How Do I Create a DMARC Record?

You can copy and paste a DMARC record and add it to your domain's DNS zone. There's a DMARC record example in our guide on how to create a DMARC record and add it to your domain.

Is DMARC a TXT Record?

Yes, DMARC is normally added to your DNS as a TXT record.

Does DMARC Require DKIM?

No, DMARC does not require DKIM. DMARC will work without a DKIM record. However, if your provider recommends that you create a DKIM record, you should. It will help DMARC to isolate spam emails and let legitimate ones through.

What does the "550-5.7.26" Gmail error mean?

The 550-5.7.26 error means Gmail rejected your email because the sending domain isn't authenticated. Gmail now requires all senders to authenticate with SPF or DKIM. To fix it, add a valid SPF record and a DKIM signature for your sending domain, then confirm both pass before resending. The first troubleshooting item above walks through the full diagnostic.

What does it mean when Gmail "Show original" shows SPF, DKIM, and DMARC PASS?

It means your email was properly authenticated. SPF PASS confirms the email came from an authorized server. DKIM PASS confirms the message wasn't altered in transit. DMARC PASS confirms the authenticated domain aligns with your visible From: address. All three passing is the result you want. It maximizes inbox placement.

What's the best tool to check DMARC, SPF, and DKIM?

The fastest way is a checker that tests all three at once, like the free one on this page. For ongoing monitoring, Google Postmaster Tools shows how Gmail evaluates your authentication, and WP Mail SMTP's built-in Domain Checker verifies all three records directly inside WordPress.

Cosa sono DMARC, SPF e DKIM? [Spiegazione + Guida all'impostazione 2026]

Q: Qual è la differenza tra SPF, DKIM e DMARC?

SPF says who can send, DKIM proves emails are genuine and unaltered, and DMARC enforces what happens when either check fails. SPF authorizes sending servers, DKIM adds a tamper-proof cryptographic signature, and DMARC sets the policy receivers follow when SPF or DKIM fails alignment. You need all three because each covers a gap the others leave open. SPF without DKIM breaks on forwarded mail. DKIM without SPF lets unauthorized servers claim your domain. Both without DMARC means receiving servers have no enforcement instruction when something fails.

Q: Hai bisogno di tutti e tre, SPF, DKIM e DMARC?

Yes. Since February 2024, Gmail and Yahoo require all three for senders of 5,000+ emails per day, and Gmail began rejecting non-compliant mail outright in November 2025. Even below that threshold, missing any of the three reduces inbox placement. SPF and DKIM each fail in different situations (SPF breaks on forwarding, DKIM breaks if a relay modifies the message), so a single-protocol setup breaks unpredictably.

Q: Puoi usare DMARC senza SPF o DKIM?

Technically DMARC passes if either SPF or DKIM passes and aligns, so you can run DMARC with only one. In practice you should set up both, because each fails in scenarios the other survives. Running DMARC with only SPF means forwarded emails fail. Running it with only DKIM means messages modified in transit fail. Both together give reliable authentication.

Q: Cosa significano p=none, p=quarantine e p=reject?

These are DMARC enforcement levels, in order of strictness. p=none is monitoring mode. It reports failures but blocks nothing, and it's where every domain should start. p=quarantine sends failing emails to the spam folder. p=reject blocks failing emails entirely. Move from none to quarantine to reject gradually, only after your reports confirm no legitimate mail is failing.

Q: In quale ordine dovresti configurare SPF, DKIM e DMARC?

Set up SPF first, then DKIM, then DMARC. DMARC reads the results of SPF and DKIM, so adding it first causes every email to fail authentication immediately. Add SPF, wait for it to propagate, add DKIM, verify both pass in a Gmail Show original check, then add DMARC starting at p=none.

Q: Come si verifica se SPF, DKIM e DMARC sono configurati correttamente?

Use a checker tool (like the free one at the top of this page) that looks up all three records for your domain and reports their status. You can also verify manually. Send an email to a Gmail address, open it, click the three-dot menu, choose Show original, and confirm SPF, DKIM, and DMARC each show PASS.

Q: Cos'è l'allineamento DMARC?

Alignment is the check that makes DMARC meaningful. It confirms the domain that passed SPF or DKIM matches the domain in the email's visible From: address. SPF alignment requires the return-path domain to match the From: domain. DKIM alignment requires the signature's d= tag to match it. The most common cause of DMARC failure is misalignment, not an outright SPF or DKIM failure.

Facebook LinkedIn Tweet

Riassumi:ChatGPT Perplexity

Visualizza Markdown

L'email ha un problema di fiducia. Non esiste un modo integrato per dimostrare che un messaggio provenga effettivamente dal dominio che dichiara di provenire, motivo per cui qualcuno può inviare un'email che sembra provenire dal tuo capo, dalla tua banca o dalla tua attività con poco più di qualche minuto di configurazione.

SPF, DKIM e DMARC sono i tre record DNS che risolvono questo problema. Insieme, indicano ai server di posta riceventi quali server sono autorizzati a inviare per il tuo dominio, se ogni messaggio è stato manomesso durante il transito e cosa fare quando uno di questi controlli fallisce.

Questa guida spiega cosa fa ciascuno, come lavorano insieme, l'ordine in cui impostarli e come testarli. A partire dal 2026, tutti e tre sono obbligatori per qualsiasi attività che invia email. Gmail, Yahoo e Microsoft li applicano direttamente, e saltarne uno qualsiasi compromette il posizionamento nella posta in arrivo.

