Quali sono i requisiti DMARC? Regole globali, politiche e conformità
di
Ultimo aggiornamento:
12 12 minuti di lettura
I punti chiave da prendere in considerazione
- I requisiti DMARC si applicano ora ai mittenti che inviano grandi volumi di posta (oltre 5.000 e-mail al giorno) da Google e Yahoo, con un'applicazione più rigorosa ora pienamente in vigore, compreso il rifiuto permanente da parte di Gmail a partire da novembre 2025.
- Gli enti governativi e i settori regolamentati di tutto il mondo stanno rendendo obbligatoria l'implementazione del DMARC per garantire la sicurezza della posta elettronica.
- I requisiti tecnici comprendono l'autenticazione SPF e/o DKIM, oltre alla corretta corrispondenza dei domini.
- Le organizzazioni devono passare gradualmente da una politica "p=none" a una politica "p=reject", monitorando al contempo la deliverability delle e-mail.
- A partire dal 5 maggio 2025, Microsoft ha iniziato ad applicare i requisiti SPF, DKIM e DMARC per i mittenti che inviano grandi volumi di posta (oltre 5.000 e-mail al giorno a Outlook.com), con l'applicazione del rifiuto totale prevista entro novembre 2025.
- DMARCbis è stato ufficialmente pubblicato come RFC 9989, 9990 e 9991 (maggio 2026), elevando DMARC da documento informativo a standard proposto.
- I requisiti anti-phishing dello standard PCI DSS v4.0, compreso il DMARC, sono diventati pienamente obbligatori a partire dal 31 marzo 2025. Tutte le valutazioni del 2026 saranno condotte in base allo standard PCI DSS v4.0.1.
I requisiti DMARC non sono più solo raccomandazioni tecniche. Sono ormai determinati da un insieme sempre più ampio di normative globali, quadri di conformità del settore e regole dei provider di caselle di posta. I governi e gli enti pubblici di diverse regioni hanno reso il DMARC un requisito formale per la protezione dei domini ufficiali, mentre standard come il PCI DSS considerano sempre più l'autenticazione delle e-mail come parte di una più ampia conformità alla sicurezza. Allo stesso tempo, provider come Google, Yahoo e Microsoft si aspettano ora un'autenticazione più rigorosa da parte dei mittenti, specialmente da quelli che inviano messaggi su larga scala.
Questo cambiamento implica che DMARC non si limita più solo a prevenire lo lo spoofing. Ora svolge un ruolo diretto nella deliverability delle email, nella protezione del marchio, nella fiducia dei clienti e nella preparazione alle normative. Per molte organizzazioni, il mancato rispetto dei requisiti DMARC può portare al rifiuto delle email, a un aumento del rischio di phishing e a lacune di conformità sempre più difficili da ignorare.
La pubblicazione nel maggio 2026 di DMARCbis come standard ufficiali IETF (RFC 9989, 9990 e 9991) sottolinea ulteriormente questo cambiamento. DMARC è passato dall'essere un RFC informativo a uno standard proposto, a indicare che il settore della posta elettronica lo considera ormai un'infrastruttura fondamentale piuttosto che un livello opzionale.
Questa guida illustra i requisiti DMARC in una prospettiva più ampia. Tratta le norme e gli obblighi internazionali che ne guidano l'adozione, i requisiti a livello di provider che i mittenti devono soddisfare e le basi tecniche, tra cui SPF, DKIMe l'allineamento, necessari per garantire la conformità.
Quali sono i requisiti DMARC?
I requisiti DMARC si riferiscono agli standard tecnici e normativi che i proprietari dei domini devono soddisfare per implementare correttamente il protocollo DMARC (Domain-based Message Authentication, Reporting, and Conformance).
Si articolano su tre livelli: i requisiti normativi, i requisiti dei provider e gli standard tecnici necessari per implementare correttamente il DMARC.
Alla base, DMARC è un protocollo di autenticazione delle e-mail che si basa su Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) per verificare che i messaggi in uscita provengano effettivamente dal dominio che dichiarano di rappresentare.
Quando un messaggio non supera tali controlli di autenticazione, la tua politica DMARC indica ai server di posta riceventi come gestirlo.
