DMARC per Office 365: Configurazione e migliori pratiche passo dopo passo
di
Tempo di lettura: 11 min
I punti chiave da prendere in considerazione
- Il DMARC è essenziale per migliorare la sicurezza delle e-mail contro lo spoofing dei domini e il phishing.
- L'impostazione del DMARC richiede l'esistenza di record SPF o DKIM per l'autenticazione delle e-mail.
- Microsoft 365 gestisce in modo diverso i guasti DMARC in entrata; utilizzare le Regole di trasporto per un'applicazione rigorosa (quarantena/rifiuto).
- Aumentate gradualmente la severità dei criteri DMARC (da none a rifiutato) monitorando i rapporti per evitare di bloccare la posta legittima.
- Configurare il DMARC anche per i domini inattivi per impedirne l'uso non autorizzato.
Microsoft supporta e incoraggia il DMARC per gli utenti di Office 365, che consente loro di adottare i protocolli di autenticazione delle email all'unanimità in tutti i loro domini registrati. In questo blog spieghiamo le procedure per configurare DMARC per Office 365 per convalidare qualsiasi e-mail di Office 365 che abbia:
- Indirizzi di routing e-mail online con Microsoft
- Domini personalizzati aggiunti nel centro di amministrazione
- Domini parcheggiati o inattivi, ma registrati
Nel secondo trimestre del 2023, Microsoft è stato definito da varie fonti il marchio più imitato nelle truffe di phishing. Protocolli come DMARC sono indispensabili per potenziare il vostro meccanismo di difesa.
Scopriamo come il DMARC in Office 365 aiuta a prevenire le minacce sofisticate alle e-mail.
Cos'è DMARC?
DMARC, o Domain-based Message Authentication, Reporting, and Conformance, è un protocollo di autenticazione delle e-mail progettato per proteggere il vostro dominio dagli attacchi di spoofing e phishing. Si basa su due standard esistenti:
- SPF (Sender Policy Framework)
- DKIM (DomainKeys Identified Mail)
Questi consentono ai proprietari dei domini di avere un maggiore controllo sul modo in cui i server di posta elettronica riceventi gestiscono le e-mail non autenticate che dichiarano di provenire dal loro dominio.
Quando si implementa il DMARC per Office 365, si pubblica un criterio DMARC come record DNS TXT associato al proprio dominio. Questo criterio indica ai ricevitori di e-mail se accettare, mettere in quarantena o rifiutare i messaggi che non superano i controlli SPF e DKIM, riducendo in modo significativo le possibilità che soggetti malintenzionati riescano a impersonare il vostro dominio.
Il DMARC fornisce anche una preziosa visibilità attraverso i meccanismi di reporting, consentendo ai proprietari dei domini di ricevere un feedback dettagliato sui risultati dell'autenticazione delle e-mail. Questi report aiutano a identificare le fonti di e-mail non autorizzate e a migliorare la sicurezza generale delle e-mail.
Semplificate il DMARC per Office 365 con PowerDMARC!
Cose da considerare prima di iniziare
Secondo documenti di Microsoft:
- Se si utilizza MOERA (Microsoft Online Email Routing Address), che dovrebbe terminare con onmicrosoft.com, SPF e DKIM saranno già configurati. Tuttavia, dovrete creare i vostri record DMARC utilizzando il centro di amministrazione di Microsoft 365.
- Se si utilizza un dominio personalizzato, come example.com, è necessario configurare manualmente SPF, DKIM e DMARC per il proprio dominio.
- Per i domini parcheggiati (domini inattivi), Microsoft consiglia di assicurarsi di specificare esplicitamente che non devono essere inviati messaggi di posta elettronica da questi domini. In caso contrario, questi domini potrebbero essere utilizzati per attacchi di spoofing e phishing.
- Per i messaggi inoltrati o modificati in transito, è essenziale impostare ARC. Ciò consente di preservare le intestazioni di autenticazione delle e-mail originali nonostante le modifiche, per un'autenticazione accurata.
Come configurare DMARC per Office 365
Seguite queste istruzioni passo passo per configurare DMARC per Office 365 con sicurezza e chiarezza:
Passo 1: Identificare le fonti di posta elettronica valide per il proprio dominio
Si tratta di indirizzi IP di origine (comprese le terze parti) a cui si desidera consentire l'invio di e-mail per conto dell'utente.
