App StoreApp Store
Google PlayGoogle Play
Temp Mail Logo

Temp Mail protegge la tua privacy mantenendo la tua casella di posta libera dallo spam.

← Back to Blog
Privacy

Come verificare SPF, DKIM e DMARC di un dominio (guida gratuita 2026)

Team Best-TempMail2026-04-04
Come verificare SPF, DKIM e DMARC di un dominio (guida gratuita 2026)

Se le tue email finiscono in spam, vengono rifiutate o mostrano avvisi tipo “mittente non verificato”, la prima cosa da controllare è la tua configurazione di autenticazione email.

Cioè verificare questi tre record cruciali:

  • SPF (Sender Policy Framework)
  • DKIM (DomainKeys Identified Mail)
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance)

Questi record DNS dicono ai provider come Gmail, Outlook e Yahoo se il tuo dominio è davvero autorizzato a inviare email. Se uno manca, è rotto o troppo debole, la fiducia nei tuoi messaggi crolla in fretta.

In questa guida 2026 imparerai:

  • come verificare un record SPF
  • come verificare un record DKIM
  • come verificare un record DMARC
  • perché le email finiscono in spam anche con i record presenti
  • gli errori più comuni nell’autenticazione email
  • il modo più rapido per testare la deliverability di un dominio

Se gestisci un dominio aziendale, una newsletter, una casella di supporto, una campagna di outreach, un prodotto SaaS o un setup di cold email, è uno dei controlli tecnici più importanti.

Risposta rapida: come si controllano SPF, DKIM e DMARC di un dominio?

Per controllare SPF, DKIM e DMARC di qualsiasi dominio:

  1. Cerca i record DNS TXT del dominio
  2. Verifica che esista un record SPF valido
  3. Verifica che un selector DKIM risolva a una chiave pubblica valida
  4. Cerca una policy DMARC su _dmarc.tuodominio.com
  5. Conferma che i record non solo siano presenti, ma anche configurati correttamente
  6. Se le email finiscono ancora in spam, analizza gli header di un’email reale per vedere cosa è davvero passato o fallito

Il modo più veloce e adatto ai principianti è iniziare con uno scan completo del dominio tramite Email Health Checker, e poi approfondire i singoli record se qualcosa non torna.

Perché SPF, DKIM e DMARC contano nel 2026

I provider sono più severi che mai.

Non guardano più solo il contenuto del messaggio, ma anche se il dominio ha una configurazione di invio affidabile.

Una buona configurazione di SPF, DKIM e DMARC ti aiuta a:

  • migliorare il posizionamento in Inbox
  • ridurre il rischio di email spoofing
  • bloccare l’abuso del tuo dominio per phishing
  • diminuire la probabilità di finire in spam
  • aumentare la fiducia di Gmail, Outlook, Yahoo e gateway aziendali
  • costruire una reputazione mittente più sana nel tempo

Se invii:

  • email transazionali
  • codici di verifica
  • newsletter
  • cold outreach
  • risposte di supporto
  • email di reset password
  • notifiche SaaS

…l’autenticazione email non è più opzionale.

Cosa sono SPF, DKIM e DMARC? (spiegato in modo semplice)

Prima di controllare i record, conviene capire cosa fa ognuno.

SPF: chi è autorizzato a inviare email per il tuo dominio

SPF è un record DNS TXT che elenca quali server o servizi email possono inviare per conto del dominio.

Se ad esempio usi:

  • Google Workspace
  • Microsoft 365
  • Mailgun
  • SendGrid
  • Amazon SES
  • Brevo
  • Zoho Mail

…questi servizi vanno in genere inclusi nel tuo SPF.

Da cosa protegge SPF: mittenti non autorizzati che fingono di scrivere dal tuo dominio.

Cosa SPF non garantisce: che l’indirizzo visibile nel “From” sia allineato in un modo che DMARC accetti.

DKIM: dimostra che l’email è stata firmata

DKIM aggiunge una firma crittografica alla tua email in uscita.

Quando il server destinatario riceve il messaggio, controlla una chiave pubblica nel DNS per confermare:

  • che l’email sia stata firmata da un mittente autorizzato
  • che il messaggio non sia stato modificato in transito

Da cosa protegge DKIM: manipolazione del messaggio e email contraffatte senza firma valida.