Risposte rapide

Cosa sono SPF, DKIM e DMARC? Tre record DNS che lavorano insieme per verificare che le tue email provengano effettivamente da te. SPF autorizza quali server possono inviare per il tuo dominio, DKIM aggiunge una firma crittografica che dimostra che il messaggio non è stato alterato, e DMARC dice ai destinatari cosa fare quando SPF o DKIM falliscono.
Ti servono tutti e tre? Sì. Ognuno corregge ciò che gli altri non coprono, e da febbraio 2024, Gmail e Yahoo li richiedono per i mittenti di 5.000+ email al giorno.
In che ordine impostarli? Prima SPF, poi DKIM, poi DMARC, con verifica tra ogni passaggio.
Controlla i tuoi ora: Usa il controllo gratuito in questa pagina per testare tutti e tre i record sul tuo dominio.

SPF, DKIM e DMARC: Autenticazione Email Spiegata

I tre record sono controlli indipendenti che si combinano in un'unica policy. Una volta implementati, non dovrai più indovinare perché un reset della password non è mai arrivato o perché un'email transazionale è finita nello spam.

Cosa sono SPF, DKIM e DMARC?
Cos'è SPF?
Cos'è DKIM?
Cos'è DMARC?
Perché ti servono tutti e tre
SPF, DKIM e DMARC sono obbligatori nel 2026?
L'ordine di configurazione che conta
Dove aggiungere i record SPF, DKIM e DMARC
Come testare SPF, DKIM e DMARC
Risoluzione dei problemi comuni
Note specifiche per WordPress
FAQ su SPF, DKIM e DMARC

Cosa sono SPF, DKIM e DMARC?

SPF, DKIM e DMARC sono tre record DNS che autenticano le email provenienti dal tuo dominio.

SPF (Sender Policy Framework) elenca ogni server autorizzato a inviare posta per il tuo dominio.
DKIM (DomainKeys Identified Mail) aggiunge una firma crittografica a ogni messaggio in modo che i destinatari possano confermare che il contenuto non è stato modificato durante il transito.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) dice ai destinatari cosa fare quando SPF o DKIM falliscono, e collega entrambi i controlli all'indirizzo visibile From:.

Ognuno corregge una lacuna diversa. SPF impedisce a server non autorizzati di rivendicare il tuo dominio, DKIM impedisce a chiunque di modificare i tuoi messaggi a metà trasmissione, e DMARC impedisce agli aggressori di superare SPF o DKIM con un dominio diverso mentre falsificano il tuo nella riga visibile From:.

Confronto rapido

	SPF	DKIM	DMARC
Cosa fa	Elenca i server autorizzati a inviare posta per il tuo dominio	Firma ogni email in modo che i destinatari possano confermare che non è stata modificata	Indica ai destinatari cosa fare quando SPF o DKIM falliscono
Come funziona	Il destinatario confronta l'IP di invio con un elenco nel tuo DNS	Il destinatario verifica una firma crittografica rispetto alla tua chiave pubblica	Il destinatario applica la tua policy (consegna, spam o rifiuta) alla posta non conforme
Cosa non fa	Non controlla l'indirizzo visibile `From:`, si interrompe con l'inoltro	Non indica quali server possono inviare, può interrompersi se i relay modificano la posta	Non autentica nulla da solo, si basa su SPF e DKIM
Dove si trova nel DNS	Record TXT al tuo dominio principale	Record TXT a `[selector]._domainkey.tuodominio.com`	Record TXT a `_dmarc.tuodominio.com`
Richiesto nel 2026?	Sì	Sì	Sì

Quando un'email arriva a Gmail, Outlook o qualsiasi altra casella di posta, tre controlli avvengono uno dopo l'altro. Il destinatario cerca il tuo record SPF e confronta l'IP di invio con l'elenco. Il destinatario controlla la firma DKIM con la chiave pubblica nel tuo DNS. Quindi il destinatario legge la tua policy DMARC e decide cosa fare con il risultato.

Cos'è SPF?

SPF è un record TXT nel tuo DNS che elenca ogni server e servizio autorizzato a inviare email per conto del tuo dominio. È la prima linea di difesa contro lo spoofing del dominio.

Un record SPF di base assomiglia a questo:

v=spf1 include:sendlayer.net ~all

Le parti:

v=spf1 dichiara che questo è un record SPF.
include:sendlayer.net autorizza un servizio di invio, qui SendLayer. Ogni strumento di invio ottiene la propria direttiva include:.
~all è la regola catch-all per tutto ciò che non corrisponde. La tilde significa “soft fail”, che consente l'email ma la contrassegna. Usa -all per “hard fail” (rifiuta) una volta che sei sicuro che il tuo record copra ogni mittente legittimo.

Quando arriva un'email, il server ricevente prende l'IP da cui proviene e verifica se quell'IP è consentito dal tuo record SPF. Se sì, SPF passa. Se no, SPF fallisce.

Cosa non può fare SPF

SPF ha due limitazioni ben note. Si interrompe con l'inoltro delle email. Quando qualcuno inoltra la tua email, il server di inoltro utilizza il proprio IP, che non è presente nel tuo record SPF, quindi SPF fallisce anche se l'originale era legittimo. Controlla solo il return-path, non l'indirizzo visibile From:. Un aggressore può superare SPF con un dominio che controlla, facendo sembrare la riga From: come la tua. Ecco perché l'allineamento DMARC è importante (maggiori dettagli di seguito).

