Un dominio può avere più di un record SPF?

No. La RFC 7208 richiede esattamente un solo record SPF per dominio. Se esistono due record TXT che iniziano con v=spf1, entrambi restituiscono un PermError e la verifica SPF fallisce completamente. Unisci tutte le fonti autorizzate in un unico record.

Cosa significa se il mio dominio ha troppe ricerche DNS?

Il tuo record SPF supera il limite di 10 ricerche DNS stabilito dalla RFC 7208. Ciò causa un errore SPF PermError, che impedisce l'autenticazione SPF per tutte le e-mail, non solo per quelle in eccesso. Riduci il numero di inclusioni, sostituisci con ip4:/ip6: oppure utilizza l'appiattimento SPF o le macro per rimanere entro il limite.

Qual è la differenza tra SPF softfail (~all) e hardfail (-all)?

Softfail (~all) indica ai destinatari di accettare l'e-mail ma di contrassegnarla come sospetta. Hardfail (-all) indica ai destinatari di rifiutare immediatamente l'e-mail. Utilizza softfail durante la configurazione iniziale e i test; passa a hardfail una volta che tutti i mittenti legittimi sono stati confermati e il DMARC è stato implementato.

L'SPF impedisce lo spoofing delle e-mail?

Non da solo. L'SPF verifica il mittente dell'involucro (Return-Path), non l'intestazione "Da" che vedono i destinatari. Un malintenzionato può superare il controllo SPF falsificando l'indirizzo "Da" visibile. Per impedire la falsificazione del nome visualizzato è necessario il DMARC, che verifica la corrispondenza tra i risultati di SPF/DKIM e l'intestazione "Da".

Cosa succede quando l'SPF non funziona?

Dipende dal qualificatore SPF e dal fatto che DMARC sia configurato o meno. Con l'opzione -all e una politica DMARC di rifiuto, l'e-mail viene bloccata. Con l'opzione ~all e in assenza di DMARC, l'e-mail potrebbe comunque essere recapitata, ma verrà contrassegnata come sospetta. In assenza totale di SPF, i destinatari non dispongono di alcun segnale SPF da valutare.

Come posso controllare il mio record SPF?

Utilizza uno strumento gratuito per la verifica dell'SPF. Inserisci il tuo dominio e lo strumento recupererà il tuo record SPF dal DNS, ne verificherà la sintassi, conterà le ricerche DNS e segnalerà eventuali errori, comprese le violazioni relative a PermError e alle ricerche nulle.

Mi serve l'SPF se ho già DKIM e DMARC?

Sì. DMARC richiede che almeno uno tra SPF e DKIM superi il controllo e sia allineato. Sebbene DKIM da solo sia sufficiente per soddisfare i requisiti di DMARC, l'utilizzo sia di SPF che di DKIM garantisce una maggiore ridondanza. Se uno dei due fallisce (ad esempio, se SPF non funziona in caso di inoltro), l'altro può comunque superare il controllo di allineamento DMARC.

Cos'è l'allineamento SPF?

L'allineamento SPF indica che il dominio presente nel campo Return-Path (mittente dell'involucro) corrisponde al dominio nell'intestazione From. DMARC verifica tale allineamento. In assenza di esso, l'SPF può risultare conforme ma DMARC continuerà a segnalare un errore: è ciò che accade con molti mittenti di terze parti, a meno che non siano configurati per utilizzare il tuo dominio nel campo Return-Path.

Con quale frequenza dovrei aggiornare il mio record SPF?

Controlla il tuo record SPF ogni volta che aggiungi o rimuovi un servizio di invio e verifica la sua validità almeno una volta al trimestre. I record SPF perdono validità man mano che i fornitori modificano gli intervalli IP e lo stack di invio della tua organizzazione si evolve. Un record SPF che era valido sei mesi fa potrebbe oggi risultare non funzionante o incompleto.

Che cos'è l'appiattimento SPF?

