Un’email può essere spedita senza intoppi dal server SMTP, comparire nei log come consegnata e non arrivare comunque a destinazione. È uno scenario sempre più comune da quando i principali provider hanno rafforzato i controlli sulla posta in uscita.
Google ha aperto la strada, Yahoo ha seguito la stessa direzione e Microsoft ha reso più severi i requisiti per i messaggi diretti verso Outlook.com, Hotmail e Live.com. Per chi invia molti messaggi ogni giorno, una configurazione incompleta di SPF, DKIM e DMARC può tradursi in blocchi, rifiuti e problemi difficili da diagnosticare.
SPF, DKIM e DMARC: perché sono fondamentali oggi
Questi tre protocolli servono a dimostrare che un dominio è davvero autorizzato a inviare posta. SPF definisce quali server possono spedire email per conto del dominio, DKIM aggiunge una firma crittografica ai messaggi e DMARC verifica che il dominio visibile al destinatario sia allineato con quello autenticato.
Il punto critico è proprio l’allineamento: un messaggio può superare SPF o DKIM, ma fallire DMARC se il dominio mostrato nel campo From non coincide con quello usato nell’autenticazione. È uno dei motivi per cui molte email aziendali finiscono nello spam o vengono rifiutate dai grandi provider.
Perché i sistemi condivisi e i servizi terzi creano problemi
Molti amministratori si accorgono del problema solo dopo aver controllato i log del server e aver visto una consegna apparentemente regolare. In realtà il server mittente e il provider destinatario valutano aspetti diversi: il primo controlla l’invio tecnico, il secondo reputazione, autenticazione e coerenza degli header.
Le configurazioni in hosting condiviso sono spesso le più fragili. Capita che manchi del tutto il record SPF, oppure che vengano usati strumenti esterni come piattaforme di newsletter, CRM o email transazionali senza aggiornare il DNS. Anche in questo caso il servizio può inviare messaggi legittimi, ma da indirizzi IP non autorizzati o senza le firme corrette.
Servizi come Mailchimp, Brevo, SendGrid o Amazon SES richiedono spesso passaggi aggiuntivi: pubblicazione delle chiavi DKIM, verifica del dominio e controllo del corretto allineamento DMARC. Se uno di questi elementi manca, la posta può essere marcata come non conforme.
Come verificare subito se il dominio è a posto
Una prima verifica si può fare interrogando direttamente il DNS con strumenti come dig. Il record SPF deve comparire in formato corretto e senza duplicati; DMARC si trova nel sottodominio _dmarc, mentre DKIM dipende dal selector usato dal provider o dal server di invio.
Oltre al DNS, conviene controllare anche il messaggio reale inviandolo verso account Gmail, Outlook o Microsoft 365 e leggendo le intestazioni complete. Solo lì si può vedere se SPF, DKIM e DMARC risultano davvero in stato PASS. Strumenti online come MXToolbox o EasyDMARC aiutano a trovare errori di sintassi, problemi di allineamento e limiti nascosti, come il superamento dei dieci lookup previsti da SPF.
Oggi la posta autenticata non è più un optional. Con le nuove regole imposte dai grandi provider, chi gestisce un dominio deve considerare questi controlli parte essenziale dell’infrastruttura email. Senza una configurazione corretta, anche un messaggio inviato bene può sparire nel nulla.