Un dominio soddisfa i requisiti DMARC quando:
- SPF e DKIM sono configurati correttamente per il dominio mittente
- È stato pubblicato un record TXT DNS DMARC valido
- Almeno uno tra SPF e DKIM supera la verifica ed è coerente con il dominio dell'intestazione "From"
- I rapporti DMARC vengono monitorati costantemente
Ciò che è cambiato sono la posta in gioco. I requisiti DMARC sono ora obbligatori o vengono applicati in diversi paesi e quadri normativi in tutto il mondo. Sono inoltre applicati da Google, Yahoo, Microsofte PCI DSS, e la mancata conformità ha conseguenze dirette sulla deliverability delle email, sulla fiducia nel marchio e sulla posizione normativa.
Tipi di requisiti DMARC
I requisiti DMARC possono essere suddivisi in tre categorie:
- Requisiti normativi: Disposizioni emanate da governi e organismi di conformità quali CISA (USA), NCSC (Regno Unito) e NIS2 (UE), che impongono alle organizzazioni di implementare e applicare il DMARC nell'ambito di standard di sicurezza informatica più ampi.
- Requisiti dei provider: Regole di applicazione da parte dei provider di caselle di posta come Google, Yahoo e Microsoft, in particolare per i mittenti di messaggi in massa, dove l'autenticazione e il rispetto delle politiche influiscono direttamente sulla deliverability delle email.
- Requisiti tecnici: La configurazione di base necessaria per implementare correttamente DMARC, inclusi SPF, DKIM, le politiche DMARC e il corretto allineamento dei domini.
Comprendere come questi livelli interagiscono tra loro è fondamentale per raggiungere e mantenere la piena conformità DMARC.
Ecco perché oltre 10.000 clienti si affidano alla piattaforma di PowerDMARC
- Notevole riduzione dei tentativi di spoofing e delle e-mail non autorizzate grazie all'intelligence sulle minacce basata sull'intelligenza artificiale
- Integrazione più rapida + gestione automatizzata delle autenticazioni che fa risparmiare ore di lavoro ai team IT
- Informazioni sulle minacce in tempo reale e report crittografati con PGP su più domini
- Migliori tassi di consegna delle e-mail grazie a una rigorosa applicazione del protocollo DMARC con la consulenza di esperti
I primi 15 giorni sono offerti da noi
Inizia la prova gratuitaRequisiti DMARC a livello globale per regione
Il DMARC è ormai obbligatorio o applicato in numerosi paesi e contesti normativi, il che lo rende un requisito fondamentale per un'infrastruttura di posta elettronica sicura. Ecco qual è lo stato attuale delle principali normative in materia.
| Regione | Stato dell'incarico | Autorità competente | Polizza minima |
|---|---|---|---|
| Stati Uniti | Obbligatorio (a livello federale) | CISA/DHS | p=rifiuto |
| Regno Unito | Obbligatorio (settore pubblico) | NCSC | p=rifiuto |
| Unione Europea | Obbligatorio (settori critici) | NIS2/autorità nazionali | p = quarantena minima |
| Australia | Obbligatorio (da parte delle autorità pubbliche) | ACSC | p=rifiuto |
| Canada | Obbligatorio (a livello federale) | Consiglio del Tesoro | p=rifiuto |
| Arabia Saudita | Obbligatorio (pubblica amministrazione + telecomunicazioni) | CITC/NCA | p=quarantena |
| EMIRATI ARABI UNITI | Obbligatorio (da parte delle autorità pubbliche) | TDRA | p=nessun minimo |
| India | Obbligatorio (commerciale) | TRAI | p=rifiuto |
| Nuova Zelanda | Consigliatissimo | NCSC Nuova Zelanda | p = rifiutare (consigliato) |
Stati Uniti
Il governo federale degli Stati Uniti è stato tra i primi a rendere obbligatorio l'uso del DMARC a livello nazionale. Nel 2017, il Dipartimento della Sicurezza Interna ha emanato la Direttiva Operativa Vincolante 18-01 (BOD 18-01), che imponeva a tutte le agenzie dell'esecutivo federale di implementare il DMARC con una politica minima di p=reject entro un anno.
La CISA (Cybersecurity and Infrastructure Security Agency) continua a supervisionare e garantire il rispetto di tali standard, e la direttiva rimane in vigore per tutti i domini .gov. La direttiva BOD 18-01 ha stabilito un precedente a livello globale che altri governi hanno poi seguito.
