Punteggio di deliverability email: cosa lo compone e come migliorarlo

⚡TL;DR

• Cinque pilastri compongono il punteggio di deliverability email: autenticazione (SPF, DKIM, DMARC e allineamento), reputazione IP e dominio, sicurezza del trasporto (MTA-STS, DANE, TLS-RPT), BIMI ed engagement
• Soglie da raggiungere: tasso di deliverability tra il 95 e il 99 %, reclami spam sotto lo 0,1 %, bounce sotto il 2 %, Sender Score superiore a 80
• Punteggio non è tasso: il tasso misura la percentuale di email recapitate, il punteggio è una valutazione predittiva composita che anticipa le tue probabilità di raggiungere la posta in arrivo
• Misurare poi monitorare: un audit puntuale fotografa lo stato attuale, un monitoraggio continuo rileva le regressioni prima che costino una campagna

Invii email legittime, il tuo contenuto è curato, la tua lista è pulita. Eppure una parte dei tuoi messaggi finisce nello spam o non arriva mai. La causa si nasconde di rado nel contenuto: si trova nel tuo punteggio di deliverability email (in inglese, email deliverability score), una valutazione composita che i provider email calcolano in modo continuo a partire dalla tua configurazione tecnica e dal tuo comportamento di mittente.

Questo punteggio non è una scatola nera. È una valutazione predittiva che aggrega segnali misurabili: la tua autenticazione è attiva e allineata? La tua IP e il tuo dominio hanno una buona reputazione? I tuoi scambi sono crittografati end-to-end? I tuoi destinatari aprono le tue email o le segnalano come indesiderate? Comprendere questi segnali significa poter migliorare la deliverability in modo duraturo, anziché a singhiozzo.

Questa guida scompone il punteggio in cinque pilastri: autenticazione, reputazione, sicurezza del trasporto, BIMI ed engagement. Per ciascuno troverai cosa viene misurato, perché conta e come migliorarlo. Uscirai con soglie concrete (tasso di deliverability tra il 95 e il 99 %, reclami sotto lo 0,1 %, bounce sotto il 2 %, Sender Score superiore a 80) e un piano d'azione pratico.

Questo articolo si rivolge ai responsabili marketing e CRM che vogliono capire cosa guida la loro deliverability, agli amministratori di sistema e DevOps incaricati di implementare i pilastri tecnici, e ai dirigenti di PMI attenti al ritorno sull'investimento della loro posta. Ogni sezione resta concreta, qualunque sia il tuo livello tecnico.

Che cos'è un punteggio di deliverability email?

Un punteggio di deliverability email è una valutazione predittiva composita che stima la probabilità che i tuoi messaggi raggiungano la posta in arrivo principale dei destinatari, anziché la cartella spam o un rifiuto netto. A differenza di una singola metrica, questo punteggio aggrega più categorie di segnali, ciascuna ponderata in base al suo peso reale nella decisione dei provider email.

L'aspetto chiave da ricordare: questo punteggio è calcolato a partire da criteri oggettivi e verificabili. Una configurazione di autenticazione valida, una IP pulita, un trasporto crittografato e un basso tasso di reclami fanno salire il punteggio. Al contrario, un DMARC assente, una IP in blocklist o un picco di reclami lo fanno crollare. Gli strumenti di audit affidano questo calcolo a un motore lato server che applica gli stessi parametri osservati presso Gmail, Microsoft e Yahoo.

Punteggio di deliverability o tasso di deliverability?

La confusione tra i due concetti è frequente, ma misurano cose diverse. Il tasso di deliverability è una misura retrospettiva: è la percentuale di email effettivamente recapitate (in posta in arrivo o nello spam) sul totale inviato, misurata dopo l'invio. Un tasso del 97 % significa che il 97 % dei tuoi messaggi è stato accettato dai server destinatari.

Il punteggio di deliverability è una valutazione predittiva: anticipa le tue probabilità di successo prima dell'invio, valutando lo stato della tua configurazione e della tua reputazione. Puoi avere un buon tasso storico ma un punteggio che si deteriora (per esempio dopo una rotazione di chiave DKIM dimenticata), segno che il prossimo invio rischia di creare problemi. Il punteggio è quindi un indicatore di allerta precoce; il tasso, una conferma a posteriori.

Un punteggio composito, non una scatola nera

Il punteggio non piove dal cielo. Si scompone in cinque pilastri che questa guida dettaglierà uno per uno:

1. Autenticazione: SPF, DKIM, DMARC e soprattutto il loro allineamento.
2. Reputazione: la fiducia accordata alla tua IP e al tuo dominio.
3. Sicurezza del trasporto: la crittografia degli scambi tra server (MTA-STS, DANE, TLS-RPT).
4. BIMI: la fiducia visiva, subordinata a un DMARC in applicazione.
5. Engagement e contenuto: il modo in cui i tuoi destinatari interagiscono con le tue email.

