BIMI con ESP e Mittenti Terzi: Requisiti di Allineamento
Scopri come funziona BIMI quando ESP come Mailchimp, HubSpot, Salesforce e SendGrid inviano email per tuo conto. Comprendi l'allineamento DMARC, i requisiti di firma DKIM e come verificare la tua configurazione.
BIMI con ESP e Mittenti Terzi: Requisiti di Allineamento
Quando una piattaforma di terze parti invia email per tuo conto, il logo del tuo brand — e il tuo record BIMI — dipendono interamente da come quella piattaforma gestisce l'autenticazione email. La maggior parte dei problemi di deliverability nelle implementazioni BIMI risale a un singolo dettaglio frainteso: BIMI non si interessa del tuo record SPF quando un ESP invia la tua posta. Si interessa dell'allineamento DKIM.
Questo articolo spiega il perché e cosa devi configurare per far funzionare BIMI in modo affidabile su ogni piattaforma di invio nel tuo stack.
Come BIMI Valuta l'Identità del Mittente
BIMI è ancorato a DMARC. Prima che un provider di posta elettronica visualizzi il tuo logo, verifica che il messaggio passi DMARC. DMARC, a sua volta, richiede l'allineamento — il dominio nell'header From RFC 5322 (l'indirizzo che vede il tuo destinatario) deve allinearsi con il dominio autenticato da SPF o DKIM.
| Metodo di Autenticazione | Dominio Valutato per l'Allineamento |
|---|---|
| SPF | RFC 5321 MAIL FROM (envelope sender / dominio di bounce) |
| DKIM | tag d= nell'header DKIM-Signature |
| Attivazione BIMI | dominio dell'header RFC 5322 From: |
La distinzione critica: SPF si allinea con l'envelope sender. DKIM si allinea con il tag d=.
Perché l'Allineamento SPF Fallisce con gli ESP
Quando Mailchimp, HubSpot, SendGrid o Salesforce Marketing Cloud invia un messaggio per tuo conto, l'SMTP envelope sender (MAIL FROM) è impostato su un dominio di tracciamento bounce controllato dall'ESP — ad esempio:
bounce.list-manage.com(Mailchimp)bounce.hubspotemail.net(HubSpot)em.sendgrid.net(SendGrid)et.yourdomain.comopub.s10.exacttarget.com(Salesforce Marketing Cloud)
SPF autentica questo dominio envelope, non il dominio del tuo header From:. A meno che il dominio di bounce dell'ESP corrisponda esattamente al tuo dominio, l'allineamento SPF fallirà.
Questo è un comportamento atteso. Non è un bug. È come funziona il protocollo.
Punto chiave: Un allineamento SPF fallito non blocca BIMI — a condizione che l'allineamento DKIM passi. DMARC richiede che passi solo un meccanismo di allineamento.
Allineamento DKIM: L'Unico Percorso Affidabile per i Mittenti ESP
Affinché BIMI funzioni quando un ESP invia la tua posta, l'ESP deve firmare i messaggi in uscita con una firma DKIM dove il tag d= corrisponde al dominio del tuo header From.
Cosa significa "corrisponde"
DMARC supporta due modalità di allineamento:
- Allineamento rilassato (predefinito): Il dominio
d=deve condividere lo stesso Dominio Organizzativo del dominio dell'headerFrom:. Ad esempio,d=mail.yourdomain.comsi allinea conFrom: [email protected]. - Allineamento rigoroso: Il dominio
d=deve essere una corrispondenza esatta con il dominio dell'headerFrom:.
La maggior parte delle policy DMARC usa l'allineamento rilassato. Verifica il tag adkim= della tua policy — se assente, si assume rilassato.
Come appare un messaggio allineato DKIM che passa
From: [email protected] ← RFC 5322 From
DKIM-Signature: v=1; a=rsa-sha256;
d=yourdomain.com; ← corrisponde al dominio From ✓
s=esp-selector;
...
Questo messaggio passa DMARC tramite allineamento DKIM. BIMI può essere visualizzato.
Come appare una configurazione che fallisce
From: [email protected] ← RFC 5322 From
DKIM-Signature: v=1; a=rsa-sha256;
d=sendgrid.net; ← dominio dell'ESP, non il tuo ✗
...
Questo messaggio fallisce l'allineamento DMARC. BIMI non verrà visualizzato, indipendentemente dal fatto che il tuo record DNS BIMI sia pubblicato correttamente.
Configurare la Firma DKIM Personalizzata nei Principali ESP
La seguente tabella riassume il supporto per domini DKIM personalizzati negli ESP più diffusi. "DKIM personalizzato" significa che l'ESP può firmare con il tuo dominio nel tag d=, non con il proprio.
| ESP | Supporto Dominio DKIM Personalizzato | Percorso di Configurazione | Note | |---|---|---|---| | Mailchimp | ✅ Sì | Audience → Settings → Domains → Authenticate | Richiede record DNS CNAME; Mailchimp gestisce le chiavi | | HubSpot | ✅ Sì | Settings → Marketing → Email → Sending Domains | Aggiunge record DKIM TXT al tuo DNS | | Salesforce Marketing Cloud | ✅ Sì | Admin → Domain Management → SAP / Private Domain | Richiede configurazione Private Domain; configurazione SAP raccomandata | | SendGrid (Twilio) | ✅ Sì | Settings → Sender Authentication → Domain Authentication | Pubblica record CNAME; rotazione automatica delle chiavi disponibile | | Klaviyo | ✅ Sì | Account → Settings → Email → Sending Domains | Basato su CNAME; richiesto per invio dedicato | | ActiveCampaign | ✅ Sì | Settings → Advanced → Email Domain Authentication | Record DKIM TXT aggiunto al tuo DNS | | Brevo (formerly Sendinblue) | ✅ Sì | Senders & IP → Domains | Guida per record DKIM e DMARC fornita | | Constant Contact | ⚠️ Limitato | Auto-autenticazione tramite DKIM nelle impostazioni avanzate | DKIM con dominio personalizzato disponibile ma configurazione non banale | | Campaign Monitor | ✅ Sì | Account Settings → Authenticated Domains | Supportati sia allineamento DKIM che SPF | | Postmark | ✅ Sì | Sender Signatures → DKIM | DKIM per dominio; forte focus sulla deliverability | | Amazon SES | ✅ Sì | Configuration → Verified Identities → DKIM | Supporta sia Easy DKIM (gestito da AWS) che BYODKIM |
Se il tuo ESP non è elencato o non supporta la firma DKIM con dominio personalizzato, BIMI non funzionerà per la posta inviata attraverso quella piattaforma. Contatta il tuo ESP per richiedere questa funzionalità o valuta un fornitore alternativo.
Passo per Passo: Verificare l'Allineamento DKIM per BIMI
Segui questi passaggi per confermare che la configurazione del tuo ESP supporti BIMI prima di pubblicare il tuo record DNS BIMI.
- Invia un messaggio di test dal tuo ESP a una casella di posta che controlli (Gmail, Yahoo o un account Microsoft 365).
- Apri gli header grezzi del messaggio. In Gmail: menu tre punti → Mostra originale. In Outlook: File → Proprietà → Intestazioni Internet.
- Individua l'header
DKIM-Signature. Trova il valore del tagd=.
- Confronta il valore
d=con il dominio del tuo headerFrom:.
d=yourdomain.com e From: [email protected] → ✅ Allineato
- Se d=esp-platform.com e From: [email protected] → ❌ Non allineato
- Controlla l'header
Authentication-Results(