Il limite di 10 ricerche DNS

I record SPF sono limitati a 10 lookup DNS totali (RFC 7208). Ogni direttiva include:, a, mx, ptr ed exists: conta ai fini del limite. Aggiungi troppi servizi di invio e raggiungerai un PERMERROR, a quel punto ogni autenticazione fallirà silenziosamente.

La maggior parte dei domini raggiunge questo limite quando impila più strumenti di marketing, CRM, servizi transazionali e help desk. Se sei vicino al limite, segui la nostra guida su come unire più record SPF in un unico record appiattito.

E nota, puoi avere un solo record SPF per dominio. Se provi ad aggiungerne un secondo, RFC 7208 afferma che i destinatari devono trattare l'intera configurazione come non valida, con lo stesso effetto di non avere affatto SPF.

Cos'è DKIM?

DKIM aggiunge una firma crittografica a ogni email che invii. La firma viene generata utilizzando una chiave privata detenuta dal tuo servizio di invio, e il tuo DNS contiene la chiave pubblica corrispondente. I server riceventi confrontano le due per confermare che l'email provenga effettivamente dal tuo dominio e che nulla al suo interno sia stato modificato durante il transito.

Un record DKIM nel DNS appare così:

selector1._domainkey.example.com.    IN    TXT    "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQ..."

Il selettore (“selector1” in questo esempio) indica ai server riceventi quale chiave DKIM cercare. La maggior parte dei provider ruota periodicamente le chiavi e utilizza selettori diversi per diversi flussi di invio, quindi il nome del selettore fa parte della posizione del record.

Ogni email che invii contiene un'intestazione DKIM-Signature che assomiglia a questa:

DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1; h=from:to:subject:date; bh=...; b=...

Il tag d= è il dominio che rivendica la firma. Il tag s= è il selettore. Questo è il record DNS che i ricevitori cercheranno.

Cosa DKIM non può fare

DKIM è potente ma ha dei limiti. Non dice quali server sono autorizzati a inviare per il tuo dominio. Questo è il compito di SPF. Un aggressore può falsificare il tuo dominio senza la firma DKIM, e DKIM da solo non ha opinioni a riguardo. Può anche interrompersi se un server di inoltro modifica il corpo del messaggio, ad esempio una mailing list che aggiunge un piè di pagina alla posta in uscita. E DKIM non ha alcuna applicazione integrata. Un server ricevente può ignorare una firma non valida a meno che DMARC non glielo dica.

Lunghezza della chiave DKIM

Le chiavi DKIM moderne sono a 2048 bit, il che produce una stringa di chiave pubblica più lunga di 255 caratteri, la lunghezza massima di un singolo valore di record TXT. La maggior parte dei provider DNS gestisce questo automaticamente dividendo il valore in più stringhe racchiuse tra virgolette, ma alcuni no. Se il tuo record DKIM non viene salvato o non viene convalidato, consulta la nostra guida su come dividere un record DKIM.

Cos'è DMARC?

DMARC lega SPF e DKIM insieme e dice ai server riceventi cosa fare quando l'autenticazione fallisce. È l'unico dei tre che genera report per te.

Un tipico record DMARC appare così:

_dmarc.example.com.    IN    TXT    "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100; aspf=r; adkim=r"

Ogni tag ha un compito:

v=DMARC1 dichiara che questo è un record DMARC.
p= è la policy, una tra none, quarantine o reject.
rua= è dove vengono inviati i report aggregati.
pct= è la percentuale di posta a cui si applica la policy (utile per rollout graduali).
aspf= e adkim= controllano la modalità di allineamento, rilassata (r) o rigorosa (s).

Progressione della policy, da none a quarantine a reject

L'applicazione di DMARC è un percorso, non un interruttore. Le tre policy sono fasi e si progredisce attraverso di esse man mano che la propria fiducia cresce.

p=none è la modalità di monitoraggio. Le email che falliscono vengono consegnate normalmente, ma ricevi report su di esse. Inizia sempre da qui.
p=quarantine invia le email che falliscono nella cartella spam del destinatario. Passa qui dopo 2-4 settimane in p=none senza che email legittime falliscano.
p=reject rifiuta immediatamente le email non conformi (un errore SMTP 550). Passa qui dopo altre 2-4 settimane a p=quarantine.

Saltare direttamente a p=reject è la causa più comune di interruzioni relative a DMARC. Scoprirai fonti di invio legittime che avevi dimenticato (il tuo CRM, il tuo strumento di marketing, il tuo help desk) solo dopo che verranno rifiutate. Inizia sempre con p=none, leggi i report, poi aumenta il livello.

Report aggregati DMARC

Quando imposti rua= nel tuo record DMARC, inizierai a ricevere report XML giornalieri da ogni provider di posta che gestisce l'email del tuo dominio, inclusi Google, Microsoft, Yahoo e altri. Questi report mostrano ogni IP che ha inviato posta sotto il tuo dominio e se SPF e DKIM sono passati e allineati per ciascuno.

L'XML grezzo è disordinato e leggibile solo dalle macchine, quindi la maggior parte dei team collega il proprio indirizzo rua= a un servizio di reporting DMARC (Postmark, dmarcian, EasyDMARC e simili) che analizza i report in una dashboard leggibile. È l'unico modo pratico per scoprire fonti di invio legittime che potresti aver trascurato prima di rafforzare la tua policy.