La funzione di appiattimento di SPF risolve tutti i riferimenti "include" trasformandoli in indirizzi IP grezzi, riducendo così il numero di ricerche DNS. Ciò consente di rimanere al di sotto del limite di 10 ricerche, ma crea un record statico che deve essere aggiornato ogni volta che un fornitore modifica i propri indirizzi IP. Alternative moderne come le macro SPF mantengono il record dinamico pur rimanendo al di sotto del limite.

Rapporto aggregato DMARC (RUA): cos'è e come interpretarlo

I punti chiave da prendere in considerazione

I report RUA (Reporting URI for Aggregate) forniscono un riepilogo completo su 24 ore di tutto il traffico e-mail che utilizza il tuo dominio, rivelando chi invia messaggi a tuo nome.
A differenza delle relazioni forensi, i rapporti RUA non contengono il testo delle e-mail né informazioni di identificazione personale (PII), il che li rende sicuri ai fini della conformità alle normative globali sulla protezione dei dati.
Questi rapporti costituiscono lo strumento principale utilizzato per individuare i tentativi di spoofing e i servizi legittimi configurati in modo errato.
I report XML grezzi sono difficili da leggere manualmente; l'uso di un analizzatore automatico è lo standard del settore per il 2026.
Un'analisi costante dei dati RUA è l'unico modo sicuro per impostare la tua politica su "rifiuta" senza bloccare la posta "legittima".

Ogni 24 ore, i server di posta in arrivo ti inviano un set di dati strutturato – un rapporto aggregato DMARC (RUA) – che riporta tutti gli indirizzi IP che hanno inviato e-mail utilizzando il tuo dominio: quali sono state recapitate, quali non sono andate a buon fine e quali sono state respinte. Quando la tua giornata inizia con errori di consegna e segnalazioni di spam, è qui che ne trovi la causa.

Questi report, tuttavia, vengono forniti sotto forma di file XML piuttosto complessi, non proprio di facile consultazione. Quindi, sebbene i dati siano molto utili, per sfruttarli al meglio occorre il giusto approccio.

In questa guida vedremo nel dettaglio cosa contengono effettivamente i report aggregati DMARC, come interpretarli senza perdere la testa e come trasformare quei dati grezzi in informazioni molto più utili.

Che cos'è un rapporto aggregato DMARC?

Un rapporto aggregato DMARC è un riepilogo giornaliero in formato XML inviato dai server di posta in arrivo ai proprietari dei domini, che copre tutto il traffico e-mail che dichiara di utilizzare il proprio dominio in un arco di 24 ore.

A differenza dei rapporti forensi, i rapporti RUA garantiscono la tutela della privacy. Non contengono il contenuto delle singole e-mail, gli oggetti dei messaggi né informazioni di identificazione personale (PII); si concentrano invece su indirizzi IP, volumi e risultati di autenticazione.

XML grezzo (semplificato)

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>24h</date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>reject</p>
  </policy_published>

  <record>
    <source_ip>209.85.1.1</source_ip>
    <count>1284</count>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </record>
</feedback>

Analizzato da

Organizzazione responsabile

Chi ha inviato il rapporto (Google, Microsoft, Yahoo)

ID segnalazione • intervallo di date • e-mail di contatto

Politica DMARC pubblicata

La tua polizza attiva nel periodo di riferimento

Dominio • modalità di allineamento • p=nessuna/quarantena/rifiuto

Indirizzo IP mittente

Ogni server che ha inviato e-mail utilizzando il tuo dominio

Individua i mittenti non autorizzati e gli indirizzi IP falsificati

Risultati dell'autenticazione

Risultati SPF, DKIM e DMARC per fonte

superare
fallito
per SPF • per DKIM

DMARC aggregato vs. forense (RUA vs. RUF)

I report RUA (aggregati) forniscono un riepilogo quotidiano di alto livello di tutte le attività di posta elettronica che coinvolgono il tuo dominio, mentre i report RUF (forensi) sono avvisi in tempo reale, specifici per ogni singolo incidente, che descrivono in dettaglio i singoli errori di autenticazione. In breve, RUA offre una visione d'insieme, mentre RUF si concentra su problemi specifici, sebbene sia meno diffuso a causa di questioni relative alla privacy.

