Conformità Dmarc: cos’è, perché è importante e come verificarla

Le minacce via e-mail stanno aumentando rapidamente e i domini privi di un'adeguata protezione rappresentano gli obiettivi più facili. La conformità DMARC è oggi una delle difese più efficaci a disposizione dei proprietari di domini e, in sua assenza, il tuo dominio è esposto al rischio di attacchi di phishing, spoofing diretto del dominio e compromissione delle e-mail aziendali.

In questa guida scoprirai cos’è la conformità DMARC, come verificarla e in che modo PowerDMARC ti aiuta a raggiungerla e a mantenerla.

Cos'è la conformità DMARC?

La conformità DMARC si riferisce alla corretta implementazione del protocollo Domain-based Message Authentication, Reporting, and Conformance per garantire che le e-mail inviate dal dominio di un'organizzazione siano verificate, legittime e correttamente autenticate.

DMARC è un protocollo di autenticazione delle e-mail che protegge i domini dall'uso non autorizzato, inclusi gli attacchi di phishing e lo spoofing dei domini. Si basa su due standard fondamentali: Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM).

Insieme, questi protocolli verificano che la posta in arrivo provenga effettivamente dal dominio che dichiara di rappresentare. Quando un messaggio non supera i controlli di autenticazione, il server di posta ricevente segue le istruzioni contenute nella politica DMARC per monitorarlo, metterlo in quarantena o rifiutarlo.

Un dominio è considerato conforme allo standard DMARC quando:

• Nelle impostazioni DNS del dominio è presente un record TXT DMARC valido
• L'autenticazione SPF e DKIM è configurata correttamente
• Almeno uno di questi meccanismi di autenticazione viene accettato per le e-mail in uscita
• I rapporti DMARC vengono ricevuti ed esaminati regolarmente

La conformità DMARC è un processo continuo di monitoraggio, adeguamento e applicazione politiche di autenticazione delle e-mail su tutte le fonti associate al proprio dominio.

Perché è importante la conformità al DMARC

Senza la protezione DMARC, il tuo dominio è esposto a una vasta gamma di minacce via e-mail che possono avere gravi conseguenze per la tua organizzazione, i tuoi clienti e il tuo marchio. Ecco cosa c'è in gioco.

Attacchi di spoofing dei domini e di phishing

Senza la protezione DMARC, i criminali informatici possono facilmente falsificare il tuo dominio, inviando e-mail fraudolente che sembrano provenire dai tuoi indirizzi e-mail legittimi. Ciò consente lo spoofing diretto del dominio, in cui gli aggressori utilizzano il tuo stesso dominio per ingannare i destinatari.

Le e-mail di phishing che si spacciano per marchi affidabili sono tra gli attacchi informatici più comuni al giorno d'oggi e, senza DMARC, il tuo dominio potrebbe diventare il veicolo.

Lettura consigliata: Spoofing delle e-mail contro phishing: come proteggersi

Compromissione delle e-mail aziendali (BEC)

Le aziende prive di protezione DMARC sono più vulnerabili al Business Email Compromise (BEC) , che possono causare ingenti perdite finanziarie. DMARC impedisce agli hacker di utilizzare il tuo dominio per inviare email fraudolente e contribuisce a ridurre i rischi legati al BEC verificando l'autenticità dei mittenti prima che i messaggi raggiungano i destinatari.

Secondo un rapporto della Global Cyber Alliance, le organizzazioni possono risparmiare fino a 302.000 dollari all'anno implementando DMARC.

Danno alla reputazione del marchio

Ricevere e-mail fraudolente che sembrano provenire dal tuo dominio può danneggiare gravemente la reputazione del tuo marchio.

I clienti e i partner che ricevono e-mail contraffatte perdono fiducia nelle vostre comunicazioni, e tale fiducia è molto difficile da riconquistare. DMARC contribuisce a proteggere la reputazione del marchio mettendo in sicurezza il vostro dominio contro le comunicazioni fraudolente.

Scarsa deliverability delle e-mail

Senza la protezione DMARC, le e-mail legittime provenienti dal tuo dominio potrebbero essere contrassegnate come spam o respinte dai server di posta dei destinatari. Ciò significa che comunicazioni aziendali autentiche, come fatture, e-mail di benvenuto e aggiornamenti per i clienti, potrebbero non arrivare mai a destinazione.

L'implementazione di DMARC contribuisce a migliorare la deliverability delle email garantendo che le email legittime abbiano meno probabilità di essere filtrate.