Allineamento DMARC

DMARC introduce un concetto che gli altri protocolli non hanno, chiamato allineamento. SPF e DKIM passano ciascuno quando il rispettivo controllo è valido, ma DMARC conta quel passaggio solo se il dominio autenticato corrisponde all'indirizzo visibile From:.

Ci sono due tipi di allineamento.

Allineamento SPF significa che il dominio smtp.mailfrom (return-path) corrisponde al dominio From:.
Allineamento DKIM significa che il tag d= nella firma DKIM corrisponde al dominio From:.

DMARC passa se almeno uno di questi si allinea E il controllo sottostante è passato.

L'allineamento rilassato (l'impostazione predefinita) consente corrispondenze di sottodomini, quindi la posta da mail.example.com si allinea con un From: su example.com. L'allineamento rigoroso richiede una corrispondenza esatta. La maggior parte degli mittenti utilizza l'allineamento rilassato a meno che non abbiano un motivo di sicurezza specifico per quello rigoroso.

L'allineamento è il motivo più comune per cui DMARC fallisce anche quando SPF e DKIM passano entrambi individualmente. Molti servizi di invio si autenticano utilizzando il proprio dominio (ad esempio, sendgrid.net), non il tuo, il che significa che SPF e DKIM passano ma DMARC fallisce perché nulla si allinea con example.com. La correzione dell'allineamento di solito significa passare a un percorso di ritorno personalizzato o a una firma DKIM brandizzata offerta dal tuo provider.

Come aggiungere un record DMARC

Se il tuo provider di posta elettronica ti fornisce un record DMARC specifico, aggiungilo. In caso contrario, questo è un record di avvio generico sicuro su _dmarc.tuodominio.com:

v=DMARC1; p=none; rua=mailto:[email protected];

Questo ti mette in modalità di monitoraggio con report inviati a una casella di posta che controlli. Per la configurazione completa, inclusa la gestione dei report e la progressione delle policy, consulta la nostra guida dedicata su come creare un record DMARC.

Perché ti servono tutti e tre

Ogni protocollo risolve ciò che gli altri non possono. Ecco la ripartizione.

	SPF	DKIM	DMARC
Cosa impedisce	Server non autorizzati che inviano a nome del tuo dominio	Contenuto dell'e-mail modificato durante il transito	Attaccanti che falsificano il tuo indirizzo `From:` anche quando altri controlli passano
Cosa controlla	IP di invio rispetto al tuo elenco autorizzato	Firma crittografica rispetto alla tua chiave pubblica	Allineamento tra i risultati di autenticazione e il dominio `From:`
Fallimento comune	La posta legittima si interrompe con l'inoltro	I relay delle mailing list modificano il corpo e rompono la firma	Sia SPF che DKIM falliscono l'allineamento con il dominio visibile
Se lo salti	Qualsiasi server può affermare di inviare a nome del tuo dominio	Chiunque può modificare la tua e-mail durante il transito senza essere rilevato	Le autenticazioni fallite non vengono applicate

Esegui solo con SPF e sei vulnerabile allo spoofing basato sull'allineamento, in cui un aggressore si autentica con il proprio dominio visualizzando il tuo. Esegui solo con DKIM e qualsiasi server può ancora affermare di essere tu. Esegui solo con DMARC e non hai alcuna autenticazione sottostante da applicare. Tutti e tre insieme sono l'unica configurazione che funziona davvero.

SPF, DKIM e DMARC sono obbligatori nel 2026?

L'autenticazione delle email è passata da best practice a non negoziabile tra il 2024 e il 2026. Ecco la situazione attuale.

Mittenti di massa (oltre 5.000 e-mail al giorno a Gmail o Yahoo)

Febbraio 2024. Gmail e Yahoo hanno introdotto i requisiti per i mittenti di massa. SPF, DKIM e DMARC sono tutti richiesti. Sono richieste intestazioni di annullamento dell'iscrizione con un clic. Il tasso di reclamo per spam deve rimanere al di sotto dello 0,3%.
Maggio 2025. Microsoft ha introdotto requisiti equivalenti per Outlook.com, Hotmail e Live.com.
Novembre 2025. Gmail è passato da rinvii temporanei (errori temporanei 421) a rifiuto permanente (errori 550) per i messaggi non conformi. Non c'è più alcun periodo di tolleranza. La posta non conforme viene rifiutata immediatamente.

Mittenti a basso volume (meno di 5.000 al giorno)

Tecnicamente non sei soggetto alle regole per i mittenti massivi, ma i controlli di autenticazione sottostanti si applicano a ogni connessione. La mancanza di SPF, DKIM o DMARC riduce il posizionamento nella posta in arrivo fino al 76% anche con volumi bassi. Le regole prendono di mira nominalmente i mittenti massivi, ma i filtri antispam utilizzano gli stessi segnali per tutti.

Contesti di conformità

PCI DSS v4.0 include requisiti di autenticazione delle e-mail per le organizzazioni che gestiscono dati di carte di pagamento.
CISA Binding Operational Directive 18-01 richiede a tutte le agenzie federali statunitensi di implementare SPF, DKIM e DMARC con p=reject.
Requisiti simili esistono nel Regno Unito (NCSC), in Australia (ACSC) e in Canada (CCCS) per governi e infrastrutture critiche.

Anche se invii 50 email al mese dal tuo modulo di contatto, hai comunque bisogno di tutti e tre i record.