Ogni pilastro contribuisce al totale, e un solo anello debole basta a limitare l'insieme. Un dominio perfettamente autenticato ma ospitato su una IP in blocklist non raggiungerà mai un buon punteggio. È proprio questo il vantaggio della scomposizione: indica con precisione dove intervenire.

Pilastro 1: autenticazione (SPF, DKIM, DMARC e l'allineamento)

L'autenticazione è la base. Senza di essa, i provider non possono verificare che tu sia davvero il mittente che dichiari di essere, e trattano le tue email con diffidenza. Dal 2024, Gmail e Yahoo hanno reso SPF e DKIM obbligatori per tutti i mittenti, e DMARC obbligatorio per i mittenti di massa (oltre 5.000 email al giorno). L'autenticazione non è quindi più opzionale, è un prerequisito.

L'aspetto che la maggior parte delle guide trascura: non è la semplice presenza di SPF, DKIM e DMARC a contare, ma il loro allineamento. Un'email può superare SPF e DKIM ma fallire DMARC, perché il dominio verificato non corrisponde al dominio mostrato nel campo From. È l'allineamento a trasformare tre protocolli isolati in una catena di autenticazione coerente.

Concretamente, i tre protocolli rispondono a tre domande distinte. SPF verifica quale server è autorizzato a inviare per il dominio. DKIM verifica che il messaggio non sia stato modificato e che provenga da chi detiene la chiave. DMARC verifica che l'identità mostrata corrisponda all'identità autenticata, poi detta il comportamento da adottare in caso di errore. Un motore di scoring rigoroso valorizza quindi la coerenza dell'insieme: un SPF perfetto ma un DKIM assente, oppure un DMARC in semplice osservazione, lasciano una falla sfruttabile e limitano il pilastro. Per questo un audit serio non si limita a spuntare «presente / assente»: verifica che ogni anello sia valido e allineato.

SPF: autorizzare i server giusti

SPF (Sender Policy Framework, RFC 7208) pubblica nel DNS l'elenco dei server autorizzati a inviare per il tuo dominio, tramite un record TXT:

v=spf1 include:_spf.captaindns.com -all

Il meccanismo finale è decisivo per il punteggio. Un -all (hardfail) indica con fermezza che ogni server non elencato deve essere rifiutato. Un ~all (softfail) resta tollerato per una fase di transizione, ma segnala una policy incompleta: i provider lo considerano un segnale debole. Quanto a ?all (neutral), non offre alcuna protezione e non ha alcun valore difensivo: un motore di scoring rigoroso lo tratta come un'assenza di policy. Punta a -all non appena l'inventario dei tuoi mittenti è completo.

Attenzione al limite della RFC 7208: un record SPF può innescare al massimo 10 query DNS durante la sua valutazione. I meccanismi include, a, mx, redirect ed exists contano ciascuno. Oltre le 10, il server restituisce un PermError e il tuo SPF diventa invalido, facendo crollare il pilastro autenticazione. Se accumuli fornitori, consulta la nostra guida sul problema dei troppi lookup DNS in SPF per appiattire il tuo record.

DKIM: firmare crittograficamente

DKIM (DomainKeys Identified Mail, RFC 6376) aggiunge una firma crittografica a ogni email, verificabile tramite una chiave pubblica pubblicata nel DNS su selector._domainkey.captaindns.com. La firma garantisce che il messaggio non sia stato alterato in transito e che provenga davvero da un server che detiene la chiave privata.

Per il punteggio contano due parametri. La robustezza della chiave anzitutto: una chiave RSA da 2048 bit è oggi il minimo consigliato, una chiave da 1024 bit è giudicata debole. Ed25519 è anch'esso supportato dai provider moderni e offre firme più compatte. La rotazione poi: una chiave DKIM non deve restare in vigore all'infinito. Una rotazione regolare limita l'impatto di una compromissione. Per inquadrare questa pratica, vedi la guida sulla rotazione delle chiavi DKIM. Se ti stai avvicinando alla firma DKIM, inizia capendo cos'è un record DKIM.

DMARC e l'allineamento: l'anello decisivo

DMARC (RFC 7489, in fase di revisione con DMARCbis) si basa su SPF e DKIM ma aggiunge il pezzo mancante: la verifica dell'allineamento tra il dominio autenticato e il dominio del campo From visibile dal destinatario. È l'allineamento a impedire a un terzo di superare SPF con il proprio dominio mentre usurpa il tuo nella visualizzazione.

