Email transazionali8 min di lettura

Email di reset password non arriva: cosa controllare

Quando un utente non riceve l'email di reset password, è un problema serio: blocca l'accesso, crea frustrazione e spesso significa che il tuo dominio è visto come rischioso dai gestori di posta. Ecco come risolvere.

Le email di reset password sono critiche: ogni minuto di mancata consegna è un utente frustrato che potrebbe abbandonare la tua piattaforma. Eppure, è sorprendentemente comune che queste transazionali finiscano direttamente nello spam, o scompaiano completamente.

In Italia, dove una grande parte della tua audience usa Libero, Virgilio, TIM/Alice accanto a Gmail e Outlook, i problemi di autenticazione email si amplificano. Questi provider locali hanno filtri antifrode specifici e, a differenza di Gmail, non sempre riportano chiaramente il motivo del rifiuto.

Questa guida ti mostrerà dove cercare il messaggio mancante e come rimediare, dalla verifica DNS alla scelta del relay SMTP corretto.

Reset password: la priorità assoluta

Un'email di reset password non è una newsletter: è un messaggio transazionale, che l'utente ha indirettamente richiesto facendo clic su «Ho dimenticato la password». Per questo motivo, mailbox provider (Gmail, Outlook, Libero) dovrebbero dare priorità assoluta alla consegna.

Ma c'è una condizione fondamentale: il tuo dominio deve dimostrare di essere legittimo. Senza autenticazione (SPF, DKIM), anche le transazionali vengono marcate come sospette o bloccate del tutto.

Se il reset non arriva, il problema ha poche cause radice, tutte controllabili:

  • Autenticazione email mancante o mal configurata (SPF/DKIM).
  • Messaggio arrivato in una cartella nascosta (Spam, Promotions, Social su Gmail; Posta Indesiderata su Outlook).
  • Il tuo CMS (WordPress, WooCommerce, PrestaShop) usa PHP mail() anziché SMTP esterno → i server di hosting rifiutano il messaggio.
  • Provider di posta locale (Aruba, TIM/Alice) con regole diverse rispetto a Gmail.

SPF e DKIM: il fondamento

Da febbraio 2024, Google e Yahoo hanno reso obbligatorio SPF e DKIM per chiunque invii più di 5.000 email al giorno a indirizzi Gmail o Yahoo. Ma anche per numeri inferiori, implementare l'autenticazione è il primo passo per garantire la consegna.

SPF (Sender Policy Framework) dice ai server di ricezione: «Questi server hanno il diritto di inviare email per il mio dominio». DKIM (DomainKeys Identified Mail) firma crittograficamente ogni messaggio in modo che il ricevente possa verificare che non è stato alterato.

SPFAutorizza i server di invio per il tuo dominioDKIMFirma crittografica del messaggioDMARCPolitica: cosa fare se SPF/DKIM falliscono
Come funziona l'autenticazione email: SPF, DKIM e DMARC

Come verificare che SPF e DKIM siano configurati:

  1. Accedi al pannello di controllo del tuo hosting (Aruba, SiteGround, ecc.).
  2. Trova la sezione «Zone DNS» o «DNS».
  3. Aggiungi un record TXT SPF simile a questo:v=spf1 include:_spf.google.com include:sendgrid.net ~all(Sostituisci i provider con i tuoi: se usi MailUp, aggiungi il loro SPF include; se usi il server SMTP del tuo hosting, metti l'indirizzo IP con ip4:.)
  4. Per DKIM, il tuo provider SMTP (Gmail per Google Workspace, Aruba per mailbox Aruba, oppure un ESP come MailUp o Brevo) dovrebbe fornirti una stringa CNAME o TXT da aggiungere al DNS. Non è sempre automatico: controlla le loro istruzioni di setup.
Usa uno strumento gratuito per verificare
Puoi testare come il tuo messaggio viene percepito da Gmail, Libero, Outlook e altri 20+ provider usando check.live-direct-marketing.online. Invia un'email di test, ricevi i seed-indirizzi, e vedrai esattamente in quale cartella finisce – Inbox, Spam, Promotions – nonché i risultati SPF/DKIM. È gratuito e senza registrazione.

Guarda nel Spam, Promozioni e altre cartelle

Su Gmail, un messaggio può finire in cinque posti diversi: Inbox (Posta in arrivo), Spam, Promozioni, Social oppure Aggiornamenti. Outlook divide similmente in Posta in arrivo, Posta indesiderata, Altro.

Libero, Virgilio e TIM/Alice spesso raggruppano tutto nella cartella principale, ma alcuni filtri avanzati possono spostare il messaggio in una cartella «Sospetti» o simile.

Se il reset non arriva:

  • Controlla lo spam. Accedi direttamente all'account Gmail/Outlook dell'utente, cerca nella cartella Spam, Promozioni e Posta indesiderata.
  • Verifica il timing. A volte Gmail ritarda la consegna di 1–5 minuti se è sospetto. Aspetta prima di dichiarare fallito.
  • Prova con un indirizzo personale. Crea un test account con Gmail, Yahoo, Libero, Outlook e invia a te stesso un reset finto. Vedi dove finisce.

Problemi comuni di CMS e piattaforme e-commerce

WordPress, WooCommerce, PrestaShop e Contact Form 7 hanno un difetto di design: per default, usano la funzione PHP mail(), che invia email come se venissero dal server di hosting, non dal tuo dominio.

