Rapporto forense DMARC (RUF): cos’è, come funziona e come attivarlo

Configurare un record DMARC rappresenta un enorme vantaggio per la sicurezza della tua posta elettronica, ma la vera magia avviene quando chiudi effettivamente il ciclo di feedback. Pensala in questo modo: quando pubblichi quel record, non stai semplicemente dando istruzioni al resto di Internet su come gestire la tua posta; stai chiedendo a ogni server del mondo di inviarti un resoconto.

La maggior parte delle persone si limita ai riepiloghi aggregati giornalieri, ottimi per avere una visione d’insieme, ma se sai dove cercare puoi accedere a informazioni molto più approfondite. È qui che entrano in gioco i rapporti forensi DMARC (RUF). In questa guida analizzeremo esattamente cosa sono i report RUF, in che modo differiscono dai dati standard e come è possibile utilizzarli per trovare la "prova schiacciante" quando le e-mail risultano smarrite.

Che cos'è un rapporto forense DMARC?

Un rapporto forense DMARC (detto anche "rapporto di errore") è un avviso dettagliato in tempo reale inviato dai server di posta elettronica destinatari quando un messaggio non supera l'autenticazione DMARC. Fornisce una diagnostica dettagliata sui singoli messaggi non superati, quali i risultati dell'autenticazione, la fonte di invio e le intestazioni del messaggio, in modo che il proprietario del dominio possa indagare su potenziali tentativi di spoofing e risolvere i problemi relativi all'autenticazione delle e-mail.

Se un rapporto aggregato è una sintesi di tutte le persone che hanno tentato di entrare in un edificio, il rapporto forense è invece il filmato di sicurezza ad alta risoluzione dell'unica persona che ha cercato di scassinare la serratura. Fornisce i dettagli più specifici sul motivo per cui quel messaggio specifico è stato segnalato.

• Chi la invia? Di solito è il server di posta in ricezione (come un gateway aziendale) a intercettare l'e-mail sospetta.
• Dove viene inviata? Viene inviata direttamente all'indirizzo e-mail che hai indicato nel tag ruf= del tuo record DMARC.
• Com'è la situazione? A differenza di quei file di aggregazione XML poco maneggevoli, questi utilizzano l'AFRF (Authentication Failure Reporting Format). È molto più «leggibile» e contiene dettagli sufficienti per aiutarti a risolvere effettivamente il problema.

Cosa contiene un rapporto forense DMARC?

Poiché i rapporti DMARC di RUF sono pensati per un'analisi approfondita dei problemi, contengono metadati specifici relativi al messaggio non consegnato che non si trovano nei rapporti aggregati.

Un tipico rapporto RUF comprende:

• Indirizzo IP del mittente: l'indirizzo IP esatto da cui è stato effettuato il tentativo di invio dell'e-mail.
• Indirizzi "From" e "Return-Path": l'intestazione "From" e il mittente della busta.
• Oggetto: L'oggetto effettivo dell'e-mail non recapitata.
• Risultati dell'autenticazione: dettagli specifici sui motivi del fallimento di SPF o DKIM e sull'eventuale raggiungimento dell'allineamento DMARC.
• Intestazioni dell'e-mail: le intestazioni complete del messaggio.

Configurare un record DMARC rappresenta un enorme vantaggio per la sicurezza della tua posta elettronica, ma la vera magia avviene quando chiudi effettivamente il ciclo di feedback. Pensala in questo modo: quando pubblichi quel record, non stai semplicemente dando istruzioni al resto di Internet su come gestire la tua posta; stai chiedendo a ogni server del mondo di inviarti un resoconto.

La maggior parte delle persone si limita ai riepiloghi giornalieri aggregati, ottimi per avere una visione d’insieme, ma se si sa dove cercare è possibile accedere a informazioni molto più approfondite. È qui che entrano in gioco entrano in gioco i rapporti forensi DMARC (RUF) . In questa guida, analizzeremo esattamente cosa sono i rapporti RUF, in che modo differiscono dai dati standard e come è possibile utilizzarli per trovare la "prova schiacciante" quando le e-mail vanno perse.

Che cos'è un rapporto forense DMARC?

A Rapporto forense DMARC (chiamato anche Rapporto di errore) è un avviso dettagliato in tempo reale inviato dai server di posta elettronica destinatari quando un messaggio non supera l'autenticazione DMARC. Fornisce una diagnostica dettagliata sui singoli messaggi non superati, come i risultati dell'autenticazione, la fonte di invio e le intestazioni del messaggio, in modo che il proprietario del dominio possa indagare su potenziali tentativi di spoofing e risolvere i problemi di autenticazione delle e-mail. 

