Introduzione
La limitazione del numero di messaggi inviabili attraverso server SMTP in un determinato intervallo di tempo rappresenta una misura di sicurezza e di tutela della reputazione dei domini di posta.
Tali limitazioni, spesso espresse in termini di messaggi o destinatari per minuto, ora o giorno, non derivano da obblighi normativi o da protocolli internazionali vincolanti, ma costituiscono politiche operative adottate autonomamente dai provider. Esse mirano a prevenire l’abuso delle infrastrutture di posta elettronica e a contenere fenomeni di spam, phishing e compromissione degli account.
Riferimenti tecnici e protocollari
Il funzionamento della posta elettronica è regolato da una serie di standard tecnici definiti dall’Internet Engineering Task Force (IETF), in particolare:
- RFC 5321 – Simple Mail Transfer Protocol (SMTP)
Definisce le modalità di trasmissione dei messaggi tra server di posta. - RFC 6376 – DomainKeys Identified Mail (DKIM)
Introduce la firma crittografica dei messaggi per verificare l’autenticità del mittente. - RFC 7208 – Sender Policy Framework (SPF)
Consente di specificare quali server sono autorizzati a inviare posta per un determinato dominio. - RFC 7489 – Domain-based Message Authentication, Reporting and Conformance (DMARC)
Stabilisce regole di autenticazione e gestione delle segnalazioni di abuso.
Nessuno di questi documenti prevede limiti numerici all’invio dei messaggi, poiché gli standard si concentrano sugli aspetti di interoperabilità e autenticazione.
Le limitazioni quantitative (rate limiting) sono invece misure di policy, nate come buona pratica condivisa per garantire l’affidabilità del servizio.
Linee guida e buone pratiche internazionali
Nel tempo si sono affermate, su base volontaria, alcune raccomandazioni settoriali che orientano le scelte dei provider. Tra le principali:
- M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group): organismo internazionale che riunisce i principali provider (Google, Microsoft, Yahoo, ecc.) e produce linee guida tecniche sulla prevenzione dello spam e l’uso responsabile dei sistemi di posta.
- CSA – Certified Senders Alliance: iniziativa europea che promuove standard di comportamento e reputazione per chi effettua invii massivi legittimi (es. newsletter).
- ESPcoalition: gruppo di lavoro internazionale che definisce regole operative e metriche di reputazione per i fornitori di servizi di posta.
- Normativa europea e statunitense: il Regolamento e-Privacy (UE) e il CAN-SPAM Act (USA) fissano limiti legali sul contenuto e sulle modalità del marketing elettronico, ma non disciplinano gli aspetti tecnici di rate limiting.
Ne consegue che non esiste una soglia universale o un limite standard per l’invio dei messaggi; i provider definiscono i propri parametri interni sulla base di criteri tecnici e di sicurezza comuni.
Criteri generali di limitazione
Le principali finalità delle restrizioni sugli invii SMTP possono essere sintetizzate come segue:
- Prevenzione dello spam – ridurre la possibilità che un account compromesso diffonda grandi volumi di posta indesiderata.
- Tutela della reputazione del dominio e dell’IP – evitare che i server finiscano in blacklist internazionali.
- Equilibrio del carico di rete – garantire stabilità e continuità del servizio anche in presenza di picchi di traffico.
- Controllo adattivo – applicare limitazioni dinamiche in base alla reputazione del mittente, al tipo di contenuto e al comportamento storico dell’account.
Politiche di invio adottate dai principali provider
Nella tabella seguente sono riassunti i limiti dichiarati o deducibili per alcuni tra i principali provider di posta elettronica utilizzati in ambito italiano ed europeo.