Regno Unito
Il Centro nazionale per la sicurezza informatica (NCSC) del Regno Unito impone l'implementazione del DMARC in tutti i dipartimenti del governo centrale e nelle organizzazioni del settore pubblico. L'NCSC raccomanda una politica minima di p=reject e pubblica linee guida operative che richiedono alle organizzazioni di garantire l'applicazione delle misure.
Il governo britannico gestisce inoltre un servizio denominato «Mail Check» per aiutare gli enti del settore pubblico a monitorare e migliorare il proprio livello di autenticazione delle e-mail.
Unione Europea
La Direttiva NIS2, entrata in vigore in tutti gli Stati membri dell'UE nell'ottobre 2024, stabilisce requisiti vincolanti in materia di sicurezza informatica per i settori delle infrastrutture critiche, tra cui energia, finanza, sanità e infrastrutture digitali.
I controlli di sicurezza della posta elettronica, tra cui il DMARC, sono indicati come misure tecniche di base che le organizzazioni devono attuare per dimostrare la propria conformità.
Sebbene la direttiva NIS2 non menzioni esplicitamente il DMARC in ogni clausola, le autorità di vigilanza di diversi Stati membri hanno iniziato a citarlo come misura di controllo obbligatoria nel corso delle ispezioni.
Australia
Il Centro australiano per la sicurezza informatica (ACSC), che opera sotto l'egida dell'Australian Signals Directorate, rende obbligatorio l'uso del DMARC per i domini del governo australiano e lo raccomanda vivamente a tutte le organizzazioni del settore privato.
L' Le Strategie per mitigare gli incidenti di sicurezza informatica elenca elenca l'autenticazione delle e-mail come misura di controllo prioritaria e ci si aspetta che le agenzie governative ne garantiscano l'applicazione.
Canada
Il Segretariato del Consiglio del Tesoro del Canada richiede l'implementazione del DMARC in tutte le istituzioni del governo federale come parte delle sue linee guida sulla sicurezza della posta elettronica. I domini federali canadesi sono tenuti a pubblicare e applicare politiche DMARC in linea con gli standard internazionali.
Altri mandati attivi
| Regione | Organo direttivo | Requisiti |
|---|---|---|
| Arabia Saudita | CITC/NCA | DMARC è obbligatorio per gli enti pubblici e gli operatori di telecomunicazioni autorizzati |
| EMIRATI ARABI UNITI | Autorità di regolamentazione delle telecomunicazioni e dell'amministrazione digitale | Obbligo di adozione del DMARC per gli enti pubblici |
| India | TRAI | DMARC è obbligatorio per i mittenti di e-mail commerciali e le aziende |
| Nuova Zelanda | GCSB/NCSC Nuova Zelanda | DMARC raccomandato e reso obbligatorio per le agenzie governative |
| Paesi Bassi | NCSC-NL | DMARC è obbligatorio per l'amministrazione centrale e viene applicato tramite internet.nl |
Requisiti DMARC di Google, Yahoo e Microsoft
Oltre ai requisiti normativi, i provider di posta elettronica applicano ora il protocollo DMARC come requisito per la consegna nella posta in arrivo, in particolare per i mittenti di messaggi in massa. Se la vostra organizzazione rientra nella categoria dei mittenti di messaggi in massa, questi requisiti vi riguardano già da ora.
Cosa si intende per "mittente di massa"?
Si definiscono mittenti di posta elettronica di massa coloro che inviano più di 5.000 e-mail al giorno a indirizzi Gmail. Yahoo applica soglie simili. Microsoft utilizza criteri propri per la classificazione della posta elettronica di massa, ma applica standard di autenticazione equivalenti.
I requisiti in breve
| Fornitore | Politica DMARC minima | Altri requisiti |
|---|---|---|
| p=nessuno | SPF, DKIM, link visibile per annullare l'iscrizione, tasso di spam inferiore allo 0,3% | |
| Yahoo | p=nessuno | SPF, DKIM, cancellazione con un clic per i messaggi ricevuti |
| Microsoft | p=nessuno | Record SPF, DKIM e PTR |
Tutti i dettagli sono riportati nella aggiornamento sui requisiti di autenticazione delle email di Google e Yahoo , ed è possibile consultare le linee guida di Google per i mittenti per le specifiche attuali.
Tempistica di applicazione
A partire da maggio 2026, l'applicazione delle norme è pienamente operativa presso tutti e tre i principali fornitori:
- Google/Gmail: a febbraio 2024 sono stati introdotti ritardi temporanei (errori 421). A novembre 2025 si è passati a rifiuti permanenti (errori 550). I mittenti di messaggi in massa non conformi ricevono ora errori permanenti.
