DMARCbis spiegato: cosa sta cambiando e come prepararsi

DMARCbis è l'aggiornamento tanto atteso della specifica DMARC originale definita nella RFC 7489. Introduce modifiche strutturali al funzionamento di DMARC, elimina elementi obsoleti e chiarisce ambiguità di lunga data relative all'allineamento dei domini e alla gestione delle politiche.

Sebbene l'aggiornamento non comporti interruzioni del servizio, modifica il modo in cui vengono definiti i confini dei domini, come vengono applicate le politiche ai sottodomini e come vengono interpretati o rimossi determinati tag.

Questa guida spiega cosa cambia, cosa rimane invariato e quali sono i prossimi passi da compiere.

Che cos'è il DMARCbis?

DMARCbis è la versione aggiornata della specifica Domain-based Message Authentication, Reporting, and Conformance (DMARC), sviluppata dall'IETF.

La specifica DMARC originale (RFC 7489) è stata pubblicata come documento informativo.

DMARCbis è stato presentato come standard proposto, il che denota un consenso più ampio e linee guida più chiare per l'implementazione.

L'aggiornamento si concentra su tre aree:

• Eliminare ogni ambiguità nella valutazione dei domini
• Semplificare il protocollo eliminando i tag inutilizzati
• Garantire ai proprietari dei domini un maggiore controllo sull'ereditarietà delle politiche

È importante sottolineare che DMARCbis mantiene invariato il parametro v=DMARC1, quindi i record esistenti continuano a funzionare.

Cosa sostituisce DMARCbis?

DMARCbis riunisce e sostituisce:

RFC 7489 – la specifica DMARC originale

RFC 9091 – l'estensione DMARC del dominio con suffisso pubblico (PSD)

Questo è importante perché la gestione dei PSD è ora integrata nelle specifiche di base tramite il tag psd. Non sono più necessarie dipendenze esterne come la Public Suffix List. I confini dei domini vengono definiti direttamente nel DNS.

Quali sono le principali novità di DMARCbis?

1. La scansione dell'albero DNS sostituisce l'elenco dei suffissi pubblici

DMARCbis sostituisce la Public Suffix List (PSL) con un metodo nativo del DNS denominato «DNS Tree Walk». Anziché affidarsi a un elenco di terze parti, determina il dominio dell'organizzazione effettuando una scansione diretta del DNS.

Come funziona:

Prendiamo questo dominio: mail.marketing.example.com

Il destinatario verifica la presenza di un record DMARC nel seguente ordine:

1. mail.marketing.esempio.com
2. marketing.esempio.com
3. esempio.com
4. com

Ad ogni livello, cerca un record DMARC con un tag psd:

• psd=n → questo è il dominio organizzativo → stop
• psd=y → questo è un suffisso pubblico → interrompi
• psd=u o mancante → proseguire verso l'alto

La ricerca si interrompe dopo un massimo di 8 livelli.

Questo approccio elimina la dipendenza da elenchi esterni, garantisce ai proprietari dei domini il controllo sui confini dei domini e rende il comportamento più prevedibile su tutti i sistemi.

2. Tag obsoleti: «pct», «rf», «ri»

DMARCbis rimuove i seguenti tag:

• «pct» (il tag Percentage per l'applicazione basata sulle percentuali)
• «rf» (formato del rapportoforense )
• «ri» (intervallo di segnalazione)

Questi elementi venivano raramente utilizzati in modo coerente e aggiungevano complessità senza apportare alcun vantaggio evidente.

Nota sul tag pct: alcune organizzazioni utilizzavano il tag pct per applicare le politiche DMARC in modo graduale. La sua rimozione semplifica il protocollo, ma elimina anche il meccanismo di implementazione graduale.

Il punto di vista di PowerDMARC: l'applicazione graduale rimane importante, ma dovrebbe essere gestita a livello operativo piuttosto che attraverso un supporto incostante da parte dei destinatari.

3. Nuovi tag introdotti: «psd», «np», «t»

«psd» (dominio con suffisso pubblico)

Il tag «psd» definisce esplicitamente il tipo di dominio e determina dove termina la scansione dell'albero DNS:

• psd=y → dominio con suffisso pubblico (ad es. gestori di TLD)
• psd=n → dominio organizzativo
• psd=u → sconosciuto (comportamento predefinito se omesso)

"np" (Politica sui domini inesistenti)

Il tag «np» definisce la politica relativa ai sottodomini inesistenti e impedisce l'uso improprio di sottodomini inutilizzati o non registrati.
Esempio: np=reject
«t» (Modalità di prova)

Il tag t indica che il dominio è in modalità di prova.

• Non sovrascrive le regole (‘p’, ‘sp’, ‘np’)
• Ha solo valore informativo
• I destinatari possono decidere se accettarlo

Modifiche al rapporto aggregato (RUA)

DMARCbis separa la reportistica aggregata in una specifica dedicata. Sebbene ciò non comprometta l'attuale sistema di reportistica, preannuncia comunque cambiamenti futuri.

Principali implicazioni:

• Il formato di segnalazione è in fase di perfezionamento in una bozza separata dell'IETF
• La struttura XML potrebbe subire modifiche per garantire una maggiore coerenza
• Con il passare del tempo, le modalità di segnalazione diventeranno più standardizzate

Liste di distribuzione e linee guida per il rifiuto

DMARCbis fornisce indicazioni più chiare sulle mailing list.

