Requisiti DMARC nel 2026
di
Ultimo aggiornamento: Tempo di lettura: 3 min
Negli ultimi anni, Google, Yahoo e altri importanti provider di posta elettronica hanno apportato modifiche significative ai loro requisiti di sicurezza. Oggi, l'autenticazione dei domini con DMARC, DKIM, SPF e MTA-STS è una raccomandazione o un obbligo in diversi settori e Paesi.
Un cambiamento così drastico nell'approccio dei principali provider di posta elettronica, delle agenzie governative e degli enti normativi è il riflesso di uno sforzo globale per rafforzare la sicurezza delle e-mail. L'obiettivo è quello di migliorare la deliverability delle e-mail, abbassare i tassi di spam e ridurre gli attacchi informatici basati sulle e-mail, che possono causare gravi violazioni dei dati e danni alla reputazione.
Con questi requisiti in rapida evoluzione, è probabile che il DMARC diventi presto una componente integrale delle strategie di cybersecurity obbligatorie in tutto il mondo.
Requisiti chiave DMARC nel 2026
Requisiti DMARC globali
- Requisiti dei mittenti collettivi di Google e Yahoo
I mittenti di massa (oltre 5.000 e-mail al giorno) devono autenticare i domini con TLS, DKIM e SPF e avere una politica DMARC di almeno p=nessuno. I requisiti sono stati inizialmente messi in vigore a partire da febbraio 2024. Nel novembre 2025, Google ha annunciato un'applicazione più severa di questi requisiti, con il rifiuto temporaneo e permanente delle e-mail non conformi.
- Requisiti generali del mittente di Google e Yahoo
I mittenti generici di e-mail devono inoltre implementare SPF o DKIM per autenticare le e-mail legittime e prevenire alti tassi di spam e impersonificazione.
- Raccomandazioni PCI-DSS versione 4
PCI DSS v4.0 raccomanda meccanismi per prevenire il phishing; le buone prassi suggeriscono di utilizzare DMARC, SPF e DKIM.
Requisiti DMARC regionali
| Regione | Nome del requisito | Descrizione del requisito | Link alla fonte |
|---|---|---|---|
| Paesi dell'UE | GDPR (Regolamento generale sulla protezione dei dati) | Ai sensi del GDPR, siete tenuti a stipulare accordi di trattamento dei dati (DPA) con ogni singolo fornitore di servizi cloud che, per conto della vostra azienda, gestisce i dati dei consumatori europei. | Leggi di più |
| Paesi dell'UE | DORA (Legge sulla resilienza operativa digitale) | Applicandosi a 20 diversi tipi di entità finanziarie e fornitori di servizi ICT di terze parti, il Digital Operational Resilience Act (DORA) mira ad armonizzare le norme relative alla resilienza operativa del settore finanziario (ossia banche, compagnie assicurative, imprese di investimento, ecc.) Il DMARC può essere di notevole importanza per le istituzioni finanziarie, in quanto offre protezione dagli attacchi informatici basati sulle e-mail, contribuendo indirettamente a garantire la conformità alla legge DORA. | Leggi di più |
| Canada | Requisiti di configurazione dei servizi di gestione della posta elettronica | Le e-mail governative devono essere verificate utilizzando SPF, DKIM e DMARC. | Leggi di più |
| Danimarca | Requisiti tecnici minimi per le autorità governative | Le agenzie governative devono implementare una politica DMARC di p=rifiuto su tutti i domini. | Leggi di più |
| Nuova Zelanda | Manuale di sicurezza informatica della Nuova Zelanda versione 3.6 | Modifica della conformità dei controlli DMARC e DKIM da SHOULD a MUST e impostazione dei criteri DMARC da p="nessuno" a p="rifiuta". | Leggi di più |
| Irlanda | Standard di riferimento per la sicurezza informatica del settore pubblico | Le linee guida per la sicurezza informatica del settore pubblico suggeriscono di utilizzare SPF, DKIM, DMARC e TLS per migliorare la sicurezza delle e-mail. Tuttavia, si tratta solo di un suggerimento e non di un obbligo. | Leggi di più |
