{"id":493,"date":"2025-12-28T10:05:01","date_gmt":"2025-12-28T09:05:01","guid":{"rendered":"https:\/\/darioiannascoli.it\/configurare-spf-dkim-e-dmarc-su-plesk-senza-errori\/"},"modified":"2026-02-18T18:15:54","modified_gmt":"2026-02-18T17:15:54","slug":"configurare-spf-dkim-dmarc-plesk","status":"publish","type":"post","link":"https:\/\/darioiannascoli.it\/blog\/configurare-spf-dkim-dmarc-plesk\/","title":{"rendered":"Configurare SPF, DKIM e DMARC su Plesk senza errori"},"content":{"rendered":"<p>Nel mio lavoro quotidiano di assistenza tecnica per siti web, configurare <strong>SPF, DKIM e DMARC su Plesk<\/strong> \u00e8 una delle richieste che ricevo pi\u00f9 spesso dai clienti che usano il proprio dominio per inviare email. So bene quanto sia frustrante vedere le proprie email finire nello spam o ricevere notifiche di mancata consegna: chi gestisce un sito o lavora con la posta elettronica aziendale non pu\u00f2 permettersi questi problemi.<\/p>\n<p>Molti sottovalutano l&#8217;importanza di questi tre record DNS: SPF (Sender Policy Framework) serve a dire quali server possono inviare email per conto del tuo dominio; DKIM (DomainKeys Identified Mail) aggiunge una firma digitale alle email in uscita; DMARC (Domain-based Message Authentication, Reporting and Conformance) stabilisce come i provider devono gestire i messaggi che falliscono i controlli SPF e DKIM. Senza una configurazione corretta, rischi che le tue email vengano bloccate o contrassegnate come sospette.<\/p>\n<p>Nella mia esperienza ho visto aziende perdere comunicazioni importanti solo per piccoli errori nei record DNS o opzioni non attivate in Plesk. In questa guida ti mostro, passo dopo passo e basandomi sui casi reali che ho risolto negli anni, come assicurarti di avere tutto configurato al meglio. Seguendo le procedure che applico ogni giorno, renderai il tuo sistema di posta solido e affidabile: niente pi\u00f9 tentativi a vuoto, niente pi\u00f9 bounce inspiegabili o messaggi finiti nel cestino dello spam.<\/p>\n<h2>I sintomi tipici di una configurazione errata SPF\/DKIM\/DMARC<\/h2>\n<p>Quando mi chiamano perch\u00e9 &#8220;l&#8217;email non arriva&#8221; o &#8220;il cliente dice che la mia mail \u00e8 andata nello spam&#8221;, so gi\u00e0 dove guardare per primo: la configurazione dei record <strong>SPF, DKIM e DMARC<\/strong>. Ecco i segnali pi\u00f9 frequenti che vedo nei sistemi mal configurati:<\/p>\n<ul>\n<li>Email inviate da dominio personalizzato finiscono nello spam su Gmail, Outlook o altri provider<\/li>\n<li>Ricezione di report DMARC con segnalazioni di fail SPF o fail DKIM (molti ignorano questi report ma sono fondamentali)<\/li>\n<li>Bounce con messaggi tipo &#8220;SPF check failed&#8221; oppure &#8220;554 5.7.1 dmarc policy reject&#8221;<\/li>\n<li>Email recapitate ma con avvisi tipo &#8220;la firma digitale dell&#8217;email non \u00e8 valida&#8221;<\/li>\n<li>Nessun problema apparente ma livello di deliverability molto basso (pochi tassi di apertura)<\/li>\n<\/ul>\n<p>Nella mia esperienza, spesso bastano pochi minuti per risolvere questi problemi una volta individuata la causa. Di solito si tratta semplicemente di:<\/p>\n<ol>\n<li>Mancanza totale dei record SPF\/DKIM\/DMARC nel DNS del dominio<\/li>\n<li>Errori di sintassi nei record TXT (uno spazio fuori posto pu\u00f2 bloccare tutto!)<\/li>\n<li>Pannello Plesk che ha la firma DKIM disattivata sulle caselle in uscita<\/li>\n<li>Sovrapposizione tra servizi esterni (tipo newsletter) e server Plesk non considerati nel record SPF<\/li>\n<li>Policy DMARC troppo restrittiva senza controllare prima i risultati dei test<\/li>\n<\/ol>\n<p>Prima di intervenire faccio sempre un check completo della zona DNS e delle opzioni attive in Plesk: cos\u00ec evito errori grossolani e posso agire subito dove serve.