Passo 2: Impostare l'SPF per il proprio dominio
Ora è necessario configurare SPF per la verifica del mittente. A tal fine, è necessario creare un record SPF TXT che includa tutte le fonti di invio valide, compresi i fornitori di e-mail esterni. Potete iscrivervi gratuitamente a PowerDMARC e utilizzare il nostro strumento di generazione di record SPF per creare il vostro record.
Passo 3: impostare DKIM per Office 365 sul proprio dominio
Per abilitare il DMARC di Office 365 è necessario che il dominio sia configurato con SPF o DKIM. Si consiglia di configurare DKIM e DMARC su Office 365 per garantire un ulteriore livello di sicurezza alle e-mail del vostro dominio. Potete iscrivervi gratuitamente a PowerDMARC e utilizzare il nostro strumento di generazione di record DKIM per creare il vostro record.
Passo 4: Creare un record DMARC TXT
È possibile utilizzare il generatore di record DMARC gratuito di PowerDMARC per questo passaggio. Generate immediatamente un record con la sintassi corretta da pubblicare nel vostro DNS e configurate il DMARC per il vostro dominio!
Tieni presente che solo una policy di applicazione impostata su reject può prevenire efficacemente gli attacchi di impersonificazione. Si consiglia di iniziare con un criterio none e monitorare regolarmente il traffico e-mail. Fate questo per qualche tempo prima di passare definitivamente all'applicazione. Il rifiuto del DMARC non deve essere preso alla leggera, poiché può portare alla perdita di e-mail legittime se le fonti di invio non sono configurate o monitorate correttamente.
Per il vostro record DMARC, definite la modalità del criterio (none/quarantena/rifiuto) e un indirizzo e-mail nel campo "rua" se desiderate ricevere rapporti aggregati DMARC.
| Politica DMARC | Tipo di politica | Sintassi | Azione |
|---|---|---|---|
| nessuno | rilassato/assenza di azione/permissivo | p=nessuno; | Non intervenire sui messaggi che non superano l'autenticazione, cioè consegnarli. |
| quarantena | forzato | p=quarantena; | Quarantena dei messaggi che non superano il DMARC |
| scarto | forzato | p=rifiuto; | Scartare i messaggi che non superano il DMARC |
La sintassi del record DMARC può essere simile a questa:
v=DMARC1; p=reject; rua=mailto:[email protected];
Questo record ha un criterio di "rifiuto" ed è stato attivato il reporting aggregato DMARC per il dominio.
Come aggiungere il record DMARC di Office 365 utilizzando Microsoft Admin Center
Per aggiungere il proprio record DMARC Office 365 per domini MOERA (domini *onmicrosoft.com), questi sono i passi da seguire:
1. Accedere al centro di amministrazione Microsoft
2. Andare a Mostra tutto > Impostazioni > Domini
3. Selezionate il vostro dominio *onmicrosoft.com dall'elenco dei domini nella pagina Domini per aprire la pagina dei dettagli del dominio.
4. Fare clic sulla scheda Record DNS di questa pagina e selezionare + Aggiungi record
5. Verrà visualizzata una casella di testo per aggiungere un nuovo record DMARC, con vari campi. Di seguito sono riportati i valori da inserire per i campi specifici:
Tipo: TXT
Nome: _dmarc
TTL: 1 ora
Valore: (incollare il valore del record DMARC creato)
6. Fare clic su Salva
Aggiunta del record DMARC di Office 365 per il dominio personalizzato
Se si dispone di un dominio personalizzato, come example.com, abbiamo preparato una guida dettagliata su su come impostare il DMARC. Potete seguire i passaggi della nostra guida per configurare facilmente il protocollo. Microsoft fornisce alcune preziose raccomandazioni per la configurazione del DMARC per i domini personalizzati. Siamo d'accordo con questi consigli e li suggeriamo anche ai nostri clienti! Vediamo quali sono:
- Quando si configura il DMARC, si inizia con un criterio di tipo "nessuno".
- Passare lentamente alla quarantena e poi al rifiuto.
- Si può anche mantenere un valore percentuale basso (pct) per l'impatto della polizza, iniziando con 10 e aumentando lentamente fino a 100.
- Assicuratevi di aver abilitato il reporting DMARC per monitorare regolarmente i vostri canali e-mail.
