Allineamento DMARC: Modalità di allineamento rilassate o rigide

L'autenticazione delle e-mail non si limita più al semplice "SPF o DKIM superano il test?". Nel 2026, i provider di caselle di posta elettronica prestano la stessa attenzione al fatto che i risultati dell'autenticazione corrispondano al dominio che gli utenti vedono effettivamente nell'indirizzo del mittente. È qui che entra in gioco l'allineamento DMARC.

L'allineamento DMARC (Domain-based Message Authentication Reporting and Conformance) determina se il dominio mostrato ai destinatari corrisponde ai domini convalidati da SPF e DKIM. Se non sono allineati, un'e-mail può non superare il DMARC, anche se SPF o DKIM tecnicamente lo superano. Questo è il motivo per cui molte organizzazioni vedono e-mail legittime finire nello spam o essere rifiutate dopo aver rafforzato l'applicazione del DMARC.

La complessità deriva dalle modalità di allineamento. L'allineamento flessibile consente la corrispondenza dei domini organizzativi, compresi i sottodomini. L'allineamento rigoroso richiede una corrispondenza esatta dei domini. La scelta della modalità sbagliata può compromettere silenziosamente la deliverability, specialmente quando sono coinvolti più ESP, sottodomini o inoltri.

Questa guida spiega come funziona l'allineamento DMARC, la differenza reale tra allineamento rigoroso e allineamento flessibile nel 2026, gli scenari di errore più comuni e come decidere quale modalità si adatta meglio alla tua infrastruttura di posta elettronica senza compromettere la consegna delle email.

Cos'è l'allineamento DMARC?

DMARC L'allineamento è il processo di verifica che il dominio nell'intestazione "Da" della tua e-mail corrisponda ai domini utilizzati nell'autenticazione SPF e DKIM. DMARC si allinea alla tua e-mail se il messaggio supera uno o entrambi gli allineamenti degli identificatori SPF e DKIM.

Questo garantisce che le tue e-mail siano legittime e protette da una serie di attacchi fraudolenti che includono phishing, spoofing, ransomware e altro ancora.

Il protocollo di autenticazione DMARC verifica l'allineamento degli identificatori DMARC per stabilire se un dominio e-mail è potenzialmente spoofato. Durante la convalida dell'e-mail, il DMARC controlla 3 identificatori:

• L'intestazione Da
• L'indirizzo del percorso di ritorno
• Il nome di dominio nel firma DKIM

Punto chiave: DMARC supera l'allineamento se SPF o DKIM sono allineati con il dominio From (a seconda delle impostazioni rigide o flessibili). Se nessuno dei due è allineato, DMARC fallisce, anche se SPF o DKIM mostrano un "pass" da soli.

Questo è ciò che impedisce agli spoofers di inviare email che sembrano sembri provenire dal tuo dominio mentre in realtà si autenticano con un dominio diverso dietro le quinte.

Come funziona l'allineamento DMARC?

Per comprendere chiaramente l'allineamento DMARC, è utile sapere quale identità di dominio DMARC è progettato per proteggere. confronto. 

Quando si implementa DMARC, si collegano i risultati di SPF e DKIM per autenticare tutte le e-mail provenienti dal proprio dominio. Per ogni e-mail, DMARC utilizza quella che viene definita "identità centrale", ovvero il dominio che si trova nell'intestazione "Da". Questo è il dominio che vedono i destinatari e il dominio che DMARC cerca di proteggere.

Quando un'e-mail dal tuo dominio raggiunge il server di destinazione, SPF controlla il suo percorso di ritorno (indirizzo mittente/indirizzo di ritorno) e DKIM convalida la firma crittografata utilizzando il dominio di firma DKIM. DMARC prende quindi il risultato di ogni controllo e verifica se il dominio utilizzato in SPF e/o DKIM corrisponde al dominio nell'intestazione Da.

Tuttavia, c'è solo un piccolo problema. Chiunque, compresi i criminali, può acquistare un dominio e implementare SPF e DKIM. Quindi, in teoria, dovrebbe essere possibile per qualcuno inviare un'e-mail con il dominio della tua organizzazione nell'indirizzo Da: (l'identità centrale) e avere il percorso di ritorno del proprio dominio per superare l'autenticazione SPF. Gli utenti di solito vedono solo l'indirizzo Da: e non il percorso di ritorno, quindi non si accorgono nemmeno che c'è una discrepanza tra i due.

