SPF, DKIM e DMARC: Cosa Sono e Come Configurare DMARC p=reject
Lettura 8 min · AstraLoop Studio
Puoi avere la migliore lista di prospect e il testo di cold email più affilato del mercato. Ma se il tuo dominio non è autenticato correttamente, le tue email finiscono in spam o vengono rifiutate prima ancora di essere lette. Da febbraio 2024 Google e Yahoo hanno reso SPF, DKIM e DMARC obbligatori per chi invia volumi consistenti, e nel 2025 Microsoft si è allineata. Nel 2026 questi tre protocolli non sono più un dettaglio da smanettoni: sono la condizione minima per fare outreach a freddo senza bruciarti il dominio.
In questa guida ti spiego cosa sono SPF, DKIM e DMARC in italiano concreto, perché servono tutti e tre, e soprattutto come arrivare a DMARC con policy p=reject, il livello di protezione che gli standard 2026 di fatto pretendono. Niente teoria da manuale: solo quello che devi configurare, e in che ordine.

Perché l'autenticazione email è diventata obbligatoria
Il problema che questi protocolli risolvono è vecchio quanto l'email. Chiunque può scrivere qualsiasi cosa nel campo "mittente". Nulla, di per sé, impedisce a un truffatore di mandare una mail firmata "info@tuodominio.it" senza avere accesso al tuo dominio. È così che funzionano phishing e spoofing.
SPF, DKIM e DMARC sono la risposta a questo buco. Sono tre firme tecniche che dicono al server ricevente: "questa email arriva davvero da chi dice di arrivare". I provider le usano come primo filtro. Se mancano o sono configurate male, il tuo messaggio parte già con un handicap di reputazione, per quanto buono sia il contenuto. Se vuoi il quadro completo di cosa spinge i messaggi nel filtro indesiderata, abbiamo scritto una guida dedicata su perché le email finiscono in spam.
Le regole formali sono cambiate nel 2024. Per chi manda oltre 5.000 email al giorno verso Gmail (i cosiddetti "bulk sender"), Google e Yahoo richiedono i tre protocolli attivi, un tasso di spam sotto lo 0,3% e la disiscrizione con un clic. Nella pratica del cold outreach B2B, però, dove mandi decine o centinaia di email da un dominio, la soglia dei 5.000 è quasi irrilevante: senza autenticazione completa la deliverability crolla ben prima. Il tema è centrale in ogni sistema di acquisizione clienti che si regge sull'email a freddo.
SPF: chi è autorizzato a spedire per te
SPF (Sender Policy Framework) è la lista degli "spedizionieri autorizzati". È un record di testo che pubblichi nel DNS del tuo dominio e che dichiara quali server IP hanno il permesso di inviare email a tuo nome. Quando un server ricevente riceve una mail da "tuodominio.it", controlla questa lista. Se l'IP che ha spedito è dentro, il controllo passa. Se non c'è, la mail è sospetta.
Un record SPF ha questo aspetto:
v=spf1 include:_spf.google.com include:sendgrid.net -all
Cosa significa in pratica:
- v=spf1: dichiara che è un record SPF versione 1.
- include: autorizza i server di un servizio (qui Google Workspace e SendGrid). Ogni tool che manda per te va incluso.
- -all: la parte più importante. Il trattino significa "rifiuta tutto il resto". È la modalità "hard fail", ed è quella da usare. La variante ~all ("soft fail") è più permissiva e va bene solo in fase di test.
Due errori tipici che ti costano la deliverability:
- Più record SPF sullo stesso dominio. Ne è ammesso uno solo. Se ne hai due, l'autenticazione fallisce. Vanno unificati in una sola riga.
- Il limite di 10 lookup DNS. Ogni include conta come una o più interrogazioni DNS. Se superi 10, SPF va in errore "permerror" e non funziona. Se usi molti servizi, valuta strumenti di "SPF flattening".