Ecco le principali differenze tra i report RUA e RUF.

Caratteristica	RUA (URI di segnalazione per dati aggregati)	RUF (Relazione forense)
Frequenza	Una volta ogni 24 ore	In tempo reale, per ogni guasto
Portata	Riepilogo giornaliero di tutto il traffico	Eventi relativi a errori di autenticazione individuale
La privacy	Non sono incluse informazioni di identificazione personale	Potrebbe contenere dati o intestazioni a livello di messaggio
Supporto	Universale (Google, Microsoft, ecc.)	Limitato (molti fornitori lo omettono per motivi di privacy)

RUA

RELAZIONE AGGREGATA

Frequenza

Una volta ogni 24 ore

Cosa copre

Tutto il traffico e-mail — corretto e non corretto

La privacy

DMARC Aggregate Reports Explained: What They Are, What They Contain & How to Use Them

Nessun dato personale identificativo — sicuro in tutte le regioni

Ideale per

Monitoraggio e applicazione delle norme su base quotidiana

RUF

RELAZIONE PERIZIALE

Frequenza

In tempo reale, per ogni guasto

Cosa copre

Solo le singole e-mail non recapitate

La privacy

Potrebbe contenere oggetti

Ideale per

Analisi di specifici attacchi di spoofing

Quali dati contiene un rapporto aggregato DMARC?

Sebbene un file XML grezzo possa sembrare complesso, esso organizza i dati in blocchi di record specifici che rivelano lo stato di autenticazione.

1. Metadati del rapporto

In questa sezione vengono indicati chi ha redatto la relazione e il periodo di riferimento:

ID del rapporto: un identificatore univoco per il rapporto specifico.
Intervallo di tempo: il periodo specifico di 24 ore durante il quale sono state monitorate le attività.
Nome dell'organizzazione: l'entità che ha generato il rapporto, in genere un provider di caselle di posta.
Informazioni di contatto: dettagli su come contattare l'ente segnalante.

2. Politica DMARC pubblicata

Qui vengono specificate le impostazioni (p=nessuna, quarantena o rifiuto) attive nel tuo DNS durante il periodo di riferimento.

3. Blocchi di record

Ogni blocco di record fornisce dettagli su un insieme specifico di e-mail in base alla loro provenienza:

IP di origine: l'indirizzo IP da cui provengono le e-mail analizzate.
Numero di messaggi: il volume totale delle e-mail inviate da quell'IP nel periodo in questione.
Politica valutata: l'azione intrapresa (disposizione) e la sua conformità alla politica.
RisultatiSPF e DKIM: i risultati specifici (superato/non superato) per ciascun metodo di autenticazione.

Come si attivano i rapporti aggregati DMARC?

Per ricevere questi rapporti, è necessario aggiungere il tag rua= al proprio record TXT DNS DMARC.

Esempio di record:

v=DMARC1; p=nessuno; rua=mailto:[email protected]

Se devi inviare rapporti a un dominio esterno, il dominio del destinatario deve pubblicare un record DNS specifico che ne autorizzi l'accesso.

Come leggere un rapporto aggregato DMARC

Reading DMARC aggregate reports manually involves parsing XML tags like <record>, <row>, and <auth_results>.

Individuare le tendenze

I singoli rapporti forniscono un quadro sintetico della situazione, ma danno il meglio di sé se utilizzati in combinazione tra loro per monitorare i progressi nel tempo. Ad esempio, un numero elevato di errori provenienti da un indirizzo IP specifico nel corso del tempo può indicare un tentativo di spoofing o un server legittimo configurato in modo errato.

Esempio di frammento di codice XML

<source_ip>192.168.1.1</source_ip> <count>1023</count> <disposition>none</disposition> <dkim>pass</dkim> <spf>fail</spf>

In questo estratto, le e-mail provenienti dall'IP 192.168.1.1 hanno superato il controllo DKIM ma non quello SPF. Poiché l'impostazione "disposition" è "none", non è stata intrapresa alcuna azione nonostante il fallimento.

