Defaults.Exposed

Defaults.ExposedCorrezioniGuides

Le email di Mailchimp, Brevo o Klaviyo non superano DMARC? Attivi la vera autenticazione del dominio (2026)

Pubblicato 2026-07-08

Cifre aggiornate al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. Veda come assegniamo i voti.

Le piattaforme di newsletter falliscono DMARC quando inviano “dal” Suo dominio senza autenticarsi come il Suo dominio. La soluzione è l’autenticazione del dominio personalizzato della piattaforma — i suoi CNAME DKIM, più un dominio di bounce personalizzato dove disponibile. Il divario è la norma: su 740.321 domini che autorizzano SendGrid, solo il 18,0% applica DMARC, secondo il censimento Defaults.Exposed di 261.086.232 domini (2026-06-29).

La soluzione sono pochi record DNS e dieci minuti nelle impostazioni della Sua piattaforma. Qui sotto: perché l’autenticazione condivisa della piattaforma ha smesso di bastare nel febbraio 2024, quale interruttore attivare in Mailchimp, Brevo, Klaviyo e SendGrid, e i passaggi della soluzione in ordine — incluso l’abbandono di un indirizzo mittente freemail, che nessun record DNS può salvare.

Perché le email delle newsletter falliscono DMARC quando la piattaforma dice che è tutto verificato?

Perché la piattaforma ha autenticato sé stessa, non Lei. Di default, un ESP invia le Sue campagne con il proprio dominio di bounce nel Return-Path, e spesso firma DKIM anche con il proprio dominio. I server riceventi valutano SPF rispetto al dominio del Return-Path (RFC5321.MailFrom), non all’intestazione From — quindi SPF passa senza problemi… per il dominio della piattaforma.

A DMARC non interessa se SPF o DKIM siano passati in astratto. Chiede se almeno uno dei due è passato per il dominio del Suo indirizzo From — quella corrispondenza si chiama allineamento. Il pass SPF dell’ESP è sul suo dominio di bounce, non sul Suo; senza DKIM sul dominio personalizzato, la sua firma è sul suo dominio, non sul Suo. Niente si allinea, quindi il Suo dominio From fallisce DMARC — mentre il pannello della piattaforma mostra spunte verdi, perché dal suo punto di vista l’autenticazione funziona. Attivare l’autenticazione del dominio personalizzato (DKIM firmato come il Suo dominio) è l’intera soluzione. Per la meccanica completa dell’allineamento, veda DMARC fallisce ma SPF e DKIM passano.

Cosa è cambiato nel febbraio 2024?

Google e Yahoo hanno iniziato ad applicare i requisiti per i mittenti massivi: autenticazione allineata per il dominio From, una policy DMARC pubblicata, disiscrizione con un clic e limiti al tasso di spam. La scorciatoia dell’infrastruttura condivisa — appoggiarsi all’autenticazione dell’ESP e inviare da qualsiasi indirizzo — ha smesso di funzionare. Due conseguenze per chi invia newsletter:

L’insieme completo dei requisiti è nel nostro articolo sui requisiti per i mittenti di Google e Yahoo.

Come si chiama l’interruttore in Mailchimp, Brevo, Klaviyo e SendGrid?

Ogni piattaforma ha la stessa funzione sotto un nome diverso. Ciò che produce sempre è un piccolo insieme di record CNAME per il Suo DNS — è così che la riconosce, qualunque cosa dica il menu.

PiattaformaNome della funzione (indicativo)Cosa aggiunge al DNSNote
MailchimpDomain authenticationCNAME DKIM (k2._domainkey, k3._domainkey)Allineamento solo DKIM — Mailchimp non usa più un include SPF; non ne aggiunga uno
BrevoAuthenticate your domainSet di CNAME DKIM + record di verificaVerifichi il set di record attuale nella documentazione di Brevo al momento della configurazione
KlaviyoDedicated sending domainCNAME DKIM + sottodominio di bounce (Return-Path)Il dominio dedicato Le dà anche l’allineamento SPF
SendGridDomain authentication (automated security)Set di CNAME (DKIM + return-path)Nessun include SPF necessario — i CNAME coprono tutto

Due schemi che vale la pena notare. Primo, nessuna di queste piattaforme vuole un include: aggiunto al Suo record SPF — l’autenticazione ESP moderna è delegata via CNAME, e un include residuo brucia soltanto il budget di lookup DNS. Secondo, la delega via CNAME è un vantaggio: la piattaforma ruota le sue chiavi DKIM dietro i nomi delegati senza che Lei debba più toccare il DNS.

Come si risolvono i fallimenti DMARC delle newsletter, passo per passo?