DKIM: la firma crittografica del messaggio
SPF verifica da dove parte l'email. DKIM (DomainKeys Identified Mail) verifica che il contenuto non sia stato alterato e che provenga davvero da te. Funziona con una coppia di chiavi crittografiche: una privata, che il tuo server usa per firmare ogni email in uscita, e una pubblica, che pubblichi nel DNS. Il server ricevente prende la firma, la confronta con la chiave pubblica e verifica che tornino.
Il vantaggio pratico di DKIM rispetto a SPF è che la firma "viaggia" con l'email. Se un messaggio viene inoltrato, SPF spesso si rompe (cambia il server che spedisce), mentre DKIM regge, perché la firma resta attaccata al contenuto.
La configurazione dipende dal tuo provider. In Google Workspace lo attivi dalla console di amministrazione (sezione autenticazione email), che ti genera una chiave da incollare nel DNS come record TXT. Consigli pratici per il 2026:
- Usa chiavi da 2048 bit, non 1024. Sono lo standard di sicurezza attuale.
- Ogni piattaforma di invio (il tuo Google Workspace, il tool di cold email, il gestionale che manda fatture) ha il suo "selettore" DKIM e la sua chiave. Vanno pubblicate tutte.
- Dopo l'attivazione, aspetta la propagazione DNS (da qualche minuto a qualche ora) prima di verificare.
DMARC: la regola che tiene insieme tutto
SPF e DKIM da soli non bastano, e questo è il punto che quasi nessuna guida italiana spiega bene. Manca un pezzo: cosa deve fare il server ricevente quando i controlli falliscono? E dove ti manda i report? Questo è il lavoro di DMARC (Domain-based Message Authentication, Reporting and Conformance).
DMARC fa due cose. Primo, introduce il concetto di allineamento (alignment): non basta che SPF o DKIM passino, il dominio verificato deve corrispondere al dominio che vedi nel campo "Da". Questo chiude la scappatoia di chi passava i controlli tecnici usando un dominio diverso da quello mostrato. Secondo, ti fa dichiarare una policy: cosa fare con le email che non superano l'allineamento.
Un record DMARC di base:
v=DMARC1; p=none; rua=mailto:report@tuodominio.it
La lettera che conta è la p=. Ha tre valori possibili, ed è la tua scala di severità:
| Policy | Cosa succede alle email non allineate | Quando usarla |
|---|---|---|
| p=none | Nessuna azione, solo monitoraggio e report | Fase iniziale, per raccogliere dati |
| p=quarantine | Finiscono in spam / quarantena | Transizione, dopo aver verificato i report |
| p=reject | Rifiutate e mai consegnate | Obiettivo finale, massima protezione |
Il rua= è l'indirizzo dove ricevi i report aggregati giornalieri: sono la tua radiografia di chi manda email a tuo nome. Leggerli è il passaggio che ti fa capire quando sei pronto ad alzare la policy.

Come arrivare a DMARC p=reject senza rompere le email legittime
Ecco il punto delicato. Passare direttamente a p=reject senza preparazione è il modo migliore per far sparire le tue fatture, le notifiche del gestionale e le newsletter legittime. Il motivo è che spesso alcuni servizi che spediscono a tuo nome (il CRM, il tool di fatturazione elettronica, la piattaforma di email marketing) non sono ancora autenticati correttamente. Con p=reject, quelle email vengono rifiutate e basta.
La strada corretta è graduale e passa per tre fasi. Serve pazienza, di solito da 4 a 8 settimane:
- Fase 1, monitoraggio (p=none). Pubblica il record con p=none e l'indirizzo rua. Non blocca niente, ma inizi a ricevere i report. Per 2-4 settimane osservi quali servizi mandano a tuo nome e quali falliscono l'allineamento. Quasi sempre scopri mittenti legittimi che avevi dimenticato.
- Fase 2, quarantena parziale (p=quarantine con pct). Quando i report mostrano che i tuoi mittenti legittimi passano, alzi a p=quarantine. Puoi partire con pct=25 (applica la regola solo al 25% delle email) e salire gradualmente al 100%. Continui a monitorare i report.
