticazione del dominio. cPanel mostra se esistono problemi, quali record sono consigliati e se SPF, DKIM o DMARC possono essere installati.
Passo dopo passo: controllare SPF, DKIM e DMARC in cPanel
- Accedere al proprio account cPanel.
- Nella sezione E-mail, aprire Email Deliverability.
- Cercare il dominio desiderato nell’elenco.
- Se cPanel segnala problemi, fare clic su Gestisci o Manage.
- Controllare i record suggeriti per SPF, DKIM e DMARC.
- Se cPanel gestisce la zona DNS, di solito è possibile installare direttamente i record suggeriti.
- Se la zona DNS è gestita esternamente, copiare i valori suggeriti e inserirli presso il provider DNS esterno.
- Attendere la propagazione DNS e poi controllare nuovamente il dominio.
Se il dominio utilizza nameserver esterni, cPanel potrebbe non poter impostare automaticamente i record DNS. In questo caso SPF, DKIM e DMARC devono essere inseriti dove viene gestita la zona DNS autoritativa del dominio.
Integrare correttamente i servizi di invio esterni
Molte aziende non inviano e-mail soltanto tramite la normale casella di hosting. Spesso vengono utilizzati servizi aggiuntivi, ad esempio strumenti newsletter, CRM, software di supporto, sistemi di contabilità, shop o piattaforme di prenotazione.
Esempi di servizi esterni:
- strumenti newsletter come Mailchimp o Brevo,
- sistemi CRM e vendite,
- helpdesk o sistemi ticket,
- software shop e fatturazione,
- Microsoft 365 o Google Workspace,
- provider di e-mail transazionali per messaggi automatici.
Se questi servizi inviano e-mail usando il dominio come mittente, devono essere correttamente inclusi in SPF, DKIM e, se necessario, DMARC. In caso contrario, anche messaggi legittimi possono essere considerati non autorizzati.
Non aggiungere mai servizi di invio esterni alla cieca. Utilizzare sempre le istruzioni DNS ufficiali del provider e verificare se i record SPF devono essere combinati o se DKIM viene configurato tramite record CNAME o TXT separati.
Errori frequenti con SPF, DKIM e DMARC
1. Più record SPF per lo stesso dominio
Più record SPF sono un errore comune. Invece di creare più record TXT con v=spf1, tutte le fonti di invio autorizzate devono essere combinate in un unico record SPF.
2. Servizi mail esterni assenti da SPF
Se uno strumento newsletter o CRM invia e-mail usando il dominio ma non è incluso nel record SPF, l’autenticazione può fallire.
3. DKIM non attivato
Senza DKIM manca un importante controllo tramite firma. Molti server di ricezione considerano i messaggi firmati più affidabili di quelli non firmati.
4. DMARC configurato in modo troppo rigido
Una policy diretta come p=reject può essere problematica se non tutte le fonti di invio legittime sono ancora correttamente autenticate. In configurazioni complesse, iniziare con il monitoraggio e rendere la policy più severa solo dopo verifica.
5. DNS modificato nel posto sbagliato
Se il dominio utilizza nameserver esterni, le modifiche nell’editor di zona cPanel potrebbero non avere effetto. Conta sempre la zona DNS autoritativa.
6. Dominio mittente e servizio di invio non allineati
Se l’indirizzo mittente visibile, il percorso tecnico di invio e il dominio autenticato non coincidono, DMARC può fallire. Assicurarsi che l’allineamento del dominio sia corretto.
Come testare la recapitabilità delle e-mail
Dopo modifiche a SPF, DKIM o DMARC, è opportuno controllare la configurazione. Utilizzare prima la funzione Email Deliverability in cPanel. Anche servizi di test esterni possono essere utili, poiché analizzano una mail di prova e forniscono indicazioni su DNS, autenticazione, fattori spam e reputazione.
Tuttavia, gli strumenti esterni forniscono sempre solo un’istantanea. Un buon punteggio in uno strumento non significa automaticamente che ogni e-mail arriverà in ogni casella di posta. Allo stesso modo, un avviso non significa sempre che l’intera configurazione e-mail sia difettosa. I risultati devono essere interpretati correttamente.
Una buona recapitabilità tecnica è solo una parte della soluzione
Oltre a SPF, DKIM e DMARC, molti altri fattori influenzano l’arrivo nella posta in arrivo:
- liste destinatari pulite,
- nessuna lista acquistata o non verificata,
- volumi di invio realistici,
- bassi tassi di reclamo,
- identità del mittente chiara,
- oggetto e contenuto professionali,
- indirizzo di risposta funzionante,
- opzione di disiscrizione corretta per newsletter,
- nessun allegato o link sospetto.
L’autenticazione DNS è quindi la base tecnica. Restano comunque necessarie buone pratiche di invio.
Domande frequenti su SPF, DKIM e DMARC
Ogni dominio deve avere SPF, DKIM e DMARC?
Per domini che inviano e-mail, una corretta autenticazione è fortemente consigliata. Anche domini che non inviano attivamente possono essere meglio protetti da abusi tramite DMARC.
cPanel può impostare automaticamente SPF, DKIM e DMARC?
Sì, se la zona DNS è gestita dal server cPanel. Se il dominio utilizza nameserver esterni, i record devono essere aggiunti presso il provider DNS esterno.
Perché cPanel mostra ancora problemi?
Le possibili cause sono propagazione DNS, nameserver esterni, record copiati in modo errato, più record SPF o record DKIM/DMARC mancanti.
Cosa succede se uso servizi esterni come Mailchimp?
Questi servizi devono essere autenticati correttamente. Utilizzare le istruzioni DNS del servizio e combinare correttamente i record SPF.
CURIAWEB può controllare la mia recapitabilità e-mail?
Sì, il supporto CURIAWEB può verificare le basi tecniche DNS. Per servizi esterni sono spesso necessarie le rispettive istruzioni DNS precise.
Registrare un nuovo dominio
Una buona recapitabilità inizia con un dominio gestito professionalmente. Con CURIAWEB è possibile verificare e registrare il dominio desiderato direttamente online e poi utilizzarlo per sito web ed e-mail.