L'allineamento può essere relaxed (stesso dominio organizzativo, per esempio una firma d=mail.captaindns.com allineata con un From @captaindns.com) o strict (corrispondenza esatta). La modalità relaxed va bene per la maggior parte delle implementazioni.

La policy DMARC determina il peso di questo pilastro. Una policy p=none si limita a osservare: raccoglie i report ma non protegge, e un motore di scoring rigoroso la limita perché non offre alcuna difesa effettiva contro l'usurpazione. È una tappa di transizione, non una destinazione. Per far salire il punteggio, passa a p=quarantine e poi a p=reject una volta che i tuoi report sono puliti:

v=DMARC1; p=reject; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Per l'implementazione completa e la migrazione verso la nuova revisione dello standard, consulta la guida DMARCbis. Nota anche che i relay intermedi (mailing list, inoltri) possono rompere SPF e DKIM; il protocollo ARC (Authenticated Received Chain) preserva i risultati di autenticazione attraverso questi relay e limita i falsi errori DMARC.

Pilastro 2: reputazione IP e reputazione del dominio

L'autenticazione prova chi sei. La reputazione determina se ci si fida di te. Due mittenti perfettamente autenticati possono ottenere punteggi radicalmente diversi a seconda dello storico della loro IP e del loro dominio. La reputazione è un capitale che si costruisce lentamente e si distrugge in fretta.

Reputazione IP o reputazione del dominio?

La reputazione IP è legata all'indirizzo del server che invia le tue email. Su una IP condivisa (caso frequente presso i provider di invio), la tua reputazione dipende anche dal comportamento degli altri mittenti che la usano. Su una IP dedicata controlli la tua reputazione ma devi scaldarla progressivamente: avviare un grande volume su una IP nuova innesca immediatamente la diffidenza.

La reputazione del dominio segue il tuo nome di dominio, indipendentemente dall'IP. È la componente più duratura: cambiare IP non azzera una cattiva reputazione del dominio. I provider privilegiano sempre più il dominio, perché è più difficile da manipolare di una IP. Curare la reputazione del dominio è quindi un investimento a lungo termine.

La fase di warmup (riscaldamento) merita un'attenzione particolare, perché è lì che si giocano i primi punti. Lanciare 50.000 email da una IP o un dominio senza storico innesca immediatamente i filtri antispam: un mittente di fiducia non spunta dal nulla con un grande volume. La buona pratica consiste nell'aumentare progressivamente i volumi su più settimane. Parti dai destinatari più coinvolti, quelli che aprono e cliccano, per costruire un segnale positivo prima di allargare. Un sottodominio dedicato al marketing, distinto dal dominio transazionale, isola anche le reputazioni: una campagna che va male non intacca così le tue email di servizio critiche (fatture, conferme, reimpostazioni di password).

Leggere il proprio punteggio di reputazione del mittente

Il Sender Score di Validity è un punteggio di reputazione dell'IP su una scala da 0 a 100, calcolato a partire da uno storico di invio su 30 giorni mobili. Un punteggio superiore a 80 è considerato buono; tra 70 e 80 la situazione è da monitorare; sotto 70 le tue email subiscono filtraggi più severi. È un barometro esterno utile per collocare la tua IP rispetto all'ecosistema.

Il Sender Score non è l'unico indicatore, ma converge con gli altri segnali di reputazione: un punteggio del mittente che cala accompagna quasi sempre un aumento dei reclami o un ingresso in blocklist.

Blocklist: l'impatto immediato

Una IP o un dominio inserito in una blocklist (DNSBL) vede crollare istantaneamente la propria deliverability. Le principali liste (Spamhaus, Barracuda, SpamCop) sono consultate dalla maggior parte dei server di ricezione. Una sola voce su Spamhaus ZEN può bloccare una quota enorme dei tuoi invii. Per comprendere le differenze tra queste liste e la loro severità, vedi il nostro confronto tra Spamhaus, Barracuda e SpamCop.

Se scopri un inserimento, l'uscita non è automatica: ogni lista ha la sua procedura. La nostra guida alla rimozione dalle blocklist IP dettaglia la procedura lista per lista. Monitorare il proprio stato in continuo evita di scoprire il problema solo quando una campagna fallisce.

Pilastro 3: sicurezza del trasporto (MTA-STS, DANE, TLS-RPT)

Ecco il pilastro che i concorrenti dimenticano quasi sempre. La maggior parte delle guide sulla deliverability si ferma a SPF/DKIM/DMARC. Eppure la sicurezza del trasporto, cioè la crittografia garantita degli scambi tra server di posta, è un segnale di fiducia in crescita e un fattore di protezione contro l'intercettazione. Un dominio che forza il TLS in entrata invia un segnale di serietà che i provider valorizzano.