Rischi legali e di conformità

Le aziende prive di protezione DMARC potrebbero andare incontro a rischi legali e di conformità, tra cui multe e sanzioni per il mancato rispetto dei requisiti di sicurezza della posta elettronica.

Normative e quadri normativi quali conformità DMARC e PCI DSS e conformità DMARC FedRAMP richiedono sempre più spesso alle organizzazioni di dimostrare l'adozione di adeguate pratiche di autenticazione delle e-mail.

Requisiti obbligatori dei principali fornitori

I principali fornitori di servizi di posta elettronica hanno reso obbligatorio l'uso del protocollo DMARC per i mittenti che inviano messaggi in massa, al fine di migliorare la sicurezza della posta elettronica.

Se la tua organizzazione invia grandi volumi di e-mail senza essere conforme allo standard DMARC, i tuoi messaggi rischiano di essere bloccati su larga scala. Consulta i requisiti di autenticazione delle email di Google e Yahoo per capire cosa ci si aspetta ora dai mittenti.

Come funziona il DMARC

Per comprendere appieno la conformità DMARC, è fondamentale capire come funziona il protocollo a livello tecnico.

DMARC funziona consentendo ai proprietari dei domini di pubblicare un record DMARC nel proprio DNS sotto forma di record TXT. Questo record contiene specifiche coppie tag-valore che definiscono la politica di autenticazione del dominio.

Quando viene inviata un'e-mail dal tuo dominio, i server di posta in arrivo eseguono controlli di autenticazione SPF e DKIM sul messaggio. Se l'e-mail non supera i controlli di autenticazione, il server di posta in arrivo fa riferimento alla tua politica DMARC pubblicata per determinare quale azione intraprendere.

Livelli di politica DMARC

• p=none: Modalità di monitoraggio. Non viene intrapresa alcuna azione sulle email che non superano il controllo DMARC. I rapporti vengono comunque generati e inviati al proprietario del dominio
• p=quarantena: Le e-mail che non superano i controlli DMARC vengono inviate alla cartella spam o posta indesiderata del destinatario
• p=rifiuto: Le e-mail che non superano i controlli DMARC vengono immediatamente respinte e non vengono mai consegnate

Affinché un'e-mail superi l'autenticazione DMARC, almeno uno dei meccanismi (SPF o DKIM) deve superare il controllo ed essere allineato con il dominio indicato nell'intestazione "Da".

È proprio questo requisito di allineamento a rendere DMARC particolarmente efficace contro lo spoofing diretto spoofing di dominio.

Segnalazione DMARC

DMARC genera inoltre dei report che consentono ai proprietari dei domini di monitorare chi invia e-mail a nome del loro dominio.

Questi report offrono una maggiore visibilità sul traffico e-mail e aiutano a individuare gli errori di autenticazione, i fornitori terzi legittimi e i tentativi di spoofing dolosi.

DMARC offre funzionalità avanzate, quali BIMI (Brand Indicators for Message Identification), che mostra il tuo logo nella casella di posta del destinatario, una volta che l'applicazione è attiva.

Come garantire la conformità DMARC (passo dopo passo)

Per garantire la conformità al DMARC è necessario un approccio strutturato. Affrettarsi ad applicare le misure senza aver prima gettato le basi adeguate è uno degli errori più comuni commessi dai proprietari di domini. Ecco come procedere correttamente.

Passaggio 1: Verifica le tue fonti di posta elettronica

Prima di procedere con qualsiasi configurazione, individua tutti i servizi e i sistemi che inviano e-mail per conto del tuo dominio. Ciò include i tuoi server di posta principali, le piattaforme di marketing, i sistemi CRM, gli strumenti di assistenza tecnica e qualsiasi fornitore terzo.

Se manca anche un solo mittente legittimo, potrebbero verificarsi errori di autenticazione e compromettere la consegna delle e-mail.

Passaggio 2: Configurare l'autenticazione SPF

SPF consente di specificare quali indirizzi IP sono autorizzati a inviare e-mail dal proprio dominio. Queste informazioni vengono pubblicate sotto forma di record TXT DNS.

Utilizza il generatore di record SPF per creare un record accurato e segui le istruzioni passo passo su su come configurare l'SPF per pubblicarlo correttamente.

Passaggio 3: Configurare l'autenticazione DKIM

DomainKeys Identified Mail (DKIM) aggiunge una firma crittografica alle e-mail in uscita, consentendo ai server di destinazione di verificare che il messaggio non sia stato alterato durante il trasferimento.

