I punti chiave da prendere in considerazione
- Un record DMARC è un record DNS di tipo TXT pubblicato su _dmarc.tuodominio.com. Indica ai server di posta elettronica come gestire le e-mail che non superano i controlli SPF o DKIM.
- Per applicare il DMARC è necessario che SPF o DKIM siano già configurati. Il monitoraggio con p=none funziona correttamente anche in assenza di questi, ma le opzioni di quarantena o rifiuto non saranno operative finché almeno uno dei due non supererà la verifica.
- Per pubblicare un record DMARC, aggiungi un record TXT denominato _dmarc presso il tuo provider DNS. La propagazione può richiedere fino a 48 ore: verifica che il record sia attivo utilizzando uno strumento di verifica DMARC o i comandi dig/nslookup.
- La maggior parte degli errori DMARC è dovuta ad alcuni semplici errori: punti e virgola mancanti, tipo di record errato, pubblicazione sul dominio principale anziché su _dmarc.tuodominio.com, oppure la presenza di due record quando ne dovrebbe esserci solo uno.
- Gmail, Yahoo e Microsoft richiedono l'applicazione dello standard DMARC per i mittenti che effettuano invii in massa. Se gestisci pagamenti con carta di credito, anche lo standard PCI DSS v4.0 rende obbligatori i controlli anti-phishing.
Un record DMARC è un record DNS di tipo TXT che indica ai server di posta in ricezione come gestire le e-mail che non superano i controlli di autenticazione. Questa guida ti spiega passo dopo passo come creare il tuo record DMARC, pubblicarlo nel DNS del tuo dominio, verificarne il corretto funzionamento e comprendere lo standard del 2026 (RFC 9989) che ora regola il protocollo.
Che tu stia configurando l'autenticazione delle e-mail per la prima volta o aggiornando il tuo record per soddisfare i requisiti di conformità per il 2025/2026, puoi generare e pubblicare un record DMARC funzionante in meno di 10 minuti. Questa guida è destinata a professionisti IT, amministratori di dominio, MSP e responsabili della conformità.
Nota: lo standard DMARC è stato aggiornato nel maggio 2026 (RFC 9989). Tutti gli esempi di record riportati in questa guida rispecchiano lo standard aggiornato.
Che cos’è un record DMARC?
Un record DMARC è un record DNS di tipo TXT pubblicato all'indirizzo _dmarc.tuodominio.com che indica ai server di posta riceventi come gestire le e-mail che dichiarano di provenire dal tuo dominio ma che non superano i controlli di autenticazione.
DMARC si basa su due protocolli di autenticazione delle e-mail già esistenti:
- SPF (Sender Policy Framework): autorizza specifici indirizzi IP a inviare e-mail dal tuo dominio
- DKIM (DomainKeys Identified Mail): firma crittograficamente le e-mail per dimostrare che provengono dal proprio dominio
Senza DMARC, non esiste una politica che indichi ai destinatari come comportarsi in caso di fallimento di SPF o DKIM. Sono loro a decidere autonomamente, spesso lasciando passare le e-mail contraffatte.
Il ruolo di DMARC nell'autenticazione delle e-mail
- SPF verifica l'IP mittente controllando se il server che invia questa e-mail è autorizzato dal record SPF del dominio.
- DKIM convalida la firma verificando se la firma digitale dell'e-mail corrisponde alla chiave DKIM pubblicata dal dominio.
- DMARC stabilisce l'azione da intraprendere in caso di fallimento di SPF e/o DKIM. La politica DMARC (e le regole di allineamento) indicano al destinatario se rifiutare, mettere in quarantena o accettare l'e-mail.
Prima di pubblicare il record DMARC
I record DMARC richiedono che almeno uno dei protocolli SPF o DKIM sia pubblicato e allineato al proprio dominio di invio. È possibile pubblicare un record DMARC con p=none (monitoraggio) anche in assenza di tali protocolli, ma l'applicazione delle regole (p=quarantine o p=reject) richiede che almeno un protocollo superi la verifica.
Controlli rapidi:
Anatomia di un record DMARC
Un record DMARC è una stringa composta da coppie tag-valore separate da punti e virgola. Sono richiesti solo due tag; tutto il resto è facoltativo, ma consigliato.