| Paesi Bassi | "Standard "Rispettare o spiegare | Per le agenzie governative è obbligatorio implementare il DMARC, insieme a DKIM, SPF, STARTTLS e DANE. Questo fa parte degli standard "Comply or Explain" per la protezione e l'autenticazione delle e-mail. | Leggi di più |
| Arabia Saudita | Guida all'implementazione dei controlli essenziali di sicurezza informatica (ECC) | Alle organizzazioni saudite si raccomanda di utilizzare DKIM, SPF e DMARC come tecniche avanzate di protezione dal phishing per filtrare i messaggi fraudolenti. | Leggi di più |
| REGNO UNITO | Manuale di politica governativa sulla sicurezza informatica Principio | Nel marzo 2024, la Government Cyber Security Policy ha sostituito la Minimum Cyber Security Policy. Questo aggiornamento ha spostato MTA-STS e TLS-RPT da "consigliati" a "obbligatori" e ha aggiunto un riferimento ai record PTR. | Leggi di più |
| Stati Uniti | Direttiva operativa vincolante 18-01 | La direttiva operativa vincolante 18-01 richiede a tutte le agenzie federali di utilizzare STARTTLS, SPF, DKIM e una politica DMARC di p=rifiuto. | Leggi di più |
| Stati Uniti | HIPAA (Legge sulla portabilità e la responsabilità dell'assicurazione sanitaria) | Ai sensi dell'Health Insurance Portability and Accountability Act del 1996 (HIPAA), la HIPAA Privacy Rule stabilisce gli standard nazionali per la salvaguardia di alcune informazioni sensibili relative alla salute. Il DMARC può essere uno strumento essenziale per garantire la conformità alle normative HIPAA. | Leggi di più |
| Australia | Manuale di sicurezza delle informazioni dell'ASD (Australian Signals Directorate) | Raccomanda l'uso di SPF, DKIM e DMARC per tenere a bada le minacce basate sulle e-mail. | Leggi di più |
| Australia | Manuale di sicurezza delle informazioni dell'ASD (Australian Signals Directorate) | Raccomanda l'uso di SPF, DKIM e DMARC per tenere a bada le minacce basate sulle e-mail. | Leggi di più |
| Australia | Come combattere le e-mail false | Illustra le raccomandazioni per i professionisti della sicurezza e gli operatori dei server di posta elettronica sull'implementazione di protocolli di autenticazione delle e-mail come SPF, DKIM e DMARC per ridurre al minimo lo spoofing. | Leggi di più |
| Australia | Strategie per mitigare gli incidenti di sicurezza informatica | Dettagli sulle strategie di mitigazione del rischio informatico da parte dell'Australian Signals Directorate (ASD). | Leggi di più |
| Belgio | Protezione e prevenzione dei ransomware con DMARC, SPF e DKIM | Guida fornita dal Centre for Cyber Security Belgium. | Leggi di più |
| Repubblica Ceca | La legge sulla sicurezza informatica - Guida all'attuazione | I domini che inviano posta elettronica devono disporre di un record DMARC che rispetti i parametri specifici indicati nella RFC 7489. | Leggi di più |
| Finlandia | Come proteggere i servizi Microsoft 365 | Il Centro nazionale per la sicurezza informatica, l'agenzia finlandese per i trasporti e le comunicazioni Traficom, delinea le strategie di protezione per i server di Exchange Online. | Leggi di più |
| Francia | Linee guida per un sistema informativo sano | Suggerimenti sull'implementazione dei meccanismi di autenticazione e sulla corretta configurazione dei record DNS pubblici relativi all'infrastruttura e-mail (MX, SPF, DKIM, DMARC). | Leggi di più |
| Francia | Panoramica delle minacce informatiche 2021 | Una panoramica delle minacce informatiche e delle possibili tecniche di mitigazione pubblicata dall'Agence Nationale De La Sécurité des Systèmes D'Information. | Leggi di più |
| Germania | Raccomandazioni per i fornitori di servizi Internet | Pubblicazioni BSI sulla cybersecurity, che includono la sicurezza e l'autenticazione delle e-mail. | Leggi di più |
| India | Struttura di sicurezza informatica nelle banche | La conformità di livello I della Reserve Bank of India richiede agli istituti finanziari di implementare misure di sicurezza adeguate per prevenire le minacce via e-mail. | Leggi di più |