Importante: un record DKIM nel DNS non significa automaticamente che DKIM stia funzionando bene sugli invii reali.

DMARC: dice ai provider cosa fare se SPF o DKIM falliscono

DMARC si appoggia su SPF e DKIM.

Comunica al server ricevente:

  • se le email fallite vanno monitorate, messe in quarantena o rifiutate
  • dove inviare i report aggregati
  • se il dominio autenticato è allineato col dominio visibile nel “From”

Valori della policy DMARC:

  • p=none → solo monitoraggio
  • p=quarantine → la posta sospetta può andare in spam
  • p=reject → la posta che fallisce va rifiutata

Da cosa protegge DMARC: spoofing del dominio, impersonificazione e applicazione debole dell’autenticazione.

Come controllare SPF, DKIM e DMARC di un dominio

Ecco il workflow più semplice e pratico.

Step 1: parti da uno scan completo dell’autenticazione

Invece di controllare i record uno alla volta a mano, parti da uno scan ampio a livello di dominio.

Usa Email Health Checker per ottenere subito una panoramica di:

  • stato SPF
  • presenza DKIM
  • presenza DMARC
  • setup MX
  • salute base dell’autenticazione
  • segnali di rischio comuni

È il miglior primo passo: ti dice subito se il dominio ha buchi evidenti prima di andare in profondità.

Perché è utile: moltissimi domini falliscono per cose semplici, come nessun record DMARC, nessun DKIM, MX mancante, SPF mal strutturato.

Step 2: come controllare un record SPF

Se vuoi sapere come controllare un SPF correttamente, non chiederti solo “esiste?” — chiedi se è valido, pulito e dentro i limiti.

Com’è fatto un SPF valido

Un SPF inizia di solito così:

v=spf1 include:_spf.google.com ~all

Cosa guardare

  • inizia con v=spf1
  • esiste un solo record SPF TXT per il dominio
  • include i tuoi provider d’invio attuali
  • termina con una policy sensata come:
    • ~all (soft fail)
    • -all (hard fail)
  • non supera il limite di 10 lookup DNS

Errori SPF comuni

  • pubblicare più record SPF
  • lasciare include: di provider passati
  • usare regole troppo permissive come +all
  • superare il limite dei 10 lookup
  • dimenticare di aggiornare SPF dopo un cambio ESP

Il grande problema SPF del 2026: il limite di 10 lookup

È una delle “killer” più diffuse e silenziose della deliverability.

Se SPF annida troppi provider, servizi di forwarding o tool SaaS, può sforare i lookup permessi e fallire senza farsi notare.

Se il tuo SPF è complesso, SPF Flattening Tool può aiutarti ad appiattire le catene di include in IP espliciti per restare nei limiti.

Step 3: come controllare un record DKIM

Se cerchi come controllare un DKIM, l’essenziale è questo:

DKIM si basa sui selector.

Quindi servono:

  • il dominio
  • il selector usato dalla piattaforma d’invio

Un record DKIM si trova spesso a un percorso tipo:

selector1._domainkey.example.com

Cosa guardare

  • il selector risolve correttamente
  • esiste un record TXT
  • la chiave pubblica (p=) è presente
  • il record ha la formattazione corretta
  • la chiave è abbastanza forte
  • la piattaforma firma davvero la posta in uscita

Errori DKIM comuni

  • selector sbagliato
  • record pubblicato ma DKIM mai attivato lato provider
  • formattazione TXT rotta
  • chiavi deboli o vecchie
  • rotazione delle chiavi sbagliata
  • pensare che “il record c’è” equivalga a “DKIM passa”

Per un’ispezione più tecnica del record, usa DKIM Analyzer per verificare forza della chiave, struttura del record e possibili errori di configurazione.

Step 4: come controllare un record DMARC

Se vuoi sapere come controllare un record DMARC, cerca un TXT a:

_dmarc.example.com

Un DMARC base ha questa forma:

v=DMARC1; p=none; rua=mailto:dmarc@example.com

Cosa guardare

  • inizia con v=DMARC1
  • ha una policy:
    • p=none
    • p=quarantine
    • p=reject
  • idealmente un indirizzo per i report:
    • rua=mailto:...
  • opzionale forensic reporting:
    • ruf=mailto:...
  • impostazioni di allineamento eventualmente presenti:
    • adkim=
    • aspf=
  • rollout graduale opzionale:
    • pct=

Errori DMARC comuni

  • nessun record DMARC
  • restare in p=none per sempre
  • nessuna casella per i report
  • sintassi rotta
  • ignorare i fail di allineamento
  • copia-incollare un record generico senza capirlo

Per validare il record in fretta e capire se è solo monitoraggio o vero enforcement, usa DMARC Checker.