Tipi di allineamento DMARC: Allineamenti di identificatori rigorosi e rilassati 

Una volta compreso a grandi linee l'allineamento DMARC, il passo successivo consiste nel decidere con quale rigore applicare la corrispondenza dei domini. DMARC offre due modalità di allineamento: rilassata e rigorosa, che controllano con quale precisione i domini SPF e DKIM autenticati devono corrispondere al dominio indicato nell'intestazione From.

Confronto diretto: allineamento rigoroso vs allineamento flessibile

Queste modalità di allineamento si applicano indipendentemente a SPF e DKIM, ma insieme determinano se un'e-mail supera il DMARC.

1. Allineamento rilassato DMARC

Quando l'allineamento rilassato è abilitato per SPF e DKIM, DMARC considera un'e-mail allineata se i domini autenticati corrispondono a quelli dell'organizzazione del dominio Mittente. Ciò significa che i sottodomini vengono trattati come allineati.

In modalità rilassata, anche se il dominio nel comando Mail From e i domini nell'intestazione Return-Path (per SPF) o nella firma DKIM (per DKIM) non corrispondono esattamente, ma appartengono allo stesso dominio organizzativo, l'allineamento DMARC è considerato superato.

Esempio di allineamento DMARC rilassato
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=r; adkim=r

Qui, i tag di allineamento aspf=r e adkim=r specificano un allineamento rilassato sia per SPF che per DKIM.

2. Allineamento rigoroso DMARC

L'allineamento rigoroso garantisce un livello di precisione più elevato. In questa modalità, l'allineamento DMARC viene superato solo se il dominio nell'intestazione From corrisponde esattamente ai domini utilizzati per l'autenticazione SPF e DKIM.

Se l'allineamento rigoroso è abilitato, i sottodomini non vengono considerati allineati. Qualsiasi discrepanza, anche all'interno dello stesso dominio organizzativo, causerà il fallimento dell'allineamento.

Esempio di allineamento rigoroso DMARC
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; adkim=s

Qui, aspf=s e adkim=s richiedono una corrispondenza esatta sia per l'allineamento SPF che DKIM.

Il ruolo dell'allineamento degli identificatori SPF e DKIM

L'allineamento degli identificatori SPF e DKIM serve a prevenire l'usurpazione di identità del dominio, non solo a confermare che un'e-mail abbia superato i controlli di autenticazione di base. Senza allineamento, un'e-mail può tecnicamente superare i controlli SPF o DKIM utilizzando un dominio, ma visualizzando un dominio diverso e affidabile nell'indirizzo del mittente, ovvero la parte che i destinatari vedono effettivamente.

L'allineamento dell'identificatore di autenticazione aiuta a determinare se il mittente dell'e-mail è realmente autorizzato a inviare messaggi per conto del dominio mostrato ai destinatari. I provider di caselle di posta elettronica si affidano a questo segnale di allineamento per distinguere le fonti di posta elettronica legittime dai messaggi contraffatti o fuorvianti, anche quando SPF o DKIM restituiscono indipendentemente un "pass".

Le email allineate hanno maggiori probabilità di superare i controlli di verifica del mittente e di essere considerate affidabili dai server di posta in ricezione. Quando l'allineamento non riesce, i provider considerano il messaggio più rischioso e possono filtrarlo, metterlo in quarantena o rifiutarlo, soprattutto quando DMARC è applicato con politiche come p=quarantine o p=reject.

Quali fattori possono influire sull'allineamento degli identificatori SPF e DKIM?

Diversi scenari di invio comuni possono causare errori di allineamento:

• I servizi di posta elettronica di terze parti e gli ESP possono autenticare le e-mail utilizzando i propri domini, a meno che non siano stati esplicitamente configurati per l'allineamento.
• L'inoltro delle e-mail può compromettere l'SPF a causa delle modifiche dell'IP e può invalidare il DKIM se il contenuto del messaggio viene modificato.

Come si applicano le modalità di allineamento a SPF

L'allineamento SPF si concentra sulla relazione tra il dominio Return-Path (Envelope From) e il dominio dell'intestazione From.

L'allineamento SPF viene superato quando questi domini si allineano in base alla modalità di allineamento DMARC selezionata:

• Allineamento SPF flessibile: Sono consentite corrispondenze di domini organizzativi, quindi i sottodomini vengono accettati.
• Allineamento SPF rigoroso: Passano solo le corrispondenze esatte del dominio

Poiché SPF si basa sull'indirizzo IP mittente, l'allineamento SPF è particolarmente sensibile a scenari come l'inoltro delle e-mail, in cui l'IP del server di inoltro potrebbe non essere autorizzato nel record SPF originale.