| Norvegia | Misure di base per la sicurezza delle e-mail | Include raccomandazioni sull'implementazione del DMARC per migliorare la sicurezza delle e-mail. | Leggi di più |
| Filippine | Il DICT sulle misure di sicurezza informatica contro il ransomware WannaCry | Consiglia di attivare filtri antispam efficaci e di autenticare le e-mail in entrata utilizzando tecnologie come SPF, DMARC e DKIM per prevenire lo spoofing delle e-mail. | Leggi di più |
| Polonia | Legge sulla lotta agli abusi nelle comunicazioni elettroniche - Nuovi obblighi per i provider di posta elettronica e le istituzioni pubbliche | Dal 25 settembre 2023, gli enti pubblici polacchi sono tenuti a implementare SPF, DKIM e DMARC per autenticare i mittenti delle e-mail e combattere spoofing e smishing. | Leggi di più |
| Portogallo | Raccomandazione tecnica 01/2019 e 01/2020 | Per migliorare la sicurezza delle e-mail all'interno delle organizzazioni, si consiglia di implementare gli standard SPF, DKIM e DMARC. Le quattro azioni seguenti: configurazione dei record SPF, DKIM, DMARC e MX nel DNS del dominio, aiutano a comunicare ai destinatari che le e-mail non devono provenire da un dominio "parcheggiato" e che, in caso contrario, devono essere scartate. Per un'efficacia ottimale, queste misure devono essere applicate nell'ordine specificato. | Per saperne di più (2019) Per saperne di più (2020) |
| Scozia | Quadro di resilienza informatica del settore pubblico scozzese V1.2 | Raccomandazione sull'implementazione del DMARC insieme ai record DKIM e SPF, nonché sull'attivazione del filtraggio di spam e malware. L'applicazione delle politiche DMARC alle e-mail in entrata è una best practice estesa. | Leggi di più |
| Singapore | Manuale di comportamento per le e-mail aziendali (BEC) | La pubblicazione ha sottolineato che le organizzazioni possono sfruttare il DMARC per bloccare le e-mail dannose e ridurre al minimo i tentativi di spoofing dei domini e di phishing per raggiungere le caselle di posta dei destinatari. | Leggi di più |
Perché la conformità DMARC sarà importante nel 2026
I vantaggi dell'utilizzo dei record DMARC:
- Il DMARC protegge voi e la vostra azienda dal phishing via e-mail, spoofing di dominio, impersonificazione di e-mail e minacce di compromissione delle e-mail aziendali (BEC).
- La reputazione del mittente e-mail è migliorata da Applicazione del DMARC.
- Il DMARC aumenta gradualmente il tasso di recapito delle e-mail del 10%.
- Implementando il DMARC sul vostro server di dominio, potrete assicurarvi che le vostre e-mail non vengano mai contrassegnate come spam, aumentando così i tassi di apertura.
Inoltre, le aziende possono facilmente monitorare chi è autorizzato a inviare e-mail aziendali dal proprio dominio. Ciò consente di evitare pratiche disoneste. Come? Tutti i server di posta elettronica riceventi verificheranno le e-mail in arrivo per confermarne la legittimità prima di consegnarle alle caselle di posta dei destinatari, una volta pubblicato il record DMARC del vostro dominio nella voce DNS.
Le sfide per soddisfare i requisiti DMARC del 2026
Le aziende di tutte le dimensioni potrebbero trovarsi ad affrontare diverse sfide nel soddisfare i requisiti DMARC nel 2026:
1. Complessità dell'impostazione manuale
Implementazione di protocolli come DMARC, SPF e DKIM può essere tecnicamente impegnativa, con conseguenti riluttanze e spesso configurazioni errate. Tuttavia, grazie alle moderne soluzioni automatizzate dei fornitori di servizi DMARC, questo problema è stato notevolmente migliorato. Ora le aziende di tutte le dimensioni possono scegliere tra una gamma di fornitori adatti alle loro esigenze, evitando il fastidio e la complessità degli sforzi manuali.