- Yahoo: adotta gli stessi requisiti di autenticazione di Gmail, applicandoli con la stessa rigorosità.
- Microsoft/Outlook: requisiti annunciati a maggio 2025. Avvisi a partire da agosto 2025. Applicazione del rifiuto totale (codice di errore 550 5.7.515) in vigore da novembre 2025.
Per indicazioni dettagliate sulla conformità ai requisiti Microsoft, consultare: Requisiti DMARC di Microsoft per Outlook
Il mancato rispetto di tali requisiti può influire in modo significativo sulla recapitabilità dei messaggi ai clienti che utilizzano Gmail, Yahoo e Outlook . Le organizzazioni che non soddisfano questi requisiti rischiano il rifiuto temporaneo o permanente delle e-mail, rendendo essenziale anticipare tali obblighi.
DMARCbis: il nuovo standard DMARC (RFC 9989, 9990, 9991)
Il 21 maggio 2026, l'IETF ha pubblicato ufficialmente le specifiche DMARCbis sotto forma di tre nuovi RFC, in sostituzione della specifica DMARC originale (RFC 7489):
- RFC 9989: la specifica principale di DMARCbis, che aggiorna le regole relative all'allineamento DMARC, alla gestione delle politiche e alla verifica dei domini.
- RFC 9990: Standard aggiornati per la rendicontazione aggregata, finalizzati a migliorare l'interoperabilità e la chiarezza.
- RFC 9991: standard aggiornati per la segnalazione degli errori con linee guida più efficaci in materia di sicurezza.
Il cambiamento più significativo è il passaggio di DMARC da RFC informativo a standard proposto. Ciò significa che il protocollo è ora formalmente riconosciuto come standard Internet, con requisiti di implementazione più rigorosi in tutto l'ecosistema della posta elettronica.
Cosa comporta DMARCbis per la tua conformità
- I requisiti di allineamento più rigorosi rendono ancora più importante garantire che SPF e DKIM siano correttamente allineati con il dominio dell'intestazione "From".
- Il miglioramento degli standard di segnalazione garantisce una maggiore visibilità sugli errori di autenticazione, facilitando la diagnosi e la risoluzione dei problemi.
- Lo standard aggiornato utilizza un algoritmo di scansione dell'albero DNS al posto della Public Suffix List, migliorando così la precisione delle ricerche dei domini.
- Le organizzazioni che già soddisfano i requisiti DMARC esistenti si trovano in una posizione vantaggiosa; DMARCbis perfeziona il protocollo di base anziché sostituirlo.
Per saperne di più: DMARCbis spiegato: cosa sta cambiando e come prepararsi
Requisiti DMARC per la conformità allo standard PCI DSS
Per le organizzazioni che trattano dati relativi alle carte di pagamento, DMARC è un requisito normativo.
Il Payment Card Industry Security Standards Council (PCI SSC) ha reso obbligatorio l'uso del protocollo DMARC nell'ambito dello standard PCI per la sicurezza dei dati. Tale obbligo è stato introdotto poiché le frodi via e-mail, l'usurpazione di domini e la compromissione della posta elettronica aziendale sono tra i principali vettori utilizzati per colpire le organizzazioni nell'ecosistema dei pagamenti.
A partire dal 31 marzo 2025, tutti i 51 requisiti "a data futura" previsti dalla versione 4.0 dello standard PCI DSS sono diventati pienamente obbligatori, compresa la sezione 5.4.1 che richiede meccanismi automatizzati anti-phishing quali DMARC, SPF e DKIM. Tutte le valutazioni PCI DSS condotte nel 2026 saranno effettuate in base alla versione 4.0.1 dello standard PCI DSS, senza alcun periodo di tolleranza per tali controlli.
Cosa comporta la mancata conformità per gli organismi di pagamento:
- Perdita del diritto di gestire le transazioni con carte di pagamento
- Esposizione ad attacchi di furto d'identità del marchio rivolti a clienti e partner
- Maggiore vulnerabilità alle truffe di tipo "Business Email Compromise" e ai messaggi di phishing
- Sanzioni pecuniarie che vanno da 5.000 a 100.000 dollari per ogni mese di inadempienza
Oltre al PCI DSS, il DMARC viene sempre più spesso citato in altri quadri normativi come misura di sicurezza di base per la posta elettronica. Le organizzazioni soggette a requisiti di conformità federali dovrebbero inoltre valutare in che modo il DMARC si inserisca nel quadro dei loro obblighi generali.