Per impostazione predefinita, SMTP negozia la crittografia in modo opportunistico tramite STARTTLS: se il server destinatario annuncia TLS, lo scambio è crittografato, altrimenti passa in chiaro. Un attaccante in posizione di intercettazione può rimuovere l'annuncio STARTTLS e forzare un invio in chiaro (attacco di downgrade). MTA-STS e DANE esistono per chiudere questa falla.

Perché questo pilastro pesa sulla deliverability e non solo sulla sicurezza? Perché i grandi provider pubblicano ormai report di trasporto e osservano chi forza il TLS. Un dominio che accetta ancora connessioni in chiaro invia un segnale di trascuratezza. Al contrario, un dominio che impone la crittografia in entrata dimostra una padronanza tecnica che i filtri considerano nella loro valutazione di fiducia. La sicurezza del trasporto è anche un prerequisito di conformità in molti settori regolamentati: è quindi un argomento per i dirigenti oltre che una leva di deliverability.

MTA-STS: forzare il TLS in entrata

MTA-STS (SMTP MTA Strict Transport Security, RFC 8461) pubblica una policy che indica ai server mittenti: per scrivermi il TLS è obbligatorio, rifiuta di inviarmi un'email in chiaro. La policy è servita su un host HTTPS dedicato e referenziata tramite un record DNS. Una modalità enforce è protettiva; una modalità testing si limita a generare report senza bloccare; una modalità none disattiva la protezione e non apporta nulla al punteggio. Per l'implementazione completa, vedi la guida MTA-STS.

DANE e TLSA: ancorare il certificato nel DNS

DANE (DNS-based Authentication of Named Entities, RFC 7672 per SMTP) raggiunge lo stesso obiettivo di MTA-STS per una via diversa: pubblica un'impronta del certificato TLS del server in un record DNS di tipo TLSA, protetto da DNSSEC. Il server mittente verifica che il certificato presentato corrisponda all'impronta pubblicata. DANE richiede DNSSEC, il che ne limita l'adozione ma offre una garanzia crittografica forte. Vedi la guida DANE/TLSA. MTA-STS e DANE non sono esclusivi: rispondono a vincoli diversi, come spiega il nostro confronto MTA-STS contro DANE.

TLS-RPT: misurare il trasporto

TLS-RPT (SMTP TLS Reporting, RFC 8460) chiude il cerchio: chiede ai server remoti di restituirti report aggregati su successi ed errori di negoziazione TLS durante l'invio verso il tuo dominio. Senza TLS-RPT attivi MTA-STS o DANE alla cieca; con esso sai se una policy provoca errori di recapito. È lo strumento di misurazione indispensabile, dettagliato nella guida TLS-RPT.

Pilastro 4: BIMI e la fiducia visiva

BIMI (Brand Indicators for Message Identification) mostra il logo del tuo brand accanto alle tue email nelle caselle di posta compatibili (Gmail, Yahoo, Apple Mail). È un pilastro a sé: non aumenta direttamente le tue probabilità di raggiungere la posta in arrivo, ma rafforza la fiducia visiva e l'engagement, che a loro volta alimentano il punteggio nel medio termine.

BIMI richiede un DMARC in applicazione

BIMI è accessibile solo ai domini la cui policy DMARC è in applicazione (p=quarantine o p=reject, mai p=none). È un requisito rigoroso: senza DMARC in enforcement il logo non verrà mostrato, qualunque sia la qualità del tuo file. Questa dipendenza fa di BIMI un'ottima leva di motivazione per completare il lavoro sul pilastro autenticazione. Per iniziare, vedi la guida BIMI per piccole imprese.

VMC, CMC e impatto sull'engagement

Per mostrare il logo su Gmail e sulla maggior parte dei provider è richiesto un certificato: il VMC (Verified Mark Certificate), basato su un marchio registrato, oppure il CMC (Common Mark Certificate), un'alternativa più accessibile per loghi non registrati. Il dettaglio delle due opzioni è nella guida ai certificati VMC e CMC.

L'effetto di BIMI è indiretto ma reale: un logo del brand visibile aumenta il tasso di apertura e riduce il rischio che il destinatario segnali l'email come spam, perché identifica immediatamente il mittente. Questi migliori segnali di engagement risalgono poi nel pilastro 5. Da considerare come un amplificatore di fiducia, non come una scorciatoia verso la posta in arrivo.

Pilastro 5: engagement e contenuto

I primi quattro pilastri sono tecnici. Il quinto è comportamentale: misura come i tuoi destinatari reagiscono alle tue email. È oggi uno dei segnali più potenti, perché è molto difficile da falsificare. Un provider osserva che i tuoi iscritti aprono, cliccano e rispondono? Ne deduce che le tue email sono desiderate e le recapita in posta in arrivo. Le eliminano senza aprire o cliccano su «spam»? La sanzione è immediata.

