Se le email della tua azienda finiscono nello spam dei destinatari, nella maggior parte dei casi il problema non è il contenuto del messaggio né il provider di posta. È la configurazione DNS del dominio. Tre record specifici determinano se i server di posta riceventi considerano le tue email legittime o sospette: SPF, DKIM e DMARC. Se uno dei tre manca o è configurato in modo errato, le email rischiano di non arrivare a destinazione indipendentemente da quanto siano professionali nel contenuto.
Configurare questi record non è complicato, ma richiede accesso al pannello di gestione del dominio e qualche minuto di attenzione. Per le agenzie che gestiscono l’email professionale dei propri clienti, è una delle prime verifiche da fare quando arriva la segnalazione “le mie email finiscono nello spam”. Nella maggior parte dei casi la risoluzione è rapida. Il problema è che senza una verifica sistematica, molte aziende mandano email per mesi senza sapere che una quota significativa non arriva mai.
Perché le email finiscono nello spam: il meccanismo
I server di posta come Gmail, Outlook e tutti gli altri usano filtri antispam sempre più sofisticati. Uno dei fattori principali che determinano se un’email viene consegnata nella inbox o filtrata nello spam è l’autenticazione del mittente: il server ricevente verifica che chi dice di mandare l’email sia davvero autorizzato a farlo per quel dominio.
Questa verifica avviene tramite tre record nel DNS del dominio mittente. Se i record non ci sono, o sono configurati male, il server ricevente non riesce a verificare l’autenticità e tratta l’email con sospetto. Non necessariamente la blocca, ma abbassa significativamente il punteggio di reputazione del mittente, aumentando la probabilità che finisca nello spam.
Dal febbraio 2024, Google e Yahoo hanno reso obbligatoria la configurazione di SPF, DKIM e DMARC per chi manda più di 5.000 email al giorno verso i loro domini. Ma anche per volumi molto più bassi, la mancanza di questi record impatta la deliverability in modo misurabile.
SPF: chi è autorizzato a mandare email per il tuo dominio
SPF, Sender Policy Framework, è un record DNS di tipo TXT che dichiara quali server sono autorizzati a inviare email per conto del tuo dominio. Quando il server ricevente riceve un’email da mario@tuaazienda.it, controlla il record SPF del dominio tuaazienda.it per verificare che il server mittente sia in lista.
Un record SPF corretto per un’azienda che usa Microsoft 365 per le email si presenta così:
v=spf1 include:spf.protection.outlook.com -all
Per Google Workspace:
v=spf1 include:_spf.google.com -all
Il -all alla fine significa “rifiuta tutto il resto”: qualsiasi server non elencato nel record SPF non è autorizzato a mandare email per questo dominio. Alcuni preferiscono ~all (soft fail) che marca le email non autorizzate come sospette invece di rifiutarle, utile durante la fase di configurazione per non bloccare email legittime accidentalmente.
Problema: SPF mancante o con più record Causa: Il dominio non ha un record SPF configurato, oppure ne ha due o più (ogni dominio può avere un solo record SPF valido). Soluzione Blurr: Verifica tramite MXToolbox o dig TXT del dominio, consolidamento di tutti i server autorizzati in un singolo record SPF. Errore tipico: SPF PermError: too many DNS lookups quando il record contiene troppi include annidati che superano il limite di 10 lookup DNS.
DKIM: la firma digitale che autentica il contenuto
DKIM, DomainKeys Identified Mail, funziona in modo diverso da SPF. Invece di dichiarare quali server possono mandare email, aggiunge una firma digitale crittografata a ogni email in uscita. Il server ricevente verifica quella firma usando una chiave pubblica pubblicata nel DNS del dominio mittente.
In pratica: il server di posta mittente firma ogni email con una chiave privata. Il server ricevente trova la chiave pubblica corrispondente nel DNS e verifica che la firma sia valida. Se qualcuno ha modificato il messaggio in transito, la firma non corrisponde e l’email viene trattata come sospetta.
La configurazione DKIM dipende dal provider di posta. Sia Microsoft 365 che Google Workspace generano automaticamente le chiavi DKIM e forniscono i record DNS da aggiungere nel pannello del dominio. Il processo richiede di copiare due record CNAME (per Microsoft 365) o un record TXT (per Google Workspace) nel DNS del dominio e attendere la propagazione.
Problema: DKIM non configurato dopo il setup dell’email Causa: Il provider di posta è configurato ma il record DKIM non è stato aggiunto al DNS del dominio, spesso perché il setup guidato non rende evidente questo passaggio. Soluzione Blurr: Accesso al pannello di amministrazione del provider, generazione delle chiavi DKIM, aggiunta dei record nel DNS del dominio, verifica con MXToolbox dopo la propagazione (24-48 ore). Errore tipico: DKIM: no key for selector nella verifica, che indica il record DNS mancante o non ancora propagato.
DMARC: la policy che definisce cosa fare con le email sospette
DMARC, Domain-based Message Authentication, Reporting and Conformance, è il terzo livello di autenticazione. Funziona sopra SPF e DKIM: definisce cosa deve fare il server ricevente quando un’email non supera le verifiche SPF o DKIM.
Un record DMARC base si presenta così:
v=DMARC1; p=none; rua=mailto:dmarc@tuaazienda.it
Il parametro p definisce la policy: none (monitora senza azione), quarantine (metti nello spam), reject (rifiuta completamente). Per iniziare, none permette di raccogliere report senza rischiare di bloccare email legittime. Dopo aver verificato che SPF e DKIM funzionano correttamente, si passa a quarantine o reject.