Correlati: Conformità e-mail PCI DSS: la tua strategia DMARC per la versione 4.0
Cosa succede se non si rispettano i requisiti DMARC
I rischi derivanti dal mancato rispetto dei requisiti DMARC sono concreti, immediati e, in alcuni casi, molto difficili da risolvere.
Conseguenze sulla deliverability
| Scenario | Impatto |
|---|---|
| Nessun record DMARC | Dominio facilmente falsificabile, nessuna applicazione delle politiche |
| Non soddisfa i requisiti di Google/Yahoo | Email filtrate, rinviate o respinte su larga scala |
| Elevati livelli di spam | Danni a lungo termine alla reputazione di invio del dominio |
| Nessun allineamento SPF o DKIM | Le e-mail legittime non superano l'autenticazione e vengono bloccate |
Conseguenze sulla reputazione
Senza una politica DMARC, il tuo dominio può essere utilizzato liberamente per inviare messaggi di phishing e messaggi dannosi che sembrano provenire direttamente dalla tua organizzazione.
Le aziende che non rispettano i requisiti DMARC si trovano spesso a dover affrontare casi di usurpazione del marchio e truffe dai quali è difficile riprendersi, soprattutto quando i clienti hanno già ricevuto messaggi fraudolenti che sembrano provenire da un dominio affidabile.
Secondo recenti dati di settore, all'inizio del 2026 l'adozione effettiva del protocollo DMARC aveva raggiunto oltre 937.000 domini, ma le politiche con livello di applicazione (quarantena o rifiuto) rappresentano ancora solo circa 412.000 di questi. Questo divario fa sì che centinaia di migliaia di domini dispongano di record DMARC che, di fatto, non li proteggono dallo spoofing.
Conseguenze normative
Per le organizzazioni soggette a PCI DSS, la mancata implementazione di DMARC può comportare la perdita del diritto di elaborare i pagamenti. Questa è una conseguenza prevista dalla norma vigente in caso di non conformità.
I prerequisiti fondamentali: SPF e DKIM
DMARC non può funzionare senza SPF e DKIM. Questi due metodi di autenticazione delle email sono la base su cui si fonda DMARC ed entrambi devono essere configurati correttamente prima di pubblicare un record DMARC.
Si consiglia di mantenere attivi SPF e DKIM per almeno 48 ore prima di implementare DMARC, in modo da avere il tempo di verificare che entrambi i meccanismi funzionino correttamente prima di introdurre una politica che intervenga in caso di errori.
Struttura dei criteri del mittente (SPF)
SPF è un record TXT DNS che elenca tutti gli indirizzi IP autorizzati a inviare email per conto del tuo dominio. Quando un server ricevente riceve un'email in entrata, verifica se l'indirizzo IP del mittente compare nel tuo record SPF.
Due problemi comuni relativi all'SPF a cui prestare attenzione:
- Ricerche SPF non valide: I record con un numero eccessivo di ricerche DNS compromettono l'autenticazione in modo silenzioso e sono una delle cause più comuni di errori imprevisti. Scopri di più su ricerche SPF non valide e su come risolverli.
- Infrastrutture di invio complesse: Le organizzazioni che gestiscono molti mittenti autorizzati possono utilizzare le macro SPF per scalare i propri record SPF senza raggiungere limiti di ricerca.
Se il tuo record SPF supera il limite di 10 ricerche DNS specificato nella RFC 7208, verrà restituito un PermError, che DMARC considera un errore. Le organizzazioni con configurazioni di invio complesse dovrebbero prendere in considerazione l' appiattimento SPF o PowerSPF per rimanere entro il limite.
Posta identificata come dominio (DKIM)
DKIM aggiunge una firma digitale crittografica ai messaggi in uscita, consentendo ai server di destinazione di verificare che il corpo del messaggio e le intestazioni non siano stati alterati durante il trasferimento.
