Come configurare SPF, DKIM e DMARC su Beehiiv [2026]

di

Ultimo aggiornamento:
9 Tempo di lettura: 9 min
Come configurare SPF, DKIM e DMARC su Beehiiv [2026]

Hai collegato un dominio personalizzato a Beehiiv o hai ricevuto un avviso critico che ti segnala la necessità dell'autenticazione DMARC? Per garantire che la deliverability della tua newsletter rimanga ottimale, è necessario configurare correttamente i protocolli di autenticazione delle e-mail.

Beehiiv gestisce SPF e DKIM in modo unico tramite record CNAME generati automaticamente, ma l'implementazione di DMARC rimane un passaggio manuale e obbligatorio per tutti i domini personalizzati. Questa guida illustra i passaggi esatti per la configurazione, le particolarità specifiche della piattaforma e come verificare che la configurazione funzioni perfettamente.

I punti chiave da prendere in considerazione

  • Generazione automatica di SPF e DKIM: Beehiiv genera automaticamente i record SPF e DKIM come record CNAME durante la configurazione del dominio personalizzato. È sufficiente copiarli sul proprio provider DNS, senza dover inserire manualmente le righe TXT.
  • Ritardo dovuto al messaggio “Not Found” di DKIM: è del tutto normale visualizzare lo stato “Not Found” subito dopo la configurazione. La verifica DKIM di Beehiiv richiede che il traffico di posta in uscita attivi il rilevamento.
  • Attenzione al proxy di Cloudflare: se il tuo DNS è gestito tramite Cloudflare, assicurati che i tuoi record di autenticazione siano impostati su “Solo DNS”. Beehiiv non è in grado di rilevare né verificare i record “proxied”.
  • Periodo di attesa di 72 ore: la propagazione del dominio può richiedere fino a 72 ore. Evita di eliminare e reinserire i tuoi record durante questo periodo per evitare di essere soggetto a limitazioni di velocità da parte del provider SSL di Beehiiv.

Cosa configura automaticamente Beehiiv (e cosa devi ancora fare)

Quando si utilizza l'infrastruttura di sottodomini predefinita di Beehiiv, i protocolli di autenticazione delle e-mail sono già completamente preconfigurati. Tuttavia, nel momento in cui si collega un dominio personalizzato, l'autenticazione della titolarità del dominio diventa una tua responsabilità.

Per proteggere il tuo marchio e migliorare il posizionamento:

Mentre Beehiiv gestisce le impostazioni del tuo dominio personalizzato tramite voci di tracciamento dinamiche, il DMARC deve essere configurato separatamente e manualmente da te presso il tuo registrar di domini.

Come aggiungere un dominio personalizzato e configurare i record SPF/DKIM

Passaggio 1: Avvia la configurazione del dominio personalizzato

1. Accedi alla tua dashboard di Beehiiv.

1 Pannello di controllo di Beehiiv

2. Spostati nell'angolo in basso a sinistra e clicca su Impostazioni.

3. Seleziona la scheda " Domini ", quindi individua e fai clic sul pulsante " Configura dominio personalizzato".

4. Inserisci il tuo dominio principale o il sottodominio scelto, imposta le preferenze di reindirizzamento (si consiglia vivamente di abilitare il reindirizzamento www affinché la tua pubblicazione venga risolta in modo coerente) e digita il dominio di invio designato.

4 Inserisci il tuo dominio principale

Fase 2: Verifica e generazione dei record DNS

1. Passa alla schermata "Verifica e configurazione" e verifica che le informazioni relative al tuo dominio siano del tutto corrette.

5. Revisione e generazione

2. Fare clic su " Completa l'installazione".

6. Completamento della configurazione

3. Beehiiv ti fornirà immediatamente la tua mappa DNS unica. Il sistema genera una serie completa di record web, di routing e di collegamento, tra cui 3 record CNAME specifici dedicati esclusivamente alla configurazione della tua infrastruttura SPF e DKIM.

Fase 3: Scegliere la configurazione Entri (automatica) o quella manuale

Beehiiv offre due modalità per la scrittura dei record presso il proprio provider DNS:

  • Entri (automatico): se il tuo provider di domini è supportato dal partner automatizzato di Beehiiv, puoi autorizzare Entri ad accedere in modo sicuro al tuo registrar e a inserire automaticamente i record generati. Questa opzione riduce al minimo gli errori dovuti al copia-incolla manuale.

7 voci (automatiche)

  • Configurazione manuale: nel caso di registrar non supportati o di amministratori che preferiscono limitare l'accesso automatico al pannello di controllo, è possibile copiare manualmente ogni singolo host e valore "point-to".