Il parametro rua indica l’indirizzo email dove ricevere i report aggregati: dati su quante email sono passate le verifiche e quante no, da quali server, con quali risultati. Sono report tecnici in formato XML che strumenti come Google Postmaster Tools, DMARC Analyzer o MXToolbox trasformano in dashboard leggibili.
Problema: DMARC con policy reject senza SPF e DKIM correttamente configurati Causa: Il record DMARC è impostato su p=reject prima che SPF e DKIM siano verificati e funzionanti, causando il rifiuto di email legittime. Soluzione Blurr: Sequenza corretta di configurazione: prima SPF, poi DKIM, poi DMARC con p=none, verifica dei report per almeno due settimane, poi passaggio progressivo a quarantine e infine reject. Errore tipico: bounce di email legittime con messaggio 550 5.7.1 Email rejected per DMARC policy.
Il caso che abbiamo trovato più spesso
Nella nostra esperienza di configurazione email per le agenzie partner, il pattern più frequente è questo: azienda che ha cambiato provider di posta sei o dodici mesi prima, ha configurato le nuove caselle, ma non ha aggiornato i record DNS del vecchio provider. Il record SPF punta ancora ai server del vecchio provider. Il DKIM non è mai stato configurato sul nuovo. Le email arrivano a destinazione in modo intermittente: alcune sì, alcune nello spam, senza una logica apparente per il cliente.
Abbiamo risolto questo problema su decine di domini. Il processo richiede mediamente tra i trenta minuti e due ore, dipende dalla complessità del setup e dal numero di servizi che mandano email per quel dominio (provider di posta, piattaforme di email marketing, sistema gestionale, ecommerce). Non è un lavoro lungo, ma richiede attenzione e conoscenza della struttura DNS.
Un’agenzia di consulenza finanziaria seguita da una delle nostre agenzie partner aveva questo problema da mesi senza saperlo. I preventivi che mandavano ai potenziali clienti finivano nello spam di Gmail e Outlook. Non tutte: circa il 30-40% in base ai test che abbiamo fatto dopo la segnalazione. Il titolare aveva attribuito il calo di risposte a una fase commerciale difficile, senza sospettare il problema tecnico. Dopo la correzione dei record DNS, il tasso di risposta ai preventivi è tornato ai livelli precedenti nel giro di due settimane.
Come verificare la configurazione del tuo dominio adesso
La verifica si fa in cinque minuti con strumenti gratuiti e non richiede competenze tecniche avanzate.
MXToolbox (mxtoolbox.com) ha un SuperTool che analizza SPF, DKIM e DMARC di qualsiasi dominio in modo rapido. Inserisci il dominio, seleziona il tipo di verifica e ottieni un report con i problemi evidenziati in rosso. È lo strumento che usiamo come prima verifica su ogni nuovo dominio che prendiamo in gestione.
Google Postmaster Tools permette di monitorare nel tempo la reputazione del dominio mittente per le email verso Gmail, con dati su tasso di spam, autenticazione e reputazione IP. È gratuito e richiede solo la verifica della proprietà del dominio.
Per i clienti che gestiamo attraverso le agenzie partner, la verifica di SPF, DKIM e DMARC è parte del checklist standard di ogni setup email. Non è un servizio opzionale: è la condizione che garantisce che le email arrivino effettivamente a destinazione. Su blurr.it/servizi/ trovi come strutturiamo il servizio email white label per le agenzie partner. Per capire come scegliere il provider email giusto per i tuoi clienti, leggi email professionale aziendale: webmail, Google Workspace o Microsoft 365.
FAQ
Perché le mie email aziendali finiscono nello spam? Quasi sempre per uno di questi motivi: record SPF mancante o configurato per un provider di posta diverso da quello attuale, DKIM non configurato, DMARC assente o configurato in modo errato. La verifica si fa in cinque minuti con MXToolbox. Se il problema persiste dopo la corretta configurazione dei tre record, potrebbe esserci un problema di reputazione dell’IP del server di posta, più raro ma risolvibile con il supporto del provider.
Quanto tempo ci vuole per configurare SPF, DKIM e DMARC? Con accesso al pannello DNS del dominio e al pannello di amministrazione del provider di posta, la configurazione richiede tra i trenta minuti e due ore. La propagazione dei record DNS richiede da alcune ore a 48 ore. Durante la propagazione le email continuano a funzionare normalmente: la nuova configurazione diventa attiva progressivamente man mano che i server nel mondo aggiornano la loro cache DNS.
Un record DMARC con policy reject può bloccare email legittime? Sì, se SPF e DKIM non sono configurati correttamente prima di impostare la policy reject. Il percorso sicuro è: configurare SPF, configurare DKIM, aggiungere DMARC con policy none, monitorare i report per almeno due settimane per verificare che non ci siano email legittime che falliscono le verifiche, poi passare progressivamente a quarantine e infine a reject.
Come faccio a sapere quante delle mie email finiscono nello spam? Google Postmaster Tools fornisce dati sulla reputazione del dominio per le email verso Gmail, con indicazione della percentuale di email classificate come spam dai destinatari. Per una verifica più completa, strumenti come Mail-Tester.com permettono di inviare un’email di test e ricevere un punteggio dettagliato su deliverability, autenticazione e contenuto.