Live Direct Marketing
HomeBlogDeliverability

SPF DKIM DMARC checker: quali strumenti usare e come leggerli insieme

12 luglio 2026 · 10 min di lettura · Guida: Deliverability

Quando un'email di prospezione non arriva mai al decisore a cui era indirizzata, il primo sospetto ricade quasi sempre sul contenuto del messaggio, mentre spesso il problema è più a monte: uno dei tre record di autenticazione del dominio mittente non è allineato con gli altri due. Uno SPF DKIM DMARC checker che verifica tutto in un solo passaggio è lo strumento più veloce per capire dove sta l'incongruenza, prima di rimettere mano alla copy o alla lista contatti. Questa guida confronta i tool online più usati e spiega come leggere insieme i tre risultati, non uno alla volta.

In sintesi
  • Un checker combinato interroga SPF, DKIM e DMARC nello stesso passaggio, evidenziando incongruenze tra i tre che un controllo isolato potrebbe non far notare
  • MXToolbox è il riferimento più usato per un controllo rapido e combinato di tutti e tre i record insieme a MX
  • DKIM richiede di conoscere il selettore usato dal provider di invio, altrimenti il checker non trova la chiave pubblica anche se esiste
  • Il test più affidabile in assoluto resta inviare un'email reale e leggere gli header di autenticazione lato Gmail o Outlook
  • Un dominio può avere SPF e DKIM corretti singolarmente e comunque fallire l'allineamento DMARC: per questo servono controlli combinati, non isolati

Perché un checker combinato è più utile dei tre controlli separati

SPF, DKIM e DMARC sono tre record indipendenti, ma il risultato che conta davvero per la consegna di un'email è la loro combinazione: un dominio può avere SPF perfetto e DKIM perfetto, presi singolarmente, e fallire comunque il controllo DMARC perché il dominio nell'header From non è allineato con quello verificato dagli altri due.

Un checker combinato interroga tutti e tre nello stesso passaggio e mostra esattamente questo tipo di incongruenza, che un controllo fatto un record alla volta rischia di non far emergere. È lo strumento giusto per una prima diagnosi quando le email di outreach B2B iniziano ad arrivare meno del solito, prima ancora di scavare nei log del server di invio.

Per un team che gestisce l'invio da un unico dominio verso un elenco selezionato di decisori, un controllo combinato periodico è più utile di tre verifiche separate fatte una volta ogni tanto: mostra subito se qualcosa si è disallineato dopo l'aggiunta di un nuovo strumento di invio.

MXToolbox: il checker combinato più usato

MXToolbox resta lo strumento di riferimento quando si cerca uno SPF DKIM DMARC checker che restituisca tutto insieme: nello stesso report mostra lo stato dei record MX, la validità del record SPF con l'elenco dei server inclusi, la presenza e correttezza del record DKIM (a patto di specificare il selettore corretto) e l'esito del record DMARC con la policy attiva.

Il punto di attenzione con MXToolbox riguarda proprio DKIM: il tool ha bisogno di conoscere il selettore usato dal provider di invio, una stringa specifica che varia da Google a Microsoft a ogni piattaforma di outreach. Senza il selettore corretto, il checker segnala che il record DKIM non esiste anche quando in realtà è pubblicato correttamente, semplicemente sotto un nome diverso da quello cercato.

Per un dominio che invia da più fonti, per esempio la posta principale su Google Workspace più uno strumento di sequenze commerciali, conviene ripetere il controllo DKIM con ciascun selettore separatamente, perché ogni fonte di invio ha la propria chiave e il proprio nome di selettore.

Esempio

Un controllo DKIM tipico richiede di specificare il selettore, per esempio google._domainkey.rossiimpianti.it invece del solo dominio: senza quel prefisso il checker non trova nulla.

Altri strumenti online utili per un controllo mirato

Oltre a MXToolbox, esistono checker più specifici che vale la pena usare quando serve un dettaglio maggiore su un singolo record: dmarcian per un'analisi approfondita del solo DMARC con storico delle modifiche, Google Admin Toolbox per verificare come Gmail interpreta esattamente i record di un dominio, e diversi tool minori integrati in piattaforme di monitoraggio della deliverability che offrono controlli ricorrenti programmati.

La scelta tra uno strumento combinato e uno specifico dipende dalla fase: in una prima diagnosi rapida conviene il checker combinato, che dà un quadro generale in pochi secondi; quando invece si è già individuato che il problema riguarda per esempio solo DKIM, uno strumento dedicato a quel singolo record dà dettagli più precisi sulla firma e sull'algoritmo usato.

Come leggere Gmail e Outlook come fossero un checker

Il test più affidabile in assoluto non è un tool online, ma un'email reale: inviare un messaggio di prova a un indirizzo Gmail e poi aprire l'opzione che mostra l'originale del messaggio (Mostra originale) rivela l'esito effettivo di SPF, DKIM e DMARC così come li ha valutati Gmail in quel momento specifico, con il risultato pass o fail per ciascuno.