Perché i rapporti aggregati DMARC sono importanti per la sicurezza della posta elettronica?

Non si può proteggere ciò che non si vede. I rapporti RUA offrono numerose informazioni utili per aiutare la tua azienda:

Migliora la deliverability: individua i casi in cui le email legittime vengono contrassegnate come spam e modifica le impostazioni per risolvere il problema.
Migliora la sicurezza e la conformità: individua i mittenti non autorizzati che tentano di spacciarsi per il tuo marchio o di utilizzare il tuo dominio a fini dolosi.
Applicazione sicura delle regole: garantire la visibilità necessaria per passare da p=none (solo monitoraggio) a p=quarantine o p=reject senza bloccare la posta legittima.
Gestire lo Shadow IT (servizi cloud non autorizzati utilizzati dai dipendenti senza l'approvazione del reparto IT): individua i servizi cloud di terze parti che potrebbero inviare e-mail a tuo nome a tua insaputa.

Come utilizzare in modo efficace i rapporti aggregati DMARC?

Per sfruttare al massimo il valore dei tuoi report aggregati DMARC, devi passare da una raccolta passiva dei dati a una gestione attiva dei domini. Poiché i file XML grezzi sono notoriamente difficili da analizzare manualmente, seguire queste sei best practice strategiche ti aiuterà a raggiungere con sicurezza uno stato di piena applicazione del DMARC (p=reject).

1. Sfruttare una soluzione specializzata per l'analisi DMARC

Sebbene sia tecnicamente possibile aprire i file XML con un editor di testo, farlo per centinaia di report risulta poco pratico su larga scala. Uno strumento specializzato come l'analizzatore di report DMARC si occupa del lavoro più impegnativo:

Trasformare l'XML in elementi visivi: convertire migliaia di righe di codice in mappe geografiche intuitive, grafici a torta e dashboard di intelligence sulle minacce.
Identificazione automatica della fonte: anziché visualizzare semplicemente un indirizzo IP come 209.85.220.41, un analizzatore professionale identifica il servizio per nome (ad esempio, “Google Workspace” o “Salesforce”).
Evidenziazione degli errori: segnalazione automatica degli errori di sintassi nei record SPF/DKIM che potrebbero impedire la consegna della posta legittima.

2. Stabilire una cadenza regolare per le revisioni

Gli ecosistemi di posta elettronica sono dinamici: vengono aggiunti nuovi strumenti di marketing e gli intervalli di indirizzi IP dei fornitori terzi cambiano frequentemente.

Monitoraggio quotidiano: durante la fase iniziale di configurazione (quando p=none), controllare quotidianamente i rapporti per assicurarsi che non vi siano interruzioni del traffico legittimo.
Controlli settimanali: una volta che la politica è impostata su p=quarantena o p=rifiuto, di solito è sufficiente un controllo settimanale per monitorare eventuali nuovi tentativi di spoofing o casi di “Shadow IT” (servizi cloud non autorizzati utilizzati da diversi reparti).
Proattivo vs. reattivo: non aspettare che si verifichi una crisi di deliverability o un attacco di phishing prima di analizzare i dati relativi all'RUA.

3. Approfondire i dettagli relativi ai guasti più frequenti

Non tutti i guasti rappresentano una minaccia per la sicurezza, ma quelli che interessano grandi volumi sono quasi sempre rilevanti.

Identifica i responsabili: individua gli indirizzi IP che inviano migliaia di e-mail ma non superano il controllo DMARC.
Configurazione o malintenzionalità: se l'indirizzo IP appartiene a un fornitore noto (come HubSpot o Mailchimp), l'errore indica un problema di configurazione nel tuo SPF o DKIM. Se l'indirizzo IP non è riconosciuto e proviene da una regione ad alto rischio, è probabile che si tratti di un tentativo di spoofing.
Controlla i codici di risultato: verifica il motivo dell'errore; si è trattato di un problema di allineamento (il dominio nell'intestazione "Da" non corrispondeva al dominio autenticato) o di un errore di autenticazione totale?