<\/p>\n<h2>La procedura completa e testata che applico sempre su Plesk<\/h2>\n<p>Dopo anni a lavorare con <strong>Plesk e i sistemi DNS<\/strong>, ho affinato una procedura step-by-step che risolve il 95% dei problemi legati a SPF, DKIM e DMARC. Ti spiego esattamente cosa faccio ogni volta:<\/p>\n<ol>\n<li><strong>Eseguo il backup della zona DNS:<\/strong> Prima di modificare qualsiasi record, esporto la zona DNS dal pannello Plesk (Strumenti &amp; Impostazioni &gt; Siti Web &amp; Domini &gt; DNS Settings). Un backup permette sempre il rollback rapido se qualcosa va storto.<\/li>\n<li><strong>Verifico lo stato attuale:<\/strong> Controllo se gi\u00e0 esistono record SPF\/DKIM\/DMARC usando la sezione DNS Settings del dominio su Plesk e strumenti online gratuiti (come MXToolbox).<\/li>\n<li><strong>Sistemo\/aggiungo il record SPF:<\/strong> Dal pannello vado su Siti web &amp; Domini &gt; Dominio desiderato &gt; Impostazioni DNS. Creo\/modifico un record TXT con questa sintassi base:<br \/>\n<em>@ TXT &#8220;v=spf1 +a +mx ~all&#8221;<\/em><br \/>\nSe uso servizi terzi (ad esempio Google Workspace), aggiungo <em>include:_spf.google.com<\/em>. In caso di invio da server newsletter esterni inserisco anche il relativo include.<\/li>\n<li><strong>Configuro la firma DKIM in uscita:<\/strong> Rientro nella sezione Posta del dominio (&#8220;Posta&#8221; &gt; &#8220;Impostazioni&#8221;) e attivo l&#8217;opzione &#8220;Firma messaggi in uscita utilizzando DKIM&#8221;. Cos\u00ec facendo, Plesk genera automaticamente i valori pubblici da inserire nella zona DNS.<br \/>\nAggiungo poi manualmente il record TXT suggerito dal pannello:<br \/>\n<em>default._domainkey TXT &#8220;public key generata&#8221;<\/em><\/li>\n<li><strong>Aggiungo il record DMARC:<\/strong> Sempre dalla gestione DNS aggiungo un nuovo TXT:<br \/>\n<em>_dmarc TXT &#8220;v=DMARC1; p=none; rua=mailto:tuamail@tuodominio.it&#8221;<\/em><br \/>\nPer iniziare consiglio sempre <em>p=none<\/em>, cos\u00ec ricevi solo report senza rischiare blocchi improvvisi sulle mail legittime. Pi\u00f9 avanti puoi impostarlo su <em>p=quarantine<\/em> o <em>p=reject<\/em>.<\/li>\n<li><strong>Doppio controllo della propagazione:<\/strong> Verifico dopo qualche ora che tutti i nuovi record siano visibili pubblicamente con strumenti come dig\/nslookup oppure web tool dedicati.<\/li>\n<li><strong>Eseguo test reali:<\/strong> Invio email verso vari provider (Gmail, Outlook ecc.) e analizzo gli header delle mail ricevute per vedere lo stato pass\/fail dei controlli SPF\/DKIM\/DMARC.<\/li>\n<\/ol>\n<p>Nella maggior parte dei casi queste azioni bastano per sistemare definitivamente il problema.<\/p>\n<h2>Casi reali che ho risolto grazie alla giusta configurazione DNS in Plesk<\/h2>\n<p>Lavorando su decine di domini al mese mi \u00e8 capitato spesso di affrontare situazioni particolari dove un dettaglio faceva la differenza tra successo e fallimento nella protezione delle email.<\/p>\n<ul>\n<li><strong>Email newsletter sempre in spam:<\/strong> Una volta ho trovato un cliente che usava sia il proprio server Plesk che Mailchimp per mandare DEM dal suo dominio. Nel suo SPF c&#8217;era solo l&#8217;IP del server principale, mancava l&#8217;include Mailchimp: bastava aggiungerlo (&#8220;include:servers.mcsv.net&#8221;) per vedere le sue campagne finalmente recapitarsi nella inbox invece dello spam.<\/li>\n<li><strong>Errori causati da doppio DKIM:<\/strong> Su alcuni provider esterni era stato creato un altro selector DKIM diverso da quello generato da Plesk (&#8220;selector1&#8221; invece del classico &#8220;default&#8221;). Il risultato? Le firme risultavano invalidated ai controlli automatici. Eliminando i vecchi selector inutilizzati dalla zona DNS si \u00e8 sistemato tutto al volo.