Tag attivi
| Tag | Scopo | Valori consentiti | Esempio | Requisiti |
|---|---|---|---|---|
| v | Versione DMARC | DMARC1 | v=DMARC1 | Richiesto |
| p | Politica DMARC | nessuno, quarantena, rifiuto | p=nessuno | Richiesto |
| sp | Politica sui sottodomini | nessuno, quarantena, rifiuto | sp=rifiuta | Opzionale |
| np | Politica relativa ai sottodomini inesistenti | nessuno, quarantena, rifiuto | np=rifiuto | Opzionale |
| rua | E-mail di riepilogo dei rapporti | Indirizzo e-mail valido | rua=mailto:[email protected] | Consigliato |
| ruf | E-mail di segnalazione di errore | Indirizzo e-mail valido | ruf=mailto:[email protected] | Opzionale |
| psd | Flag del dominio con suffisso pubblico | y (sì)/n (no)/u (non so) | psd=y | Opzionale |
| t | Modalità di prova | y (sì) | t = y | Opzionale |
| adkim | Modalità di allineamento DKIM | r (flessibile)/s (rigoroso) | adkim=r | Opzionale |
| aspf | Modalità di allineamento SPF | r (flessibile)/s (rigoroso) | aspf=s | Opzionale |
| fo | Opzioni per la segnalazione degli errori | 0, 1, d, s | fo=1 | Opzionale |
Nota su psd=: questo tag è destinato principalmente agli operatori di suffissi pubblici (PSO), quali i registri dei domini nazionali o gli operatori di gTLD. La maggior parte dei normali titolari di domini dovrebbe ometterlo del tutto. È rilevante solo se il dominio è un suffisso pubblico, come .gov.uk o .bank.
Nota su ruf= I principali provider (Google, Microsoft, Yahoo) non inviano più segnalazioni di errore.
Tag obsoleti
La RFC 9989 ha reso obsoleti o eliminato tre tag che causavano incongruenze nell'implementazione:
| Tag | Di cosa si trattava | Perché è stato dichiarato obsoleto | Azione |
|---|---|---|---|
| pct | Percentuale di e-mail su cui applicare la politica | Implementato in modo non uniforme nei vari ricevitori, con conseguenti risultati imprevedibili | Rimuovere dai nuovi record. Utilizzare invece t=y per indicare la modalità di test. |
| ri | Formato del rapporto | È stato utilizzato solo un valore (afrf); ridondante | Rimuovere dai record esistenti durante la modifica. |
| rf | Intervallo di segnalazione (in secondi) | I ricevitori l'hanno ignorata durante l'allenamento | Rimuovere dai record esistenti durante la modifica. |
Nota: se i record esistenti contengono questi tag, continuano a funzionare poiché i destinatari li ignorano semplicemente. Tuttavia, la prossima volta che modificherai un record, potrai eliminarli per allinearti alla RFC 9989 e non includerli nella pubblicazione di nuovi record.
Confronto tra le politiche DMARC
| Politica | Funzionamento del ricevitore | Livello di protezione | Requisiti per i mittenti di messaggi di massa ESP | Quando utilizzarlo |
|---|---|---|---|---|
| nessuno | Solo monitoraggio; nessun rifiuto | Nessuno | Accettabile | Implementazione iniziale; monitoraggio del traffico |
| quarantena | Sposta nella cartella spam/posta indesiderata | Moderato | Soddisfa i requisiti | Per un'applicazione graduale |
| scarto | Bloccare e rifiutare completamente | Alto | Soddisfa i requisiti | Quando si ritiene opportuno applicare pienamente le misure. |
Esempi di record DMARC
Tutti gli esempi riportati di seguito sono conformi alla RFC 9989, in quanto omettono i tag deprecati e includono i nuovi tag, ove applicabile.
Esempio 1: Modalità di monitoraggio (Inizia da qui)
v=DMARC1; p=none; rua=mailto:[email protected]
Caso d'uso: configurazione iniziale di DMARC. Nessuna applicazione delle regole. Report aggregati inviati quotidianamente per monitorare i risultati dell'autenticazione.
Cosa fa ogni tag:
- v=DMARC1 Indica che si tratta di un record DMARC
- p=nessuna Non intraprendere alcuna azione; limitarsi a monitorare
- rua= mailto:[email protected] Invia i rapporti giornalieri a questo indirizzo e-mail
Esempio 2: Applicazione parziale (transitoria)
v=DMARC1; p=quarantine; sp=quarantine; np=reject; rua=mailto:[email protected]
Caso d'uso: Passaggio alla fase di applicazione delle regole. Messa in quarantena delle e-mail non valide. Politica più rigorosa per i sottodomini inesistenti.
Novità:
- sp=quarantena I sottodomini ereditano la politica di quarantena
- np=reject I sottodomini inesistenti vengono rifiutati (protezione RFC 9989)
Esempio 3: Applicazione integrale
v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected]
Caso d'uso: applicazione completa in produzione. Rifiutare tutte le e-mail non conformi. Il dominio non ospita mailing list.
Esempio 4: Dominio non attivo / inattivo
v=DMARC1; p=reject; sp=reject; np=reject; adkim=s; aspf=s
Caso d'uso: dominio che non invia e-mail ma necessita di protezione contro lo spoofing.
