Autenticazione email: una guida per arrivare nella posta in arrivo
Confuso dall'autenticazione email? Scopri cosa sono SPF, DKIM e DMARC, perché sono importanti per i tuoi invii massivi e come configurarli per evitare la cartella spam.
Hai inviato un invio massivo da Gmail. La lista era pulita, il messaggio era personale e l’offerta era pertinente. Poi i risultati sono stati deludenti. I tassi di apertura sembravano deboli, le risposte erano quasi nulle e alcuni destinatari ti hanno segnalato che il tuo messaggio è finito nello spam.
Di solito questo porta le persone a modificare il testo. Riscrivono l’oggetto, rimuovono alcune frasi o inviano in un momento diverso. A volte aiuta. Spesso non lo fa, perché il problema di fondo nasce prima. Prima che Gmail, Outlook o Yahoo giudichino il contenuto del tuo messaggio, giudicano se si fidano del mittente.
Quel livello di fiducia si chiama autenticazione email. Se utilizzi strumenti di invio massivo basati su Gmail, questo aspetto è più importante che mai. Potresti inviare da un indirizzo aziendale familiare e rimanere all’interno di Google Workspace, ma i provider di posta elettronica vogliono comunque la prova che il tuo dominio abbia autorizzato l’invio e che il messaggio corrisponda all’indirizzo che il destinatario vede.
Le tue email finiscono nello spam? Potrebbe essere questo il motivo
Un modello comune per le piccole imprese è il seguente. Invii comunicazioni da Gmail, utilizzi uno strumento di invio massivo per personalizzare ogni messaggio e ti aspetti che la campagna sembri più umana di una newsletter di massa. Quella parte è vera. Ma i provider di posta elettronica non ti valutano in base alle intenzioni. Ti valutano in base ai segnali.
La posta in arrivo è affollata. I benchmark del settore collocano i tassi di apertura medi delle email tra il 21% e il 25%, e un set di dati stima che 3,13 milioni di email vengano inviate ogni secondo. Ecco perché i segnali di fiducia sono così importanti per la visibilità e il posizionamento nella posta in arrivo, secondo questi benchmark di email marketing. Se il tuo dominio non è autenticato, il tuo messaggio può sembrare sospetto anche quando il testo è eccellente.
La fiducia viene prima dell’ottimizzazione
I proprietari di piccole imprese spesso iniziano con modifiche al testo. Rimuovono frasi che pensano attivino i filtri antispam o studiano elenchi di termini rischiosi come questa guida alle parole spam nelle email. È utile, ma non è la base.
Se Gmail non riesce a verificare che il tuo dominio abbia realmente autorizzato l’invio, la tua campagna parte con un deficit di fiducia.
Regola pratica: Risolvi la fiducia del mittente prima di ossessionarti con le righe dell’oggetto.
L’autenticazione è ciò che dice ai server riceventi che il messaggio proviene da un mittente approvato e che non è stato falsificato per sembrare proveniente da te. Ecco perché ogni serio sforzo per ottimizzare la consegna delle email nella posta in arrivo deve iniziare con SPF, DKIM e DMARC.
Il motivo nascosto per cui le comunicazioni da Gmail hanno prestazioni inferiori
Le comunicazioni basate su Gmail creano un falso senso di sicurezza. Le persone presumono che, poiché il messaggio è stato inviato da una casella di posta reale, il dominio debba già essere considerato affidabile ovunque. Non è sempre vero, specialmente quando un dominio Google Workspace invia anche tramite strumenti di pianificazione, CRM, piattaforme di assunzione, help desk o software di fatturazione.
Il risultato è frustrante. Un team vede un normale posizionamento nella posta in arrivo per i messaggi diretti uno a uno, poi prestazioni peggiori per gli invii automatizzati o massivi. Stesso marchio. Stesso dominio. Percorso tecnico diverso.
Questo è solitamente il tuo indizio. Il problema potrebbe non essere la scrittura. Potrebbe essere l’autenticazione email.
I quattro pilastri della fiducia nelle email: SPF, DKIM, DMARC e BIMI
L’autenticazione email funziona come un sistema di fiducia a più livelli. Un record dice chi è autorizzato a inviare. Un altro dimostra che il messaggio non è stato alterato. Un terzo dice ai server riceventi cosa fare quando i controlli falliscono. Un quarto può aggiungere un segnale visivo del marchio nella posta in arrivo.