<\/li>\n<li><strong>Bounce improvvisi dopo cambio policy DMARC:<\/strong> Un&#8217;azienda aveva impostato direttamente &#8220;p=reject&#8221; nel record DMARC senza fare test preliminari. Dopo poche ore molte email interne venivano respinte! Tornando temporaneamente a &#8220;p=none&#8221;, analizzando i report ricevuti nella mail monitorata (rua), sono riuscito ad identificare tutti gli IP legittimi ma sconosciuti al DNS \u2014 li abbiamo poi inseriti correttamente nel nuovo SPF definitivo prima di riattivare la policy restrittiva.<\/li>\n<\/ul>\n<p>Tutto questo dimostra quanto sia fondamentale conoscere bene ogni singola voce delle impostazioni DNS su <strong>Plesk <\/strong>, soprattutto quando pi\u00f9 servizi interagiscono sullo stesso dominio.<\/p>\n<figure class=\"wp-block-image size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1792\" height=\"1024\" class=\"wp-image-491\" src=\"https:\/\/darioiannascoli.it\/wp-content\/uploads\/2025\/12\/img-KB6hCJkJ3NfKKjqYhDydyuKE.webp\" alt=\"Postazione informatica con doppio monitor che mostra schermate di configurazione e un dispositivo di rete collegato, tastiera e mouse in primo piano\" srcset=\"https:\/\/darioiannascoli.it\/blog\/wp-content\/uploads\/2025\/12\/img-KB6hCJkJ3NfKKjqYhDydyuKE.webp 1792w, https:\/\/darioiannascoli.it\/blog\/wp-content\/uploads\/2025\/12\/img-KB6hCJkJ3NfKKjqYhDydyuKE-300x171.webp 300w, https:\/\/darioiannascoli.it\/blog\/wp-content\/uploads\/2025\/12\/img-KB6hCJkJ3NfKKjqYhDydyuKE-1024x585.webp 1024w, https:\/\/darioiannascoli.it\/blog\/wp-content\/uploads\/2025\/12\/img-KB6hCJkJ3NfKKjqYhDydyuKE-768x439.webp 768w, https:\/\/darioiannascoli.it\/blog\/wp-content\/uploads\/2025\/12\/img-KB6hCJkJ3NfKKjqYhDydyuKE-1536x878.webp 1536w\" sizes=\"(max-width: 1792px) 100vw, 1792px\" \/><\/figure>\n<h2>Differenze chiave tra le versioni Linux\/Windows di Plesk nella gestione email sicura<\/h2>\n<p>Nella mia esperienza trovo spesso clienti confusi tra versione Linux e Windows Server del pannello <strong>Plesk <\/strong>. Ecco alcune differenze concrete da tenere presente quando configuri SPF\/DKIM\/DMARC:<\/p>\n<ul>\n<li><b>Pannello Posta leggermente diverso:<\/b> Su Linux si trova facilmente l&#8217;opzione &#8220;Abilita la firma DKIM&#8221;. Su Windows Server potrebbe trovarsi sotto voci diverse o richiedere moduli aggiuntivi installati a parte (esempio: MailEnable).<\/li>\n<li><b>Sintassi diversa nei record generati automaticamente :<\/b>Certe build Windows propongono stringhe leggermente differenti o formattate con escape diversi \u2014 bisogna copiarle fedelmente cos\u00ec come suggerite dal pannello senza modificarle manualmente!<\/li>\n<li><b>L&#8217;invio relay SMTP esterno va gestito specificamente nei permessi firewall :<\/b>Soprattutto in hosting Windows \u00e8 fondamentale autorizzare esplicitamente gli IP dei relay nelle regole outbound\/inbound ed eventualmente aggiornare anche policy antispam integrate lato server.<\/li>\n<\/ul>\n<p>A prescindere dalla versione uso sempre lo stesso principio: copia esatta dei dati suggeriti dal pannello nelle zone DNS pubbliche e doppia verifica tramite tool esterni specifici per evitare sorprese dovute a minuscole differenze implementative tra versioni software diverse.<\/p>\n<h2>I miei test fondamentali post-configurazione: evitarne anche uno pu\u00f2 vanificare tutto!<\/h2>\n<p>Dopo aver completato tutte le modifiche lato pannello controllo sempre scrupolosamente ogni aspetto perch\u00e9 anche una piccola svista pu\u00f2 annullare giorni di lavoro sulla deliverability delle email.<br \/>\nEcco la checklist finale che applico SEMPRE dopo aver messo mano ai record SPF\/DKIM\/DMARC su <b>Plesk <\/b>:<\/p>\n<ol>\n<li>Eseguo una query dig\/nslookup sui nuovi TXT appena caricati (<em>dove @ rappresenta il root domain, default._domainkey ecc).