Perché le tue email finiscono nello spam e come evitarlo: la guida completa alla configurazione di SPF e DKIM

Immagina di scoprire che alcune delle tue email aziendali legittime non sono mai arrivate ai destinatari – causando alla tua organizzazione la perdita di migliaia di euro in opportunità e il danneggiamento di rapporti importanti. Questo scenario non è ipotetico, ma una realtà che vivono le aziende che non hanno implementato correttamente i protocolli di autenticazione email come SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail).

Pensa al responsabile IT che riceve segnalazioni urgenti da clienti che hanno visto email fraudolente apparentemente provenienti dal dominio dell'azienda. O al marketing manager, il cui lavoro sui messaggi è vanificato da tassi di apertura pessimi, perché i grandi provider di posta filtrano le mail come sospette. Questi esempi mostrano una lacuna critica nella sicurezza email moderna che influenza sia la recapitabilità che la protezione del marchio.

Oggi lo scenario dell'email è cambiato radicalmente: fornitori come Gmail, Yahoo e Microsoft, da febbraio 2024, richiedono agli invii di massa (oltre 5.000 email al giorno) di implementare DMARC [1]. Queste non sono semplici raccomandazioni: sono un obbligo per garantire il recapito affidabile e la protezione del dominio da abusi.

Oltre agli errori di consegna evidenti esistono numerosi rischi nascosti che spesso le aziende sottovalutano:

• Rischi di sicurezza tramite sottodomini: Sottodomini insufficientemente protetti possono essere sfruttati per attacchi di spoofing, anche se il dominio principale è sicuro
• Lacune nei fornitori terzi: Piattaforme di marketing, CRM e sistemi di supporto possono inviare email che falliscono l'autenticazione
• Configurazioni DNS obsolete: Cambi nell'infrastruttura email possono lasciare record di autenticazione obsoleti, facendo fallire la consegna delle email legittime
• Errori nelle mail inoltrate: Le firme DKIM possono danneggiarsi nell'inoltro, provocando errori di autenticazione
• Incoerenze tra client mobili: Client di posta diversi gestiscono in modo diverso l'autenticazione, generando qualità di recapito variabile
• Effetti a cascata sulla reputazione: Gli errori di autenticazione si accumulano nel tempo e peggiorano la reputazione del dominio

I protocolli di autenticazione sono un sistema digitale di verifica. Dimostrano che le tue email sono legittime e non sono state alterate durante la trasmissione. Pensa a SPF come a una lista d'ingresso per il tuo dominio email: elenca quali server sono autorizzati a inviare email per tuo conto. DKIM è come un sigillo di ceralacca su una lettera ufficiale – fornisce una prova crittografica che il messaggio proviene dal tuo dominio e non è stato modificato.

• Autorizzazione degli indirizzi IP: Impedisce a server non autorizzati di inviare email col tuo dominio, aggiungendo i server affidabili a una whitelist
• Protezione dallo spoofing: Difende dal furto di identità del dominio nell'indirizzo "Envelope Sender" e riduce almeno alcuni tipi di phishing
• Migliore recapitabilità: Aiuta i provider a riconoscere i tuoi messaggi autentici, favorendo con DKIM e DMARC la consegna in inbox
• Tutela della reputazione: Impedisce che il tuo dominio venga collegato a spam o malware generato da terzi
• Supporto alla compliance: Fornisce uno dei metodi di autenticazione più richiesti da fornitori e regole di settore – e insieme a DKIM e DMARC è particolarmente efficace
• Integrazione con terzi: Permette a servizi legittimi (marketing, CRM) di inviare email autenticati per tuo conto
• Sicurezza a basso costo: Offre grandi benefici di sicurezza con costi di implementazione e mantenimento modesti

• Verifica dell'integrità del messaggio: Usa firme crittografiche per garantire che i messaggi non siano stati cambiati durante la trasmissione
• Autenticazione del dominio: Dimostra crittograficamente che l'email proviene davvero dal tuo dominio (sistema a chiave pubblica)
• Migliora la recapitabilità: Aumenta la fiducia dei provider e quindi il tasso di inbox
• Rilevamento delle modifiche: Scopre alterazioni non autorizzate a corpo, header o allegati
• Protezione del marchio: Evita che i cybercriminali spediscano versioni modificate delle tue vere email
• Resistenza agli inoltri: Mantiene l'autenticazione anche quando le email vengono inoltrate più volte (se ben configurato)
• Sicurezza a lungo termine: La prova crittografica rimane valida per tutta la "vita" della mail