10 Configurazione manuale

Passaggio 4: Aggiungere i record CNAME per SPF/DKIM

1. Accedi direttamente al tuo registrar di dominio o al gestore esterno del DNS.

2. Crea una nuova voce per ciascuna delle tre stringhe di autenticazione Beehiiv generate automaticamente:

  • Tipo: CNAME
  • Host/Nome: incolla esattamente la chiave host generata da Beehiiv (ad es., bh._domainkey). Nota: alcuni pannelli di gestione DNS richiedono solo il prefisso del sottodominio; verifica le regole di formattazione del tuo host.
  • Destinazione/Valore: incolla la stringa di destinazione fornita dal pannello.
  • TTL: Lasciare su "Auto" o "1 ora".

3. Nota su Cloudflare: se il tuo DNS passa attraverso Cloudflare, modifica lo stato del proxy per questi record da “Proxied” (nuvola arancione) a “DNS Only” (nuvola grigia). Beehiiv non è in grado di leggere i record nascosti da uno scudo proxy.

4. Salvare ogni voce del registro in modo sicuro.

Passaggio 5: Verifica le modifiche apportate

1. Torna alla dashboard di Beehiiv e clicca su “Verifica configurazione”.

2. Un dominio la cui autenticazione è andata a buon fine mostrerà un segno di spunta di verifica con un banner di stato “Email” accanto alla riga del dominio.

3. Se la convalida non viene confermata immediatamente, attendere che la cache globale si aggiorni. La propagazione può richiedere fino a 72 ore. Non modificare, rimuovere o aggiornare i record durante questo periodo di convalida, poiché ciò causerebbe blocchi dovuti al limite di frequenza dei certificati con il servizio di emissione SSL di Beehiiv.

Passaggio 6: Aggiungi il record DMARC di Beehiiv

Per generare un record DMARC corretto e completo, puoi utilizzare il generatore gratuito di record DMARC di PowerDMARC.

1. Accedi allo strumento DMARC Record Generator:

11 Generatore di record DMARC

Ecco il significato dei nuovi tag:

np (Politica sui sottodomini inesistenti)

Il tag "np" individua i sottodomini che restituiscono una risposta DNS NXDOMAIN (ovvero, che non esistono).

t (modalità di test)

Il tag "t" è venuto a sostituire il tag "pct" (percentuale) e semplifica la verifica delle politiche rigorose. Ma soprattutto, "t=y" non disattiva la politica DMARC.

psd (dominio con suffisso pubblico)

Il formato PSD viene utilizzato per il dominio organizzativo durante la valutazione DMARC, soprattutto per i domini con suffisso pubblico e le gerarchie di domini personalizzate.

2. Seleziona l'impostazione p=none (ovvero, solo monitoraggio), per poter esaminare il traffico e-mail prima di passare a p=quarantine (applicazione flessibile) o p=reject (applicazione rigorosa).

Nota

Non impostare subito p=reject, poiché ciò potrebbe bloccare le tue stesse e-mail aziendali legittime. Inizia sempre con p=none. Solo dopo aver verificato e assicurato che tutti i mittenti legittimi siano configurati correttamente potrai passare a criteri più restrittivi.

3. Inserisci il tuo indirizzo e-mail nel campo “Reporting” in cui desideri ricevere i rapporti aggregati DMARC RUA.

4. Copia il record TXT del DNS per poi incollarlo nella tua console di gestione del DNS.

5. Accedi alla tua console di gestione DNS. Aggiungi il record che hai copiato:

  • Tipo: TXT
  • Host/Nome: _dmarc (o _dmarc.tuodominio.com)
  • Valore: [Incolla il valore TXT DMARC generato]

6. Salva il record.

Nota di Cloudflare: se il tuo DNS passa attraverso Cloudflare, modifica lo stato del proxy per questi record da “Proxied” (nuvola arancione) a “DNS Only” (nuvola grigia). Beehiiv non è in grado di leggere i record nascosti da uno scudo proxy.

Passaggio 7: Verifica della propagazione

Dopo aver salvato, puoi utilizzare il DMARC Checker di PowerDMARC per verificare che il tuo nuovo record sia effettivamente attivo a livello globale.

Verifica della propagazione

L'implementazione graduale del DMARC

Non passare subito a una politica di esecuzione restrittiva. Una strategia DMARC adeguata prevede un approccio graduale e mirato per evitare di bloccare i flussi di posta legittimi.

