Come i requisiti di autenticazione email stanno cambiando la comunicazione aziendale nel 2026

In breve: Quali sono le novità nei requisiti di autenticazione email nel 2026?

Cosa sta cambiando:

Google, Yahoo (febbraio 2024), Microsoft (maggio 2025) e La Poste (settembre 2025) richiedono ora l’autenticazione SPF, DKIM e DMARC per chi invia email in massa. Le email non conformi verranno respinte o finiranno nello spam.

Perché è importante:

Questi provider rappresentano miliardi di caselle di posta in tutto il mondo. Senza un’autenticazione adeguata, le tue email non raggiungeranno i clienti, compromettendo marketing, transazioni e comunicazioni.

Il divario:

Solo il 16% dei domini ha implementato DMARC. L’87% rimane vulnerabile a spoofing e problemi di consegna.

Cosa fare:

Implementa subito SPF, DKIM e DMARC. L’implementazione richiede in media 6-8 settimane, quindi agire subito è fondamentale per rispettare le scadenze di maggio e settembre. Le organizzazioni che si mettono in regola otterranno migliore deliverability, maggiore sicurezza e potranno mostrare il logo verificato nelle caselle di posta grazie a BIMI.

• Pubblica un record SPF che elenchi tutti i server autorizzati a inviare email per il tuo dominio.
• Firma tutti i messaggi in uscita con una firma DKIM valida.
• Implementa una policy DMARC sul dominio principale e impostala su p=reject o p=quarantine.
• Estendi la protezione DMARC a tutti i sottodomini attivi.
• Verifica tutti i servizi di terze parti che inviano email per tuo conto e aggiungili alla configurazione di SPF e DKIM.
• Mantieni il numero di lookup DNS complessivi al di sotto del limite SPF di 10.
• Monitora settimanalmente i report aggregati DMARC per individuare errori di configurazione e invii non autorizzati.
• Verifica che l’autenticazione sia valida anche per le email inoltrate controllando che l’allineamento DKIM venga mantenuto durante il relay.
• Registra un record BIMI e un Verified Mark Certificate per mostrare il tuo logo nelle caselle di posta compatibili.
• Effettua un controllo gratuito con Red Sift Investigate per verificare la situazione corrente prima delle scadenze di enforcement.

Per comprendere meglio i nuovi requisiti di autenticazione email e il loro impatto sulla comunicazione aziendale. Ascolta gli esperti di Zoominfo:

L’esperienza di Kevin riflette una realtà divenuta cruciale nel maggio 2025, quando Microsoft si è aggiunta a Google e Yahoo nell’applicare rigorosi requisiti di autenticazione email [2]. D’improvviso, le email di aziende legittime non venivano solo dirottate nello spam: erano respinte del tutto.

Non era l’unico. In tutto il mondo aziendale, molte società hanno scoperto che circa il 2% delle loro comunicazioni più importanti (risposte al cliente, notifiche di fatture, campagne di marketing e attività di vendita) stavano semplicemente svanendo nel nulla digitale.

Non per problemi di server. Non per colpa delle reti. Semplicemente perché i provider email non si fidavano più dell’autenticità di quei messaggi.

I numeri evidenziano una realtà netta. Google ora garantisce un tasso di recapito in inbox dell’87,2% con solo il 6,8% di spam per email correttamente autenticate, mentre Microsoft mostra il 75,6% di tasso inbox e il 14,6% di spam [1].

La maggior parte dei dirigenti non sa che le email non autenticate stanno registrando tassi di rifiuto che sono raddoppiati da quando sono entrati in vigore i nuovi requisiti.

Ciò significa che le tue comunicazioni curate con i clienti, le email aziendali urgenti e le campagne di marketing non raggiungono i destinatari come mai prima d’ora.

Questo cambiamento rappresenta una svolta epocale per il funzionamento dell’email. Per decenni i provider hanno adottato una logica “prima filtro”, mandando i messaggi sospetti nello spam — dove comunque il destinatario poteva ritrovarli. Ora i principali provider applicano una politica “prima rifiuto”.

Le email che non superano l’autenticazione non vengono recapitate nemmeno nella cartella spam. Non arrivano affatto.

Per capire perché le email falliscono, bisogna conoscere tre tecnologie decisive che determinano il recapito: SPF, DKIM e DMARC.

Pensale come fosse la sicurezza aeroportuale per la tua posta elettronica.

SPF (Sender Policy Framework) è come la carta d’imbarco della tua email. Si tratta di un record DNS che indica quali server sono autorizzati a inviare email per il tuo dominio. Senza una configurazione corretta, è come presentarsi all’imbarco senza documenti.

DKIM (DomainKeys Identified Mail) funge da sigillo antimanomissione del messaggio. Grazie a firme crittografiche, dimostra due cose: l’email è davvero partita dal tuo dominio e nessuno l’ha modificata in transito. Immaginalo come la banda olografica che verifica l’autenticità di una banconota.