Perché le email finiscono in spam anche con SPF, DKIM e DMARC presenti

Una delle cose più fraintese sulla deliverability.

Un dominio può avere record SPF, DKIM e DMARC e finire comunque in spam.

Perché?

Perché presenza non è sinonimo di configurazione corretta.

Cause tipiche:

  • SPF presente ma sopra il limite dei 10 lookup
  • SPF passa ma l’allineamento fallisce
  • record DKIM presente ma la firma reale fallisce
  • DKIM si rompe dopo forwarding o riscrittura
  • DMARC presente ma fermo a p=none
  • dominio con cattiva reputazione
  • IP d’invio con cattiva reputazione
  • contenuto che fa scattare i filtri antispam
  • link che sembrano sospetti
  • alta percentuale di bounce
  • alta percentuale di reclami
  • reverse DNS mancante o debole
  • variazioni improvvise nei volumi d’invio

Verità importante

SPF + DKIM + DMARC sono le fondamenta, non l’intero sistema di deliverability.

Aiutano i provider a fidarsi, ma non compensano una cattiva reputazione o comportamenti spammy.

Come capire perché un’email è finita in spam

Se i record DNS sono ok ma un’email reale finisce comunque in spam, smetti di guardare solo il DNS.

Devi ispezionare gli header grezzi della mail.

È lì che si vede cosa ha effettivamente osservato il server ricevente.

Usa Email Header Analyser per controllare:

  • SPF pass/fail
  • DKIM pass/fail
  • DMARC pass/fail
  • Authentication-Results
  • hop / percorso del relay
  • indizi di allineamento
  • segnali di routing antispam

È fondamentale: tante persone si fermano ai record DNS e non testano mai il messaggio reale consegnato, ed è proprio lì che spuntano i problemi nascosti.

Workflow migliore per controllare l’autenticazione (modo più rapido)

Per il flusso più pratico nel 2026, segui quest’ordine:

  1. Scan ampio con Email Health Checker
  2. Policy DMARC ed enforcement con DMARC Checker
  3. Qualità DKIM e validità del selector con DKIM Analyzer
  4. Struttura SPF e conteggio lookup con SPF Flattening Tool
  5. Header di email reali con Email Header Analyser se la consegna continua a fallire

Ottieni:

  • una vista DNS
  • una vista policy
  • una vista messaggio reale

Una combinazione molto più utile del solo lookup TXT.

Errori comuni SPF / DKIM / DMARC da evitare

Si presentano in modo ricorrente su domini aziendali, app SaaS e setup di cold email.

Errori SPF

  • più record SPF TXT
  • troppi include:
  • vecchi provider ancora elencati
  • +all o policy troppo lassa
  • niente aggiornamento SPF dopo cambi di provider

Errori DKIM

  • selector sbagliato
  • record pubblicato ma firma disattivata
  • formattazione TXT rotta
  • chiavi deboli
  • nessun test su una mail davvero inviata

Errori DMARC

  • nessun record DMARC
  • p=none per sempre
  • nessun rua=
  • ignorare l’allineamento
  • sintassi rotta
  • nessun avanzamento verso l’enforcement

Best practice SPF, DKIM e DMARC per il 2026

Per una migliore inbox placement quest’anno, punta a questa baseline:

  • pubblica un solo SPF pulito
  • mantieni SPF sotto il limite di 10 lookup
  • togli da SPF i provider vecchi o non usati
  • usa chiavi DKIM forti
  • conferma che DKIM firmi la posta reale in uscita
  • pubblica DMARC su ogni dominio attivo che invia
  • parti monitorando, poi vai verso l’enforcement
  • raccogli i report DMARC
  • controlla l’allineamento, non solo pass/fail
  • ritesta dopo cambi DNS o ESP
  • guarda gli header se qualcosa non torna
  • monitora reputazione e trend di bounce

A chi serve questa checklist?