Il nucleo tecnico è semplice. SPF pubblica quali server sono autorizzati a inviare per conto del tuo dominio, DKIM aggiunge una firma crittografica e DMARC dice ai destinatari se monitorare, mettere in quarantena o rifiutare i messaggi che non superano tali controlli, come spiegato in questa panoramica sui protocolli di autenticazione email.
SPF è la tua lista degli invitati
SPF sta per Sender Policy Framework. Pensalo come alla lista degli invitati al tuo evento.
Quando un server ricevente riceve un messaggio che dichiara di provenire dalla tua azienda, controlla il record SPF del tuo dominio per vedere se il servizio di invio è nell’elenco approvato. Se il mittente non è elencato, quel server ha motivo di dubitare del messaggio.
Per una piccola impresa, questo è importante quando invii da più di un luogo, come ad esempio:
-
Google Workspace: email aziendali regolari da Gmail
-
Un CRM o strumento di vendita: sequenze di contatto o follow-up
-
Una piattaforma di supporto: risposte ai ticket e notifiche
-
Un modulo o sistema di prenotazione: conferme e promemoria
Se uno di questi mittenti manca dall’SPF, può causare problemi anche se l’email è legittima.
DKIM è il tuo sigillo di ceralacca
DKIM sta per DomainKeys Identified Mail. Aiuta a dimostrare che il messaggio non è stato modificato dopo aver lasciato il mittente.
L’analogia più semplice è un sigillo di ceralacca su una busta. Se il sigillo è intatto, il destinatario ha maggiore fiducia che la lettera sia autentica e non manomessa. Con DKIM, il “sigillo” è una firma digitale legata al tuo dominio.
Questo aiuta in modo diverso rispetto a SPF. SPF chiede: “Questo mittente aveva il permesso?”. DKIM chiede: “Questo messaggio corrisponde ancora alla firma del dominio autorizzato?”.
DKIM è spesso la parte che i proprietari di aziende non vedono, perché la loro piattaforma email potrebbe generare la chiave di firma per loro. Ma il server ricevente la vede assolutamente.
DMARC è il tuo livello di policy
DMARC sta per Domain-based Message Authentication, Reporting, and Conformance. Se SPF è la lista degli invitati e DKIM è il sigillo, DMARC sono le istruzioni scritte date al buttafuori.
Dice ai server riceventi cosa fare quando la posta non supera i controlli di autenticazione. Il percorso tipico della policy è il seguente:
| Policy DMARC | Cosa significa in parole semplici |
|---|---|
| Monitor | Osserva i fallimenti e raccogli report senza modificare il comportamento di consegna |
| Quarantine | Tratta i fallimenti come sospetti e indirizzali verso spam o posta indesiderata |
| Reject | Rifiuta la consegna dei messaggi che non superano il DMARC |
Questa policy è potente perché ti sposta dal controllo passivo al controllo attivo.
BIMI è il segnale di fiducia visibile
BIMI sta per Brand Indicators for Message Identification. A differenza di SPF, DKIM e DMARC, BIMI offre ai destinatari qualcosa che potrebbero notare: la visualizzazione del logo del marchio nelle caselle di posta supportate.
Pensa a BIMI come all’uniforme ufficiale. Non sostituisce il controllo dell’identità. Appare dopo che il framework di fiducia sottostante è stato implementato.
Per le piccole imprese, BIMI non è il primo lavoro da affrontare. È la ricompensa in una fase successiva. Inizia con l’autenticazione. Guadagna prima la fiducia. Poi valuta se il segnale visivo del marchio vale lo sforzo extra per la tua configurazione.
Come SPF, DKIM e DMARC lavorano insieme
La maggior parte della confusione nasce quando i proprietari di aziende imparano i tre acronimi separatamente ma non capiscono perché un messaggio possa ancora fallire dopo che un controllo è stato superato.
Perché l’allineamento mette in difficoltà le persone
DMARC non chiede solo se SPF o DKIM sono stati superati. Controlla anche se il risultato positivo si allinea con il dominio visibile nel campo Da. In parole povere, l’identità tecnica deve corrispondere all’identità del mittente che il tuo destinatario vede.
Quella regola di allineamento è dove molte configurazioni di invio massivo di Gmail si rompono. Uno strumento di terze parti potrebbe inviare posta in modo tecnicamente valido, ma se il dominio utilizzato in SPF o il dominio di firma DKIM non corrisponde al tuo indirizzo Da visibile, DMARC può comunque fallire. Questo è il punto chiave in questa spiegazione dell’allineamento DMARC.
Una semplice analogia di viaggio
Pensa a SPF o DKIM come al tuo passaporto. Dimostra che hai un documento di identità valido.