DMARC (Domain-based Message Authentication, Reporting & Conformance) è il checkpoint che coordina tutto. Indica ai provider come comportarsi se SPF o DKIM falliscono: monitorare, mettere in quarantena o rifiutare completamente il messaggio.

Molti imprenditori non sanno che questi tre sistemi devono lavorare insieme. Avere solo SPF è come avere il biglietto ma non il documento d’identità. Solo DKIM equivale ad avere il documento ma tentare l’imbarco con il biglietto di qualcun altro.

Occorrono tutti e tre, configurati correttamente e monitorati in modo continuo.

Oltre agli evidenti problemi di consegna, i problemi di autenticazione generano conseguenze a cascata che raramente vengono ricondotte alla vera causa originaria.

Il tuo dominio principale potrebbe essere protetto, ma che dire di marketing.yourcompany.com o support.yourcompany.com? I criminali informatici mirano proprio ai sottodomini non protetti perché più facili da falsificare ma comunque credibili per il brand.

Hai installato un nuovo CRM? Una piattaforma di email marketing? Un sistema di supporto clienti? Ogni servizio che invia email per tuo conto necessita di configurazione di autenticazione corretta. Senza, crei lacune che riducono il tasso di consegna in tutta l’azienda.

Le firme DKIM possono andare perse quando le email vengono inoltrate tramite certi sistemi, causando fallimenti di autenticazione anche per messaggi legittimi che i clienti tentano di condividere internamente o tra colleghi.

Ogni fallimento di autenticazione genera più di un singolo problema di consegna. Nel tempo, questi episodi si sommano, danneggiando progressivamente la reputazione del dominio finché anche le email configurate correttamente cominciano a essere filtrate o respinte.

Mark Johnson ha imparato la lezione a proprie spese. Come Head of Customer Security in TalkTalk, la società di telecomunicazioni britannica, pensava che l’autenticazione di base fosse sufficiente.

Poi hanno attivato un controllo avanzato e hanno scoperto qualcosa di allarmante.

• Le aziende in rapida crescita spesso aggiungono nuovi servizi email, domini e strumenti di comunicazione senza aggiornare le policy di autenticazione, aumentando così il rischio via via che la struttura si espande.
• Le operazioni di merger & acquisition sono particolarmente critiche: durante le transizioni, l’integrazione delle infrastrutture email crea nuove lacune di autenticazione. I cybercriminali monitorano e sfruttano questi momenti.
• I settori regolamentati sono ancora più esposti. Le organizzazioni sanitarie che non autenticano correttamente le comunicazioni con i pazienti rischiano di violare la normativa HIPAA, incorrendo in multe milionarie. I servizi finanziari affrontano rischi simili in base ai diversi standard di compliance.
• Le aziende globali affrontano ulteriori difficoltà: per chi gestisce infrastrutture email multinazionali, lingue e vincoli normativi diversi servono strategie di autenticazione sofisticate per garantire la sicurezza ovunque.

L’email marketing continua ad avere un ROI molto elevato: 42$ per ogni 1$ investito [5]. I problemi di autenticazione generano perdite immediate che spesso non vengono correttamente quantificate.

Pensa a un’azienda che spedisce 100.000 email marketing al mese, con un tasso di conversione del 2% e ordini medi da 50$. Basta una riduzione del 10% della deliverability a causa di problemi di autenticazione per perdere 10.000$ di fatturato ogni mese.

E questo riguarda solo le email marketing. Considera anche:

• Comunicazioni di assistenza clienti non ricevute che abbassano il livello di soddisfazione
• Fatture e solleciti di pagamento andati persi che rallentano la liquidità
• Possibili vendite sfumate a causa di comunicazioni non recapitate
• Danni alla reputazione del brand per attacchi di spoofing riusciti con il tuo dominio

L’FBI riporta che gli attacchi BEC (Business Email Compromise) hanno provocato oltre 2,9 miliardi di dollari di perdite nel 2023, con 21.489 casi e una media di circa 135.000$ per incidente [6]. Il danno reputazionale e la perdita di fiducia dei clienti producono costi ulteriori, difficili da quantificare ma rilevanti a livello operativo.

Molte aziende gestiscono l’autenticazione email come un sistema di sicurezza "fai-da-te": assemblano qualche componente base senza una supervisione continua. Il risultato è una protezione parziale, manutenzione complessa e lacune di sicurezza spesso invisibili.

Piattaforme professionali di autenticazione email come Red Sift OnDMARC cambiano completamente l’approccio [4].

Invece di gestire a mano ogni componente, queste piattaforme automatizzano la scoperta di tutte le origini email interne, offrono guide di implementazione esperte e monitoraggio continuo basato su intelligenza artificiale.