Se un rapporto aggregato è una sintesi di tutte le persone che hanno tentato di entrare in un edificio, il rapporto forense è invece il filmato di sicurezza ad alta risoluzione dell'unica persona che ha cercato di scassinare la serratura. Fornisce i dettagli più specifici sul motivo per cui quel messaggio specifico è stato segnalato.

• Chi l'ha inviata? Di solito è il server di posta in ricezione (come un gateway aziendale) a intercettare l'e-mail sospetta.
• Dove arriva? Viene inviato direttamente all'indirizzo e-mail che hai indicato nel campo tag ruf= del tuo record DMARC.
• Com'è l'atmosfera? A differenza di quei goffi file aggregati XML, questi utilizzano l' AFRF (Authentication Failure Reporting Format). È molto più "leggibile" e ricco di dettagli sufficienti per aiutarti a risolvere effettivamente il problema.

Cosa contiene un rapporto forense DMARC?

Poiché i rapporti DMARC di RUF sono pensati per un'analisi approfondita dei problemi, contengono metadati specifici relativi al messaggio non consegnato che non si trovano nei rapporti aggregati.

Un tipico rapporto RUF comprende:

• Indirizzo IP del mittente: L'indirizzo IP esatto che ha tentato di inviare l'e-mail.
• Indirizzi "Da" e "Return-Path": Il campo "Header From" e il mittente della busta.
• Oggetto: L'oggetto effettivo dell'e-mail non recapitata.
• Risultati dell'autenticazione: Dettagli specifici sul motivo SPF o DKIM non hanno funzionato e se è stato raggiunto l'allineamento DMARC.
• Intestazioni dell'e-mail: Le intestazioni complete del messaggio.
• Informazioni di identificazione personale (PII): Poiché questi rapporti possono includere oggetti e indirizzi dei destinatari, spesso contengono PII.

Nota sulla privacy: A causa della presenza di dati personali identificativi (PII), molti dei principali provider di caselle di posta elettronica hanno deciso di non inviare i rapporti RUF per proteggere la privacy degli utenti. Noi di PowerDMARC risolviamo questo problema supportando la la crittografia PGP per i rapporti RUF, garantendo che i dati sensibili rimangano crittografati e accessibili solo a te.

Alcuni ricevitori che inviare inviare rapporti RUF oscurano (mascherano) le parti sensibili del corpo dell'e-mail o dell'oggetto prima di inviarvela, per rispettare le leggi sulla privacy. Questo è il motivo per cui alcuni rapporti forensi sembrano “vuoti” o contengono [OMESSO] .

Esempio di rapporto forense DMARC

Per capire davvero cosa succede dietro le quinte, bisogna esaminare i dati grezzi. Quando un'e-mail non viene recapitata, il destinatario genera un rapporto in formato AFRF. Sembra un po' tecnico, ma in realtà è piuttosto facile da leggere una volta che si sa cosa cercare.

Tipo di feedback: errore di autenticazione

User-Agent: PowerDMARC-Reporter/1.0

Versione: 1.0

Mittente originale: [email protected]

Data di arrivo: martedì 31 marzo 2026, ore 10:00:00 +0000

Message-ID: <[email protected]>

Risultati dell'autenticazione: dkim=fallito; spf=fallito

Indirizzo IP di origine: 192.0.2.1

Dominio segnalato: yourdomain.com

Cosa significa questo:

• Tipo di feedback: ciò conferma che si tratta di un errore di autenticazione.
• Original-Mail-From: l'indirizzo specifico da cui è stato effettuato il tentativo di invio dell'e-mail.
• Risultati dell'autenticazione: la "prova schiacciante". In questo caso, sia l'SPF che il DKIM hanno dato esito negativo, motivo per cui è stato generato il rapporto.
• IP di origine: si tratta dell'indirizzo esatto del server che ha inviato l'e-mail. Se non riconosci questo IP, è possibile che qualcuno stia fingendo di essere te.

Come appare il record nel tuo DNS

Per ricevere questi rapporti, il tuo record DMARC deve avere un formato simile al seguente:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Nota: se invii i rapporti a un dominio diverso dal tuo, il dominio di destinazione deve disporre di un record DNS che gli consenta di ricevere i tuoi rapporti.

Analisi dei tag:

• v=DMARC1: Si tratta semplicemente del tag della versione standard, affinché Internet sappia quale protocollo stai utilizzando.
• p=none: Questa è la «modalità di monitoraggio». Stai dicendo ai server: «Per ora lasciate passare la posta, ma avvisatemi se qualcosa va storto».
• rua=: Questa è la tua casella di posta per i riepiloghi generali quotidiani.
• ruf=: Si tratta del tag specifico "forense" che indica ai server dove inviare gli avvisi dettagliati di errore in tempo reale.
• fo=1: Questo è un parametro importante. Indica al server di inviare una segnalazione in caso di errore di SPF o DKIM. (Se non lo si include, alcuni server potrebbero inviare una segnalazione solo se entrambi falliscono).