Come si applicano le modalità di allineamento a DKIM

L'allineamento DKIM valuta se il dominio di firma DKIM (il d= nella firma DKIM) sia allineato con il dominio From.

L'allineamento DKIM viene superato quando il dominio di firma corrisponde al dominio Da in base alla modalità di allineamento scelta:

• Allineamento DKIM flessibile: Sono consentite corrispondenze di domini organizzativi
• Allineamento DKIM rigoroso: È richiesta la corrispondenza esatta del dominio

A differenza dell'SPF, il DKIM non è influenzato dai cambiamenti di IP durante l'inoltro, ma l'allineamento DKIM può fallire se il contenuto del messaggio o le intestazioni vengono modificati durante il transito.

Come affrontare le sfide relative all'allineamento

Per mantenere un allineamento DMARC coerente, le organizzazioni devono garantire che tutte le fonti di invio legittime siano intenzionalmente allineate con il dominio utilizzato nell'indirizzo del mittente e monitorate regolarmente man mano che l'infrastruttura di posta elettronica cambia.

Noi di PowerDMARC facciamo un passo in più aiutandoti a configurare e mantenere SPF, DKIM, ARCe DMARC in modo centralizzato. Ciò semplifica l'allineamento dei mittenti di terze parti, la risoluzione delle sfide relative all'inoltro e l'aggiornamento dei record di autenticazione man mano che la configurazione evolve, in modo che le tue e-mail legittime abbiano la massima probabilità di raggiungere la casella di posta in arrivo.

Esempi di allineamento DMARC

Gli esempi seguenti mostrano come l'allineamento rigoroso e quello flessibile si comportano in scenari reali di invio di e-mail.

Esempio 1: Azienda SaaS che utilizza più sottodomini

• Dall'intestazione: [email protected]
• SPF Return-Path: marketing.azienda.com
• Firma DKIM: support.company.com

Risultato dell'allineamento rilassato: ✓ Superato (domini organizzativi corrispondenti)
Risultato dell'allineamento rigoroso: ✗ Non superato (è richiesta una corrispondenza esatta)

Questo è comune per le aziende SaaS che inviano e-mail da più sottodomini. L'allineamento flessibile consente a questi messaggi di superare il DMARC senza ulteriori configurazioni.

Esempio 2: istituto finanziario con corrispondenza esatta del dominio

• Dall'intestazione: [email protected]
• SPF Return-Path: bank.com
• Firma DKIM: bank.com

Risultato dell'allineamento rilassato: ✓ Superato
Risultato dell'allineamento rigoroso: ✓ Superato

Poiché tutti i domini corrispondono esattamente, entrambe le modalità di allineamento hanno esito positivo. Questa configurazione è tipica delle organizzazioni con infrastrutture centralizzate e requisiti di sicurezza rigorosi.

Esempio 3: Servizio di posta elettronica di terze parti senza allineamento

• Dall'intestazione: [email protected]
• SPF Return-Path: mailservice.com
• Firma DKIM: mailservice.com

Risultato dell'allineamento rilassato: ✗ Non conforme
Risultato dell'allineamento rigoroso: ✗ Non superato

In questo scenario, né SPF né DKIM sono allineati con il dominio mittente. Anche se SPF o DKIM superano individualmente il controllo, DMARC fallisce a causa del disallineamento, evidenziando la necessità di una corretta configurazione del mittente di terze parti.

Come scegliere la modalità di allineamento DMARC corretta?

La scelta tra un allineamento DMARC flessibile o rigoroso dipende dall'infrastruttura di posta elettronica, dalla tolleranza ai falsi positivi e dall'aggressività con cui si intende applicare le politiche DMARC come p=quarantine o p=reject. L'obiettivo è migliorare la protezione contro lo spoofing senza interrompere il flusso di posta legittimo.

Quale modalità di allineamento DMARC è migliore?

Non esiste un'opzione universalmente "migliore". L'allineamento flessibile è solitamente il punto di partenza più sicuro per la maggior parte delle organizzazioni, poiché supporta le configurazioni comuni nel mondo reale (più sottodomini e mittenti di terze parti). L'allineamento rigoroso offre una protezione più forte, ma richiede un'architettura di invio più pulita e coerente e un monitoraggio più attento per evitare il blocco di e-mail legittime.