• "SPF da solo basta per la protezione": SPF controlla solo i server mittenti ma non il contenuto né la coerenza con il nome del mittente
• "DKIM elimina ogni spoofing": DKIM verifica l'integrità della mail, ma senza DMARC non impedisce lo spoofing dell'indirizzo "Da"
• "L'autenticazione garantisce l'inbox": L'autenticazione aiuta il recapito, ma contenuto e reputazione sono comunque decisivi
• "Le piccole aziende non servono l'autenticazione": I criminali puntano specialmente sulle PMI, ritenute più vulnerabili

Capire cosa non copre l'autenticazione è importante tanto quanto il suo ambito di applicazione [2]. Questi protocolli non difendono dal social engineering, allegati pericolosi o phishing da account già compromessi ma legittimi.

Per conoscere il livello di autenticazione della tua organizzazione serve un'analisi sistematica della configurazione e delle performance di recapito. Così individui i punti deboli che causano problemi di sicurezza o recapito.

Verifica i record DNS attuali per rilevare quali protocolli di autenticazione siano presenti:

• Usa strumenti come l'Investigate Tool gratuito di Red Sift per controllare i record SPF, DKIM e DMARC del tuo dominio
• Crea una lista completa di tutte le fonti autorizzate di invio – incluse piattaforme di marketing, CRM e servizi di terze parti
• Identifica tutti i sottodomini usati per l'email che potrebbero non essere autenticati
• Controlla la sintassi dei record DNS per errori che causano problemi di autenticazione

Analizza gli attuali tassi di recapito e reputazione:

• Monitora bounce rate, reclami spam e errori di consegna presso vari provider
• Controlla i report delle tue piattaforme marketing per problemi di autenticazione
• Tieni sotto controllo la reputazione del dominio con strumenti come Sender Score o Google Postmaster Tools
• Verifica la consegna presso i grandi provider (Gmail, Outlook, Yahoo) da fonti di invio diverse

Dati di settore dimostrano: le email ben autenticate raggiungono una recapitabilità fino al 15% superiore rispetto alle email non autenticate. Le organizzazioni con autenticazione completa registrano tassi di apertura del 22-24% – nettamente superiori alla media.

Valuta quanto il tuo dominio sia esposto a rischi di spoofing e frode:

• Cerca tentativi recenti di spoofing tramite piattaforme di threat intelligence
• Analizza segnalazioni dei clienti di email sospette apparentemente provenienti dalla tua azienda
• Stima il potenziale danno economico in caso di successo dei tentativi di truffa
• Considera le normative di settore specifiche per la sicurezza email

Red Sift OnDMARC offre un'applicazione completa e user-friendly che elimina tutta la complessità operativa nell'implementare e gestire i protocolli SPF, DKIM e DMARC. A differenza di molti competitor che si concentrano su singoli aspetti, Red Sift offre un approccio olistico su tutto l'ecosistema dell'autenticazione email.

Il maggior punto di forza di Red Sift è la facilità d'uso e l'automazione. Mentre le soluzioni tradizionali richiedono elevate competenze tecniche e continui aggiornamenti manuali, Red Sift OnDMARC automatizza i processi complessi e fornisce suggerimenti pratici e chiari. Con oltre 80 recensioni e una valutazione media di 4,9 stelle su G2, e una nomina a principale fornitore DMARC in Europa [3], l'applicativo è sistematicamente ai vertici del settore.

Questo riconoscimento riflette la reale soddisfazione degli utenti e i casi di successo tangibili. Le organizzazioni che utilizzano Red Sift OnDMARC raggiungono di solito la modalità Enforcement su DMARC in 6–8 settimane – molto più velocemente della media di settore di 32 settimane [4].

Un caso pratico evidenzia l'efficacia di Red Sift: ZoomInfo, una grande piattaforma B2B, ha scelto Red Sift OnDMARC per gestire un'infrastruttura email complessa dopo numerose acquisizioni. Kevin Hopkinson, Head of Deliverability di ZoomInfo, spiega: «Con OnDMARC possiamo crescere in modo efficiente, integrare dipendenti e acquisizioni, senza timore di shadow IT» [5].