Si consiglia ai domini i cui utenti pubblicano attivamente su mailing list di non utilizzare l'opzione «p=reject», poiché ciò comporta il rifiuto di e-mail legittime in quanto:

• Le mailing list spesso modificano i messaggi
• Questo compromette le firme DKIM
• L'allineamento SPF di solito fallisce

Se i tuoi utenti partecipano a mailing list pubbliche, evita di applicare politiche di rifiuto rigide a meno che tu non ne comprenda appieno le conseguenze.

Cosa rimane invariato in DMARCbis?

DMARCbis è retrocompatibile, il che significa sostanzialmente che, anche dopo la sua introduzione ufficiale, il tuo record DMARC esistente, pur non disponendo degli aggiornamenti più recenti, continuerà a funzionare correttamente. Ecco alcuni aspetti che rimarranno invariati:

• I record esistenti che utilizzano v=DMARC1 continuano a funzionare
• I meccanismi di allineamento SPF e DKIM rimangono invariati
• I tag principali come «p», «sp», «rua» e «ruf» rimangono fondamentali

Prima e dopo: esempi di record DMARC

Prima (record precedente):

Dopo (allineato a DMARCbis):

Scopri come pubblicare un record DMARC.

Chi deve fare cosa?

Come devo prepararmi per DMARCbis?

È importante sottolineare che, sebbene non siano necessari cambiamenti immediati, un adeguamento tempestivo riduce i rischi futuri. Per prepararsi al DMARCbis, è possibile utilizzare la nostra breve lista di controllo riportata di seguito:

Scopri DMARCbis con PowerDMARC

PowerDMARC è perfettamente attrezzata per supportare la transizione a DMARCbis. Man mano che le specifiche si evolvono, garantiamo che la vostra configurazione rimanga conforme senza interruzioni. Ecco come possiamo aiutarvi:

• Generatore di record compatibile con DMARCbis: il nostro generatore supporta già i nuovi tag np, psd e t e contrassegna i tag obsoleti come pct, rf e ri per la rimozione, senza che sia necessario indovinare quali tag mantenere o eliminare.
• DMARC in hosting con aggiornamenti automatici: se utilizzi il nostro servizio DMARC in hosting, aggiorniamo il tuo record non appena la specifica viene finalizzata. Quando DMARCbis passa dalla fase "Last Call" a quella di "Proposed Standard", la tua configurazione si adegua automaticamente.
• Visibilità centralizzata su tutti i domini: scopri in tempo reale cosa funziona e cosa non va, grazie agli avvisi sui tag obsoleti, ai consigli degli esperti e alle descrizioni a comparsa.
• Analisi delle politiche relative ai sottodomini e ai domini inesistenti: DMARCbis introduce il parametro "np" per i sottodomini inesistenti. La nostra piattaforma ti aiuta a verificare e gestire i sottodomini in modo efficace per colmare le lacune che gli hacker potrebbero sfruttare.
• Assistenza qualificata per interpretare e implementare le nuove modifiche: il nostro team di assistenza è disponibile 24 ore su 24, 7 giorni su 7, per aiutarti a interpretare le modifiche e pianificare la migrazione. Per una guida rapida sulle problematiche più comuni, puoi anche utilizzare il nostro assistente DMARC basato sull'intelligenza artificiale integrato.

Pensieri finali

DMARCbis migliora la chiarezza, semplifica l'implementazione e offre ai proprietari dei domini un maggiore controllo sulle modalità di applicazione delle politiche. Sebbene le modifiche non siano urgenti, sono comunque importanti, e le organizzazioni dovrebbero tenere conto dei prossimi aggiornamenti quando valutano il proprio livello di sicurezza in materia di autenticazione. Prepararsi fin da ora garantisce che la configurazione dell'autenticazione e-mail rimanga stabile, prevedibile e in linea con la prossima versione dello standard.

La buona notizia è che non dovrai affrontare il passaggio a DMARCbis da solo! Il nostro team di esperti è a tua disposizione per aiutarti a orientarti con facilità tra i cambiamenti del settore e i requisiti per i mittenti di e-mail, senza che tu debba possedere alcuna competenza tecnica. Contattaci oggi stesso per iniziare!

Domande frequenti

DMARCbis è già stato pubblicato?

No. Attualmente è in fase di "Last Call" presso l'IETF e si prevede che diventi uno standard proposto.

DMARCbis è retrocompatibile?

Sì, DMARCbis è retrocompatibile, il che significa che i record DMARC esistenti continuano a funzionare, quindi non c'è bisogno di affrettarsi ad allinearli né di farsi prendere dal panico.

Devo aggiornare subito il mio record DMARC?

Al momento non è necessario affrettarsi ad aggiornare immediatamente il proprio record DMARC. Tuttavia, si consiglia di rimuovere i tag obsoleti per garantire la conformità futura.

DMARCbis influisce su SPF o DKIM?

DMARCbis non influisce sull'autenticazione SPF o DKIM, poiché modifica solo il modo in cui DMARC valuta l'allineamento e le politiche.

• Informazioni su
• Ultimi messaggi

Yunes Tarada

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.

Ultimi messaggi di Yunes Tarada (vedi tutti)

• DMARCbis: cosa cambia e come prepararsi - 16 aprile 2026
• Il formato del numero di serie SOA non è valido: cause e soluzioni - 13 aprile 2026
• Come inviare email sicure su Gmail: guida passo passo - 7 aprile 2026