| Provider | Limiti dichiarati / ufficiali (quando disponibili) | Note e osservazioni |
|---|---|---|
| Aruba | • Non è consentito inviare tramite SMTP messaggi con contenuto commerciale a più di 150 destinatari per messaggio (con alcune eccezioni, es. PEC) • È indicato che non siano consentite trasmissioni di massa verso un volume superiore a 8.000 destinatari al giorno | I limiti possono variare in funzione del tipo di casella, della reputazione del mittente e del piano contrattuale. |
| Gmail / Google Workspace | • Account Google Workspace: 2.000 messaggi al giorno per utente (interni + esterni) • Destinatari per singolo messaggio: fino a 2.000, con massimo 500 destinatari esterni • Account Gmail “normale”: 500 messaggi al giorno (con limiti più stretti per destinatari esterni) | Google applica limiti su finestre mobili di 24 ore, non su reset fissi giornalieri. |
| Microsoft 365 / Exchange Online | • Limite di destinatari totali giornalieri: circa 10.000 per mailbox o organizzazione • Numero di destinatari per messaggio: circa 1.000 (a seconda del piano) • Esistono limiti di “message rate” (messaggi/minuto) nei casi di invio via client SMTP | L’invio tramite SMTP relay o connector può avere limiti più permissivi. |
| Outlook.com / Microsoft (account consumer) | • Destinatari giornalieri massimi: 5.000 • Destinatari per singolo messaggio: 500 • Destinatari “non relazionati” al giorno: 1.000 | I limiti possono essere ridotti per account nuovi o con scarsa attività pregressa. |
| Yahoo Mail | • Viene fatto riferimento a limiti sul numero di messaggi inviabili “in una volta sola” per prevenire abusi | Non sono stati trovati valori numerici ufficiali chiari nei documenti di Yahoo. |
| Libero | • Numero massimo di destinatari per messaggio (campi A, CC, CCN): 50 | I sistemi di Libero possono introdurre soglie temporanee se un account invia molti messaggi in breve tempo. |
| Tiscali | • Non sono stati trovati limiti ufficiali pubblicati relativi al numero di email giornaliere o alla velocità di invio (messaggi/minuto) | Le guide ufficiali forniscono solo parametri SMTP/IMAP/POP, senza indicazioni quantitative. |
Conclusioni
Non esistono protocolli o accordi internazionali che impongano un limite univoco alla velocità o quantità di invii tramite SMTP.
I limiti pratici osservati derivano da scelte autonome dei provider, che li adottano in coerenza con un consenso tecnico internazionale volto a preservare la sicurezza e la reputazione dei sistemi di posta.
L’analisi dei principali fornitori mostra una convergenza empirica: le soglie di invio giornaliere variano da poche centinaia a qualche migliaio di messaggi, e il numero massimo di destinatari per singolo invio si colloca mediamente tra 50 e 150.
Queste politiche, pur non uniformi, rispondono a esigenze comuni di affidabilità, tutela degli utenti e conformità alle buone pratiche internazionali di gestione della posta elettronica.
Inidoneità degli SMTP generalisti all’invio massivo
Gli SMTP generalisti forniti dai provider di posta — come quelli integrati nei servizi di dominio standard (Aruba, Libero, Tiscali, TIM, Vodafone, ecc.) o nei servizi consumer di posta elettronica (Gmail, Outlook, Yahoo) — non sono progettati per l’invio massivo di comunicazioni quali circolari, newsletter o notifiche automatiche generate da applicazioni web o gestionali.
Tali infrastrutture privilegiano l’affidabilità del servizio individuale e la reputazione collettiva dei server, imponendo quindi limiti stringenti sulla frequenza e sul volume di invio.
L’utilizzo di questi SMTP per finalità di invio massivo può produrre effetti indesiderati:
- blocco temporaneo o sospensione dell’account, a seguito del superamento delle soglie di invio;
- filtraggio o marcatura come spam da parte dei destinatari, dovuta alla mancanza di configurazioni adeguate (DKIM, SPF, DMARC) o all’eccessiva frequenza di invii;
- mancata ricezione dei messaggi;
- deterioramento della reputazione del dominio e conseguente riduzione della deliverability generale anche per i messaggi legittimi.
Per attività di comunicazione collettiva è pertanto raccomandato l’uso di servizi specializzati di invio transazionale o di mailing certificato, dotati di infrastrutture dedicate, sistemi di autenticazione corretti, monitoraggio della reputazione e canali SMTP progettati per volumi elevati.
Tra le soluzioni idonee rientrano i servizi di tipo Mailjet, SendGrid, Amazon SES, Mailgun, Postmark, Brevo o equivalenti, che permettono di gestire in modo conforme e controllato gli invii multipli e di integrare le corrette pratiche di consenso e disiscrizione.
Potrebbero interessarti:
Utilizzo della PEC a scuola
Google for Workgroup e conformità al GDPR
WordPress e Sicurezza – I Passi per Proteggere il Vostro Sito
FIrma digitale: i concetti chiave per conoscerla
Disconnettersi correttamente da Microsoft Teams – Eliminare credenziali di Microsoft Teams memorizzate per errore
ANAC e pubblicazione delle griglie OIV: proviamo a fare chiarezza