Un altro esempio: TalkTalk (operatore Tlc UK), dove Mark Johnson, Head of Customer Security, racconta: «OnDMARC ci ha permesso di bloccare attacchi di spoofing di cui non eravamo nemmeno a conoscenza» [6]. Red Sift, quindi, non intercetta solo minacce future, ma fa emergere anche vulnerabilità già presenti.

I clienti elogiano il modello di supporto e user experience di Red Sift. A differenza di altri fornitori, Red Sift offre alle grandi aziende Customer Success Engineering dedicato senza costi extra. Vinay Tekchandani, Technical Program Manager di Holland & Barrett, sottolinea: «Red Sift semplifica enormemente la sicurezza email. Ho già implementato DMARC, ma questa è stata senza paragoni la soluzione più semplice. Davvero tolgono la complessità di mano» [7]

L'assistente AI integrato e la risoluzione automatica differenziano Red Sift da Valimail, EasyDMARC e PowerDMARC, che richiedono più intervento tecnico diretto.

Molti pensano che autenticare le email a livello avanzato sia costoso. In realtà, l'investimento è minimo rispetto alle possibili perdite derivanti da mancato recapito o abuso del dominio.

L'email marketing offre, in media, rendimenti eccellenti: $42 per ogni $1 investito [5]. Se l'autenticazione riduce la consegna anche solo del 10%, il danno economico diventa subito rilevante. Se un'azienda invia 100.000 newsletter al mese con il 2% di conversione e un valore medio d'ordine di $50, il 10% in meno di recapito vale $10.000 di mancati ricavi mensili…

Diversi aspetti incidono sui costi dell'autenticazione email:

• Dimensione e volume email: Più volume, maggiore necessità di monitoraggio e gestione
• Complessità dell'infrastruttura: Più domini, sottodomini o servizi terzi aumentano la complessità
• Bisogno di supporto: Poche risorse interne richiedono offerte gestite con supporto esperto
• Compliance e normative: Settori regolamentati potrebbero richiedere strumenti aggiuntivi di audit e report
• Esigenza di integrazione: Infrastrutture IT complesse possono richiedere collegamenti personalizzati

I costi nascosti della mancata autenticazione sono di solito ben superiori all'investimento in una soluzione affidabile: mancato fatturato per problemi di recapito, danni d'immagine, eventuali multe, tempo e risorse utilizzati per riparare errori invece che per pianificare in modo strategico.

In alcuni casi serve ben più dell'attivazione base di SPF e DKIM. Le organizzazioni coinvolte dovrebbero usare soluzioni come Red Sift OnDMARC per avere monitoraggio avanzato, automazione e rilevamento delle minacce attivo.

• Fusione/acquisizioni: Aziende coinvolte in M&A devono uniformare le policy di autenticazione su infrastrutture e domini legacy eterogenei. Fasi di transizione portano lacune che possono essere sfruttate dagli attaccanti.
• Obblighi normativi: Sanità, finanza, pubblica amministrazione – qui la posta sicura è obbligo di legge. Se una struttura sanitaria ha autenticazione carente e la posta dei pazienti viene intercettata, si rischiano violazioni normative (HIPAA ecc.) e sanzioni milionarie.
• Aziende con elevato rischio potenziale: Aziende con dati sensibili, proprietà intellettuale o valori finanziari sono i bersagli principali delle frodi email. Un produttore ha riportato una truffa di $2,3 milioni per spoofing e trasferimento illecito.
• Complessità operativa internazionale: Organizzazioni con sedi in diversi paesi, lingue e regole necessitano di gestione granulare dell'autenticazione per una sicurezza costante.

• Molteplicità di servizi email: Ogni nuovo servizio o provider aumenta il rischio di errore sull'autenticazione
• Cambi frequenti in infrastruttura: Ambienti IT dinamici richiedono manutenzione costante e aggiornamenti dei protocolli
• Poca expertise interna: Poco know-how suggerisce l'adozione di soluzioni gestite
• Volumi di invio elevati: Tanti messaggi amplificano il rischio reputazionale se qualcosa va storto sull'autenticazione
• Comunicazione diretta con i clienti: Chi interagisce via email con la clientela non può permettersi errori di delivery o spoofing
• Sensibilità reputazionale: Settori come finanza e sanità risentono in modo amplificato dei danni all'immagine da incidenti email

Le conseguenze di sottostimare l'autenticazione sono molto superiori ai costi di una soluzione completa. Secondo l'FBI, nel 2023 le perdite per attacchi di spoofing hanno superato i 18 milioni di dollari [7]. Ma ben oltre i meri costi economici, la certezza che la comunicazione è sicura e recapitabile ha un valore enorme per collaboratori e manager.