L’allineamento DMARC è l’agente della compagnia aerea che confronta quel passaporto con la carta d’imbarco. Se i nomi non corrispondono, il fatto che il passaporto sia reale non risolve il problema. Ti fermano comunque al gate.
Ecco perché le persone si confondono con i messaggi che hanno “superato DKIM” ma hanno comunque avuto problemi di consegna. Presumono che superare un test significhi che tutto va bene. Non è così. L’identità visibile deve comunque allinearsi.
Come appare nel mondo reale
Una piccola impresa spesso invia da questi percorsi contemporaneamente:
-
Messaggi Gmail diretti dal personale
-
Invii massivi da un componente aggiuntivo di Google Workspace
-
Promemoria di appuntamenti da software di prenotazione
-
Fatture da strumenti di contabilità
Se ogni servizio utilizza un’identità tecnica di invio diversa, il tuo dominio può diventare incoerente. Un flusso si allinea. Un altro no. Uno raggiunge la posta in arrivo. Un altro finisce nello spam.
La mentalità più sicura è questa: ogni servizio che invia per conto del tuo dominio deve essere intenzionalmente incluso, non dato per scontato.
Ecco perché l’autenticazione email non è solo una configurazione. È una gestione dell’inventario.
Perché questo è importante per le tue campagne di invio massivo da Gmail
Il caso aziendale è semplice. Se l’autenticazione è debole, la personalizzazione non salverà la campagna.
Le regole sono cambiate nel 2024
Google e Yahoo hanno inasprito i requisiti per i mittenti di massa nel 2024. Le regole richiedono SPF o DKIM, DMARC e la disiscrizione con un clic, e hanno anche fissato una soglia di reclami per spam inferiore allo 0,3%, secondo questo riepilogo dei requisiti di autenticazione per i mittenti di massa. Ciò ha trasformato la conversazione da “bello da avere” a necessità operativa.
Per i piccoli team che utilizzano componenti aggiuntivi di Gmail, questo è particolarmente importante perché il comportamento di invio può sembrare leggero anche quando il volume e l’automazione sembrano significativi per i provider di posta elettronica.
Cosa rendono più difficile i componenti aggiuntivi di Gmail
Un flusso di lavoro di invio massivo da Gmail sembra semplice in superficie. Scrivi all’interno di Gmail, estrai i nomi da un foglio e invii messaggi personalizzati su larga scala. Ma la parte difficile non è l’invio in sé. È la governance.
Se più persone inviano da account Google Workspace condivisi, o se strumenti diversi inviano per conto dello stesso dominio, qualcuno deve rispondere a queste domande:
-
Quali servizi sono autorizzati a inviare
-
Con quale dominio ogni servizio firma
-
Se ogni mittente si allinea con l’indirizzo Da
-
Se il comportamento di disiscrizione viene gestito correttamente dove richiesto
Se stai confrontando diversi approcci di contatto, questa analisi tra invio massivo nativo di Gmail vs componenti aggiuntivi è utile perché il percorso tecnico dietro l’invio influisce su ciò che devi monitorare.
Una rapida guida visiva aiuta a rendere più facile comprendere il lato della conformità:
Perché questo influisce sui risultati reali della campagna
L’autenticazione non è un trucco di marketing. È un’infrastruttura. Quando quell’infrastruttura è solida, i provider di posta elettronica hanno un motivo più chiaro per fidarsi del messaggio. Quando è debole, anche le comunicazioni educate e pertinenti possono essere filtrate in modo più aggressivo.
Ciò rende l’autenticazione email un vantaggio competitivo per le piccole imprese. I mittenti più grandi solitamente hanno amministratori dedicati o supporto ESP. I team più piccoli spesso non lo hanno. I team che documentano i propri mittenti, mantengono l’allineamento pulito e rivedono le modifiche prima di lanciare un nuovo strumento solitamente evitano il caos che danneggia il posizionamento nella posta in arrivo.
Una guida semplice per configurare i tuoi record DNS
Il DNS sembra intimidatorio perché l’interfaccia spesso sembra vecchia e la terminologia sembra astratta. In pratica, solitamente stai modificando alcune voci di testo nel pannello di controllo del tuo provider di dominio.
Cosa stai effettivamente modificando
Per l’autenticazione email, solitamente lavorerai con i record TXT. Ognuno ha tre campi che il tuo provider potrebbe etichettare in modo leggermente diverso:
-
Host o Nome: dove risiede il record
-
Valore o Contenuto: l’istruzione di testo stessa
-
TTL: per quanto tempo altri sistemi possono memorizzare nella cache il record
Non hai bisogno di memorizzare il gergo DNS. Devi far corrispondere i valori che il tuo provider email ti fornisce e incollarli nei campi corretti.