Rapporto forense DMARC vs. Rapporto aggregato (RUF vs. RUA)

Sebbene entrambe siano attive all'interno dello stesso record, hanno funzioni diverse. RUA offre una visione d'insieme, mentre RUF fornisce un'analisi dettagliata.

Come abilitare i rapporti forensi DMARC

L'attivazione di RUF è una procedura semplice che richiede un rapido aggiornamento delle impostazioni DNS.

1. Accedi al DNS: effettua l'accesso alla tua console di gestione DNS.
2. Trova il tuo record DMARC: individua il record TXT all'indirizzo _dmarc.tuodominio.com.
3. Aggiungi il tag RUF: inserisci il tag ruf=mailto:[email protected].
4. Configura il tag FO: definisci i tuoi trigger di segnalazione (vedi la sezione successiva).
5. Salva e propaga: salva le modifiche. La propagazione globale delle modifiche al DNS può richiedere fino a 48 ore.

Consiglio dell'esperto: l'invio dei rapporti RUF a una casella di posta standard può risultare opprimente e comportare un rischio per la sicurezza. L'utilizzo di una piattaforma come PowerDMARC ti consente di visualizzare questi dati in una dashboard intuitiva senza ingombrare la tua casella di posta.

Comprendere il tag DMARC (Opzioni forensi)

Il tag "fo" è un sottocomponente del record DMARC che indica al destinatario quando si desidera che venga generato un rapporto forense.

La maggior parte dei professionisti della sicurezza utilizza fo=1 perché garantisce il massimo livello di visibilità su qualsiasi problema di autenticazione. Tuttavia, è importante tenere presente che, sebbene fo=1 sia l'opzione migliore in termini di visibilità, dovrebbe quasi sempre essere indirizzato a uno strumento di elaborazione dedicato (come PowerDMARC) piuttosto che alla casella di posta elettronica di un utente, altrimenti il "rumore" diventerà ingestibile.

Perché potresti non ricevere i rapporti forensi DMARC

Se hai attivato RUF ma la tua casella di posta è vuota, non ti preoccupare. Questo non significa necessariamente che il tuo record sia stato battuto.

1. Restrizioni relative alla privacy: i principali provider come Gmail e Microsoft 365 generalmente non inviano rapporti RUF per tutelare la privacy dei propri utenti.
2. Il successo non fa rumore: se tutte le tue e-mail superano l'autenticazione DMARC, non ci sono errori da segnalare!
3. Supporto da parte dei destinatari: non tutti i server di posta in ricezione sono configurati per generare rapporti forensi.

Ecco perché i report RUA aggregati sono considerati la "fonte di riferimento" per lo stato di salute complessivo del dominio, mentre il RUF è uno strumento complementare per analisi specifiche.

Questioni relative alla privacy e alla sicurezza

Poiché i rapporti RUF possono contenere l'oggetto e il corpo di un'e-mail, sono soggetti a rigide normative sulla protezione dei dati quali il GDPR e il CCPA. Se un malintenzionato si spaccia per il tuo dominio per inviare un'e-mail di phishing a un privato, il rapporto forense che riceverai potrebbe contenere i dati personali di tale individuo.

Migliori pratiche:

• Utilizza una piattaforma dedicata e sicura per la segnalazione.
• Abilita la crittografia PGP: PowerDMARC offre la crittografia PGP in modo che solo tu, in quanto possessore della chiave privata, possa visualizzare il contenuto dei report RUF.
• Limita l'accesso ai dati al tuo team di sicurezza principale.

Come utilizzare i report RUF per individuare gli attacchi di spoofing e risolvere i problemi

Una volta che inizi a ricevere i dati forensi, ecco come procedere:

1. Rilevamento dello spoofing dei domini

Se ricevi un rapporto forense proveniente da un indirizzo IP che non riconosci e l'indirizzo del mittente è il tuo dominio, probabilmente hai individuato un tentativo di spoofing in corso. Puoi utilizzare questo indirizzo IP per aggiornare le liste di blocco o informare il tuo centro operativo di sicurezza.

2. Risoluzione dei guasti legittimi

A volte capita che le tue stesse e-mail legittime non vengano recapitate. Se un report indica un errore proveniente da uno strumento che utilizzi (come Salesforce o Mailchimp), controlla il report per verificare se il DKIM non ha funzionato o se l'IP semplicemente non è stato aggiunto al tuo record SPF.

3. Flusso di lavoro delle indagini

1. Individua l'indirizzo IP di origine nel rapporto RUF.
2. Verifica: si tratta di uno strumento utilizzato dalla tua azienda?
3. Risolvi il problema: se l'uso è autorizzato ma il controllo fallisce, correggi l'allineamento SPF/DKIM. Se l'uso non è autorizzato, lascia che la tua politica DMARC, che sia p=quarantine o p=reject, faccia il suo lavoro.