Su Outlook e Microsoft 365 lo stesso tipo di informazione si trova nelle intestazioni Internet complete del messaggio, dove compare una riga Authentication-Results che riassume l'esito dei tre controlli in un formato leggibile una volta capita la sintassi.

Questo controllo diretto è utile soprattutto per validare che uno strumento di outreach configurato di recente stia effettivamente inviando in modo allineato: un checker sul dominio mostra la teoria, cioè cosa dovrebbe succedere, mentre l'header di un'email reale mostra cosa succede davvero in quel momento specifico per quel canale di invio.

Cosa fare quando il checker segnala un problema

Se il checker mostra SPF non allineato, il primo passo è controllare che tutti gli strumenti che inviano email a nome del dominio (posta principale, piattaforma di outreach, eventuale servizio di verifica indirizzi) siano inclusi nello stesso record TXT, che deve restare unico e non duplicato.

Se il problema è su DKIM, va verificato prima di tutto il selettore usato dal checker: spesso il record esiste già ma il tool lo sta cercando con il nome sbagliato. Solo dopo aver escluso questo errore di controllo ha senso rigenerare la chiave dal pannello del provider di invio.

Se infine è DMARC a segnalare un fallimento di allineamento pur con SPF e DKIM singolarmente corretti, il problema è quasi sempre nel dominio visibile nell'header From: va confrontato esattamente con il dominio autenticato da SPF e con quello usato per la firma DKIM, perché anche un sottodominio diverso rompe l'allineamento se adkim o aspf sono impostati su strict.

Checklist minima prima di lanciare o riprendere l'outreach

Prima di riprendere l'invio dopo aver corretto un problema segnalato dal checker, vale la pena ripetere il controllo combinato una seconda volta dopo aver atteso la propagazione DNS, che può richiedere da pochi minuti ad alcune ore a seconda del provider che gestisce il dominio.

Conviene poi inviare un'email di prova reale a un indirizzo Gmail e a uno Outlook, per confrontare l'esito effettivo con quello mostrato dal checker: se i due risultati non coincidono, quasi sempre è perché la propagazione non è ancora completa oppure perché il checker sta interrogando un selettore DKIM diverso da quello realmente in uso.

Solo dopo aver ottenuto un esito coerente sia dal checker online sia dall'header di un'email reale ha senso riprendere l'invio verso l'elenco di decisori selezionati, evitando così di scoprire il problema direttamente sul campo, con il rischio di bruciare contatti preziosi già qualificati.

Domande frequenti

Qual è la differenza tra un checker per SPF, uno per DKIM e uno combinato?

Un checker per un solo record dà più dettagli su quel record specifico, per esempio la lista completa dei server inclusi in SPF. Un checker combinato mostra invece se i tre record, presi insieme, superano l'allineamento richiesto da DMARC, cosa che un controllo isolato non riesce a verificare.

Perché MXToolbox segnala che il mio record DKIM non esiste anche se l'ho pubblicato?

Quasi sempre perché manca il selettore corretto nella query. Il selettore è la parte del nome del record DKIM che varia da provider a provider: senza specificarlo esattamente come lo ha generato la piattaforma di invio, il checker cerca nel posto sbagliato e non trova nulla.

Come verifico SPF DKIM DMARC gmail per un'email che ho già inviato?

Apri il messaggio inviato o ricevuto in Gmail, clicca sui tre puntini in alto a destra e seleziona Mostra originale: la pagina che si apre mostra l'esito reale di SPF, DKIM e DMARC per quel messaggio specifico, non solo la configurazione teorica del dominio.

Un dominio con SPF e DKIM validi singolarmente può comunque avere problemi di deliverability?

Sì. Oltre all'allineamento DMARC, incidono la reputazione dell'IP di invio, il volume e la regolarità degli invii, il tasso di risposta e di segnalazioni spam. I tre record risolvono il problema di autenticazione, non l'intero problema di deliverability.

Con quale frequenza conviene ripetere un controllo combinato SPF DKIM DMARC?

Ogni volta che si aggiunge un nuovo strumento di invio email, e come minimo una volta al mese per chi gestisce campagne di outreach B2B in modo continuativo, per intercettare eventuali modifiche DNS fatte da altri reparti senza coordinamento.

Importante: non si tratta di email di massa né di spam. Lavoriamo in modo mirato: ogni messaggio va a un referente specifico di una specifica azienda, per un motivo commerciale legittimo, in piccoli volumi giornalieri e personalizzato per il destinatario. Ogni email identifica il mittente e include la disiscrizione in un clic; disiscrizioni e liste di esclusione valgono per tutte le campagne future, senza eccezioni.

Vuoi applicarlo al tuo outreach?

Ti mostriamo come funziona sul tuo segmento e sul tuo prodotto — prima di iniziare.

Parliamone