Scorciatoia per piccole imprese: Non iniziare cercando modelli casuali online. Inizia con i record esatti forniti da Google Workspace e da qualsiasi strumento che invia posta per il tuo dominio.
I tre record di cui la maggior parte delle piccole imprese ha bisogno
Lo stack minimo solitamente è il seguente:
| Tipo di record | Lavoro | Cosa osservare |
|---|---|---|
| SPF | Elenca i mittenti autorizzati | Mantienilo aggiornato man mano che aggiungi servizi |
| DKIM | Pubblica la chiave pubblica per la firma | Assicurati che il selettore e il valore siano esatti |
| DMARC | Dice ai destinatari come gestire i fallimenti | Inizia in modalità monitoraggio prima di applicare |
Per un dominio aziendale basato su Gmail, il tuo record SPF include spesso Google Workspace. Se un’altra piattaforma invia per tuo conto, quel mittente solitamente ti fornisce istruzioni SPF o DKIM aggiuntive.
DMARC è dove molti proprietari esitano, ma la prima mossa sicura è una policy di monitoraggio. Ciò ti consente di vedere cosa sta inviando come tuo dominio prima di passare alla quarantena o al rifiuto.
Un ordine di implementazione sicuro
Usa questo ordine per evitare problemi di consegna auto-inflitti:
-
Pubblica SPF per il tuo mittente principale
Assicurati che il tuo percorso di invio principale di Google Workspace sia coperto. -
Abilita DKIM dove il tuo provider lo supporta
Molte piattaforme forniscono i valori DNS esatti di cui hai bisogno. -
Aggiungi DMARC con una postura di monitoraggio
Questo ti dà visibilità senza bloccare immediatamente la posta. -
Controlla ogni mittente di terze parti
Controlla strumenti di prenotazione, CRM, app per moduli, sistemi di supporto e qualsiasi altra cosa che invii dal tuo dominio. -
Stringi la policy solo dopo la revisione
Passa alla quarantena o al rifiuto solo quando sai che la posta legittima è allineata.
Se il tuo dominio è gestito tramite cPanel, questa guida su come configurare la protezione antispam email di cPanel fornisce un esempio concreto di dove risiedono solitamente questi record.
Cosa non fare
Alcuni errori creano inutili sofferenze:
-
Non affrettare l’applicazione di DMARC: Una policy di rifiuto prima di aver inventariato tutti i mittenti può bloccare la posta legittima.
-
Non lasciare che più persone aggiungano strumenti casualmente: Una nuova app SaaS può rompere l’allineamento se nessuno aggiorna il DNS.
-
Non trattare il DNS come un lavoro da fare una volta sola: Ogni nuovo strumento di invio potrebbe richiedere un aggiornamento del record.
Quest’ultimo punto è il più importante per le piccole imprese. La crescita aggiunge sistemi e i sistemi aggiungono mittenti.
Come testare la tua configurazione e correggere gli errori comuni
Salvare i record DNS non significa che il lavoro sia finito. Devi comunque verificare che i record siano pubblicati correttamente e che i messaggi che invii li utilizzino come ti aspetti.
Una lista di controllo pratica per i test
Usa una semplice lista di controllo dopo ogni modifica:
-
Controlla la visibilità del record: Cerca i tuoi record SPF, DKIM e DMARC con un verificatore DNS come MXToolbox o un altro validatore.
-
Invia un messaggio reale: Testa dal flusso di lavoro di Gmail che utilizzi per le campagne reali, non da un’app diversa.
-
Rivedi i risultati dell’autenticazione: Guarda le intestazioni del messaggio o l’output dello strumento di test per confermare il comportamento di SPF, DKIM e DMARC.
-
Ripeti dopo aver aggiunto qualsiasi nuovo mittente: Una configurazione che funziona oggi può rompersi in seguito quando una nuova piattaforma inizia a inviare.
Gli errori che i piccoli team commettono più spesso
Il primo problema comune è la complessità della ricerca SPF. Le piccole imprese aggiungono un servizio dopo l’altro finché il record SPF non diventa gonfio. Quando ciò accade, la convalida può fallire anche se ogni singolo servizio sembrava innocuo quando è stato aggiunto.
Il secondo sono semplici errori di sintassi. Un carattere mancante, un valore incollato nel campo sbagliato o un record duplicato possono causare ore di confusione.