La differenza si vede nei tempi di implementazione: chi utilizza piattaforme complete arriva a enforcement DMARC in 6-8 settimane contro una media di 32 settimane con metodi tradizionali.

Le funzioni più complesse sono automatizzate, anche per chi non ha grandi competenze, e si ottiene controllo e visibilità adeguati ai bisogni enterprise.

La prova arriva dalle aziende che hanno completato con successo la messa in sicurezza della posta anche negli ambienti più complessi.

Kevin Hopkinson di ZoomInfo sottolinea l’impatto operativo: “Con OnDMARC possiamo crescere ed espanderci in modo efficace aggiungendo nuovi dipendenti e facendo acquisizioni senza preoccuparci dell’IT ombra” [4].

Questo punto conta perché le aziende in forte crescita hanno infrastrutture email in continua evoluzione: nuovi reparti, nuovi tool e aziende acquisite introducono complessità che, senza una gestione attenta, creano lacune.

L’esperienza di TalkTalk dimostra i vantaggi in termini di visibilità sulla sicurezza. Oltre a prevenire problemi di consegna, l’autenticazione completa permette di individuare minacce altrimenti invisibili.

Risultati concreti rilevati:

• 15% di deliverability in più per le email autenticate correttamente
• Meno richieste di supporto per comunicazioni mai arrivate
• Protezione contro lo spoofing del dominio e salvaguardia della reputazione
• Conformità alle normative senza continue difficoltà tecniche

I requisiti del 2025 rendono necessaria un’autenticazione completa. Ora le organizzazioni devono decidere se prepararsi in anticipo o aspettare di subire i primi problemi di consegna o di sicurezza.

L’implementazione segue un percorso strutturato:

• Fase 1: Valutazione Utilizza tool come Investigate gratuito di Red Sift per verificare la configurazione SPF, DKIM e DMARC su tutti i domini e sottodomini [4].
• Fase 2: Implementazione Imposta le policy di autenticazione e abilita il monitoraggio per identificare tutte le fonti legittime interne.
• Fase 3: Enforcement Passa gradualmente dal monitoraggio alla quarantena e poi al rifiuto definitivo man mano che il livello di sicurezza aumenta e si eliminano i falsi positivi.
• Fase 4: Ottimizzazione Monitora continuamente l’arrivo di nuove fonti email, i cambi di infrastruttura e nuove minacce restando aggiornato sugli standard.

L’autenticazione email completa funziona come un’assicurazione per l’impresa. Speri di non avere problemi di consegna, ma i costi della protezione inadeguata superano di gran lunga l’investimento per una gestione completa.

In un contesto in cui l’email resta il canale principale e le minacce crescono, l’autenticazione è diventata infrastruttura essenziale, come telefoni o connessioni Internet affidabili.

Nell’arco del 2025, le aziende che implementeranno una gestione completa saranno protette dalle minacce attuali e potranno espandere in modo sicuro le comunicazioni e applicazioni business senza rischi di security gap o problemi di deliverability.

Non devi affrontare da solo la complessità dell’autenticazione.

Red Sift OnDMARC offre una gestione completa, arrivando all’enforcement DMARC in media in 6-8 settimane con:

• Scoperta automatizzata di tutte le fonti email nella tua organizzazione
• Consulenza di implementazione esperta senza necessità di grandi competenze tecniche
• Monitoraggio continuo con analisi e rilevamento delle minacce tramite AI
• Supporto specialistico incluso, senza costi aggiuntivi nascosti

Inizia con un’analisi gratuita dell’autenticazione email per vedere in che situazione sei, oppure scopri di più sulla protezione DMARC completa scalabile per la tua azienda.

Nel 2025, la sicurezza dell’email influenza direttamente l’efficacia della comunicazione aziendale e il livello di sicurezza organizzativo. Le aziende che lo capiscono e agiscono tempestivamente avranno vantaggi competitivi nella gestione clienti, operatività e reputazione.

Le organizzazioni hanno bisogno di un’autenticazione completa: la vera scelta è se implementarla prima o dopo aver pagato il prezzo di una protezione insufficiente.

[1] TrulyInbox. (2025). Email Deliverability Statistics 2025. https://www.trulyinbox.com/blog/email-deliverability-statistics/

[2] Red Sift. (2025). Guida 2025 ai requisiti per l’invio massivo con Microsoft, Google e Yahoo

https://redsift.com/guides/bulk-email-sender-requirements

[3] Omnisend. (2025). Email Marketing Statistics 2025. https://www.omnisend.com/blog/email-marketing-statistics/

[4] Red Sift. (2025). OnDMARC Platform, Customer Success Stories, and G2 Recognition. https://redsift.com

[5] InboxAlly. (2025). Email Marketing ROI Statistics. https://www.inboxally.com/blog/the-most-important-email-marketing-statistics

[6] FBI. (2024). Internet Crime Complaint Center Annual Report. https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3Report.pdf