Defaults.Exposed

Defaults.ExposedCorrezioniGuides

Configurare l'email su un nuovo dominio: la checklist SPF, DKIM e DMARC da 20 minuti (2026)

Pubblicato 2026-07-08

Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. Veda come assegniamo i voti.

Un nuovo dominio ha bisogno di quattro cose prima della sua prima email: una scansione di baseline, un solo record SPF che nomini il Suo vero provider, la firma DKIM sul dominio personalizzato e un record DMARC con la reportistica attiva dal primo giorno. La maggior parte dei domini non ci arriva mai — il 46,4% (121.145.609 di 261.086.232 domini valutati) non ha alcun SPF, secondo il censimento Defaults.Exposed (al 2026-06-29).

Pubblicare tutto richiede circa 20 minuti: scansione per la baseline, un record SPF, attivazione del DKIM personalizzato del provider, pubblicazione di DMARC p=none con un indirizzo di reportistica, eventualmente MTA-STS, poi nuova scansione e conservazione del report. Ciò che richiede più tempo è ciò che nessuna checklist può accelerare — la propagazione DNS e la reputazione di invio — e questa guida è onesta su entrambe.

20 minuti bastano davvero?

Per pubblicare i record, sì — ogni passo qui sotto è una voce DNS più un paio di clic nella console di amministrazione del Suo provider. Due cose richiedono più tempo, e fingere il contrario è il modo in cui i nuovi domini finiscono nello spam:

L’affermazione onesta: 20 minuti Le comprano un’autenticazione pubblicata correttamente. Le prossime settimane di invii sensati Le comprano la deliverability.

La checklist da 20 minuti

  1. Esegua prima la scansione gratuita su defaults.exposed. Scansioni il nuovo dominio prima di toccare il DNS. La baseline valutata “niente configurato” si cattura in pochi secondi e rende significativo il report finale — vorrà la coppia prima-e-dopo (passo 6).
  2. Pubblichi un solo record SPF per il Suo provider effettivo. Esattamente un record TXT che inizia con v=spf1, contenente l’include del Suo provider — per esempio v=spf1 include:_spf.google.com ~all per Google Workspace, oppure include:spf.protection.outlook.com per Microsoft 365; se il Suo DNS vive nel pannello di un registrar, la guida passo passo per GoDaddy copre le stranezze dell’interfaccia. Un solo record: due record v=spf1 sono un errore permanente che annulla del tutto SPF — lo stato in cui sono bloccati 1.013.416 domini, circa uno su 138 dei domini che tentano SPF (censimento al 2026-06-29), di solito un residuo di migrazione. Non aggiunga include “per sicurezza”: SPF limita le ricerche DNS a 10, e almeno 797.263 domini hanno annullato il proprio record superando quel limite. E sappia cosa SPF verifica davvero: i destinatari lo valutano rispetto al dominio del Return-Path (RFC5321.MailFrom) — l’indirizzo di bounce — non all’intestazione From che i Suoi destinatari vedono.
  3. Attivi la firma DKIM sul dominio personalizzato. Il Suo provider firma la posta in ogni caso; la domanda è quale dominio la firma nomina. Finché non completa questo passo, Google Workspace firma con il suo default gappssmtp.com e Microsoft 365 con onmicrosoft.com — firme che passano DKIM ma non si allineano con il Suo dominio, quindi DMARC fallisce comunque. Generi la chiave nella console di amministrazione e pubblichi ciò che il provider Le fornisce: un record TXT a 2048 bit per Google, due CNAME (selector1/selector2) per Microsoft 365. Se un record non entra nel Suo pannello DNS, veda sistemare DKIM — le chiavi lunghe maltrattate dalle interfacce sono un classico.
  4. Pubblichi DMARC dal primo giorno — p=none con un indirizzo di reportistica. Un record TXT su _dmarc.yourdomain.com: v=DMARC1; p=none; rua=mailto:[email protected]. Sia chiaro su cosa fa: p=none non protegge ancora nulla — è la modalità monitoraggio. Ma non costa niente, e i report aggregati copriranno la storia di invio del Suo dominio fin dal primissimo messaggio. I domini consolidati passano settimane di reportistica solo a scoprire mittenti dimenticati; Lei si sta comprando quella visibilità gratis, dal giorno zero. Veda sistemare DMARC per l’anatomia del record.
  5. Facoltativi ma economici su un nuovo dominio: MTA-STS e TLS-RPT. MTA-STS dice ai server mittenti che il Suo dominio richiede TLS per la posta in entrata (un record DNS più un piccolo file di policy ospitato); TLS-RPT segnala i fallimenti di cifratura in consegna. Su un dominio consolidato richiedono attenzione; su un nuovo dominio con un solo provider di posta non c’è nulla da rompere, e mode: testing è essenzialmente privo di rischi. Li configuri ora oppure li salti — ma decida, non lasci andare alla deriva.
  6. Riesegua la scansione e conservi il report. Esegua di nuovo la scansione — SPF, DKIM e DMARC dovrebbero risultare tutti verdi. Salvi il report con il voto: prova datata dello stato del dominio al lancio, ed esattamente ciò che un assicuratore o il questionario di un cliente chiederà.