Il terzo è interpretare male i risultati positivi. Le persone vedono che un messaggio ha superato un controllo e presumono che la deliverability sia risolta. Non è così. L’autenticazione verifica l’identità, ma il posizionamento nella posta in arrivo dipende ancora da altri fattori. Questa spiegazione sul perché l’autenticazione non è la stessa cosa della deliverability è la parte che molte guide per principianti tralasciano.
Superare l’autenticazione significa: “Questo mittente sembra legittimo”. Non significa automaticamente: “Questo messaggio guadagna la posta in arrivo”.
Un semplice schema di risoluzione dei problemi
Quando qualcosa sembra sbagliato, procedi in quest’ordine:
-
Conferma che il record DNS esista
-
Conferma che il record corrisponda esattamente alle istruzioni del provider
-
Testa con il flusso di lavoro di invio effettivo
-
Controlla se il dominio Da visibile si allinea
-
Rivedi se un altro servizio sta inviando in modo imprevisto
Quel processo risolve la maggior parte dei problemi delle piccole imprese più velocemente che saltare tra post di blog casuali e thread di forum.
Oltre la configurazione: monitorare l’autenticazione email
Il cambiamento più utile è trattare l’autenticazione email come una manutenzione continua, non come un progetto del fine settimana.
A cosa servono davvero i report DMARC
Una volta che DMARC è attivo, inizierai a ricevere report che mostrano chi sta inviando posta dichiarando di provenire dal tuo dominio. Quei report possono sembrare disordinati, ma il loro scopo è pratico: ti aiutano a individuare strumenti legittimi che hai dimenticato di considerare e traffico sospetto che non hai assolutamente autorizzato.
Quella visibilità è importante perché un’azienda in crescita raramente invia da un solo posto per sempre. Viene aggiunto uno strumento di assunzione. Poi un help desk. Poi un software per eventi. Poi un’app di promemoria automatizzata.
Una semplice abitudine di manutenzione
Inserisci un’attività ricorrente nel calendario. Rivedi il tuo inventario di invio ogni volta che aggiungi, rimuovi o modifichi uno strumento che invia email.
Un processo leggero funziona bene:
-
Tieni un elenco dei mittenti: Documenta ogni piattaforma autorizzata a inviare per il tuo dominio.
-
Controlla l’allineamento prima del lancio: Verifica che i nuovi servizi utilizzino il dominio Da corretto e la configurazione di firma.
-
Leggi i tuoi report per individuare schemi: Cerca mittenti sconosciuti, fallimenti ripetuti o servizi che necessitano di aggiornamenti di configurazione.
-
Rivedi la guida attuale: Questa lista di controllo delle linee guida per i mittenti di email è un punto di riferimento utile quando il tuo team vuole un promemoria in inglese semplice su cosa mantenere in ordine.
L’autenticazione email è nata come controllo di sicurezza. Per le piccole imprese che utilizzano strumenti di invio massivo da Gmail, è diventata qualcosa di più ampio. È il modo in cui proteggi il tuo marchio, supporti il posizionamento nella posta in arrivo e impedisci che la crescita trasformi il tuo dominio in un confuso mosaico di mittenti configurati a metà.
Se invii campagne personalizzate da Google Workspace, Mail Merge for Gmail ti offre un modo semplice per gestire le comunicazioni dal tuo account Gmail mantenendo la visibilità su invii, aperture, clic, risposte e gestione della disiscrizione. È un’opzione pratica per i team che vogliono scalare l’email in stile uno a uno senza abbandonare gli strumenti Google che già utilizzano.
Pronto a inviare la tua prima campagna?
Installa Mail Merge for Gmail dal Google Workspace Marketplace e invia gratuitamente fino a 50 email personalizzate al giorno.
Installa su Google WorkspaceAltre letture
Altro da Tutorials
Come evitare che le email finiscano nello spam: una guida per il 2026
Scopri come evitare che le email finiscano nello spam con la nostra guida per gli utenti Gmail. Padroneggia l'autenticazione, l'igiene delle liste e la reputazione del mittente per arrivare nella posta in arrivo.
Cos'è una campagna email: una guida per il 2026
Scopri cos'è una campagna email, le sue tipologie, i componenti e i principali KPI. La nostra guida per il 2026 ti aiuta a lanciare strategie email efficaci oggi stesso!
Come ordinare in ordine alfabetico su Google Sheets (Guida passo dopo passo 2025)
Questo semplice trucco per ordinare in ordine alfabetico su Google Sheets ti lascerà a bocca aperta. Sistema dati caotici, ordina istantaneamente e rendi il tuo foglio di calcolo professionale in pochi secondi.