Aggiunta di un record DMARC di Office 365 per i domini inattivi
Abbiamo una guida dettagliata sulla protezione dei domini inattivi/parcheggiati con SPF, DKIM e DMARC. È possibile seguire i passaggi dettagliati, ma per una rapida panoramica, anche i domini inattivi devono essere configurati con DMARC.
È sufficiente pubblicare un record DMARC accedendo alla console di gestione DNS per il dominio inattivo. Se non avete accesso al vostro DNS, contattate subito il vostro provider DNS. Questo record può essere configurato per rifiutare tutti i messaggi provenienti da domini inattivi che non superano il DMARC:
v=DMARC1; p=rifiuto;
Configurate il DMARC per Office 365 nel modo giusto con PowerDMARC!
Perché configurare il DMARC per Office 365?
Office 365 include soluzioni anti-spam e gateway di sicurezza e-mail già integrati nella sua suite di sicurezza. Quindi, perché si dovrebbe richiedere un criterio DMARC in Office 365 per l'autenticazione? Perché queste soluzioni proteggono principalmente dalle e-mail di phishing inviate al vostro dominio. Il protocollo di autenticazione DMARC è la soluzione di prevenzione del phishing in uscita. Consente ai proprietari di domini di specificare ai server di posta elettronica riceventi come rispondere alle e-mail inviate dal vostro dominio che non superano l'autenticazione. Il DMARC riduce anche il rischio che i messaggi legittimi finiscano nella cartella dello spam. È fondamentale notare che il DMARC protegge principalmente dallo spoofing del dominio diretto (utilizzando il vostro nome di dominio esatto) e non protegge intrinsecamente dallo spoofing del dominio lookalike (utilizzando nomi di dominio visivamente simili).
Il DMARC si avvale di due pratiche di autenticazione standard, SPF e DKIM. Queste convalidano l'autenticità delle e-mail. I criteri DMARC di Office 365 possono offrire una maggiore protezione contro gli attacchi di impersonificazione e spoofing.
L'impostazione del DMARC per le e-mail aziendali è più importante che mai nello scenario attuale perché:
- Le agenzie federali hanno lanciato avvertimenti contro gli hacker che sfruttano politiche DMARC assenti o deboli.
- Laconformità al DMARC è obbligatoria per Mittenti di Yahoo e Google
- IBM riporta che il costo medio di una violazione quando gli aggressori utilizzano credenziali compromesse è di 4,8 milioni di dollari.
Un esempio reale dell'impatto del DMARC proviene da HCIT, un provider di servizi gestiti(MSP) che si è trovato ad affrontare sfide crescenti con il phishing e lo spoofing delle e-mail rivolte ai propri clienti. Implementando il DMARC con PowerDMARC, HCIT è riuscita a proteggere più domini, a ridurre i rischi di impersonificazione e a migliorare la deliverability delle e-mail, dimostrando come la soluzione giusta possa salvaguardare le aziende e i loro clienti da costosi attacchi.
Le insidie più comuni e come evitarle
Sebbene l'impostazione del DMARC per Office 365 rafforzi in modo significativo la sicurezza delle e-mail del vostro dominio, gli errori di configurazione possono comprometterne l'efficacia. Ecco alcune delle insidie più comuni che le aziende devono affrontare e come evitarle in modo proattivo:
Dimenticare le politiche dei sottodomini
I criteri DMARC applicati al dominio principale (ad es, website.com) non si estendono automaticamente ai sottodomini come mail.website.com o news.website.com a meno che non lo si specifichi esplicitamente utilizzando l'opzione sp nel record DMARC.
Questa dimenticanza crea una scappatoia che gli aggressori amano sfruttare. I criminali informatici spesso si rivolgono a sottodomini non protetti per inviare e-mail spoofed, aggirando l'applicazione del DMARC del vostro dominio principale.
Soluzione: Aggiungete sp=reject; (o quarantena) al vostro criterio DMARC per estendere la protezione a tutti i sottodomini. Verificate regolarmente i vostri sottodomini e applicate criteri rigorosi ai domini che non dovrebbero inviare e-mail.
SPF/DKIM mal configurati che infrangono il DMARC
Il DMARC funziona solo se i controlli SPF o DKIM vengono superati e sono correttamente allineati con il dominio nell'intestazione "From". Non è sufficiente che questi protocolli esistano. Devono autenticare per conto dell'esatto dominio utilizzato per inviare la posta.