- Fase 3, rifiuto (p=reject). Quando per alcune settimane i report sono puliti e tutti i mittenti legittimi risultano allineati, passi a p=reject. Ora il tuo dominio è blindato: nessuno può più spoofarlo con successo, e i provider ti trattano come mittente affidabile.
Il record finale, a regime, avrà questo aspetto:
v=DMARC1; p=reject; rua=mailto:report@tuodominio.it; adkim=s; aspf=s
I parametri adkim=s e aspf=s impongono l'allineamento "strict", il più rigoroso. Sono opzionali, ma consigliati una volta che sei stabile su reject.
Autenticazione e warmup: due cose diverse che lavorano insieme
Un equivoco frequente: autenticare il dominio non basta a garantire che le tue email a freddo arrivino in inbox. SPF, DKIM e DMARC sono la condizione necessaria, non sufficiente. Sono il documento d'identità del tuo dominio. Ma un dominio nuovo di zecca, anche perfettamente autenticato, non ha ancora reputazione.
Qui entra il warmup: il processo di riscaldamento con cui aumenti gradualmente i volumi di invio nelle prime settimane, così che i provider imparino a fidarsi. Autenticazione e warmup sono due gambe dello stesso tavolo. Se ne manca una, la campagna zoppica. E accanto vanno tenute le metriche che i bulk sender devono rispettare: spam sotto lo 0,3%, bounce sotto il 2%, e la disiscrizione con un clic sempre presente.
Per chi imposta cold outreach seriamente, la deliverability tecnica va decisa prima ancora di scrivere la prima email. Se stai valutando gli strumenti, abbiamo confrontato le opzioni nella guida ai migliori software di cold email 2026. E se ti stai chiedendo se puntare su email o social, vale la pena leggere il confronto tra cold email e LinkedIn.
Vuoi partire con il cold outreach ma non sei sicuro che dominio e autenticazione siano configurati per arrivare in inbox? Parlane con noi: verifichiamo SPF, DKIM e DMARC del tuo dominio prima che tu spenda budget in campagne che finiscono in spam.
Errori comuni che vanificano tutto il lavoro
Anche chi configura i tre protocolli spesso inciampa su dettagli che azzerano il beneficio:
- Configurare SPF/DKIM ma lasciare DMARC su p=none per sempre. Il monitoraggio è utile solo se poi alzi la policy. Fermarsi a p=none significa non avere protezione reale: chiunque può ancora spoofarti.
- Dimenticare un mittente legittimo prima di p=reject. Il classico: il gestionale che manda fatture da un sotto-servizio non autenticato. Con reject attivo, quelle fatture spariscono. I report DMARC servono proprio a evitarlo.
- Usare ~all invece di -all in SPF. Il soft-fail è una via di mezzo che i provider trattano con sospetto. In produzione va usato l'hard-fail -all.
- Non allineare il dominio "From". Se spedisci il cold outreach da un dominio secondario (buona pratica, per non rischiare il dominio principale), quel dominio va autenticato per conto suo. SPF, DKIM e DMARC vanno replicati su ogni dominio d'invio.
- Ignorare il DNS TTL. Dopo ogni modifica, le propagazioni richiedono tempo. Non verificare a caldo: aspetta e poi controlla con uno dei tanti tool gratuiti di verifica DMARC.
Dove si colloca l'autenticazione nella tua macchina di acquisizione
Vale la pena inquadrare il tutto. L'autenticazione email è un ingranaggio dentro un meccanismo più grande. Da sola non porta clienti: rende possibile che l'outreach a freddo raggiunga davvero le persone giuste. È il fondamento tecnico su cui poggiano le sequenze di prospecting, il follow-up automatizzato e il lavoro dei setter.