L'ordine di configurazione che conta

Aggiungi prima SPF. Poi DKIM. Poi DMARC. Con attese tra ciascuno. Questo ordine è non negoziabile e sbagliare è il motivo più comune per cui le nuove implementazioni interrompono la consegna.

Ordine di configurazione SPF, DKIM e DMARC

Perché questo ordine è importante

DMARC controlla i risultati di SPF e DKIM. Se aggiungi DMARC prima che questi due siano in atto e validati, ogni email non supererà l'autenticazione. Con una policy di p=quarantine o p=reject, la tua posta inizierà ad andare nello spam o verrà rifiutata nel momento in cui DMARC si propaga. Molti provider non ti permetteranno nemmeno di aggiungere un record DMARC finché SPF non supererà la validazione.

Tempo necessario affinché ciascuno sia attivo

SPF: da 5 a 30 minuti
DKIM: da 1 a 4 ore
DMARC: da 1 a 24 ore

Dopo che ogni record si è propagato, invia un'email di prova a un indirizzo Gmail che controlli e controlla le intestazioni tramite Mostra originale. Sia SPF che DKIM dovrebbero mostrare PASS prima di aggiungere DMARC.

Dove aggiungere i record SPF, DKIM e DMARC

Tutti e tre i record vengono aggiunti come record TXT nelle impostazioni DNS del tuo dominio, nello stesso posto in cui gestisci i record A, i record MX e i nameserver. Dove si trova esattamente dipende da chi gestisce il tuo DNS.

Host condivisi (Bluehost, SiteGround, HostGator)

La maggior parte degli hosting condivisi include un Editor di zone DNS nel proprio pannello di controllo sotto Dominio o Gestione DNS. Cerca un'opzione per aggiungere un record TXT.

Registrar di domini (GoDaddy, Namecheap, Google Domains)

Se il tuo hosting e il tuo dominio sono separati, il tuo DNS di solito si trova presso il tuo registrar. Cerca Impostazioni DNS o Gestisci DNS nella dashboard del tuo dominio.

Cloudflare

Apri la dashboard di Cloudflare, seleziona il tuo dominio, fai clic su DNS nel menu a sinistra e aggiungi un nuovo record TXT. Ecco la vista dell'editor.

Vercel

Se Vercel gestisce il DNS per il tuo dominio, apri il progetto, fai clic su Impostazioni » Domini » Record DNS e aggiungi un nuovo record TXT. Il campo Host accetta @ per l'apice (utilizzato per SPF) e _dmarc per DMARC.

Netlify

Netlify DNS si trova sotto Domini nella dashboard del tuo team. Fai clic sul dominio, quindi su Configura Netlify DNS se non l'hai già fatto, quindi aggiungi i record sotto Record DNS.

Squarespace

Squarespace gestisce il DNS tramite Domini » [nome dominio] » Impostazioni DNS » Record personalizzati. Aggiungi record TXT con Host = @ per il dominio apice, o _dmarc per DMARC.

WP Engine

WP Engine non gestisce il tuo DNS per impostazione predefinita, quindi aggiungerai i record SPF, DKIM e DMARC presso il registrar che utilizzi per il dominio (GoDaddy, Namecheap, Cloudflare, ecc.). Ciò di cui avrai bisogno da WP Engine è il valore corretto per il tuo include: SPF in modo che i loro server di posta possano inviare per conto del tuo sito. Trova questo nel Portale Utente di WP Engine sotto le impostazioni DNS o di posta del tuo ambiente. Il loro tipico include SPF è mail1.wpengine.com. Aggiungilo al tuo record SPF esistente insieme a qualsiasi altro mittente, mai come secondo record v=spf1.

Come testare SPF, DKIM e DMARC

Tre modi affidabili per verificare che tutti e tre i record facciano ciò che ti aspetti.

Gmail “Mostra originale”

Invia un'email di prova dal tuo dominio a un indirizzo Gmail che controlli. Una volta arrivata, apri l'email, fai clic sul menu con tre puntini in alto a destra e scegli Mostra originale. Cerca queste tre righe in alto.

SPF: PASS (con il tuo dominio)
DKIM: PASS (con header.d= che mostra il tuo dominio)
DMARC: PASS

Visualizzazione "Mostra originale" di Gmail che mostra SPF, DKIM e DMARC tutti superati

Se uno di questi mostra FAIL o NEUTRAL, salta alla sezione di risoluzione dei problemi qui sotto.

Controllo Dominio di WP Mail SMTP

Lo strumento di test delle email di WP Mail SMTP valida automaticamente tutti e tre i record ogni volta che invii un'email di test, senza bisogno di uno strumento separato. Segnala record mancanti, record SPF multipli, problemi di firma DKIM, errori di allineamento DMARC e problemi con i record PTR, tutto dall'amministrazione di WordPress. Il Controllo Dominio è gratuito in WP Mail SMTP Lite.

Risultati del Domain Checker di WP Mail SMTP che mostrano la validazione SPF, DKIM e DMARC

Controlli online

MxToolbox, dmarcian e HostedScan offrono tutti lookup gratuiti di SPF, DKIM e DMARC. Inserisci il tuo dominio e otterrai uno stato rapido di superamento/fallimento per ogni record, oltre a diagnostica per errori comuni come troppi lookup DNS o problemi di sintassi.

Risoluzione dei problemi comuni

Se i tuoi record sono impostati ma l'autenticazione continua a fallire, uno di questi scenari è quasi sempre la causa. Ognuno segue lo stesso modello: sintomo, causa probabile, diagnosi, soluzione.