L'allineamento DKIM nell'ambito del DMARC richiede che il dominio nell'intestazione "From" corrisponda al dominio specificato nel tag "d=" della firma DKIM. Una firma DKIM tecnicamente valida che non sia allineata con il dominio "From" non supererà comunque il controllo DMARC.
| Metodo di autenticazione | Cosa controlla | Rimane in gioco? |
|---|---|---|
| SPF | Indirizzo IP autorizzato per il dominio mittente | No |
| DKIM | Firma crittografica sul corpo del messaggio | Sì |
Guida dettagliata alla configurazione di DMARC
Una volta configurati e verificati SPF e DKIM, puoi pubblicare il tuo record DMARC. È fondamentale che questa configurazione sia corretta, poiché eventuali errori nel record potrebbero lasciare il tuo dominio non protetto o impedire l'autenticazione di email legittime.
Configurazione passo dopo passo
- Verifica che SPF e DKIM siano attivi e che siano in funzione da almeno 48 ore
- Crea il tuo record TXT DNS su _dmarc.tuodominio.com
- Inizia con una politica "p=none" per raccogliere dati senza influire sulla consegna
- Includi gli indirizzi di segnalazione in modo che i rapporti DMARC inizino ad arrivare immediatamente
- Verifica il record utilizzando uno strumento di ricerca DMARC dopo la pubblicazione
Struttura del record DMARC
Ogni stringa DMARC inizia con v=DMARC1. Un record iniziale di base ha questo aspetto:
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];
| Tag | Scopo | È obbligatorio? |
|---|---|---|
| v=DMARC1 | Tag della versione, deve apparire per primo | Sì |
| p= | Politica: nessuna, quarantena o rifiuto | Sì |
| rua= | Indirizzo e-mail per i rapporti aggregati | Consigliato |
| ruf= | Indirizzo e-mail per le relazioni forensi | Consigliato |
| sp= | Politica relativa ai sottodomini | Opzionale |
| pct= | La politica relativa alla percentuale di messaggi si applica a | Opzionale |
Requisiti DNS aggiuntivi
Oltre al record DMARC stesso, i mittenti delle e-mail devono garantire la validità dei record PTR in avanti e inversi PTR DNS.
I server di ricezione utilizzano i record PTR per verificare che l'indirizzo IP da cui proviene un messaggio corrisponda al dominio mittente. La mancanza o la mancata corrispondenza dei record PTR costituisce una causa frequente, ma spesso trascurata, di errori di autenticazione.
L'implementazione di DMARC richiede inoltre la configurazione dei record SPF e DKIM per ogni singolo dominio mittente. Le organizzazioni che gestiscono più domini per diverse regioni, prodotti o unità aziendali devono disporre di record di autenticazione correttamente configurati su ciascuno di essi.
Spiegazione dei livelli di politica DMARC
La tua politica DMARC determina cosa succede quando un'e-mail non supera i controlli di autenticazione. Scegliere la politica giusta in ogni fase dell'implementazione è ciò che distingue un'implementazione senza intoppi da una che blocca inavvertitamente la posta legittima.
| Politica | Cosa fa | Quando utilizzarlo |
|---|---|---|
| p=nessuno | Consegna tutta la posta, genera solo rapporti | Per cominciare, verificare i mittenti |
| p=quarantena | Sposta le e-mail non recapitate nella cartella dello spam | Dopo aver verificato l'autenticità di tutti i mittenti legittimi |
| p=rifiuto | Blocca completamente la posta | Fase di applicazione completa del DMARC |
L'approccio consigliato per l'implementazione
- Inizia con p=none per eseguire un controllo senza compromettere la consegna delle e-mail. In questo modo avrai a disposizione i dati necessari per identificare tutti i mittenti legittimi prima di applicare le misure.
- Passare a p=quarantena una volta che tutti i mittenti legittimi sono stati autenticati e superano costantemente i controlli.
- Passa a p=reject per una protezione completa contro lo spoofing dei domini e i messaggi fraudolenti.
Affrettarsi a respingere i messaggi senza aver completato la fase di monitoraggio è uno dei modi più comuni in cui le organizzazioni finiscono per bloccare accidentalmente la propria posta legittima.
Per un'analisi dettagliata dei motivi per cui il passaggio alla fase di applicazione delle norme sarà fondamentale nel 2026, consultare: Perché il DMARC è importante nel 2026?
Come monitorare e gestire DMARC su larga scala
Il rispetto dei requisiti DMARC è un impegno costante. Un monitoraggio costante, una rendicontazione chiara e un'infrastruttura adeguata sono gli elementi che distinguono le organizzazioni che mantengono la conformità da quelle che ricadono nella vulnerabilità.
