Come Risolvo Allineamento Fallito DMARC SPF DKIM in Plesk

Nel mio lavoro quotidiano, mi capita spesso di affrontare il problema di allineamento fallito DMARC SPF DKIM su Plesk. Molti clienti mi contattano preoccupati perché le loro email finiscono in spam oppure ricevono report con errori di autenticazione, anche dopo aver configurato SPF e DKIM apparentemente in modo corretto. In questa guida ti spiego passo passo come io risolvo questi problemi, cosa controllo sempre per primo e quali sono gli errori più comuni che incontro nei miei interventi pratici su Plesk.

Se segui attentamente le procedure che ho affinato nel tempo, riuscirai a: individuare la causa precisa del fallimento, correggere l’allineamento di tutti i record coinvolti (SPF, DKIM e DMARC), evitare che le email legittime finiscano nello spam e prevenire problemi ricorrenti. Alla fine di questa guida avrai una soluzione definitiva per garantire la corretta consegna delle tue email, proprio come faccio per i miei clienti ogni settimana.

Perché l’Allineamento DMARC SPF DKIM Fallisce su Plesk?

Nella mia esperienza, la prima cosa da capire quando si verifica un errore di allineamento DMARC SPF DKIM è che non basta avere dei record presenti: devono essere configurati con precisione e soprattutto devono essere «allineati» secondo le regole richieste da DMARC. L’allineamento significa che il dominio usato nell’indirizzo del mittente (header “From:”) deve corrispondere a quello usato nella firma DKIM o nel record SPF.

I motivi principali che riscontro più spesso sono:

• Record SPF non aggiornato: spesso mancano voci fondamentali oppure il dominio non è esattamente lo stesso del mittente.
• DKIM configurato ma firma assente o danneggiata: può succedere dopo migrazioni o cambi DNS.
• DMARC troppo restrittivo o errato: un errore comune è impostare “p=reject” senza prima monitorare il traffico email reale.
• Email inviate tramite servizi esterni: uso frequente di SMTP di altri provider o mail relay senza aggiornare SPF/DKIM di conseguenza.
• Plesk non aggiorna i DNS: capita specialmente se si gestiscono i DNS fuori dal pannello (ad esempio presso registrars diversi).

Quando mi trovo davanti a messaggi come “SPF alignment fail” o “DKIM not aligned”, so già dove andare a controllare prima di tutto. Il 90% delle volte queste sono le cause reali che risolvo quotidianamente nelle installazioni Plesk dei miei clienti.

I Passaggi Fondamentali Che Applico Sempre in Plesk

Quando mi chiamano per questo problema, ho una procedura collaudata che seguo sempre passo dopo passo. Voglio condividerla perché così potrai replicarla anche tu sulla tua installazione Plesk:

1. Accedo al pannello Plesk.
2. Apro la gestione del dominio coinvolto; seleziono «Impostazioni DNS».
3. Controllo il record SPF:
   – Il campo “TXT” deve contenere almeno v=spf1 include:_spf.provider.ext ~all, dove sostituisco _spf.provider.ext con quello corretto.
   – Verifico che ci sia il dominio preciso usato nell’indirizzo mittente.
   – Se uso sistemi esterni tipo Google Workspace o SMTP relay, aggiungo sempre “include:” appropriati.
   Esempio pratico:
   v=spf1 a mx include:_spf.google.com include:mailgun.org ~all
   dove ogni “include” corrisponde ai servizi usati effettivamente per inviare email.
4. Verifico configurazione DKIM:
   – Vado su «Strumenti & Impostazioni» > «Impostazioni del server di posta».
   – Scorro fino a trovare l’opzione “Firma le email in uscita”. Attivo la DKIM se non lo è.
   – Torno su «Impostazioni DNS» del dominio e verifico presenza del record TXT:
   default._domainkey.tuodominio.it, valore lungo generato da Plesk.
   – Se manca o è sbagliato (magari dopo una migrazione), lo rigenero e copio manualmente il nuovo valore nel DNS se gestisco fuori da Plesk.
5. Controllo record DMARC:
   – Nel DNS deve esserci:
   _dmarc.tuodominio.it IN TXT “v=DMARC1; p=none; rua=mailto:report@tuodominio.it”
   da cui posso ricevere i report sugli invii.
   – Se non voglio ancora bloccare niente imposto sempre p=none; solo dopo test metto quarantine o reject.
6. Svuoto la cache DNS locale e lato provider DNS per velocizzare la propagazione delle modifiche.
7. Eseguo test esterni:
   usando strumenti online come MXToolbox oppure direttamente inviando una mail a un indirizzo Gmail/Outlook per leggere gli header completi.
8. Lego bene gli allineamenti tra mittente (From:), Return-path (per SPF) e d= dominio firmante (DKIM): devono coincidere!