Aperture, clic e risposte

Il tasso di apertura, il tasso di clic e, segnale forte, il tasso di risposta alimentano la reputazione di engagement. I provider monitorano anche le azioni negative: eliminazione senza apertura, spostamento manuale nello spam. Mantenere una lista di iscritti realmente coinvolti vale più di una grande lista inattiva: inviare a indirizzi che non aprono mai degrada il punteggio dell'insieme. Se i tuoi messaggi finiscono comunque tra gli indesiderati, la nostra guida sui motivi per cui le email finiscono nello spam dettaglia le cause più frequenti.

Reclami spam e bounce: le soglie critiche

Due metriche pesano molto e hanno soglie precise. Il tasso di reclami (proporzione di destinatari che segnalano le tue email come spam) deve restare sotto lo 0,1 %. Gmail tollera fino allo 0,3 % prima di una sanzione pesante, ma puntare allo 0,1 % protegge il tuo margine. Oltre, la deliverability crolla rapidamente.

Il tasso di bounce (email rifiutate) deve restare sotto il 2 %. Un tasso elevato segnala una lista mal curata, che i provider interpretano come un comportamento da spammer. Distingui gli hard bounce (indirizzo inesistente, da eliminare immediatamente) dai soft bounce (casella piena, problema temporaneo).

Anche il contenuto conta

Il contenuto stesso invia segnali. Un rapporto testo/immagine troppo sbilanciato (un'email composta interamente da una sola grande immagine, senza testo utilizzabile) è un classico dei filtri antispam. Allo stesso modo, link accorciati generici, allegati inattesi o un oggetto in maiuscolo con una valanga di punti esclamativi degradano la percezione del messaggio. I filtri moderni non si limitano più a cercare parole chiave «vietate». Valutano la coerenza globale tra mittente, oggetto, corpo e comportamento storico. Un contenuto pulito, un oggetto onesto e una call to action chiara riducono il rischio di classificazione tra gli indesiderati e sostengono l'engagement, che a sua volta alimenta il punteggio.

Anche la regolarità di invio gioca un ruolo: un mittente costante, che mantiene un ritmo stabile verso un pubblico che interagisce, ispira più fiducia di un mittente irregolare che invia 100 email un mese e 100.000 quello successivo. La regolarità è anch'essa un segnale di legittimità.

Liste pulite ed esigenze per i mittenti di massa

Un'igiene rigorosa della lista (validazione degli indirizzi, rimozione degli inattivi, double opt-in, disiscrizione con un clic) è il modo più efficace per mantenere engagement e reclami in zona verde. Dal 2024, Gmail e Yahoo impongono inoltre esigenze rigorose ai mittenti di massa: autenticazione completa, header di disiscrizione con un clic e tasso di reclami sotto controllo. La nostra guida sulle esigenze di Gmail e Yahoo per i mittenti di massa dettaglia la checklist completa.

Che cos'è un buon punteggio di deliverability?

Un buon punteggio si traduce in metriche misurabili. Anziché un numero astratto, ragiona in soglie per indicatore. La tabella seguente indica i riferimenti da raggiungere, da monitorare e da correggere con urgenza.

Metrica	Buono	Da monitorare	Critico
Tasso di deliverability	95-99 %	90-95 %	Sotto 90 %
Tasso di reclami spam	Sotto 0,1 %	0,1-0,3 %	Oltre 0,3 %
Tasso di bounce	Sotto 2 %	2-5 %	Oltre 5 %
Sender Score (Validity)	Superiore a 80	70-80	Sotto 70
Policy DMARC	p=reject	p=quarantine	p=none o assente
Sicurezza del trasporto	MTA-STS enforce o DANE	MTA-STS testing	Nessuna

Queste soglie sono coerenti con i parametri applicati dai principali provider. Un dominio che spunta tutte le colonne «Buono» ottiene un punteggio elevato e un recapito affidabile in posta in arrivo. Un solo indicatore in «Critico» basta a limitare l'insieme: è la logica dell'anello debole.

Oltre ai numeri grezzi, una lettura utile consiste nel distinguere le soglie di configurazione (DMARC, sicurezza del trasporto) dalle soglie di performance (tasso di deliverability, reclami, bounce, Sender Score). Le prime sono sotto il tuo controllo diretto e si correggono una volta per tutte: pubblicare un DMARC in p=reject o attivare MTA-STS è un'azione puntuale. Le seconde riflettono un comportamento continuo e richiedono una manutenzione permanente: possono degradarsi da una campagna all'altra. È proprio per questo che la misurazione non deve essere un evento unico ma una routine, come tratta l'ultima sezione di questa guida.