Questa guida è utile se gestisci:

  • un sito aziendale
  • un prodotto SaaS
  • una casella di supporto
  • un sistema di newsletter
  • email transazionali
  • campagne di cold outreach
  • domini cliente gestiti in agenzia
  • forwarding email su dominio personalizzato
  • notifiche e-commerce
  • sistemi di reset password / verifica

Se l’email conta per il tuo business, anche l’autenticazione conta. E se usi email usa e getta per testare, capire l’autenticazione ti aiuta a scegliere provider che davvero consegnano.

Conclusioni

Se invii posta dal tuo dominio, imparare a controllare SPF, DKIM e DMARC è una delle skill tecniche col più alto ROI che puoi acquisire.

Ti aiuta a:

  • migliorare la inbox placement
  • ridurre il rischio di spoofing
  • diagnosticare perché le email vanno in spam
  • intercettare errori DNS nascosti
  • costruire fiducia coi provider

E il punto più importante è questo:

Avere i record SPF, DKIM e DMARC non basta — devono essere validi, allineati e testati contro il comportamento reale della mail.

Un dominio può sembrare “configurato” a colpo d’occhio e fallire comunque in produzione.

Per questo l’approccio più intelligente è:

  • controllare il dominio
  • ispezionare i record
  • validare la policy
  • testare il messaggio reale

Falla in modo costante e intercetterai la maggior parte dei problemi prima che danneggino la deliverability.

FAQ

Come controllo SPF di un dominio?

Cerca un TXT che inizi con v=spf1. Assicurati che ci sia un solo record SPF, che includa i tuoi provider attivi e che non superi il limite di 10 lookup DNS.

Come controllo DKIM di un dominio?

Servono il dominio e di solito il selector della piattaforma d’invio. Il TXT DKIM deve contenere una chiave pubblica valida e una formattazione corretta — e devi anche confermare che le mail reali in uscita siano davvero firmate.

Come controllo DMARC di un dominio?

Cerca un TXT a _dmarc.tuodominio.com. Deve iniziare con v=DMARC1 e includere una policy come p=none, p=quarantine o p=reject. Un indirizzo rua= è fortemente consigliato.

Qual è il miglior checker SPF / DKIM / DMARC?

Il flusso migliore non è un singolo strumento — è la combinazione di:

  • scansione di autenticazione a livello di dominio
  • validazione DMARC
  • ispezione del record DKIM
  • revisione della struttura SPF
  • analisi degli header reali

Ti dà sia la vista DNS sia la vista “messaggio reale”.

Perché le email finiscono in spam pur avendo SPF, DKIM e DMARC?

Perché la presenza dei record non garantisce la consegna in inbox. Cause possibili:

  • fallimenti di allineamento
  • firme DKIM rotte
  • struttura SPF debole
  • cattiva reputazione di dominio o IP
  • contenuti che attivano filtri
  • alti tassi di reclami o bounce
  • DMARC senza enforcement

DMARC richiede SPF e DKIM?

Funziona meglio con entrambi configurati. Tecnicamente DMARC può passare se almeno uno dei due passa con allineamento corretto, ma appoggiarsi a entrambi è molto più solido e raccomandato.

Cos’è il limite di 10 lookup di SPF?

La valutazione SPF può fare al massimo 10 lookup DNS. Se SPF lo supera per troppi include:, può fallire e penalizzare la deliverability.

p=none o p=reject in DMARC?

All’inizio p=none è utile per monitorare. Sul lungo periodo, però, restarci indebolisce la protezione. Quando l’autenticazione è stabile, la maggior parte dei domini dovrebbe mirare a p=quarantine o p=reject.

Avere SPF, DKIM e DMARC basta per la deliverability?

No. Sono fondamentali, ma la deliverability dipende anche da:

  • reputazione del dominio
  • reputazione dell’IP
  • qualità del contenuto
  • tassi di reclamo
  • tassi di bounce
  • comportamento di invio
  • igiene della lista
  • qualità dell’infrastruttura

L’autenticazione è la base, non l’intero sistema.

Continua a leggere

← Back to all articlesTry Free Temp Mail →
Free · Instant · Anonymous

Your temp mail is ready right now

No signup, no password. A disposable inbox waiting the moment you open the page.

Get My Free Temp Mail →