Nella maggior parte dei casi questa sequenza risolve subito qualsiasi allineamento fallito tra Plesk DMARC SPF DKIM. Ti consiglio comunque un controllo doppio dei log di posta direttamente dal server se qualcosa ancora non torna: spesso un dettaglio sfugge al primo sguardo.

Esempi Pratici dai Miei Interventi su Installazioni Reali

Lavorando ogni giorno sui pannelli Plesk dei miei clienti – sia hosting condivisi che VPS – mi sono trovato davanti a ogni possibile sfumatura di errore sull’autenticazione email. Voglio portarti due esempi concreti in cui ho dovuto applicare varianti della procedura standard appena descritta:

• Migrazione server con cambio IP:
  Un cliente aveva migrato tutto il sito su nuovo server ma aveva lasciato vecchi record SPF/DKIM puntati al precedente IP. Risultato: tutte le mail apparivano come sospette e l’allineamento falliva sempre nei report ricevuti via DMARC.
  Soluzione? Ho aggiornato subito i record TXT nel DNS – sia per SPF che per DKIM – assicurandomi fossero quelli generati dal nuovo Plesk. Dopo 30 minuti dalla propagazione tutto tornava perfetto nei test Gmail/Outlook.
• Email inviate tramite Mailgun ma dominio gestito su Aruba:
  Altro caso tipico: sito WordPress con plugin SMTP collegato a Mailgun ma senza aggiunta degli include necessari nello SPF né lunga chiave TXT fornita da Mailgun sul dominio.
  Risultato? Email marcate come “failed alignment” da DMARC pur essendo firmate correttamente dal punto di vista tecnico.
  Ho aggiunto manualmente l’include:mailgun.org nel record SPF ed inserito correttamente il TXT DKIM fornito dal provider esterno nella zona DNS gestita da Aruba. Problema risolto in meno di mezz’ora!

Dalla mia esperienza, gran parte degli errori nasce proprio dalla scarsa comunicazione fra chi gestisce domini/DNS e chi configura i sistemi mail (ecco perché io li curo entrambi personalmente ogni volta!). Un controllo incrociato evita ore buttate dietro problemi banali ma insidiosi.

Tecniche Avanzate Quando la Procedura Base Non Basta

A volte però capita che dopo aver seguito tutti gli step classici, l’allineamento tra Plesk DMARC SPF DKIM continui inspiegabilmente a fallire. In questi casi entro più in profondità, applicando tecniche avanzate apprese sul campo:

1. Lettura dettagliata degli header delle email ricevute:
   Mi faccio inviare screenshot oppure chiedo accesso diretto alle webmail dei destinatari problematici (Gmail soprattutto). Così posso analizzare ogni riga dell’header — From:, Return-path:, d= nella firma DKIM — e cercare eventuali disallineamenti reali tra i domini indicati nei vari campi.
   • Esempio: Return-path diverso dal From perché WordPress imposta mittente personalizzato ma usa autenticazione SMTP differente? Lo vedo subito dagli header!
2. Cambio temporaneo policy DMARC:
   Nelle fasi diagnostiche imposto quasi sempre v=DMARC1; p=none; così posso ricevere report dettagliati senza rischiare perdita email importanti durante i test.
3. Sostituzione plugin SMTP WordPress:
   Se uso plugin SMTP tipo WP Mail SMTP/FluentSMTP mando test scegliendo “Send as original sender” invece che “Force From address”, così evito disallineamenti tra chi firma realmente l’email e chi appare come mittente nel campo From.

• Caso reale recente: GiraffeMail usava Sendinblue come relay, ma plugin WP forzava From diverso dall’autenticatore SMTP creando disallineamento sistematico rilevabile nei rapporti DMARC. Ho modificato plugin/plugin settings → nessun problema da lì in poi!

Nella mia esperienza questi accorgimenti avanzati permettono davvero di intercettare quei pochi casi ostinati dove sembra tutto ok… ma qualcosa ancora sfugge all’occhio meno esperto!