1. Gmail ha rifiutato la tua email con “550-5.7.26”

Sintomo. Gmail rimbalza con un rifiuto SMTP 550-5.7.26. Il testo completo di solito recita qualcosa come “Gmail richiede a tutti i mittenti di autenticarsi con SPF o DKIM.”

Causa probabile. Nessun SPF o DKIM valido sul dominio di invio, o entrambi sono configurati in modo errato.

Diagnosi. Esegui il tuo dominio tramite il controllo in cima a questa pagina o utilizza il Controllo Dominio di WP Mail SMTP. Il risultato mostrerà quale dei tre record è mancante o in errore.

Soluzione. Aggiungi un record SPF valido e conferma che DKIM stia firmando per il tuo dominio di invio. Reinvia dopo che entrambi i record si sono propagati. Per la diagnosi completa, consulta la nostra guida su come correggere il blocco delle email di Gmail.

2. “Azione richiesta: record SPF richiesto dal tuo server SMTP non è stato aggiunto”

Sintomo. La dashboard del tuo provider SMTP mostra un avviso che il tuo record SPF è mancante o non li include.

Causa probabile. La direttiva include: del tuo provider non è presente nel record SPF del tuo dominio.

Diagnosi. Esegui dig TXT tuodominio.com o utilizza il controllo sopra. Cerca il record SPF e conferma se il dominio del provider (ad es. sendlayer.net, _spf.google.com) è nell'elenco.

Soluzione. Aggiungi l’include: del provider al tuo record SPF esistente. Ad esempio, un record SPF che utilizza SendLayer più Google Workspace leggerebbe v=spf1 include:sendlayer.net include:_spf.google.com ~all. Non creare mai un secondo record SPF sullo stesso dominio.

3. DMARC fallisce nonostante SPF superato

Sintomo. Mostra originale di Gmail mostra SPF: PASS ma DMARC: FAIL.

Causa probabile. Errore di allineamento SPF. Il dominio del tuo percorso di ritorno non corrisponde al dominio visibile di From:.

Diagnosi. Guarda il valore smtp.mailfrom negli header. Corrisponde al dominio in From:?

Correzione. Modifica il return-path del tuo servizio di invio affinché punti al tuo dominio (la maggior parte dei provider offre un'impostazione "return-path personalizzato" o "dominio di rimbalzo"), oppure affidati all'allineamento DKIM, che è spesso più facile da configurare.

4. Firma DKIM mancante nelle email ricevute

Sintomo. Gli header non mostrano affatto la riga DKIM-Signature:.

Causa probabile. DKIM non è effettivamente configurato sul lato di invio, o viene utilizzato il selettore errato.

Diagnosi. Invia un test da un altro strumento (direttamente da Gmail o da un altro servizio SMTP) per confrontare. Controlla la dashboard del tuo provider SMTP per lo stato DKIM, poiché la maggior parte indica se il selettore è verificato.

Correzione. Verifica nuovamente che i record CNAME o TXT di DKIM esistano esattamente come specificato dal tuo provider. Il nome del selettore nel tuo record DNS deve corrispondere a quello con cui il provider sta firmando. Errori di battitura qui sono estremamente comuni.

5. SPF "permerror: troppe ricerche DNS"

Sintomo. I server di posta rifiutano i tuoi messaggi con un PERMERROR SPF.

Causa probabile. Il tuo record SPF contiene più di 10 ricerche DNS (il limite massimo di 10 secondo RFC 7208). Comune quando si impilano direttive include: per più servizi.

Diagnosi. Utilizza uno strumento di "appiattimento" SPF per contare le tue ricerche. Ogni include:, a, mx, ptr ed exists: conta.

Correzione. Rimuovi gli include non necessari o utilizza un servizio di "appiattimento" SPF che risolva gli include in voci IP dirette. Guida completa nella nostra guida alla fusione SPF.

6. Record SPF multipli sullo stesso dominio

Sintomo. PERMERROR o NEUTRAL SPF nonostante un record dall'aspetto valido.

Causa probabile. Hai due o più record TXT SPF. RFC 7208 afferma che questo è non valido e i ricevitori lo tratteranno come se non esistesse alcun record SPF.

Diagnosi. Esegui dig TXT tuodominio.com o utilizza la ricerca SPF di MxToolbox. Se vedi due record che iniziano con v=spf1, questo è il problema.

Correzione. Combina le direttive include: di entrambi i record in un unico record. Vedi la guida alla fusione sopra.

7. Record DKIM troppo lungo per il DNS

Sintomo. Il tuo provider ti ha fornito una chiave DKIM, ma il DNS non la accetta.

Causa probabile. I singoli record TXT hanno un limite di 255 caratteri per stringa. Le chiavi DKIM a 2048 bit superano questo limite e devono essere suddivise in più stringhe tra virgolette all'interno dello stesso record.

Diagnosi. Conta i caratteri nella tua chiave. Più di 255 significa che questo è il problema.

Correzione. Suddividi il valore in blocchi da 255 caratteri, ciascuno tra virgolette, come "v=DKIM1; k=rsa; p=ABC..." "DEF..." "GHI...". La maggior parte dei provider DNS moderni lo fa automaticamente. Alcuni no. Vedi la sezione sulla lunghezza della chiave DKIM sopra per la guida completa.