[Fase 1: Monitoraggio (p=nessuna)] ➔ [Fase 2: Quarantena (p=quarantena)] ➔ [Fase 3: Rifiuto (p=rifiuto)]

FaseTag relativo alle politicheImpatto operativo
Settimane 1–4p=nessunoModalità di monitoraggio: raccolta di dati telemetrici diagnostici in formato XML. Monitora i tuoi mittenti aggregati, verifica che Beehiiv funzioni correttamente e risolvi eventuali anomalie a livello di origine senza compromettere la deliverability.
Settimane 5–8p=quarantenaApplicazione flessibile: le e-mail che non superano i controlli di autenticazione vengono automaticamente deviate dalla posta in arrivo verso le cartelle della posta indesiderata o dello spam. Approfitta di questo periodo per verificare che nessuno strumento legittimo sia fuori uso.
Settimana 9+p=rifiutoApplicazione rigorosa: i tentativi di invio di e-mail dannose, non autenticate o contraffatte che si spacciano per il tuo dominio vengono immediatamente bloccati al gate del server di ricezione.

Nota: i dati XML DMARC grezzi presentano una struttura complessa e sono difficili da leggere manualmente. L'elaborazione dei flussi di dati tramite la nostra piattaforma DMARC Analyzer converte i log XML grezzi in una dashboard intuitiva e di facile lettura, riportando le percentuali di superamento/fallimento relative all'intero profilo del mittente.

Problemi comuni relativi all'autenticazione delle e-mail su Beehiiv

DKIM mostra il messaggio “Non trovato” subito dopo la configurazione

  • Sintomo: le voci SPF e DMARC presentano dei segni di spunta verdi, ma l'interfaccia di Beehiiv segnala che DKIM è mancante o non verificato.
  • Motivo: le chiavi DNS statiche vengono lette immediatamente, ma la piattaforma interna di Beehiiv convalida le firme DKIM in modo dinamico, analizzando l’involucro dell’e-mail firmata durante il transito. Se il tuo nuovo dominio personalizzato non presenta alcuna cronologia di messaggi in uscita, non vi sono dati su cui basare la valutazione.
  • Soluzione: invia un messaggio di prova in tempo reale oppure imposta una sequenza automatica di email di benvenuto al tuo stesso account. Non appena il sistema di posta rileva una transazione attiva, lo stato dell'interfaccia si aggiornerà su "attivo".

Il dominio non viene verificato dopo l'aggiunta dei record in Cloudflare

  • Sintomo: ogni voce del record rispecchia perfettamente gli elementi di dati presenti in Beehiiv, eppure i controlli di validità vanno ripetutamente in timeout o falliscono.
  • Motivo: la configurazione standard del proxy di Cloudflare nasconde i dati DNS strutturali dietro la propria rete di ottimizzazione periferica.
  • Soluzione: accedi alla console DNS di Cloudflare, clicca su "Modifica" per ciascuno dei 3 record CNAME che puntano a Beehiiv e sposta l'interruttore da " Proxied " (nuvola arancione) a " DNS Only " (nuvola grigia).

Verifica in stallo da oltre 72 ore

  • Sintomo: lo stato di elaborazione del dominio rimane bloccato in uno stato di attesa a ciclo continuo ben oltre l'intervallo di tempo previsto.
  • Causa: ciò accade solitamente se si eliminano e si aggiungono nuovamente dei record durante la finestra di propagazione iniziale, il che fa scattare i limiti di sicurezza imposti dal provider SSL automatizzato di Beehiiv.
  • Soluzione: lasciare tutte le voci esattamente come sono. Se la convalida risulta ancora bloccata dopo 72 ore, utilizzare il chatbot integrato nell'app di Beehiiv per avvisare il loro servizio di assistenza tecnica.

Conflitto relativo all'indirizzo e-mail privato di Namecheap

  • Sintomo: i flussi di lavoro di posta principali smettono di funzionare oppure la configurazione dei domini genera errori sistematici esclusivamente sui domini ospitati da Namecheap.
  • Motivo: la scelta della parola “mail” come sottodominio strutturale di invio (ad es., mail.tuodominio.com) provoca un conflitto a livello di architettura con le regole di instradamento del server di posta elettronica privato di Namecheap.
  • Soluzione: scegli una variante diversa per il prefisso del sottodominio utilizzato per l'invio della newsletter (ad esempio news, letters o send). Il sistema di convalida di Beehiiv segnala automaticamente questo specifico rischio durante le fasi iniziali di configurazione.

DMARC non supera il controllo anche se SPF e DKIM lo superano singolarmente

  • Sintomo: un'analisi approfondita dell'intestazione del messaggio rivela singoli record spf=pass e dkim=pass, ma il sistema segnala complessivamente un errore dmarc=fail.
  • Causa: Errore di allineamento. DMARC richiede che il dominio che gestisce l'autenticazione SPF/DKIM corrisponda al dominio principale indicato nel campo visibile "Da:".
  • Soluzione: verifica che la configurazione del dominio di invio all’interno di Beehiiv corrisponda all’identità del dominio visualizzata negli indirizzi “Da:” delle tue campagne pubbliche.