Quanti domini completano davvero questa checklist?

Pochissimi — e la maggior parte cade al primo ostacolo. Dei 261.086.232 domini valutati nel censimento Defaults.Exposed (al 2026-06-29):

Traguardo della checklistRealtà del censimento (su 261.086.232 domini valutati, al 2026-06-29)
Passo 2 — pubblicare un qualsiasi record SPFIl 46,4% non lo fa mai: 121.145.609 domini non hanno alcun SPF
Passo 4+ — DMARC con policy applicata10,59% (27.640.987 domini); il 89,41% non ha alcuna policy applicata
La triade completa — SPF + DKIM + DMARC applicato3,87% (10.092.481 domini)

I 20 minuti descritti in questa pagina mettono un dominio nuovo di zecca davanti a circa il 96% di internet sulla triade completa. Il modello di maturità dell’adozione SPF analizza ogni gradino di quella scala.

Quanto in fretta può un nuovo dominio arrivare a p=reject?

Settimane, non mesi — il vero vantaggio di partire da zero. Ciò che rende lenta l’applicazione di DMARC sui domini consolidati è l’eredità: il connettore CRM dimenticato, lo strumento di fatturazione collegato da qualcuno nel 2019, la piattaforma newsletter che nessuno ha documentato. Ognuno va trovato nei report e sistemato prima di poter stringere la policy — da qui i classici rollout di mesi.

Un nuovo dominio non ha mittenti ereditati: ogni sorgente di invio l’ha configurata Lei, questa settimana, e i report del passo 4 lo confermeranno. Tenga p=none per due-quattro settimane di invii reali, verifichi che i report coprano tutto ciò che usa davvero (caselle, fatture, ricevute, il modulo di contatto del sito), poi passi a p=quarantine e quindi a p=reject quando girano puliti. Le meccaniche graduali — rampe pct, policy dei sottodomini, cosa osservare — sono in da p=none a p=reject; su un nuovo dominio le attraverserà a gran velocità, verso un punto che solo il 10,59% dei domini valutati ha raggiunto.

E il vecchio dominio che sta sostituendo?

Se questo nuovo dominio fa parte di un rebranding, il dominio che si lascia alle spalle è ora il Suo maggior rischio email: ancora Suo, ancora fidato dalle controparti, non più sorvegliato. Non lo abbandoni — lo blindi esplicitamente. È un piccolo lavoro a sé: quel vecchio dominio del Suo rebranding è una porta lasciata aperta.

Domande frequenti

Posso pubblicare questi record prima di scegliere un provider di posta? DMARC, sì — p=none con rua è indipendente dal provider, quindi lo pubblichi il giorno stesso della registrazione. SPF ha bisogno dell’include del Suo provider; finché non ne ha scelto uno, pubblichi v=spf1 -all (nulla è autorizzato a inviare) e lo sostituisca al passo 2. È rigorosamente meglio dello stato senza record in cui siedono 121.145.609 domini (il 46,4% di 261.086.232 valutati, al 2026-06-29).

Mi serve DKIM se SPF passa già? Sì. SPF si rompe con l’inoltro per costruzione, e convalida il dominio del Return-Path, che per molti strumenti non è il Suo — il DKIM allineato è la gamba che sopravvive a entrambe le cose. Solo il 3,87% dei domini valutati completa la triade SPF+DKIM+DMARC applicato (censimento al 2026-06-29); DKIM è il passo che chi molla salta più spesso. Parta da sistemare DKIM se la scansione lo segnala.

Un nuovo dominio dovrebbe usare ~all o -all? Su un dominio consolidato, ~all è la scelta prudente mentre si scovano i mittenti dimenticati. Un nuovo dominio non ne ha da scovare: una volta inserito l’include del provider e con DKIM che firma, -all è sicuro molto prima. Vuole doppia sicurezza? Confermi prima con due settimane pulite di report DMARC.

Tutti e tre i record passano — perché la mia posta finisce ancora nello spam? Perché autenticazione e reputazione sono cose diverse: record che passano significano che i destinatari possono verificare che la posta è Sua, non che già si fidano di Lei. I nuovi domini si guadagnano la fiducia inviando posta coerente, gradita, a basso volume, aumentando gradualmente. Se la posta fallisce le verifiche invece di finire semplicemente nello spam, parta da sistemare SPF e scenda lungo i risultati della scansione.

Invii il report al titolare

Se sta configurando questo dominio per un cliente, chiuda il lavoro con le prove. Riesegua la scansione gratuita dopo il passo 6 e inoltri il report con il voto al titolare dell’azienda: SPF, DKIM e DMARC che passano, in linguaggio semplice, datato al lancio. È il documento che servirà per il rinnovo dell’assicurazione cyber e per il prossimo questionario di sicurezza dei fornitori — e dimostra che il dominio ha iniziato la sua vita come il 96% di internet non riesce mai a fare.

Verifichi il Suo dominio → · Da p=none a p=reject senza perdere email legittime → · Solo dati aggregati. Dati conservati e trattati nell’UE.