Scegliete un allineamento rilassato quando

Un allineamento flessibile è in genere la soluzione migliore quando la tua organizzazione ha un ecosistema di invio più complesso, come ad esempio:

• Invii e-mail da più sottodomini (ad esempio, marketing.esempio.com, assistenza.esempio.com)
• Utilizzi più piattaforme di posta elettronica o mittenti di terze parti che potrebbero autenticarsi utilizzando sottodomini
• Stai implementando DMARC per la prima volta e desideri ridurre il rischio di interruzioni
• È necessaria flessibilità durante l'identificazione e la correzione delle fonti di invio non allineate.

Scegli l'allineamento rigoroso quando

L'allineamento rigoroso è più efficace quando la configurazione di invio è strettamente controllata e si desidera la massima protezione contro l'usurpazione di identità, ad esempio:

• Si inviano messaggi di posta elettronica da un dominio principale con variazioni minime.
• Hai requisiti di sicurezza rigorosi (ad esempio, servizi finanziari, enti governativi, ambienti regolamentati)
• Vuoi prevenire i tentativi di spoofing dei sottodomini
• Sei pronto per applicare DMARC con p=quarantine o p=reject, con monitoraggio attivo.

Un quadro decisionale pratico

Per selezionare la modalità di allineamento DMARC corretta senza compromettere la deliverability:

1. Controlla la tua infrastruttura di invio
   Elenca tutti i sistemi che inviano e-mail per il tuo dominio (strumenti di marketing, CRM, sistemi di ticketing, gestione stipendi, fatturazione, relay interni), compresi i sottodomini.
2. Verifica come ogni fonte esegue l'autenticazione oggi
   Verifica se SPF e/o DKIM sono stati superati e se i domini autenticati corrispondono al dominio nell'intestazione "Da".
3. Se non sei sicuro, inizia con un allineamento rilassato
   Un allineamento rilassato è più tollerante mentre scopri configurazioni errate e discrepanze tra i domini dei fornitori.
4. Passare all'allineamento rigoroso solo dopo che l'allineamento è stabile
   La modalità rigorosa è consigliabile quando le fonti legittime vengono autenticate e allineate in modo coerente ed è possibile verificare i risultati tramite i report DMARC.
5. Monitorare continuamente dopo aver cambiato modalità
   I problemi di allineamento spesso ricompaiono quando i team aggiungono nuovi strumenti, modificano le configurazioni ESP o introducono nuovi sottodomini.

Nella maggior parte dei casi, l'approccio più efficace consiste nell'iniziare con un allineamento flessibile, risolvere i problemi di allineamento in tutte le fonti legittime e poi passare a un allineamento rigoroso solo quando l'infrastruttura è in grado di supportarlo.

Come monitorare, testare e convalidare l'allineamento DMARC 

Una volta abilitato l'allineamento DMARC rigoroso (o pianificato il passaggio da quello flessibile a quello rigoroso), il monitoraggio diventa essenziale per evitare falsi positivi e impedire che le e-mail legittime vengano filtrate o rifiutate. Il modo più affidabile per convalidare l'allineamento DMARC è attraverso i report aggregati DMARC, che mostrano se SPF e DKIM sono allineati correttamente con il dominio mittente in tutte le fonti di invio.

Ecco una procedura dettagliata per verificare l'allineamento DMARC dei tuoi messaggi e-mail:

1. Andare a Reporting nel menu principale
2. Clicca su Rapporti aggregati DMARC ed espandi il menu a tendina.
3. Seleziona Per risultato
4. Monitorare le fonti di invio in base ai risultati per visualizzare la conformità DMARC e i risultati di allineamento per ciascun risultato.

Quando l'allineamento DMARC viene superato

L'allineamento DMARC viene superato quando l'allineamento dell'identificatore SPF o DKIM (o entrambi) viene superato, in base alla modalità di allineamento selezionata (rigorosa o flessibile).

Perché l'allineamento DMARC fallisce

L'allineamento DMARC non riesce in genere quando né SPF né DKIM sono allineati con il dominio nell'intestazione From. Le cause più comuni includono:

• Il dominio nell'intestazione From non corrisponde al dominio Return-Path (errore di allineamento SPF)
• Il dominio nell'intestazione "Da" non corrisponde al dominio di firma DKIM (errore di allineamento DKIM)
• I servizi di posta elettronica di terze parti sono configurati in modo errato e utilizzano i propri domini per l'autenticazione.
• L'inoltro delle e-mail interrompe l'SPF (modifiche IP) e può invalidare il DKIM se i messaggi vengono modificati durante il transito.

Monitorare i risultati dell'allineamento con PowerDMARC

PowerDMARC ti aiuta a monitorare le tue e-mail mentre segui una rigorosa politica di allineamento DMARC con l'aiuto del nostro strumento di analisi DMARC . Ti aiutiamo a tracciare le fonti di invio delle tue e-mail, a verificare eventuali errori di allineamento e a ottimizzare la configurazione dell'autenticazione direttamente dalla nostra dashboard.