<\/em><\/li>\n<li>Mando almeno un&#8217;email test verso Gmail usando mittente reale del dominio verificando negli header ricevuti:\n<ul style=\"margin-left: 20px\">\n<li>X-SPF-Result = pass;<\/li>\n<li>X-DKIM-Result = pass;<\/li>\n<\/ul>\n<\/li>\n<li>Apro uno strumento online tipo MXToolbox o Google Postmaster Tools per visualizzare lo stato effettivo della reputazione mail\/dominio\/IP sorgente dopo qualche ora dall&#8217;invio delle prime mail real-life;<\/li>\n<\/ol>\n<ul style=\"margin-left: 20px\">\n<li>Lancio periodicamente invii verso destinatari Outlook\/Yahoo ecc perch\u00e9 alcuni provider hanno filtri leggermente diversi rispetto a Gmail;<\/li>\n<\/ul>\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1792\" height=\"1024\" class=\"wp-image-490\" src=\"https:\/\/darioiannascoli.it\/wp-content\/uploads\/2025\/12\/img-eZONxAEMlpvSG9Pw1VJkhh8D.webp\" alt=\"Monitor con schermata di configurazione DNS e test SPF, DKIM, DMARC con tastiera RGB e mouse su scrivania illuminata da lampada\" srcset=\"https:\/\/darioiannascoli.it\/blog\/wp-content\/uploads\/2025\/12\/img-eZONxAEMlpvSG9Pw1VJkhh8D.webp 1792w, https:\/\/darioiannascoli.it\/blog\/wp-content\/uploads\/2025\/12\/img-eZONxAEMlpvSG9Pw1VJkhh8D-300x171.webp 300w, https:\/\/darioiannascoli.it\/blog\/wp-content\/uploads\/2025\/12\/img-eZONxAEMlpvSG9Pw1VJkhh8D-1024x585.webp 1024w, https:\/\/darioiannascoli.it\/blog\/wp-content\/uploads\/2025\/12\/img-eZONxAEMlpvSG9Pw1VJkhh8D-768x439.webp 768w, https:\/\/darioiannascoli.it\/blog\/wp-content\/uploads\/2025\/12\/img-eZONxAEMlpvSG9Pw1VJkhh8D-1536x878.webp 1536w\" sizes=\"(max-width: 1792px) 100vw, 1792px\" \/><\/figure>\n<h2>Cosa fare se qualcosa ancora non funziona? Soluzioni pratiche dai miei interventi sul campo<\/h2>\n<p>Anche seguendo tutti i passi sopra indicati pu\u00f2 capitare qualche intoppo imprevisto. Ecco come affronto io le situazioni anomale pi\u00f9 frequenti durante\/l&#8217;immediato dopo la configurazione dei tre record chiave :<\/p>\n<ul>\n<li><strong> Record duplicati :&lt;\/ strong &gt; Se ne trovo due uguali o sovrapposti sulla stessa voce (<em> esempio due _dmarc oppure due default._domainkey &lt;\/ em &gt; ), cancello SEMPRE quello superfluo lasciando solo quello effettivamente operativo .<\/em><\/strong><\/li>\n<li><strong> Sintassi errata \/ carattere mancante : &lt;\/ strong &gt; Basta uno slash \/ virgola sbagliata , ed il server destinatario ignora completamente tutta quella policy . Per sicurezza copio \u2013incollo SEMPRE le stringhe direttamente dal pannello , MA controllo anche via web tool dedicati ( tipo dnsviz ) per assicurarmi NON ci siano warning nascosti .<\/strong><\/li>\n<li><strong> Cache lenta \/ propagazione incompleta : &lt;\/ strong &gt; Se vedo ancora errori sulle mail dopo poche ore , consiglio SEMPRE pazienza : certe zone DNS impiegano fino a 24 \u201348 ore prima della piena propagazione globale !<\/strong><\/li>\n<li><strong> Problemi con servizi terzi : &lt;\/ strong &gt; Se usi piattaforme esterne come CRM , mailing list ecc , assicurati SEMPRE siano presenti tutti gli include necessari nell&#8217;SPF ed eventuale sotto \u2013selector DKIM pubblicizzato dalla piattaforma stessa . Pi\u00f9 volte mi sono trovato ad inserire fino a quattro include diversi nello stesso record !<\/strong><\/li>\n<\/ul>\n<p>Se non trovi subito la soluzione , contattami : posso analizzare personalmente il tuo caso specifico ed intervenire rapidamente lato server \/DNS .<\/p>\n<h3>FAQ Tecniche Che Mi Vengono Chieste Spesso<\/h3>\n<h3>Che differenza c&#8217;\u00e8 tra policy none\/quarantine\/reject nel DMARC?