Nota anche che il concetto di «buon punteggio» dipende dal tipo di invio. Un mittente transazionale (fatture, conferme) punta a soglie ancora più rigorose di un mittente marketing, perché i suoi messaggi sono attesi e critici: un'email di reimpostazione password persa nello spam è un incidente, non una statistica. Al contrario, un invio marketing accetta un margine leggermente più ampio, a condizione di rispettare tassativamente i tetti di reclami e bounce.

Perché il 100 % non esiste?

Nessun mittente raggiunge stabilmente il 100 % di recapito in posta in arrivo, e puntare a quel numero è controproducente. I provider mantengono una quota di imprevedibilità volontaria per impedire agli spammer di calibrare alla perfezione i loro invii. Inoltre, una parte dei mancati recapiti deriva da fattori fuori dal tuo controllo: caselle piene, filtri aziendali specifici, indirizzi diventati invalidi. Un tasso stabile tra il 95 e il 99 % con metriche di engagement sane è l'obiettivo realistico ed eccellente.

Come misurare il proprio punteggio di deliverability?

Si migliora solo ciò che si misura. Due approcci si completano: gli strumenti dei provider, che mostrano come ti percepiscono, e un audit tecnico, che verifica ogni pilastro in una sola passata.

Cosa rivela lo strumento Google Postmaster

Google Postmaster Tools dà accesso alla reputazione di dominio e di IP così come Gmail la misura, oltre che al tasso di reclami reale dei tuoi destinatari Gmail. È una fonte di verità preziosa, perché Gmail rappresenta una quota importante delle caselle. Il rovescio della medaglia: questi dati coprono solo Gmail, compaiono solo oltre un certo volume e arrivano con un ritardo. È un termometro, non una diagnosi completa.

Un audit tecnico in una sola passata

Per valutare i cinque pilastri in un colpo solo (autenticazione, reputazione, trasporto, BIMI, engagement), un audit tecnico del dominio è il metodo più diretto. Verifica in pochi secondi la validità e l'allineamento di SPF, DKIM e DMARC, lo stato blocklist, la presenza di MTA-STS/DANE/TLS-RPT e la configurazione BIMI, poi restituisce un punteggio con le correzioni prioritarie. È esattamente ciò che fa l'audit di deliverability presentato all'inizio dell'articolo.

Se il tuo obiettivo è specificamente validare il posizionamento in posta in arrivo prima di un invio di campagna, un test di invio dedicato completa l'audit: la nostra guida per testare la deliverability email prima dell'invio dettaglia questo metodo tramite email di test. L'audit fotografa la configurazione; il test misura il risultato su un invio reale.

🎯 Piano di miglioramento e monitoraggio continuo

Migliorare in modo duraturo il proprio punteggio segue un ordine logico: si mette in sicurezza prima la base, poi si ottimizza. Ecco il piano in cinque tappe.

1. Autenticare completamente: pubblicare SPF con -all, firmare in DKIM (chiave RSA 2048 bit o Ed25519), pubblicare DMARC. Verificare soprattutto l'allineamento, non solo la presenza.
2. Portare DMARC in applicazione: analizzare i report DMARC per qualche settimana, identificare le fonti legittime, poi passare da p=none a p=quarantine, infine a p=reject. È anche il prerequisito per attivare BIMI.
3. Mettere in sicurezza il trasporto: distribuire MTA-STS in modalità enforce (o DANE se hai DNSSEC), e attivare TLS-RPT per misurare le negoziazioni TLS senza procedere alla cieca.
4. Pulire le liste e ridurre i reclami: rimuovere gli indirizzi inattivi e gli hard bounce, imporre il double opt-in, fornire una disiscrizione con un clic, segmentare per inviare solo ai destinatari coinvolti.
5. Monitorare in continuo: la deliverability non è mai acquisita. Un fornitore aggiunge un include SPF, una chiave DKIM scade, una IP condivisa finisce in blocklist, sono tutte regressioni silenziose. Un monitoraggio automatizzato rileva queste derive e avvisa prima che una campagna ne risenta.

È la differenza tra la misurazione puntuale e il monitoraggio: l'audit ti dà una fotografia all'istante T, il monitoraggio continuo ti avvisa quando qualcosa cambia. Un monitoraggio con alert digest raggruppa i cambiamenti rilevati e te li segnala via email, senza dover rilanciare un audit manualmente.

Per coprire l'insieme dei pilastri senza moltiplicare gli abbonamenti, la nostra suite gratuita di sicurezza email gestita raggruppa audit, hosting delle policy e monitoraggio in un unico ambiente.