Contattateci oggi stesso per iniziare!

Domande frequenti

Che cos'è l'allineamento DMARC?

L'allineamento DMARC è il processo di verifica che il dominio indicato nell'intestazione "Da" di un'e-mail corrisponda ai domini autenticati da SPF e/o DKIM. Ciò garantisce che il dominio visualizzato dai destinatari sia lo stesso dominio convalidato durante l'autenticazione, contribuendo a prevenire attacchi di spoofing e di furto d'identità.

Qual è l'impostazione di allineamento predefinita per DMARC?

L'impostazione predefinita dell'allineamento DMARC è flessibile sia per SPF che per DKIM. Ciò consente la corrispondenza dei domini organizzativi, il che significa che i sottodomini sono autorizzati a superare i controlli di allineamento a meno che non siano state configurate esplicitamente impostazioni più rigorose.

Che cos'è un dominio Return-Path e perché è importante per DMARC?

Un dominio Return-Path (noto anche come Envelope From o indirizzo di rimbalzo) è il dominio che riceve le e-mail non recapitate o respinte. Durante un controllo DMARC, l'allineamento SPF viene valutato utilizzando il dominio Return-Path, non l'indirizzo From visibile. Se il dominio Return-Path non è allineato con il dominio From, l'allineamento SPF fallirà.

Che cos'è un dominio con firma DKIM?

Un dominio di firma DKIM è il dominio utilizzato per firmare crittograficamente un'e-mail (il d= nella firma DKIM). Durante la valutazione DMARC, l'allineamento DKIM verifica se questo dominio di firma è allineato con il dominio del mittente. L'allineamento flessibile consente corrispondenze organizzative, mentre l'allineamento rigoroso richiede una corrispondenza esatta del dominio.

In che modo l'inoltro delle e-mail influisce sull'allineamento DMARC?

L'inoltro delle e-mail può causare errori di allineamento DMARC interrompendo SPF e, in alcuni casi, DKIM. SPF può fallire quando le e-mail inoltrate vengono inviate da indirizzi IP non autorizzati nel record SPF del mittente originale. DKIM può fallire se il contenuto o le intestazioni dell'e-mail vengono modificati durante l'inoltro. Se né SPF né DKIM rimangono allineati, DMARC fallirà.

Come posso monitorare gli errori di allineamento DMARC?

È possibile monitorare gli errori di allineamento attivando i report aggregati DMARC e i report forensi (sugli errori). Questi report indicano quali sorgenti di invio sono allineate, quali presentano errori e per quale motivo, aiutandovi a risolvere i problemi e a migliorare la deliverability prima di applicare politiche DMARC più rigorose.

Come posso configurare correttamente l'allineamento DMARC?

Per configurare correttamente l'allineamento DMARC:

1. Configura SPF e DKIM per tutte le fonti di invio legittime
2. Pubblica un record DMARC con l'appropriato aspf e adkim .
3. Monitorare i report DMARC per identificare i domini non allineati
4. Risolvi i problemi di allineamento di terze parti e sottodomini
5. Una volta confermata la stabilità, passare gradualmente da un allineamento rilassato a uno rigoroso.

Che cos'è l'allineamento rilassato in DMARC?

L'allineamento flessibile consente la corrispondenza dei domini organizzativi. Ad esempio, se il dominio Mittente è example.com e il dominio di firma SPF Return-Path o DKIM è mail.example.com, l'allineamento flessibile sarà comunque accettato.

Quando dovrei utilizzare l'allineamento DMARC rigoroso?

L'allineamento rigoroso è più adatto alle organizzazioni con una configurazione di invio strettamente controllata, un utilizzo minimo dei sottodomini e requisiti di sicurezza o normativi elevati. In genere, dovrebbe essere implementato solo dopo che tutte le fonti di invio legittime sono state allineate e monitorate in modo coerente.

• Informazioni su
• Ultimi messaggi

Maitham Al Lawati

Esperto di sicurezza informatica, CEO di PowerDMARC

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

• Statistiche relative al phishing via e-mail e al DMARC: tendenze 2026 in materia di sicurezza delle e-mail - 6 gennaio 2026
• Come risolvere il problema "Nessun record SPF trovato" nel 2026 - 3 gennaio 2026
• SPF Permerror: come risolvere il problema di un numero eccessivo di ricerche DNS - 24 dicembre 2025