<\/h3>\n<p>Nella mia esperienza , conviene SEMPRE partire da &#8220;none&#8221; : cos\u00ec ricevi solo report sugli invii falliti senza bloccare nulla . Quando sei sicuro che TUTTI gli invii legittimi passano , puoi salire gradualmente prima a &#8220;quarantine&#8221; poi eventualmente a &#8220;reject&#8221; . Io imposto &#8220;reject&#8221; solo quando sono certo al 100 % della copertura degli IP autorizzati .<\/p>\n<h3>Posso usare pi\u00f9 selector DKIM contemporaneamente ?<\/h3>\n<p>S\u00ec , ma solo se hai davvero necessit\u00e0 specifiche : ad esempio servizi diversi sullo stesso dominio . Nella pratica evito sempre doppi selector inutilizzati perch\u00e9 possono creare confusione ai destinatari . Mantieni pulita la zona DNS col solo selector realmente attivo .<\/p>\n<h3>Devo aggiornare subito il TTL dei record dopo modifiche ?<\/h3>\n<p>Io consiglio SEMPRE , prima della modifica , abbassare temporaneamente il TTL a 300 secondi ; cos\u00ec puoi vedere velocemente se tutto \u00e8 ok . Una volta confermata la propagazione puoi ripristinare tranquillamente valori standard pi\u00f9 alti (&gt;3600 secondi) .<\/p>\n<h2>La Mia Soluzione Definitiva per Email Sicure su Plesk<\/h2>\n<p>Gestisco decine di domini ogni mese proprio grazie ad una routine consolidata ed efficace :<\/p>\n<ul>\n<li>Backup immediato della zona DNS prima d&#8217;ogni modifica ;<\/li>\n<li>Inserimento preciso dei tre record chiave (<strong>SPF , DKIM , DMARC <\/strong> ) adattandoli alle specificit\u00e0 d&#8217;ogni servizio collegato ;<\/li>\n<li>Doppia verifica via tool online degli header ricevuti sulle caselle real-life ; quando applichi correttamente <a href=\"https:\/\/darioiannascoli.it\/blog\/metto-in-sicurezza-la-rete-wifi-di-casa-router-dns-vlan\/\">i principi di sicurezza della tua infrastruttura di rete<\/a> le email fluiscono senza problemi;<\/li>\n<\/ul>\n<p>Seguendo alla lettera queste regole puoi ridurre drasticamente problemi negli invii mail professionali col tuo dominio ospitato su Plesk . Se hai bisogno d&#8217;aiuto personalizzato oppure vuoi essere certo d&#8217;avere tutto impostato alla perfezione basta scrivermi direttamente : posso intervenire rapidamente sia lato pannello hosting sia sulla tua infrastruttura DNS pubblica ! Hai risolto seguendo questa guida ? Scrivimelo nei commenti \u2014 sono curioso di sapere come \u00e8 andata !<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Guida completa per configurare SPF, DKIM e DMARC su Plesk. Procedura testata che risolve il 95% dei problemi di deliverability email con esempi pratici e casi reali.<\/p>\n","protected":false},"author":1,"featured_media":492,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"SPF DKIM DMARC Plesk: Guida Configurazione Senza Errori","_seopress_titles_desc":"Configura SPF, DKIM e DMARC su Plesk correttamente. Procedura step-by-step testata per evitare email nello spam. Risolvi problemi di deliverability in pochi minuti.","_seopress_robots_index":"","footnotes":""},"categories":[4],"tags":[54,61,53,60,58],"class_list":["post-493","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-plesk","tag-configurazione-plesk","tag-email-plesk","tag-plesk-panel","tag-sicurezza-plesk","tag-ssl-plesk"],"_links":{"self":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts\/493","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/comments?post=493"}],"version-history":[{"count":0,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts\/493\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/media\/492"}],"wp:attachment":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/media?parent=493"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/categories?post=493"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/tags?post=493"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}