L'autenticazione email è la base per progetti futuri. Aziende ben tutelate possono espandere marketing, interazioni clienti e servizi nuovi senza temere minacce o blocchi di consegna.

Per restare protetti nel tempo verifica ogni trimestre questi punti:

• Tutte le fonti di invio sono autenticate e monitorate?
• Sono stati integrati servizi terzi che richiedono aggiornamento di autenticazione?
• I report DMARC sono regolarmente analizzati per individuare spoofing o errori di configurazione?
• Sono cambiate infrastruttura o volumi nell'ultimo periodo?
• Le regole sono ancora in linea con standard e normative aggiornate?

Con questa routine, la strategia di autenticazione rimane valida anche con cambiamenti organizzativi e minacce emergenti.

Un'autenticazione email robusta con SPF e DKIM, rafforzata da una policy DMARC adeguata, è un investimento fondamentale per la sicurezza e l'efficienza della comunicazione. L'esperienza conferma che le organizzazioni ben autenticate ottengono tassi di consegna, sicurezza e fiducia dei clienti maggiori.

Tutti possono scegliere tra una gestione email reattiva, che interviene solo dopo i problemi, oppure una strategia proattiva che mette al sicuro il futuro: solo una policy di autenticazione completa consente di avere il pieno controllo della comunicazione e non essere in balìa delle minacce. In un mondo dove l'email resta la principale forma di comunicazione lavorativa e le minacce cyber sono sempre più sofisticate, l'autenticazione avanzata non è più opzionale: è la condizione minima di una realtà sostenibile.

Red Sift OnDMARC offre la soluzione completa per implementare DMARC rapidamente e mantenere la recapitabilità. Garantiamo:

• Tempistiche ottimali: Passa alla modalità di enforcement DMARC in 6–8 settimane, con il supporto di esperti e tool automatici
• Piena trasparenza: Monitora tutte le fonti email e rileva attività non autorizzate con report dettagliati e AI
• Gestione semplificata: Gestisci requisiti di autenticazione complessi tramite un'interfaccia utente intuitiva che non richiede competenze IT avanzate
• Protezione continua: Approfitta di monitoraggio costante, aggiornamenti automatici e rilevamento attivo delle minacce

Prova oggi stesso i nostri strumenti gratuiti per l'autenticazione e-mail oppure scopri come implementare una protezione DMARC completa per la tua azienda.

[1] Red Sift. (2025) Guida 2025 al rispetto dei requisiti di Gmail, Google e Yahoo per l’invio massivo.

https://redsift.com/guides/bulk-email-sender-requirements 

[2] Red Sift. (2025) La guida definitiva alla sicurezza e-mail di Red Sift.

https://redsift.com/guides/email-security-guide 

[3] Red Sift. (2025). Premi G2 Red Sift OnDMARC. 

https://blog.redsift.com/news/europes-1-for-dmarc-red-sift-ondmarc-does-it-again/

[4] Red Sift. (2025). Red Sift OnDMARC.

https://redsift.com/pulse-platform/ondmarc 

[5] Red Sift. (2025) ZoomInfo raggiunge una consegna e-mail quasi perfetta grazie a OnDMARC.

https://redsift.com/resource-center/case-study/zoominfo 

[6] Red Sift. (2025) TalkTalk aumenta il proprio engagement e-mail dal 4 al 6 % grazie a BIMI.

https://redsift.com/resource-center/case-study/talktalk 

[7] Red Sift. (2025) Holland & Barrett protegge i propri domini con Red Sift.

https://redsift.com/resource-center/case-study/holland-and-barrett 

[6] Red Sift. (2025). Confronto OnDMARC vs Valimail.

https://redsift.com/compare/redsift-vs-valimail

[7] FBI. (2024). Rapporto annuale Internet Crime Complaint Center. https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3Report.pdf