Come interpretare i rapporti DMARC
DMARC consente di verificare quali server inviano e-mail per conto tuo e quale percentuale di tali messaggi supera o non supera l'autenticazione. Questi dati vengono forniti attraverso due tipi di report:
| Tipo di rapporto | Frequenza | Cosa mostra |
|---|---|---|
| Totale (RUA) | Giornaliero | Riepilogo di tutte le fonti di invio, percentuali di successo/fallimento, indirizzi IP |
| Forense (RUF) | Quasi in tempo reale | Dettagli sui singoli errori di autenticazione |
Lo strumento di reportistica DMARC di PowerDMARC Strumento di reporting DMARC converte i dati grezzi dei report XML in dashboard chiare e fruibili. Aiuta a monitorare i risultati su tutti i tuoi domini di invio senza dover analizzare manualmente file complessi.
Gestione dei mittenti esterni
Una delle principali difficoltà di implementazione consiste nell'identificare e autenticare tutti i mittenti esterni che inviano e-mail per vostro conto.
Le piattaforme di marketing, i sistemi CRM, gli strumenti di assistenza clienti e altri servizi inviano tutti messaggi in uscita utilizzando il tuo dominio, e ciascuno di essi deve essere correttamente autenticato prima che tu possa procedere in tutta sicurezza alla messa in quarantena o al rifiuto.
Servizi gestiti DMARC aiutano le organizzazioni a identificare questi mittenti, a garantire che sia in atto un'autenticazione adeguata su tutti i canali di posta elettronica e a ridurre il tempo e le risorse necessarie per raggiungere la piena conformità.
Scalabilità su più domini
Le organizzazioni gestiscono sempre più spesso più domini, rendendo indispensabile una gestione centralizzata. La gestione manuale dei record DMARC su più domini è soggetta a errori e richiede molte risorse.
Soluzioni DMARC in hosting consentono alle organizzazioni di gestire i record a livello centrale, applicare le modifiche alle politiche su tutti i domini contemporaneamente e mantenere la visibilità sull'intera infrastruttura di posta elettronica da un'unica interfaccia.
Per gli MSP e gli MSSP che gestiscono domini dei clienti su larga scala, la piattaforma multi-tenant offre dashboard white label, integrazione PSA e supporto per 11 lingue.
Sviluppare competenze interne
Per i team che desiderano sviluppare competenze interne parallelamente all'utilizzo di strumenti gestiti, i corsi di formazione PowerDMARC aiutano a sviluppare le competenze necessarie per gestire l'autenticazione delle e-mail in modo efficace nel tempo.
Inoltre, aiutano i team a evitare gli errori di configurazione, che rappresentano la causa più frequente di errori di autenticazione.
Cosa si ottiene con una piena applicazione
Una volta raggiunto il valore p=reject, DMARC apre la strada a BIMI (Brand Indicators for Message Identification), che mostra il logo del tuo marchio direttamente nella casella di posta del destinatario.
Il BIMI è uno dei vantaggi più evidenti derivanti dal completamento corretto del percorso di implementazione del DMARC e costituisce un forte segnale di affidabilità per i mittenti che inviano grandi volumi di messaggi.
Per le organizzazioni che desiderano rafforzare ulteriormente la propria infrastruttura di posta elettronica, MTA-STS impone la crittografia TLS per le email in entrata, aggiungendo un ulteriore livello di protezione oltre a quello offerto da DMARC.
Soddisfa i requisiti DMARC con PowerDMARC
I requisiti DMARC stanno diventando sempre più rigorosi. Google, Yahoo, Microsoft e PCI DSS hanno tutti tracciato una linea netta, e le organizzazioni che non sono conformi ne stanno già subendo le conseguenze sotto forma di e-mail respinte, reputazione del mittente compromessa ed esposizione dei domini.
Raggiungere la piena conformità DMARC significa autenticare ogni mittente, interpretare correttamente i rapporti, gestire più domini e passare attraverso le diverse fasi delle politiche senza interferire con la posta legittima. È un carico di lavoro notevole da gestire manualmente.
PowerDMARC semplifica l'intero processo, dal primo record TXT DNS all'applicazione della regola "p=reject" e oltre.
Grazie al DMARC in hosting, alla reportistica automatizzata, ai servizi gestiti e a una piattaforma progettata per garantire visibilità su larga scala, PowerDMARC ti offre tutto ciò di cui hai bisogno per soddisfare i requisiti attuali e anticipare le sfide future.