4. Analizzare le tendenze a lungo termine e la stagionalità

I rapporti aggregati DMARC offrono una "panoramica" delle ultime 24 ore, ma le informazioni davvero significative risiedono nelle tendenze.

Traffico di riferimento: comprendi il tuo volume "normale" in modo da poter individuare immediatamente eventuali anomalie, come un improvviso picco di traffico che potrebbe indicare un attacco da parte di una botnet.
Impatto della politica: monitora il miglioramento del tasso di superamento dell'autenticazione man mano che perfezioni i tuoi record. Un andamento costantemente in crescita delle percentuali di "DMARC Pass" è il segnale positivo di cui hai bisogno per passare a una politica più rigorosa.
Confronto storico: conservare almeno 6-12 mesi di dati storici per soddisfare i requisiti degli audit di sicurezza e individuare le fluttuazioni stagionali nel volume delle e-mail.

5. Creare un ciclo di feedback concreto

I dati sono utili solo se portano a un miglioramento. Sfrutta le informazioni ricavate dai tuoi report per:

Ottimizzare i record SPF: rimuovere gli indirizzi IP o i fornitori obsoleti e non più utilizzati per rimanere entro il limite di 10 ricerche DNS.
Aggiornamento delle chiavi DKIM: se i rapporti segnalano errori DKIM relativi a una sede specifica, potrebbe essere il momento di rinnovare le chiavi o correggere un selettore non funzionante.
Risolvi i problemi di allineamento degli indirizzi: molti fornitori superano i controlli SPF/DKIM ma non quelli DMARC perché il campo "Return-Path" non corrisponde al dominio del tuo marchio. I report ti indicano esattamente dove devi implementare le impostazioni "Custom Return-Path" o "Custom DKIM".

6. Documentare i risultati e le misure correttive

La cronologia dei rapporti DMARC funge da prova di audit per i quadri normativi di conformità, tra cui SOC 2, HIPAA e PCI-DSS.

Registra gli eventi rilevanti: documenta quando hai aggiunto un nuovo fornitore, quando hai modificato la tua politica passando da "nessuna" a "quarantena" e le motivazioni alla base di tale decisione.
Prove normative: se un revisore vi chiede in che modo proteggete i dati dei clienti dallo spoofing delle e-mail, i vostri rapporti DMARC e il registro delle azioni correttive costituiscono una prova inconfutabile del vostro livello di sicurezza.
Trasferimento delle conoscenze: la documentazione garantisce che, qualora l'amministratore principale della posta elettronica lasci l'azienda, il nuovo membro del team sia in grado di comprendere l'architettura di posta elettronica esistente e i mittenti autorizzati.

In che modo PowerDMARC semplifica la reportistica DMARC?

Elaborare manualmente centinaia di file XML non è fattibile su larga scala. PowerDMARC automatizza l'intero ciclo di vita dei tuoi report, andando oltre la semplice analisi sintattica per offrire un'esperienza completa di Security Operations (SecOps).