8. Fallimento dell'allineamento DMARC (l'assassino silenzioso)

Sintomo. SPF: PASS e DKIM: PASS ma DMARC: FAIL.

Causa probabile. Nessuno dei due protocolli è allineato con il dominio From: anche se entrambi superano individualmente.

Diagnosi. Confronta tre valori nelle intestazioni: il dominio From:, il dominio smtp.mailfrom e il tag DKIM d=. Almeno uno degli ultimi due deve corrispondere al primo.

Correzione. Configura il tuo servizio di invio per utilizzare il tuo dominio nell'return-path (per l'allineamento SPF) o nella firma DKIM (per l'allineamento DKIM). La maggior parte dei provider utilizza per impostazione predefinita il proprio dominio. Devi scegliere l'allineamento.

9. DMARC p=reject blocca le tue stesse email legittime

Sintomo. I clienti smettono di ricevere le tue email transazionali (reset password, ricevute), ma i tuoi invii di test funzionano correttamente.

Causa probabile. Sei passato a p=reject troppo velocemente, prima di includere tutte le fonti di invio legittime nel tuo SPF.

Diagnosi. Controlla i tuoi report aggregati DMARC. Mostrano ogni mittente che ha fallito sotto il tuo dominio. Quelli legittimi saranno evidenti (il tuo CRM, strumento di marketing, helpdesk).

Correzione. Torna a p=quarantine o p=none. Utilizza i report DMARC per aggiungere i mittenti legittimi mancanti all'SPF. Attendi 2-4 settimane finché i report non mostrano lo 0% di fallimenti di posta legittima, quindi rinforza.

10. Record aggiunti ma non in propagazione

Sintomo. Hai aggiunto i record, ma gli strumenti dicono ancora che mancano.

Causa probabile. Caching DNS presso il tuo registrar, il tuo resolver locale o il server ricevente. Comune con modifiche a TTL basso dopo che record a TTL alto sono stati precedentemente memorizzati nella cache.

Diagnosi. Esegui dig +trace TXT yourdomain.com da una rete diversa, o interroga direttamente Google DNS con dig @8.8.8.8 TXT yourdomain.com. Se questi mostrano il record ma il tuo tester no, è il caching.

Correzione. Attendi. La maggior parte della propagazione si completa entro un'ora per SPF e fino a 24 ore per DMARC. Se dopo 48 ore non vedi ancora nulla, ricontrolla che il record sia stato salvato correttamente presso il tuo registrar. Un problema comune sono le interfacce che richiedono un passaggio di conferma che hai saltato.

Note specifiche per WordPress

WordPress ha un problema specifico con le email. Per impostazione predefinita, utilizza la funzione mail() di PHP, che invia messaggi senza alcuna autenticazione. I tuoi record SPF, DKIM e DMARC possono essere configurati perfettamente, ma se WordPress invia email tramite mail() di PHP dall'IP condiviso del tuo web host, e quell'IP non è nel tuo record SPF, ogni controllo di autenticazione fallisce.

La soluzione consiste nell'instradare tutte le email di WordPress tramite un servizio SMTP autenticato. WP Mail SMTP fa questo con integrazioni con un clic per SendLayer, SMTP.com, Brevo, Gmail/Google Workspace, Microsoft 365, Amazon SES, Mailgun, SendGrid, Postmark, SparkPost e altri. Ogni integrazione è preconfigurata per autenticarsi correttamente e allinearsi al tuo dominio. Le funzionalità migliorate di recapito delle email di WP Mail SMTP includono il Domain Checker gratuito che segnala i record SPF, DKIM e DMARC mancanti o non configurati correttamente direttamente all'interno di WordPress.

Se le tue email di WordPress finiscono nello spam, la causa è solitamente l'autenticazione mancante o non allineata. La diagnosi completa si trova nella nostra guida su perché le email di WordPress finiscono nello spam. Per la configurazione, la nostra guida alla validazione delle email di WordPress illustra la verifica dei record.

Correggi subito le tue email WordPress

FAQ su SPF, DKIM e DMARC

Queste sono le domande più cercate sull'autenticazione delle email, organizzate dalle più frequenti alle più tecniche. Ogni risposta è autonoma.

Qual è la differenza tra SPF, DKIM e DMARC?

SPF dice chi può inviare, DKIM dimostra che le email sono genuine e inalterate, e DMARC impone cosa succede quando uno dei controlli fallisce.

SPF autorizza i server di invio, DKIM aggiunge una firma crittografica a prova di manomissione e DMARC imposta la policy che i destinatari seguono quando SPF o DKIM falliscono l'allineamento. Hai bisogno di tutti e tre perché ognuno copre una lacuna lasciata aperta dagli altri. SPF senza DKIM fallisce con la posta inoltrata. DKIM senza SPF consente a server non autorizzati di rivendicare il tuo dominio. Entrambi senza DMARC significa che i server di ricezione non hanno istruzioni di applicazione quando qualcosa fallisce.

Hai bisogno di tutti e tre, SPF, DKIM e DMARC?

Sì. Da febbraio 2024, Gmail e Yahoo richiedono tutti e tre per i mittenti di oltre 5.000 email al giorno, e Gmail ha iniziato a rifiutare la posta non conforme già a novembre 2025. Anche al di sotto di questa soglia, la mancanza di uno qualsiasi dei tre riduce il posizionamento nella casella di posta.