PowerDMARC generatore di record DKIM ti aiuta a creare il tuo record DKIM e a pubblicarlo nelle tue impostazioni DNS.

Passaggio 4: Pubblica il tuo record TXT DMARC

Una volta configurati SPF e DKIM, pubblica il tuo record DMARC nel tuo DNS. Un record di base ha questo aspetto:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];

Il tag "version" (v=DMARC1) è obbligatorio. Il tag "rua" indica dove vengono inviati i rapporti aggregati, mentre il tag "ruf" indica dove vengono inviati i rapporti forensi.

Passaggio 5: Esamina i rapporti DMARC

Una volta che il tuo record sarà attivo, inizierai a ricevere i rapporti DMARC. I proprietari dei domini dovrebbero esaminare regolarmente questi rapporti per individuare i mittenti non autorizzati e comprendere i motivi degli errori di autenticazione.

PowerDMARC Analizzatore DMARC converte i complessi report XML in dashboard chiare e fruibili, facili da interpretare.

Passaggio 6: Passare all'applicazione del DMARC

Una volta che tutti i mittenti legittimi sono stati autenticati e hanno superato il controllo, passare da p=none a p=quarantine e, infine, a p=reject.

Passare a una politica "p=quarantine" o "p=reject" contribuisce a salvaguardare la reputazione del tuo dominio e a prevenire gli attacchi di phishing. Si tratta dell'applicazione del DMARC, ed è in questo modo che il tuo dominio diventa completamente protetto.

Lista di controllo per la conformità DMARC

Raggiungere la conformità DMARC può sembrare complesso all’inizio, ma seguire una procedura chiara rende il tutto molto più semplice da gestire. La checklist riportata di seguito illustra i passaggi chiave da seguire, a partire dalla verifica dei vostri attuali SPF, DKIM e DMARC fino all'applicazione graduale di una politica DMARC più rigorosa.

Controllare se il proprio dominio è conforme al DMARC

È fondamentale eseguire un controllo di conformità DMARC per assicurarsi che le tue e-mail abbiano il protocollo DMARC abilitato correttamente. Molto spesso, i proprietari dei domini commettono errori durante la configurazione del protocollo, causando problemi di conformità.

PowerDMARC offre diverse modalità per verificare la tua conformità quando ti registri gratuitamente.

Opzione 1: Utilizzare lo strumento PowerAnalyzer

Puoi inserire il tuo nome di dominio nel campo PowerAnalyzer per iniziare. Analizza la tua conformità DMARC, SPF e DKIM in pochi secondi con un rapporto dettagliato. Otterrai anche un punteggio di sicurezza del dominio.

Opzione 2: Utilizzare il nostro strumento di controllo DMARC gratuito

È possibile verificare la conformità DMARC istantaneamente con il nostro strumento di controllo DMARC strumento. Potete esaminare lo stato di validità del vostro record e risolvere gli errori più rapidamente!

Soddisfare la conformità e i requisiti DMARC

Per inviare e-mail conformi a DMARC che superino facilmente i controlli di deliverability, seguite i passaggi indicati di seguito:

1. Creare il record DNS DMARC 

Una volta configurati SPF o DKIM, utilizza la procedura guidata di configurazione nella dashboard di PowerDMARC per creare il tuo record DMARC. Si tratta di una semplice procedura in tre passaggi.

Basta inserire il dominio che desideri gestire, creare il record e pubblicarlo sul tuo DNS.

2. Impostare un criterio DMARC

Quando si crea il proprio record DMARC, è obbligatorio selezionare una politica di conformità DMARC. È possibile scegliere una delle tre modalità di politica disponibili.

È possibile attivare un criterio diverso anche per i sottodomini. Attenzione: il criterio del sottodominio sovrascrive quello del dominio principale per tutti i sottodomini.

3. Pubblicare il record DMARC 

È necessario pubblicare il record creato nel proprio DNS, per attivare il protocollo. Il vostro DNS potrebbe impiegare un po' di tempo per propagare e implementare le modifiche.

Ed ecco fatto: i vostri messaggi non autenticati saranno ora conformi al DMARC!

Come leggere e utilizzare i rapporti DMARC

I rapporti DMARC rappresentano una delle funzionalità più potenti del protocollo. Offrono una visione diretta di chi invia e-mail per conto del tuo dominio e ti aiutano a individuare gli errori di autenticazione prima che si trasformino in problemi gravi.