Se il tuo hosting è presso una società grande (SiteGround, Bluehost) o una locale come Aruba, gli SPF record del hosting potrebbero conflittare con i tuoi, oppure il server di hosting potrebbe rifiutare la mail se la vede originare da un'IP sconosciuto.

La soluzione: configurare un relay SMTP esterno.

Installa un plugin come WP Mail SMTP (gratuito per WordPress/WooCommerce) o, per PrestaShop, usa il modulo nativo «Configura SMTP» e punta a un servizio come:

  • SendGrid (gratuito fino a 100 email/giorno, buono per test).
  • Brevo (ESP francese, locale in Italia, piano gratuito).
  • MailUp (ESP italiano, molto usato da agenzie e retailer).
  • Il tuo hosting se supporta SMTP esterno: Aruba, ad esempio, fornisce credenziali SMTP per i clienti hostati.

Una volta configurato SMTP, ogni email (comprese le transazionali di reset) partirà dal tuo dominio con autenticazione corretta.

Verifica con il tuo provider di posta

Se usi un dominio hostato presso Aruba (il più grande hosting provider italiano), TIM/Alice, o un altro fornitore locale, contatta il loro supporto tecnico per verificare che:

  • SPF/DKIM siano configurati correttamente nella zona DNS (alcuni hoster li impostano automaticamente).
  • Non ci siano rate limit o blocchi sul numero di email da inviare per ora.
  • Il relay SMTP sia correttamente impostato se usi transazionali esterne.

Aruba in particolare gestisce sia l'hosting che il servizio di posta PEC (che è diverso da email commerciale), quindi a volte le configurazioni si incrociano. Se sei cliente Aruba, il loro team può fornire istruzioni specifiche.

Come testare prima che il problema si manifesti

Non aspettare che gli utenti segnalino il problema. Testa tu stesso il tuo sistema di reset:

  1. Crea un account test sul tuo sito con email fittizie su Gmail, Yahoo, Libero, Virgilio e Outlook.
  2. Fai un reset password da ogni account.
  3. Controlla le cartelle. Se il messaggio non arriva in 30 secondi, c'è un problema.
  4. Usa il tool gratuito check.live-direct-marketing.online: invia un'email di test e ricevi il verdetto su quali provider la ricevono, quale cartella, e i dettagli di autenticazione.
Tuo dominio (es. tuosito.it)SPF + DKIM verificaControllo di autenticazioneFiltri spamReputazione, contenuto, storiaInboxSpam / Posta indesiderata
Il viaggio dell'email transazionale: come passa attraverso i filtri

Questo test ti dirà esattamente dove il problema si trova – prima che gli utenti si trovino bloccati fuori dai loro account.

Se l'email di reset password scade in 24 ore, quanto tempo ho per risolvere un problema di consegna?

Se le transazionali non arrivano, il problema è immediato e sistematico, non legato a un ritardo di un giorno. Se SPF/DKIM sono corretti e il messaggio comunque non arriva, il difetto è o nel tuo CMS (PHP mail() anziché SMTP), o nel tuo hosting (rate limit, firewall). Questi vanno risolti in ore, non giorni. Per il reset stesso, è ideale impostare un TTL di 30 minuti o 1 ora, non 24 ore – riduce l'esposizione a un furto di reset token e migliora l'UX.

Il reset password funziona perfettamente su Gmail, ma non su Libero e Virgilio. Perché?

Libero e Virgilio (entrambi gestiti da Italiaonline) usano server di filtri antifrode leggermente diversi rispetto a Gmail. A volte più restrittivi, a volte meno. Se Gmail riceve il messaggio ma Libero/Virgilio no, controlla: (1) il SPF includa i range di Libero/Virgilio (spesso non è necessario, ma non fa male); (2) il DKIM sia correttamente firmato; (3) il tuo relay SMTP non sia sulla blacklist (usa strumenti come MXToolbox per verificare). Se il problema persiste, contatta il supporto Italiaonline direttamente – sanno quali indirizzi IP sono bloccati.

SPF e DKIM sono OK in Postmaster Tools di Google, ma il messaggio finisce comunque in Spam per Libero. Cosa manca?

Google è relativamente trasparente tramite Postmaster Tools, ma Libero e Virgilio non hanno un equivalente pubblico. Se passa Google ma non Libero, il problema è probabilmente: (1) la reputazione del tuo dominio presso Italiaonline (se è nuovo, ha basso score); (2) il contenuto dell'email (parole spam-like, link sospetti); (3) la frequenza di invio (se spammi il reset password a migliaia di utenti in un'ora, Libero lo vede come attacco); (4) l'indirizzo di rimbalzo (bounce address) non impostato correttamente. Prova a mandare i reset in modo più graduale (rate-limited) e assicurati che il FROM sia un indirizzo reale e monitorato.
Letture correlate
Found this useful? Share it
AB
Sull'autore
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifica la tua deliverability su oltre 20 provider

Gmail, Outlook, Yahoo, Libero, GMX, ProtonMail e altri. Screenshot reali della posta in arrivo, SPF/DKIM/DMARC, verdetti dei filtri antispam. Gratis, senza registrazione.

Avvia il test gratuito →

Test illimitati · Oltre 20 caselle · Risultati in tempo reale · Nessun account