  1. Esegua la scansione gratuita su defaults.exposed prima di toccare il DNS. Mostra lo stato attuale di SPF, DKIM e DMARC del Suo dominio, così può vedere il divario di allineamento che sta per chiudere.
  2. Attivi l’autenticazione del dominio personalizzato nella piattaforma (tabella sopra). Genera record CNAME specifici per il Suo account.
  3. Aggiunga i CNAME al Suo DNS esattamente come indicati. L’errore classico: i pannelli DNS che aggiungono automaticamente la zona, trasformando k2._domainkey.yourdomain.com in k2._domainkey.yourdomain.com.yourdomain.com. Incolli solo la parte host se il Suo pannello aggiunge il dominio. Se la piattaforma segnala in seguito “no key for signature”, il record del selettore non è arrivato a destinazione — veda DKIM “no key for signature”.
  4. Imposti il dominio di bounce personalizzato (Return-Path) dove la piattaforma lo offre. Questo allinea anche la gamba SPF, dando a DMARC due modi per passare. Dove non è offerto (Mailchimp), il solo DKIM allineato è un pass DMARC completo — a DMARC basta una sola gamba allineata.
  5. Sposti il Suo indirizzo From sul Suo dominio se è ancora su freemail. [email protected], non [email protected]. Un requisito, non una preferenza.
  6. Verifichi nella piattaforma, poi ripeta la scansione. Attenda che il controllo della piattaforma diventi verde (il DNS può richiedere da minuti a qualche ora), si invii una campagna e confermi che le intestazioni mostrino DKIM firmato dal Suo dominio. Poi lavori su tutto il resto segnalato nella pagina correggere DMARC — se il Suo dominio non ha alcun record DMARC, quelli sono i prossimi dieci minuti.

Quanti mittenti di newsletter hanno davvero sistemato tutto questo?

Il censimento lo legge dal lato DNS: per ogni piattaforma, quanti domini la autorizzano — e quanti di questi proteggono il dominio che effettua l’invio, secondo il censimento Defaults.Exposed di 261.086.232 domini (2026-06-29).

Piattaforma (target SPF)Domini che la autorizzanoDMARC applicato
SendGrid (sendgrid.net)740.32118,0%
Mailgun (mailgun.org)1.306.69235,9%
Amazon SES (amazonses.com)551.44641,9%

Dati del censimento del 2026-06-29. “DMARC applicato” = il dominio che autorizza pubblica p=quarantine o p=reject.

Anche in cima alla tabella, la maggior parte dei mittenti su piattaforme professionali lascia il dominio non protetto: il 41,9% dei 551.446 domini che autorizzano Amazon SES applica DMARC, il 35,9% dei 1.306.692 di Mailgun — e solo il 18,0% dei 740.321 di SendGrid. L’infrastruttura è professionale; la protezione del dominio per lo più no. La classifica completa dei provider — inclusi gli host di caselle di posta — è in quale provider email ha l’SPF più solido.

Domande frequenti

Devo aggiungere Mailchimp al mio record SPF? No — e non lo faccia. Mailchimp usa l’allineamento solo DKIM tramite i suoi CNAME k2/k3 e non pubblica più un include SPF per i clienti. Un vecchio include:servers.mcsv.net non fa nulla per DMARC e spreca budget di lookup DNS; la gamba allineata qui è DKIM.

L’autenticazione del dominio farà uscire le mie newsletter dalla cartella spam? Rimuove la causa principale — posta non allineata su un dominio con una policy DMARC — ed è un requisito tassativo delle regole di Google/Yahoo. Non risolve i problemi di qualità della lista: tassi di reclamo elevati e la mancanza della disiscrizione con un clic tengono la posta nello spam anche quando l’autenticazione è perfetta. Sistemi prima l’autenticazione; è la parte con una risposta certa.

Posso continuare a inviare campagne dal mio indirizzo @gmail.com? No. I provider freemail pubblicano policy DMARC severe proprio perché nessun altro possa inviare a loro nome, e il Suo ESP non potrà mai allinearsi con gmail.com. Da febbraio 2024 quella posta viene rifiutata o cestinata in massa. Un indirizzo From sul Suo dominio è l’unica strada.

Ho attivato l’autenticazione del dominio — perché DMARC fallisce ancora? Di solito è una di tre cose: i CNAME sono stati storpiati da un pannello DNS che aggiunge la zona (passo 3), il dominio From della campagna non corrisponde al dominio che ha autenticato, oppure un’altra sorgente di invio fallisce insieme alla newsletter. Su tutti i 261.086.232 domini del censimento del 2026-06-29, solo il 10,59% applica DMARC — se il Suo lo fa, è a buon punto; ripeta la scansione e legga quale gamba non è allineata.

Vale anche per le liste piccole, sotto le 5.000 email al giorno? Le soglie più severe valgono formalmente per i mittenti massivi, ma i server riceventi applicano le basi dell’autenticazione a tutti, e gli ESP ormai richiedono l’autenticazione del dominio a prescindere dal volume. La consideri obbligatoria: sono pochi record DNS, ed evita che le Sue campagne si rompano il giorno in cui la lista cresce.

Invii il report al titolare

Se sta sistemando tutto questo per un cliente — o la newsletter è Sua ma il DNS no — concluda il lavoro con le prove. Riesegua la scansione gratuita dopo che i CNAME sono attivi e inoltri il report con il voto al titolare dell’azienda: linguaggio semplice, datato, allineamento DMARC corretto. È il documento che risponde al rinnovo dell’assicurazione cyber e al prossimo questionario di sicurezza di un cliente — un prima-e-dopo documentato, non “ho cliccato qualche pulsante in Mailchimp”.

Controlli il Suo dominio → · DMARC fallisce ma SPF e DKIM passano → · Correggere DMARC → · Correggere DKIM → · Come assegniamo i voti → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.