Un errore che vediamo spesso nelle PMI italiane è investire nella lista prospect e nei copy, saltando completamente la parte tecnica. Il risultato è una campagna che parte con il freno a mano tirato: metà delle email non arriva, e nessuno capisce perché i tassi di risposta sono così bassi. La deliverability tecnica è invisibile finché non manca, e quando manca sabota tutto il resto a monte. Per questo la trattiamo come primo pilastro in ogni progetto di lead generation B2B e come parte integrante di un sistema di acquisizione strutturato, non come un optional da configurare a fine progetto.
Se poi vuoi capire come misurare che tutto questo lavori davvero in termini di costo per contatto e ritorno, il quadro economico lo trovi nella guida alle metriche di acquisizione (CAC, CPL, LTV).
In sintesi: la checklist
- SPF: un solo record, con -all, sotto i 10 lookup, con tutti i servizi che spediscono per te inclusi.
- DKIM: chiave 2048 bit attiva su ogni piattaforma di invio.
- DMARC: parti da p=none, leggi i report, passa a p=quarantine con pct crescente, arriva a p=reject.
- Metriche 2026: spam sotto 0,3%, bounce sotto 2%, disiscrizione con un clic.
- Non dimenticare: autenticazione più warmup, e un dominio dedicato per l'outreach a freddo.
Non è un lavoro difficile, ma è un lavoro fatto di dettagli, in cui un solo errore vanifica tutto. Impostato bene una volta, però, protegge il tuo dominio per sempre e mette le basi per un outreach che arriva davvero a destinazione.
Domande frequenti
Qual è la differenza tra SPF, DKIM e DMARC?
SPF dichiara quali server sono autorizzati a spedire per il tuo dominio. DKIM aggiunge una firma crittografica che garantisce che il contenuto non sia stato alterato. DMARC tiene insieme i due, verifica l'allineamento con il dominio mostrato e decide cosa fare con le email che falliscono i controlli. Servono tutti e tre: da soli non bastano.
Cosa significa DMARC p=reject?
È la policy DMARC più protettiva: le email che non superano l'autenticazione e l'allineamento vengono rifiutate e mai consegnate. È l'obiettivo da raggiungere per blindare il dominio contro lo spoofing e ottenere la massima fiducia dai provider. Va raggiunta gradualmente, partendo da p=none e passando per p=quarantine.
Posso impostare subito DMARC su p=reject?
Meglio di no. Passare direttamente a reject rischia di far rifiutare email legittime da servizi non ancora autenticati (fatturazione, CRM, newsletter). La strada corretta è graduale: p=none per monitorare i report, poi p=quarantine con pct crescente, infine p=reject quando i report sono puliti. Di solito servono 4-8 settimane.
SPF, DKIM e DMARC bastano per non finire in spam?
Sono la condizione necessaria, non sufficiente. Sono il documento d'identità del dominio, ma un dominio nuovo deve anche costruire reputazione tramite il warmup, ossia l'aumento graduale dei volumi. Autenticazione e warmup lavorano insieme: senza una delle due, la deliverability zoppica.
Quali sono le nuove regole di Google e Yahoo per gli invii massivi?
Da febbraio 2024, chi invia oltre 5.000 email al giorno verso Gmail deve avere SPF, DKIM e DMARC attivi, un tasso di spam sotto lo 0,3%, un bounce rate basso e la disiscrizione con un clic. Microsoft si è allineata nel 2025. Nella pratica del cold outreach queste regole vanno rispettate ben prima della soglia dei 5.000.
Devo usare un dominio dedicato per il cold outreach?
È una buona pratica. Spedire le campagne a freddo da un dominio secondario protegge la reputazione del dominio principale (quello delle email transazionali e commerciali). Il dominio dedicato va però autenticato per conto suo: SPF, DKIM e DMARC vanno replicati su ogni dominio d'invio.
Se preferisci non toccare il DNS a mano e vuoi che l'intera infrastruttura di invio (autenticazione, warmup e monitoraggio) sia impostata a regola d'arte, richiedici un'analisi della tua deliverability: la mettiamo a posto noi.