Alcuni problemi comuni:
- L'SPF include l'IP di un mittente terzo, ma il suo dominio envelope-from non è allineato.
- Il DKIM è firmato con un dominio diverso da quello che appare nell'indirizzo "Da".
- I record sono sintatticamente errati o incompleti nel DNS.
Soluzione: Utilizzare strumenti specifici per il dominio per verificare le configurazioni SPF, DKIM e DMARC. Verificate sempre l'allineamento, non solo lo stato di pass/fail. Strumenti come l'analizzatore di PowerDMARC aiutano a visualizzare e convalidare la corretta configurazione, riducendo al minimo i rischi legati a un'autenticazione non corretta.
I mittenti di terze parti non riescono ad allinearsi
Servizi come Mailchimp, SendGrido Salesforce possono supportare SPF e DKIM, ma se non sono configurati correttamente per allinearsi al vostro dominio, il DMARC fallirà anche se i vostri record DNS sembrano a posto.
Il disallineamento con queste piattaforme può far sì che le vostre e-mail vengano segnalate o bloccate, il che può influire sulla deliverability e sulla fiducia nel marchio.
Soluzione:
- Confermare che i servizi di posta elettronica di terze parti supportino la firma DKIM utilizzando il proprio dominio e consentano l'allineamento SPF tramite la personalizzazione della busta.
- Verificare sempre la documentazione e le configurazioni di prova di ciascuna piattaforma.
- Mantenete un elenco centrale di tutti i mittenti esterni utilizzati dall'organizzazione e convalidateli periodicamente per verificare la conformità DMARC.
Nessun indirizzo di segnalazione o report illeggibili
La funzione di reporting del DMARC è una delle sue caratteristiche più potenti, ma solo se è attivata correttamente. Se non si inseriscono i tag rua (report aggregati) o ruf (report forensi) nel record DMARC, si perde tutta la visibilità sui tentativi di invio non autorizzati.
Peggio ancora, se si ricevono i rapporti ma li si indirizza a una casella di posta personale, il volume e il formato XML grezzo possono diventare rapidamente schiaccianti e inutilizzabili.
Soluzione: Specificate sempre i tag rua e ruf nel vostro record DMARC per attivare la segnalazione. Inoltre, utilizzate un indirizzo e-mail dedicato o un analizzatore di report DMARC di terze parti in grado di analizzare e visualizzare i dati in un formato digeribile.
È davvero necessario il DMARC quando si utilizza Office 365?
C'è un'idea sbagliata comune tra le aziende: pensano che Office 365 garantisca la sicurezza dallo spam e dalle e-mail fraudolente. Tuttavia, nel maggio 2020, una serie di attacchi di phishing sono stati condotti a diverse società assicurative del Medio Oriente. Gli aggressori hanno utilizzato Office 365, causando una significativa perdita di dati e violazioni della sicurezza. Ecco cosa abbiamo imparato da questa vicenda:
Motivo 1: la soluzione di sicurezza di Microsoft non è infallibile
Ecco perché affidarsi semplicemente alle soluzioni di sicurezza integrate di Microsoft non è sufficiente. È necessario compiere degli sforzi esterni per proteggere il proprio dominio, e questo può essere un grave errore.
Motivo 2: È necessario configurare DMARC per Office 365 per proteggersi dagli attacchi in uscita.
Sebbene le soluzioni di sicurezza integrate di Office 365 possano offrire protezione contro le minacce alle e-mail in entrata e i tentativi di phishing, è comunque necessario garantire che i messaggi in uscita inviati dal proprio dominio siano autenticati in modo efficace prima di arrivare nelle caselle di posta di clienti e partner. È qui che interviene DMARC per Office 365.
Motivo 3: DMARC vi aiuterà a monitorare i vostri canali di posta elettronica
Il DMARC non solo protegge il vostro dominio dallo spoofing del dominio diretto e dagli attacchi di phishing. Vi aiuta anche a monitorare i vostri canali e-mail. Sia che si utilizzi un criterio imposto come "rifiuto/quarantena", sia che si utilizzi un criterio più indulgente come "nessuno", è possibile tenere traccia dei risultati dell'autenticazione con Rapporti DMARC. Questi rapporti vengono inviati al vostro indirizzo e-mail o a un analizzatore di rapporti DMARC.Il monitoraggio garantisce che le vostre e-mail legittime vengano consegnate correttamente.