Come verificare che tutto funzioni correttamente

Per verificare che la configurazione dell'autenticazione via e-mail sia corretta, segui questi passaggi di verifica:

  • Verifica l'invio di un'e-mail in uscita: invia un messaggio di prova dal tuo account Beehiiv a una casella di posta esterna (ad esempio un indirizzo Gmail personale). Apri la visualizzazione dell'intestazione in formato grezzo (“Mostra originale” in Gmail) e verifica che all'interno del blocco di autenticazione siano chiaramente indicati SPF: PASS, DKIM: PASS e DMARC: PASS.
  • Esegui una ricerca del record SPF: verifica che le tue chiavi pubbliche vengano risolte correttamente, senza problemi di formattazione sintattica.
  • Esegui una ricerca dei record DKIM: assicurati che le configurazioni delle chiavi crittografiche siano pubblicate correttamente sui server dei nomi globali.
  • Esegui un controllo dei record DMARC: verifica che i tag della tua policy strutturale corrispondano ai parametri di applicazione previsti.
  • Verifica il punteggio complessivo del dominio: incolla l'indirizzo web principale direttamente nell'analizzatore completo di PowerDMARC per ottenere un punteggio diagnostico completo che copre lo stato della sicurezza e dell'autenticazione della tua posta elettronica.

Migliori pratiche per l'autenticazione delle e-mail con Beehiiv

  • Implementazione proattiva: configura sempre i record SPF e DKIM prima di pianificare il lancio della tua prima grande campagna, per proteggere la tua reputazione iniziale come mittente.
  • Non ignorare mai il DMARC: il DMARC è un requisito di conformità obbligatorio per tutti i domini personalizzati su Beehiiv. Ignorarlo può causare problemi di consegna o la non conformità dell'account.
  • Evita di affrettare l'applicazione delle regole: non applicare mai una regola di rifiuto (p=reject) fin dal primo giorno. Attua le tue politiche in modo graduale, attraverso un'implementazione monitorata e per fasi, per evitare di bloccare accidentalmente le tue stesse e-mail legittime.
  • Verifica delle modifiche future: se in futuro dovessi migrare piattaforme ausiliarie o introdurre software transazionale esterno nel tuo dominio, ricontrolla la configurazione DNS per assicurarti che tali strumenti non entrino in conflitto con la configurazione di Beehiiv.

Domande frequenti

Beehiiv configura automaticamente SPF e DKIM?

Sì, ma solo se utilizzi il sottodominio predefinito *.beehiiv.com. Se gestisci la tua newsletter su un dominio personalizzato, Beehiiv genera automaticamente dei record CNAME personalizzati che dovrai copiare e pubblicare nel pannello DNS del tuo dominio.

DMARC è obbligatorio su Beehiiv?

Sì. A partire da febbraio 2024, Beehiiv richiede l'implementazione obbligatoria del protocollo DMARC per tutti i domini personalizzati, al fine di garantire la conformità agli standard di sicurezza dei provider di posta elettronica e proteggere dai tentativi di spoofing dei domini.

Perché il mio record DKIM su Beehiiv risulta come “Non trovato”?

A differenza dei record statici, Beehiiv verifica il DKIM in modo dinamico, controllando le e-mail reali mentre sono in transito. Basta inviare una breve e-mail di prova o una newsletter dal proprio account per avviare la verifica.

Quanto tempo richiede la verifica del dominio su Beehiiv?

Di solito occorrono da pochi minuti fino a 72 ore affinché le modifiche al DNS globale si propaghino completamente. Evita di modificare o aggiungere nuovamente i tuoi record durante questo periodo per evitare che il provider di sicurezza applichi limiti di frequenza.

Posso usare Beehiiv con il DNS di Cloudflare?

Certamente. Tuttavia, devi modificare lo stato del proxy per i tuoi record CNAME di autenticazione Beehiiv da "Proxied" (nuvola arancione) a "DNS Only" (nuvola grigia), altrimenti i controlli di convalida falliranno.

Da quale politica DMARC dovrei partire su Beehiiv?

Inizia sempre con una politica di solo monitoraggio (p=none). Questo ti permette di raccogliere i rapporti sulla deliverability e di correggere eventuali discrepanze di allineamento prima di passare in tutta sicurezza a politiche di applicazione più rigorose, come la quarantena o il rifiuto.