I Controlli Finali Che Non Mi Faccio Mai Mancare Prima della Consegna al Cliente

Dopo ogni intervento su Plesk DMARC SPF DKIM allineamento fallito, faccio SEMPRE alcuni test finali prima di dichiarare chiuso il lavoro ed evitare ritorni fastidiosi:

1. Mando una mail a utenti Gmail/Yahoo/Outlook/Libero leggendo gli header completi per vedere se compare verde su PASS ovunque.
2. Eseguo verifica MXToolbox oppure dmarcian.com sugli stessi parametri controllando risposta aggiornata dalla zona DNS pubblica (non cache locale!).

lI
3. Chiedo feedback ai destinatari finali abituali del cliente (esempio fornitori importanti) sulle nuove mail spedite, controllando consegna effettiva nella normale Inbox.
lI
4. Aggiorno documentazione interna del cliente indicando chiaramente:

• Dove sono salvati i record corretti;
• Cosa NON cambiare mai nei DNS senza consultarmi;

</ol



</p

Cosa Fare Se Gestisci i DNS Fuori Da Plesk?</h2

A volte mi trovo in situazioni dove il sito sta su hosting Plesk ma i record DNS vengono amministrati presso altri provider tipo GoDaddy, Aruba, Register.it ecc. In questi casi bisogna procedere così:
p

lI Copio manualmente tutti i valori generati da Plesk lato pannello (soprattutto default._domainkey) e li inserisco identici nel pannello DNS esterno.
lI Seguo scrupolosamente sintassi richiesta dal provider esterno – attenzione ai doppi apici oppure limiti lunghezza carattere! In caso di errori divido la chiave lunga in più stringhe secondo linee guida specifiche.
lI Dopo l’inserimento effettuo subito flush della cache DNS locale ed attendo propagazione completa (di solito max 30 min). Spesso vedo risultati già entro pochi minuti!
lI Infine rifaccio test MXToolbox/dmarcian/Gmail header come descritto sopra.
ol

Nella mia esperienza è fondamentale conservare copia locale dei valori originali generati da Plesk/DKIM perché molti provider cancellano automaticamente i TXT troppo lunghi o mal formattati — meglio tenersi sempre backup manuale pronto!</p

I Problemi Più Strani Che Mi Sono Capitati (FAQ)</h3

Cosa succede se ricevo report con “pass SPF/DKIM” ma fail allineamento?</h3

A volte capita che sia SPF sia DKIM risultino validi… ma l’allineamento fallisce ugualmente secondo DMARC! Questo avviene quasi sempre quando Return-path dello script PHP/autenticatore SMTP usa dominio diverso rispetto al From:. Io risolvo forzando plugin/client email ad usare lo stesso dominio autenticante ovunque negli header principali.
p

Plesk mostra errori anche se ho copiato correttamente tutti i record?</h3

Sì! Capita soprattutto se il TTL dei vecchi record era molto alto oppure hai cambiato IP/mittente senza attendere piena propagazione globale. Io consiglio sempre flush completo della cache più nuova sessione incognito per i test.
p

Dopo aggiornamenti WordPress/mailserver può sparire la firma DKIM?</h3

Sì — succede soprattutto dopo restore/migrazioni/mancanza permessi sulla directory mail privata utente! In questi casi io rigenero la chiave DKIM direttamente da Plesk ed aggiorno subito il valore TXT nella zona DNS interessata.
p

Cosa Consiglio Sempre ai Miei Clienti Per Evitare Nuovi Errori Futuri?</h2

Dalla mia pratica quotidiana posso riassumere così cosa raccomando SEMPRE ai miei clienti dopo aver risolto problemi di allineamento tra DMARC SPF DKIM su Plesk:
p

lI Tenere traccia delle chiavi originali generate da Plesk e salvarle offline.
lI Evitare modifiche spontanee ai record DNS senza consultarmi prima.
lI Effettuare test periodici degli header inviando email verso webmail “difficili” (Gmail/Outlook).
lI Monitorare regolarmente report DMARC almeno ogni mese per intercettare nuove anomalie rapidamente.
ul

E ricordarti: se incontri difficoltà particolari o vuoi delegarmi tutta la gestione sicurezza posta elettronica lato server/PLESK puoi contattarmi direttamente. Ho esperienza concreta anche nei casi più complessi — garantisco soluzione definitiva ed assistenza continuativa!