Segnalazione e monitoraggio DMARC con PowerDMARC
PowerDMARC si integra perfettamente con Office 365 per offrire ai proprietari di domini soluzioni di autenticazione avanzate che proteggono da attacchi sofisticati di social engineering come BEC e spoofing diretto del dominio.
Quando ci si iscrive a PowerDMARC si sottoscrive una piattaforma SaaS multi-tenant che non solo riunisce tutte le best practice di autenticazione delle email (SPF, DKIM, DMARC, MTA-STS, TLS-RPT e BIMI), ma fornisce anche un meccanismo di reporting dmarc ampio e approfondito, che offre una visibilità completa del vostro ecosistema e-mail. I rapporti DMARC sulla dashboard di PowerDMARC sono generati in due formati:
- Rapporti aggregati (RUA)
- Rapporti forensi (RUF - se abilitato e supportato dal segnalatore)
Abbiamo cercato di migliorare l'esperienza di autenticazione risolvendo diversi problemi del settore. Garantiamo la crittografia dei vostri rapporti forensi DMARC e visualizziamo i rapporti aggregati in 7 diverse visualizzazioni per migliorare l'esperienza e la chiarezza dell'utente.
PowerDMARC vi aiuta a monitorare il flusso di e-mail e i fallimenti di autenticazione, e a creare una blacklist di indirizzi IP dannosi da tutto il mondo. Il nostro analizzatore DMARC vi aiuta a configurare correttamente il DMARC per il vostro dominio e a passare dal monitoraggio all'applicazione in pochissimo tempo. Questo vi aiuterà ad attivare il DMARC di Office 365 senza preoccuparvi delle complessità che esso comporta.
Domande frequenti
Come funziona il DMARC in O365?
In Office 365, il DMARC protegge le e-mail in due modi:
- Per la posta in arrivoOffice 365 controlla i criteri DMARC del mittente. Mette quindi in quarantena (invia alla posta indesiderata) o rifiuta i messaggi che non superano l'autenticazione SPF e DKIM.
- Per la posta in uscitapubblicate un record DMARC per il vostro dominio. Office 365 si occupa automaticamente della firma SPF e DKIM richiesta. In questo modo si garantisce che i messaggi di posta elettronica siano correttamente autenticati e attendibili dai server di ricezione.
Il DMARC è necessario per il GDPR o per altri quadri di conformità?
Il DMARC non è esplicitamente richiesto dal GDPR o dalla maggior parte degli standard di conformità, ma supporta la protezione dei dati impedendo lo spoofing e l'uso non autorizzato delle e-mail, contribuendo a soddisfare le aspettative di sicurezza più ampie.
Il DMARC funziona con gli indirizzi e-mail di Gmail e Yahoo?
Il DMARC protegge il vostro dominio, non il provider della posta in arrivo. Tuttavia, i principali provider come Gmail e Yahoo applicano il DMARC alla posta in arrivo, rendendo essenziale per i mittenti superare l'autenticazione.
Il DMARC può migliorare i tassi di apertura delle e-mail?
Indirettamente, sì. Le e-mail autenticate hanno meno probabilità di essere contrassegnate come spam o rifiutate, il che significa un migliore posizionamento nella casella di posta e maggiori possibilità di essere aperte.
L'implementazione del DMARC ha un costo?
L'impostazione del DMARC è gratuita se si gestisce il proprio DNS. Tuttavia, è possibile scegliere strumenti o servizi a pagamento per semplificare il monitoraggio, l'analisi dei rapporti e la gestione continua.
Processo di revisione dei contenuti e di verifica dei fatti
Le informazioni sul processo di configurazione di Office 365 DMARC sono state ricavate principalmente dalla documentazione ufficiale di Microsoft e dall'esperienza pratica. Tale documentazione può essere aggiornata da Microsoft. Le raccomandazioni citate nell'articolo, tra cui l'uso di regole di trasporto e l'introduzione graduale dei criteri, si basano sulle best practice del settore e sulle esperienze reali dei clienti.
"`
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.
Ultimi messaggi di Yunes Tarada (vedi tutti)
- Che cos'è BIMI? Affidabilità delle e-mail e identità del marchio - 26 dicembre 2025
- Che cos'è un record CAA? Guida alla sicurezza DNS - 24 dicembre 2025
- È sicuro aprire le email di spam? Rischi e consigli per la sicurezza - 16 dicembre 2025