FAQ

Che cos'è un punteggio di deliverability email?

Un punteggio di deliverability email è una valutazione predittiva composita che stima la probabilità che i tuoi messaggi raggiungano la posta in arrivo anziché la cartella spam. Aggrega cinque famiglie di segnali: autenticazione (SPF, DKIM, DMARC e allineamento), reputazione IP e dominio, sicurezza del trasporto (MTA-STS, DANE, TLS-RPT), BIMI ed engagement. A differenza di una singola metrica, anticipa le tue probabilità di successo prima dell'invio.

Che cos'è un buon punteggio di deliverability?

Un buon punteggio si traduce in soglie misurabili: un tasso di deliverability tra il 95 e il 99 %, un tasso di reclami spam sotto lo 0,1 %, un tasso di bounce sotto il 2 % e un Sender Score superiore a 80. Sul versante della configurazione, presuppone una policy DMARC in applicazione (p=reject) e una sicurezza del trasporto attiva (MTA-STS in enforce o DANE). Un solo indicatore in zona critica basta a limitare l'insieme.

Come viene calcolato il punteggio di deliverability?

Il punteggio è calcolato da un motore lato server che pondera ogni pilastro in base al suo peso reale nella decisione dei provider email. Un'autenticazione valida e allineata, una IP e un dominio puliti, un trasporto crittografato forzato e un basso tasso di reclami fanno salire il punteggio; un DMARC in p=none, una IP in blocklist o un picco di reclami lo fanno crollare. Il calcolo applica gli stessi parametri osservati presso Gmail, Microsoft e Yahoo.

Qual è la differenza tra punteggio di deliverability e tasso di deliverability?

Il tasso di deliverability è retrospettivo: è la percentuale di email effettivamente recapitate sul totale inviato, misurata dopo l'invio. Il punteggio di deliverability è predittivo: anticipa le tue probabilità di successo prima dell'invio valutando configurazione e reputazione. Puoi avere un buon tasso storico e un punteggio che si deteriora, segno di una regressione imminente. Il punteggio è un indicatore di allerta precoce, il tasso una conferma a posteriori.

Quali fattori influenzano la deliverability?

Cinque famiglie di fattori: l'autenticazione e il suo allineamento (SPF, DKIM, DMARC), la reputazione dell'IP e del dominio (incluso lo stato blocklist), la sicurezza del trasporto (MTA-STS, DANE, TLS-RPT), la fiducia visiva (BIMI) e l'engagement dei destinatari (aperture, clic, reclami, bounce). Anche il contenuto e l'igiene della lista giocano un ruolo importante tramite i segnali di engagement.

SPF, DKIM e DMARC bastano per un buon punteggio?

No, ma sono indispensabili. L'autenticazione è la base: senza di essa il punteggio resta basso. Tuttavia, un dominio perfettamente autenticato ma ospitato su una IP in blocklist, senza sicurezza del trasporto e con un alto tasso di reclami non raggiungerà mai un buon punteggio. L'autenticazione è necessaria ma non sufficiente: contano tutti e cinque i pilastri, e l'anello debole limita l'insieme.

Come verificare la reputazione del mittente e del dominio?

Tre fonti si completano. Google Postmaster Tools mostra la reputazione di dominio e di IP così come Gmail la misura, con il tasso di reclami reale. Il Sender Score di Validity valuta la reputazione dell'IP su una scala da 0 a 100. Infine, una verifica blocklist rileva un inserimento su Spamhaus, Barracuda o SpamCop. Un audit tecnico del dominio raggruppa questi controlli in una sola passata.

MTA-STS, DANE e TLS-RPT migliorano la deliverability?

Sì, indirettamente ma realmente. Forzare il TLS in entrata tramite MTA-STS o DANE protegge dall'intercettazione e invia un segnale di serietà che i provider valorizzano. TLS-RPT permette di misurare le negoziazioni TLS ed evitare gli errori di recapito legati a una policy mal configurata. È un pilastro differenziante che la maggior parte dei mittenti trascura, mentre pesa sempre di più nella fiducia accordata.

BIMI migliora la deliverability?

BIMI non aumenta direttamente le tue probabilità di raggiungere la posta in arrivo, ma rafforza la fiducia visiva: mostrare il logo del tuo brand aumenta il tasso di apertura e riduce il rischio che il destinatario segnali l'email come spam. Questi migliori segnali di engagement alimentano il punteggio nel medio termine. BIMI richiede una policy DMARC in applicazione (p=quarantine o p=reject) e, nella maggior parte dei casi, un certificato VMC o CMC.

Come migliorare il proprio punteggio di deliverability?