Tipi di rapporti DMARC

Rapporti aggregati (RUA)

I server di posta in arrivo inviano quotidianamente dei report aggregati. Questi report forniscono un riepilogo di tutte le e-mail ricevute dal tuo dominio, compresi i dati relativi agli indirizzi IP da cui sono state inviate le e-mail, l'esito (positivo o negativo) dei controlli SPF e DKIM e il numero di messaggi interessati.

Questi report vengono forniti sotto forma di file XML e costituiscono lo strumento principale per monitorare l'andamento dello stato di autenticazione DMARC nel tempo.

Rapporti forensi (RUF)

I rapporti forensi DMARC vengono generati quando una singola e-mail non supera i controlli di autenticazione DMARC.

Vengono forniti quasi in tempo reale e offrono dettagli precisi sui singoli errori di autenticazione, rendendoli indispensabili per la risoluzione dei problemi. Non tutti i server di posta in ricezione inviano rapporti forensi, pertanto i rapporti aggregati rimangono la fonte di dati più affidabile.

Per un'analisi dettagliata delle differenze tra questi due tipi di report, consulta la nostra guida su Rapporti RUA e RUF per DMARC.

Come utilizzare efficacemente i rapporti DMARC

I proprietari dei domini dovrebbero utilizzare i rapporti DMARC per:

• Identificare tutte le fonti legittime di posta elettronica che inviano messaggi dal proprio dominio
• Individuare i mittenti non autorizzati che tentano lo spoofing diretto del dominio
• Capire perché alcune e-mail non superano l'autenticazione
• Verificare che SPF e DKIM siano sempre validi per tutte le fonti di invio
• Monitorare i progressi verso l'applicazione dello standard DMARC

I report DMARC grezzi vengono forniti sotto forma di file XML complessi, difficili da leggere manualmente. PowerDMARC trasforma questi report in dashboard intuitive, offrendo ai proprietari dei domini un quadro completo dello stato di autenticazione delle loro e-mail senza che debbano analizzare i dati grezzi.

Conformità DMARC e consegna delle e-mail

Uno dei vantaggi più immediati e tangibili derivanti dal raggiungimento della conformità DMARC è il miglioramento della deliverability delle e-mail.

Quando il tuo dominio è correttamente autenticato, i server di posta in arrivo hanno molta più fiducia nella legittimità dei tuoi messaggi, riducendo notevolmente la probabilità che vengano contrassegnati come spam o respinti.

In che modo DMARC migliora la deliverability

Senza la protezione DMARC, le e-mail legittime provenienti dal tuo dominio potrebbero finire nei filtri antispam o essere bloccate del tutto, soprattutto se il tuo dominio è stato già utilizzato in passato per operazioni di spoofing.

Una politica DMARC correttamente applicata segnala ai server di posta che il tuo dominio è affidabile e che i mittenti non autorizzati sono stati bloccati. Ciò migliora direttamente la consegna nella casella di posta in arrivo dei tuoi messaggi legittimi.

Requisiti per i mittenti che inviano messaggi in massa

Google e Yahoo ora richiedono la conformità DMARC per i mittenti di messaggi in massa nell'ambito dei loro requisiti aggiornati di autenticazione delle e-mail.

Le organizzazioni che non soddisfano questi requisiti rischiano che le loro e-mail vengano bloccate o filtrate su larga scala, rendendo l'implementazione di DMARC una necessità aziendale piuttosto che una semplice best practice facoltativa.

BIMI e visibilità del marchio

L'applicazione di DMARC con impostazione p=reject sblocca funzionalità avanzate come BIMI, che mostra il logo del tuo marchio direttamente nella casella di posta del destinatario. Ciò migliora il riconoscimento del marchio e rafforza la fiducia dei destinatari.

È inoltre un requisito indispensabile per ottenere il segno di spunta blu di verifica di Gmail, un potente segnale di affidabilità per i mittenti con volumi elevati.

Domande frequenti

1. Cosa significa essere conformi allo standard DMARC?

Essere conformi allo standard DMARC significa che l'autenticazione delle e-mail del proprio dominio (SPF e/o DKIM) è in linea con la politica DMARC, garantendo che vengano recapitate solo le e-mail legittime, mentre i messaggi non autorizzati vengono respinti o messi in quarantena. Ciò richiede una corretta configurazione dei record SPF o DKIM e la pubblicazione di una politica DMARC.

2. Come conformarsi allo standard DMARC?

Per conformarsi allo standard DMARC, è necessario configurare l'autenticazione delle e-mail per il proprio dominio e pubblicare una politica DMARC nel proprio DNS. Ciò comporta l'impostazione dei record SPF e DKIM, la creazione di un record DMARC, la sua pubblicazione nel DNS, il monitoraggio dei rapporti di autenticazione e l'applicazione graduale di politiche più rigorose, come p=quarantine o p=reject.