Il bilancio

Vedila in questo modo: se i rapporti RUA aggregati di DMARC sono il tuo estratto conto mensile, i rapporti RUF forensi sono le singole ricevute relative a ogni transazione sospetta. Non sono perfetti, soprattutto perché i grandi operatori come Gmail danno la priorità alla privacy degli utenti piuttosto che all'invio di questi rapporti, ma quando li ricevi, sono una miniera d'oro per la risoluzione dei problemi.

Se stai cercando di capire perché uno specifico strumento di marketing non funziona correttamente, o se sei vittima di un attacco di spoofing mirato, questi report ti forniscono in tempo reale tutte le informazioni su «chi, cosa e dove». Assicurati solo di gestire tali dati in modo responsabile, preferibilmente utilizzando una piattaforma che li mantenga crittografati, in modo da non ritrovarti con una montagna di dati personali sensibili.

Vuoi consultare i tuoi dati forensi senza complicazioni? PowerDMARC ti semplifica il compito trasformando i dati RUF grezzi in una dashboard di facile lettura, completa di crittografia PGP per garantire la sicurezza e la conformità dei tuoi dati. Inizia oggi stesso la tua prova gratuita di 15 giorni e ottieni una visibilità completa sul tuo ecosistema di posta elettronica.

Domande frequenti

Che cos'è esattamente un rapporto forense DMARC?

Si tratta, in sostanza, di un avviso in tempo reale. Anziché attendere un riepilogo giornaliero, viene generato un rapporto forense nel momento stesso in cui una singola e-mail non supera il controllo DMARC. È estremamente dettagliato ed è pensato per consentire un'analisi approfondita.

In che cosa si differenzia il RUF dal RUA?

RUA è il tuo riepilogo quotidiano che offre una visione d'insieme; ti fornisce informazioni su tendenze e volumi in formato XML. RUF è la visione "micro" dettagliata; viene inviata immediatamente, utilizza il formato ARF e contiene dettagli specifici su un singolo messaggio non consegnato.

Come faccio a attivare effettivamente questi rapporti?

Dovrai modificare il record DMARC nelle impostazioni DNS. Basta aggiungere il tag ruf=mailto:[email protected]. Se vuoi essere ancora più prudente, aggiungi il tag fo=1 in modo da ricevere un avviso se l'autenticazione SPF o DKIM fallisce, invece di aspettare che entrambe smettano di funzionare.

Ho configurato RUF ma non vedo nulla. È guasto?

Probabilmente no. È molto probabile che le tue e-mail superino l'autenticazione senza problemi (il che è un bene!). Inoltre, tieni presente che molti grandi provider non inviano affatto i rapporti RUF per tutelare la privacy dei propri utenti. Se ricevi i rapporti RUA, è probabile che il tuo record funzioni correttamente.

In questi rapporti sono contenuti dati personali?

Sì, ed è proprio questa la parte complicata. I rapporti forensi possono includere l'oggetto dell'e-mail, l'indirizzo del destinatario e, a volte, anche un breve estratto del corpo del messaggio. Ecco perché è consigliabile utilizzare una piattaforma sicura per gestirli, in modo da rispettare le normative sulla privacy come il GDPR.

A cosa serve il tag «fo»?

È l'acronimo di «Forensic Options». Si tratta sostanzialmente di una serie di istruzioni che indicano al ricevitore esattamente quando generare un rapporto: se si desidera riceverlo solo quando tutto fallisce (fo=0) oppure se si desidera riceverlo nel momento in cui si verifica un errore in qualsiasi fase del processo di autenticazione (fo=1).

• Informazioni su
• Ultimi messaggi

Milena Baghdasaryan

Specialista dei contenuti presso PowerDMARC

Milena è un'abile scrittrice e creatrice di contenuti con oltre 7 anni di esperienza nella creazione di contenuti coinvolgenti su IT, cybersicurezza, eventi virtuali e altro. Ha una comprovata esperienza nella realizzazione di lavori di alta qualità per riviste internazionali e si è laureata in istituzioni prestigiose come la New York University Abu Dhabi, l'UWC China e il College of Europe.

Ultimi messaggi di Milena Baghdasaryan (vedi tutti)

• Recensione di Sendmarc: caratteristiche, esperienze degli utenti, pro e contro (2026) - 22 aprile 2026
• Conformità FIPS: come rafforzare la propria infrastruttura prima della scadenza del 2026 - 20 aprile 2026
• Sicurezza nelle attività di acquisizione clienti: 5 modi per evitare che il tuo team di vendita venga scambiato per un gruppo di phisher - 14 aprile 2026