2. Monitoraggio dei blocchi stradali
La configurazione del DMARC per soddisfare i requisiti non si ferma solo all'impostazione del protocollo. Il vostro viaggio inizia solo qui! Per ottenere i migliori risultati possibili dall'implementazione del DMARC, è necessario monitorare i risultati attraverso i report. Mentre i rapporti grezzi del DMARC possono essere difficili da decifrare, un analizzatore di rapporti DMARC li rende leggibili e facili da monitorare, fornendo allo stesso tempo informazioni utili!
3. Gestione dei mittenti terzi
È importante identificare tutti i servizi di terze parti che inviano e-mail per conto del dominio. È necessario assicurarsi che questi servizi autentichino correttamente le e-mail con firme DKIM allineate. Anche se farlo manualmente può essere impegnativo, i servizi DMARC gestiti possono fare una grande differenza.
4. Problemi di recapito delle e-mail
Passare da un criterio DMARC di p=nessuno a p=rifiuto richiede un attento monitoraggio. Spesso le organizzazioni temono di bloccare le e-mail legittime. Per garantire una deliverability coerente, la pratica consigliata è quella di applicare gradualmente il DMARC, monitorando i canali e-mail attraverso i report.
5. Mancanza di competenze
Molti team IT non hanno una conoscenza approfondita di DMARC, SPF e DKIM. Le organizzazioni possono incoraggiare i propri dipendenti a scegliere una formazione gratuita su corsi di formazione DMARC corsi di formazione gratuiti sul DMARC per approfondire le proprie conoscenze. In alternativa, l'esternalizzazione a un fornitore di gestione DMARC con un gruppo di esperti riduce il tempo e l'impegno necessari per la formazione e l'aggiornamento dei dipendenti esistenti.
Come PowerDMARC aiuta a garantire la conformità alle norme del 2026
PowerDMARC è una piattaforma unica di autenticazione delle e-mail per soddisfare i requisiti DMARC. PowerDMARC fornisce:
- Monitoraggio automatico della conformità per l'evoluzione delle normative DMARC.
- Guida all'applicazione delle politiche per passare in modo sicuro da p=nessuno a p=rifiuto.
- Informazioni sulle minacce in tempo reale per rilevare i tentativi di phishing prima che avvengano.
- Affidato da organizzazioni Fortune 100 e MSP in oltre 90 paesi.
- Allineamento completo SPF e DKIM per garantire la corretta autenticazione dei mittenti terzi.
- Reportistica e analisi avanzate per ottenere una visibilità completa sui fallimenti dell'autenticazione delle e-mail con report DMARC dettagliati.
- SupportoBIMI e MTA-STS per rafforzare la fiducia del marchio e la sicurezza delle e-mail con ulteriori livelli di autenticazione.
- Ottimizzazione SPF automatizzata per aiutare a prevenire i fallimenti della ricerca SPF con Macro SPF.
Parole finali
Il 2026 segna una svolta nell'applicazione del DMARC e le organizzazioni devono agire subito per evitare interruzioni del servizio di posta elettronica e rischi per la sicurezza. Con l'adozione di politiche più severe da parte dei principali provider di posta elettronica, garantire la conformità non è più facoltativo. Il tuo dominio è conforme al DMARC? Verificate oggi stesso la vostra conformità oggi stesso e adotta le misure necessarie per proteggere i tuoi canali di posta elettronica.
Non aspettare che sia troppo tardi! Per iniziare, contatta PowerDMARC oggi stesso per provare gratuitamente prova gratuita di DMARC e assicurarti la piena conformità con i requisiti DMARC 2026!
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.
Ultimi messaggi di Ahona Rudra (vedi tutti)
- CSA richiede DMARC per la certificazione Cyber Essentials Mark - 10 febbraio 2026
- Implementazione pratica del DMARC per MSP e aziende: ciò che la maggior parte delle guide tralascia - 9 febbraio 2026
- PowerDMARC ora si integra con Elastic SIEM - 5 febbraio 2026