3. Che cos'è una violazione DMARC?

Si verifica una violazione DMARC quando un'e-mail non supera i controlli di autenticazione DMARC, il che significa che l'autenticazione SPF o DKIM non è andata a buon fine oppure che i domini autenticati non corrispondono al dominio indicato nell'intestazione "Da". Ciò attiva l'azione specificata nella politica DMARC (nessuna, quarantena o rifiuto).

4. Che cos'è il DMARC e come funziona?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) è un protocollo di autenticazione delle e-mail che utilizza SPF e DKIM per verificare la legittimità dei messaggi. Funziona controllando se i domini autenticati corrispondono all'intestazione "Da", applicando poi l'azione prevista dalla politica specificata e generando report per i proprietari dei domini.

5. Come gestire un numero illimitato di sottodomini e garantire la conformità DMARC?

Il supporto di sottodomini illimitati per mantenere la conformità DMARC può essere impegnativo. Si consiglia di: 

• Utilizzo di un record DMARC con caratteri jolly per i sottodomini
• Implementare un rigoroso allineamento SPF e DKIM
• Controlla regolarmente i tuoi rapporti DMARC
• Implementare un criterio DMARC sp (sottodominio)
• Applicare gradualmente le politiche DMARC
• Utilizza un servizio centralizzato di gestione dell'autenticazione delle e-mail come PowerDMARC

6. I messaggi non conformi vengono eliminati?

La consegna dei messaggi non conformi dipende dalla politica DMARC impostata. Se hai impostato DMARC su «none», i messaggi non conformi verranno comunque consegnati. Se invece hai impostato «quarantine» o «reject», i messaggi non conformi verranno rispettivamente inseriti nella cartella di quarantena o respinti. 

7. Cosa succede se non c'è il DMARC? 

Senza DMARC, il tuo dominio è esposto a un rischio maggiore di spoofing e di usurpazione del nome di dominio. Inoltre, senza DMARC non è possibile aggiungere immagini di identificazione nelle caselle di posta di Gmail tramite BIMI. La conformità a DMARC è inoltre un requisito obbligatorio per i mittenti di email di massa su Gmail. Di conseguenza, la mancata conformità può causare problemi nella consegna delle email. 

8. Quanto tempo occorre per ottenere la conformità DMARC?

Se effettuata manualmente, il raggiungimento della conformità DMARC al 100% può richiedere diversi mesi. Tuttavia, affidandosi a un fornitore di servizi affidabile come PowerDMARC, è possibile raggiungere tale obiettivo alla massima velocità possibile sul mercato, senza subire ripercussioni negative dovute alla transizione.

9. La conformità al DMARC è obbligatoria per legge?

Diversi Paesi, tra cui Regno Unito, Canada e Danimarca, hanno reso obbligatoria la conformità al DMARC per i dipartimenti governativi. Dal 2025, anche il settore delle carte di pagamento renderà obbligatorio il DMARC per le organizzazioni che gestiscono informazioni sulle carte di pagamento. 

10. Qual è la differenza tra conformità DMARC e applicazione delle regole DMARC?

La conformità DMARC significa che il tuo dominio di posta elettronica è configurato in modo da allineare SPF e/o DKIM alla tua politica DMARC per autenticare le e-mail, contribuendo così a prevenire l'uso non autorizzato.

L'applicazione del DMARC consiste nell'impostare la politica DMARC su "quarantena" o "rifiuto", garantendo che le e-mail che non superano l'autenticazione vengano bloccate o inviate nella cartella dello spam. 

11. Outlook utilizza il protocollo DMARC? 

Outlook utilizza e implementa il protocollo DMARC, insieme ad altri protocolli di autenticazione delle e-mail come SPF e DKIM. Il protocollo DMARC fornisce istruzioni ai provider di posta elettronica come Outlook su come gestire i messaggi che non superano l'autenticazione.

• Informazioni su
• Ultimi messaggi

Maitham Al Lawati

Esperto di sicurezza informatica, CEO di PowerDMARC

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

• Statistiche relative al phishing via e-mail e al DMARC: tendenze 2026 in materia di sicurezza delle e-mail - 6 gennaio 2026
• Come risolvere il problema "Nessun record SPF trovato" nel 2026 - 3 gennaio 2026
• SPF Permerror: come risolvere il problema di un numero eccessivo di ricerche DNS - 24 dicembre 2025