Automazione avanzata e visualizzazione

Analisi automatica dei file XML: PowerDMARC converte dati XML complessi in dashboard, mappe geografiche e grafici di facile comprensione, senza bisogno di alcuna lettura manuale.
Identificazione del mittente: la nostra soluzione identifica i vostri servizi in base al nome (ad esempio, Salesforce, Zoom) anziché limitarsi a indirizzi IP ambigui, consentendo così di distinguere rapidamente i fornitori legittimi dai malintenzionati.
Gestione dei dati non standard: PowerDMARC è progettato per gestire i report non conformi alle specifiche RFC provenienti da provider come Microsoft, garantendo così che i tuoi dati non siano mai incompleti.
SPF e DKIM in hosting: stanco del limite di 10 ricerche DNS? I nostri strumenti in hosting ti consentono di gestire i record direttamente dalla dashboard senza dover modificare il tuo DNS, risolvendo così immediatamente l'errore "Troppe ricerche".
BIMI (Brand Indicator for Message Identification) con supporto VMC (Verified Mark Certificates): vai oltre la sicurezza visualizzando il logo verificato del tuo marchio nella casella di posta dei destinatari, contribuendo così ad aumentare i tassi di apertura e la fiducia.
DMARC per i fornitori di servizi gestiti (MSP) e l'architettura multi-tenant: grazie all'aggiornamento che ne ha potenziato la visibilità globale, la nostra piattaforma consente ai fornitori di servizi gestiti di gestire centinaia di domini da un'unica interfaccia.
Informazioni sulle minacce basate sull'intelligenza artificiale: utilizza i nostri aggiornamenti per individuare modelli di spoofing e ricevere avvisi automatici quando viene rilevato un nuovo mittente non autorizzato che utilizza il tuo dominio.
Report PDF personalizzati: genera report pronti per la dirigenza con un solo clic, che ti consentono di documentare il percorso da p=none a p=reject ai fini degli audit di conformità.

Riassunto

Nel panorama delle minacce in continua evoluzione del 2026, affidarsi all'invio "cieco" di e-mail non è più un'opzione praticabile. I report aggregati DMARC rappresentano lo strumento più potente a disposizione degli amministratori per ottenere visibilità e controllo sull'utilizzo del dominio. Trasformando i dati XML grezzi in informazioni utili grazie a PowerDMARC, le organizzazioni possono contrastare in modo proattivo il phishing, migliorare la deliverability delle e-mail e garantire la conformità alle normative globali relative ai mittenti di massa.

Domande frequenti

Che cos'è un rapporto aggregato DMARC?

Un riepilogo giornaliero in formato XML delle attività di autenticazione delle e-mail e dei risultati relativi a SPF, DKIM e DMARC, inviato dai server di posta in entrata ai proprietari dei domini.

Con quale frequenza vengono inviati questi rapporti?

In genere una volta ogni 24 ore per ogni organizzazione che invia i dati (ad esempio, Google e Microsoft inviano rapporti separati).

Questi rapporti contengono dati personali?

No. Contengono indirizzi IP e volumi, ma non il contenuto dei messaggi e-mail né dati personali identificativi, il che li rende sicuri per tutte le regioni.

Posso inviare rapporti a un dominio esterno?

Sì, ma il dominio esterno deve pubblicare un record DNS che autorizzi la ricezione di tali rapporti.

Come si attivano i rapporti aggregati DMARC?

Per abilitare i rapporti aggregati DMARC, aggiungi un record TXT alle tue impostazioni DNS:

Conduttore: _dmarc
Valore: v=DMARC1; p=none;rua=mailto:[email protected];

Quando sei pronto, imposta il valore su p=quarantine o p=reject. Questo ti garantisce la visibilità necessaria per proteggere il tuo dominio, da cui ha origine il 91% degli attacchi informatici.

Informazioni su
Ultimi messaggi

Milena Baghdasaryan

Specialista dei contenuti presso PowerDMARC

Milena è un'abile scrittrice e creatrice di contenuti con oltre 7 anni di esperienza nella creazione di contenuti coinvolgenti su IT, cybersicurezza, eventi virtuali e altro. Ha una comprovata esperienza nella realizzazione di lavori di alta qualità per riviste internazionali e si è laureata in istituzioni prestigiose come la New York University Abu Dhabi, l'UWC China e il College of Europe.

Ultimi messaggi di Milena Baghdasaryan (vedi tutti)

Come configurare l'autenticazione e-mail per un dominio appena registrato - 2 giugno 2026
Che cos'è un link di phishing? - 19 maggio 2026
Cosa sono gli attacchi hacktivisti e come funzionano - 12 maggio 2026

Guida ai rapporti aggregati DMARC: cosa sono, cosa contengono e come utilizzarli