Segui un ordine logico: autenticare completamente (SPF in -all, DKIM robusto, DMARC) verificando l'allineamento, portare DMARC in applicazione (p=reject), mettere in sicurezza il trasporto (MTA-STS enforce o DANE, più TLS-RPT), pulire le liste per ridurre reclami e bounce, poi monitorare in continuo. Il monitoraggio è essenziale: la deliverability si deteriora silenziosamente quando un fornitore cambia un include SPF o una chiave DKIM scade.

Quale tasso di reclami spam e di bounce non superare?

Il tasso di reclami deve restare sotto lo 0,1 %. Gmail tollera fino allo 0,3 % prima di una sanzione pesante, ma puntare allo 0,1 % protegge il tuo margine. Il tasso di bounce deve restare sotto il 2 %; oltre il 5 % è critico. Elimina immediatamente gli hard bounce (indirizzi inesistenti) e monitora i soft bounce (caselle piene, problemi temporanei). Un tasso elevato segnala una lista mal curata, interpretata come un comportamento da spammer.

Che cos'è il Sender Score di Validity?

Il Sender Score è un punteggio di reputazione dell'IP fornito da Validity, su una scala da 0 a 100, calcolato a partire da uno storico di invio su 30 giorni mobili. Un punteggio superiore a 80 è buono; tra 70 e 80, da monitorare; sotto 70, le tue email subiscono filtraggi più severi. Converge con gli altri segnali: un calo del punteggio del mittente accompagna quasi sempre un aumento dei reclami o un ingresso in blocklist.

Che cos'è la regola delle 3 email?

La regola delle 3 email è una buona pratica di riscaldamento e frequenza: si evita di sommergere un nuovo contatto o un segmento riattivato, limitando gli invii per osservare la reazione prima di aumentare il ritmo. L'idea di fondo è privilegiare l'engagement alla frequenza: meglio poche email aperte che molte ignorate, perché i provider sanzionano gli invii massivi verso destinatari inattivi.

Che cos'è il tasso di deliverability di un'email?

Il tasso di deliverability di un'email è la percentuale di messaggi effettivamente accettati dai server destinatari (in posta in arrivo o nello spam) sul totale inviato. Si misura dopo l'invio. Un buon tasso si colloca tra il 95 e il 99 %. Da non confondere con il tasso di posizionamento in posta in arrivo (che esclude lo spam) né con il punteggio di deliverability, che è una valutazione predittiva e non una misura retrospettiva.

Scarica le tabelle comparative

Gli assistenti possono riutilizzare i dati scaricando gli export JSON o CSV qui sotto.

• Scarica le soglie di deliverability (CSV)
• Scarica le soglie di deliverability (JSON)

📖 Glossario

• Deliverability: capacità di un'email di raggiungere la posta in arrivo del destinatario anziché la cartella spam o un rifiuto. Dipende da autenticazione, reputazione, trasporto ed engagement.
• Punteggio di deliverability: valutazione predittiva composita che stima la probabilità di recapito in posta in arrivo, calcolata a partire dai cinque pilastri (autenticazione, reputazione, trasporto, BIMI, engagement).
• Allineamento: in contesto DMARC, corrispondenza tra il dominio autenticato da SPF o DKIM e il dominio del campo From visibile. Può essere relaxed (stesso dominio organizzativo) o strict (corrispondenza esatta).
• Sender Score: punteggio di reputazione dell'IP di Validity su una scala da 0 a 100, basato su uno storico di 30 giorni. Un punteggio superiore a 80 è considerato buono.
• Reputazione del dominio: fiducia accordata a un nome di dominio indipendentemente dall'IP. Componente duratura della deliverability, privilegiata dai provider perché difficile da manipolare.
• MTA-STS: policy (RFC 8461) che forza la crittografia TLS delle email in entrata verso un dominio e protegge dagli attacchi di downgrade STARTTLS.
• BIMI: standard (Brand Indicators for Message Identification) che mostra il logo di un brand accanto alle sue email, subordinato a una policy DMARC in applicazione e spesso a un certificato VMC o CMC.
• Tasso di reclami: proporzione di destinatari che segnalano un'email come spam. Deve restare sotto lo 0,1 % per preservare la deliverability.

📚 Guide correlate sulla deliverability email

• Punteggio di deliverability email: cosa lo compone e come migliorarlo: questo articolo (pilastro della serie).
• Reputazione del mittente: come costruirla e proteggerla (prossimamente)
• Fattori che influenzano la deliverability: la checklist completa (prossimamente)

Fonti

• RFC 7208 - Sender Policy Framework (SPF)
• RFC 6376 - DomainKeys Identified Mail (DKIM)
• RFC 7489 - Domain-based Message Authentication, Reporting, and Conformance (DMARC)
• Google - Email sender guidelines
• Validity - Sender Score