SPF e DKIM falliscono in situazioni diverse (SPF fallisce con l'inoltro, DKIM fallisce se un relay modifica il messaggio), quindi una configurazione a singolo protocollo fallisce in modo imprevedibile.

Puoi usare DMARC senza SPF o DKIM?

Tecnicamente DMARC passa se SPF o DKIM passano e si allineano, quindi puoi eseguire DMARC con solo uno. In pratica dovresti configurare entrambi, perché ognuno fallisce in scenari in cui l'altro sopravvive.

Eseguire DMARC solo con SPF significa che le email inoltrate falliscono. Eseguirlo solo con DKIM significa che i messaggi modificati durante il transito falliscono. Entrambi insieme forniscono un'autenticazione affidabile.

Cosa significano p=none, p=quarantine e p=reject?

Questi sono i livelli di applicazione di DMARC, in ordine di rigidità.

p=none è la modalità di monitoraggio. Segnala i fallimenti ma non blocca nulla, ed è da qui che ogni dominio dovrebbe iniziare. p=quarantine invia le email che falliscono nella cartella spam. p=reject blocca completamente le email che falliscono.

Passa gradualmente da none a quarantine a reject, solo dopo che i tuoi report confermano che nessuna email legittima sta fallendo.

In quale ordine dovresti configurare SPF, DKIM e DMARC?

Imposta prima SPF, poi DKIM, poi DMARC. DMARC legge i risultati di SPF e DKIM, quindi aggiungerlo per primo causa il fallimento immediato dell'autenticazione di ogni email.

Aggiungi SPF, attendi la sua propagazione, aggiungi DKIM, verifica che entrambi passino in un controllo Mostra originale di Gmail, quindi aggiungi DMARC partendo da p=none.

Come si verifica se SPF, DKIM e DMARC sono configurati correttamente?

Utilizza uno strumento di controllo (come quello gratuito in cima a questa pagina) che esamina tutti e tre i record per il tuo dominio e ne segnala lo stato.

Puoi anche verificare manualmente. Invia un'email a un indirizzo Gmail, aprila, fai clic sul menu con tre puntini, scegli Mostra originale e conferma che SPF, DKIM e DMARC mostrino ciascuno PASS.

Cos'è l'allineamento DMARC?

L'allineamento è il controllo che rende significativo DMARC. Conferma che il dominio che ha superato SPF o DKIM corrisponda al dominio nell'indirizzo visibile From: dell'email.

L'allineamento SPF richiede che il dominio del percorso di ritorno corrisponda al dominio From:. L'allineamento DKIM richiede che il tag d= della firma corrisponda ad esso. La causa più comune di fallimento DMARC è il disallineamento, non un fallimento SPF o DKIM assoluto.

Cosa significa l'errore Gmail “550-5.7.26”?

L'errore 550-5.7.26 significa che Gmail ha rifiutato la tua email perché il dominio mittente non è autenticato. Gmail ora richiede a tutti i mittenti di autenticarsi con SPF o DKIM.

Per risolverlo, aggiungi un record SPF valido e una firma DKIM per il tuo dominio di invio, quindi conferma che entrambi passino prima di inviare nuovamente. Il primo elemento di risoluzione dei problemi sopra descrive la diagnostica completa.

Cosa significa quando "Mostra originale" di Gmail mostra SPF, DKIM e DMARC PASS?

Significa che la tua email è stata autenticata correttamente. SPF PASS conferma che l'email proviene da un server autorizzato. DKIM PASS conferma che il messaggio non è stato alterato durante il transito. DMARC PASS conferma che il dominio autenticato è allineato con il tuo indirizzo visibile From:.

Il superamento di tutti e tre è il risultato desiderato. Massimizza il posizionamento nella posta in arrivo.

SPF, DKIM e DMARC impediscono che le email finiscano nello spam?

Sono necessari ma non sufficienti. L'autenticazione dice ai provider di posta che le tue email provengono effettivamente da te, il che è un prerequisito per il posizionamento nella posta in arrivo, ma altri fattori contano ancora. Questi includono la reputazione del mittente, la qualità del contenuto, i tassi di coinvolgimento, l'igiene dell'elenco e un record PTR valido.

Imposta prima tutti e tre, quindi affronta gli altri fattori di consegna delle email.

Qual è lo strumento migliore per controllare DMARC, SPF e DKIM?

Il modo più veloce è un controllo che testa tutti e tre contemporaneamente, come quello gratuito su questa pagina. Per il monitoraggio continuo, Google Postmaster Tools mostra come Gmail valuta la tua autenticazione e Domain Checker di WP Mail SMTP verifica entrambi i record direttamente all'interno di WordPress.

Qual è il significato completo di SPF, DKIM e DMARC?

SPF sta per Sender Policy Framework. DKIM sta per DomainKeys Identified Mail. DMARC sta per Domain-based Message Authentication, Reporting, and Conformance.

Insieme formano lo stack standard per l'autenticazione delle email e la protezione di un dominio dallo spoofing.

Successivamente, Controlla il Tuo Record PTR

SPF, DKIM e DMARC sono tre dei quattro record DNS che contano per la recapitalità delle email. Il quarto è il tuo record PTR, la voce DNS inversa che mappa il tuo IP di invio al tuo dominio. I provider di caselle di posta lo controllano ad ogni connessione, e un PTR mancante o generico danneggerà la tua recapitalità anche quando SPF, DKIM e DMARC passano tutti.

Per una ripartizione completa, consulta la nostra guida ai record PTR e al DNS inverso.