Inizia oggi stesso con PowerDMARC oggi stesso.
Domande frequenti
1. Quali sono i requisiti per il DMARC?
DMARC richiede che SPF o DKIM (preferibilmente entrambi) siano configurati e allineati con il proprio dominio. È necessario pubblicare una politica DMARC nel DNS che inizi con p=none e impostare gli indirizzi di segnalazione per ricevere i rapporti di autenticazione.
2. Il DMARC è ora obbligatorio?
A partire da febbraio 2024, DMARC è obbligatorio per i mittenti che inviano grandi volumi di email (oltre 5.000 al giorno) a Gmail e Yahooe a Microsoft Outlook.com a partire da maggio 2025. Anche le agenzie governative di molti paesi rendono obbligatorio l’uso di DMARC. Sebbene non sia universalmente richiesto, è fortemente raccomandato a tutte le organizzazioni che inviano e-mail.
3. DMARC richiede l'uso di DKIM?
DMARC richiede che almeno uno dei due protocolli, SPF o DKIM, superi il controllo di allineamento, ma si consiglia di utilizzare entrambi. Sebbene tecnicamente sia possibile implementare DMARC utilizzando solo SPF, i principali provider di posta elettronica come Google, Yahoo e Microsoft richiedono DKIM per i mittenti di massa, rendendo entrambi praticamente necessari.
4. Da quando è obbligatorio l'uso del DMARC?
I requisiti DMARC sono stati introdotti dalle agenzie federali statunitensi nel 2017 (BOD 18-01). Google e Yahoo hanno implementato i requisiti per i mittenti di posta in massa nel febbraio 2024. Microsoft ha seguito l'esempio con l'applicazione a partire da maggio 2025. Il PCI DSS v4.0 ha reso obbligatori i controlli anti-phishing relativi al DMARC a partire dal 31 marzo 2025. Diversi paesi hanno implementato i requisiti DMARC tra il 2020 e il 2025, con un'applicazione che continua ad espandersi a livello globale.
5. Quanto tempo richiede l'implementazione di DMARC?
L'implementazione di DMARC richiede in genere dalle 4 alle 12 settimane, a seconda della complessità. La configurazione iniziale può essere completata in pochi giorni, ma un monitoraggio adeguato, l'analisi e l'applicazione graduale delle politiche richiedono diverse settimane per garantire che la consegna delle e-mail non ne risenta.
6. Cosa succede se non implemento DMARC?
Senza DMARC, le email di massa inviate a Gmail, Yahoo e Microsoft potrebbero essere respinte o contrassegnate come spam. Il tuo dominio rimane vulnerabile agli attacchi di spoofing e potresti dover affrontare problemi di conformità nei settori regolamentati. Probabilmente ne risentiranno la deliverability delle email e la reputazione del mittente.
7. Che cos'è DMARCbis e modifica i requisiti DMARC?
DMARCbis è la specifica DMARC aggiornata, pubblicata nel maggio 2026 come RFC 9989, 9990 e 9991, in sostituzione dell'originale RFC 7489. Essa eleva DMARC allo status di "Proposed Standard", inasprisce le regole di allineamento e migliora la reportistica. Pur non modificando i requisiti fondamentali per l'implementazione di DMARC, essa segnala che il settore della posta elettronica considera ora DMARC come un'infrastruttura formale. Le organizzazioni già conformi ai requisiti esistenti sono ben posizionate per DMARCbis.
8. Microsoft richiede ora l'uso del DMARC per i mittenti che inviano messaggi in massa?
Sì. A partire dal 5 maggio 2025, Microsoft richiede l'implementazione di SPF, DKIM e DMARC (con impostazione minima p=none) per tutti i domini che inviano più di 5.000 e-mail al giorno a Outlook.com, Hotmail.com e Live.com. L'applicazione del rifiuto totale è in vigore dal novembre 2025. Le e-mail non conformi ricevono il codice di errore 550 5.7.515.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.
Ultimi messaggi di Ahona Rudra (vedi tutti)
- Politica anti-phishing di Office 365: come configurarla - 3 giugno 2026
- Sicurezza degli agenti AI: rischi, best practice e autenticazione delle e-mail - 2 giugno 2026
- PowerDMARC ora si integra con HaloPSA - 1 giugno 2026