Cosa c'è di diverso:
- adkim=s; aspf=s Allineamento rigoroso (non è necessaria la modalità "relaxed")
- No rua= Nessun monitoraggio dei rapporti (il dominio non li invia)
- np=reject Anche i sottodomini inesistenti respingono le e-mail contraffatte
Anche i domini inattivi dovrebbero essere protetti, poiché gli hacker possono spacciarsi per domini inutilizzati nelle campagne di phishing.
Esempio 5: Sottodominio con criteri più rigorosi
Dominio principale: v=DMARC1; p=quarantine; rua=mailto:[email protected]
Sottodominio (marketing.yourdomain.com): v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected]
Caso d'uso: il dominio principale consente la quarantena (la posta viene inoltrata). Il sottodominio di marketing è un mittente dedicato; applicare p=reject.
Esempio 6: Microsoft 365 / Google Workspace
v=DMARC1; p=reject; rua=mailto:[email protected]
Nota: Microsoft 365 e Google Workspace non richiedono una sintassi DMARC specifica. Il record viene pubblicato nel DNS come in qualsiasi altra implementazione DMARC. Prima di applicare le regole, verificare la configurazione SPF e DKIM per tutte le fonti di invio.
Per una guida dettagliata, puoi consultare le nostre guide alla configurazione di DMARC per Microsoft 365 e Google Workspace.
Come creare un record DMARC
Metodo 1: Utilizzo del generatore gratuito di PowerDMARC
1. Vai al generatore di record DMARC
2. Seleziona il livello di applicazione desiderato (Nessuno / Monitoraggio, Quarantena, Rifiuto)
3. Inserisci il tuo dominio e l'indirizzo e-mail per la ricezione dei rapporti
4. Attiva la politica sui sottodomini e, se lo desideri, proteggi i sottodomini inesistenti (facoltativo)
5. Fare clic su "Genera"
6. Record DMARC creato
Metodo 2: Creazione manuale
Apri un editor di testo e scrivi il record a mano:
v=DMARC1; p=none; rua=mailto:[email protected]
Inizia con p=none (monitoraggio). Potrai modificare la politica in un secondo momento, una volta che avrai compreso meglio il tuo traffico e-mail.
Obbligatorio:
- v=DMARC1 (sempre)
- p= (la tua politica: nessuna, quarantena o rifiuto)
- rua= (il tuo indirizzo e-mail di segnalazione)
Come pubblicare un record DMARC – Guida passo passo fornita dal provider DNS
Il DNS del tuo dominio è gestito dal tuo registrar (GoDaddy, Namecheap, ecc.), dal tuo provider di hosting web (cPanel) o dal tuo CDN (Cloudflare). Accedi al tuo account e segui i passaggi indicati di seguito in base al tuo provider.
Procedura generica (se il proprio fornitore non è presente nell'elenco):
1. Trovare la console di gestione DNS
2. Fare clic sul dominio per il quale si desidera configurare DMARC
3. Creare un nuovo record TXT
4. Nome del record: _dmarc (oppure _dmarc.tuodominio.com se il modulo richiede il nome host completo)
5. Valore del record: incolla la stringa del tuo record DMARC
6. Salvare e attendere la propagazione (24-48 ore)
7. Utilizzare lo strumento di verifica DMARC per verificare
Pubblica il record DMARC su GoDaddy
1. Accedi al tuo portafoglio domini GoDaddy
2. Clicca su "DNS" accanto al tuo dominio
3. Scorrere fino alla sezione "Record DNS"
4. Fare clic su “Aggiungi nuovo record”
5. Tipo: TXT
6. Nome: _dmarc
7. Valore: incolla il tuo record DMARC
8. Fare clic su “Salva”
Pubblica il record DMARC su Cloudflare
1. Accedi alla tua dashboard di Cloudflare
2. Seleziona il tuo dominio
3. Vai su DNS > Record
4. Fare clic su “Aggiungi record”
5. Tipo: TXT
6. Nome: _dmarc
7. Contenuto: incolla il tuo record DMARC
8. TTL: Automatico (o 3600)
9. Stato del proxy: solo DNS (senza proxy)
10. Fare clic su “Salva”
Nota: impostare lo stato del proxy su “Solo DNS” (nuvoletta grigia), non su arancione. DMARC deve essere interrogato direttamente sul DNS, non tramite il proxy di Cloudflare.
Pubblicare il record DMARC su cPanel / WHM
1. Accedi al tuo account cPanel
2. Vai su "Zone Editor" (nella sezione "Domini")
3. Fai clic su "Gestisci" accanto al tuo dominio
4. Fare clic su + Aggiungi nuovo record
5. Tipo: TXT
6. Nome: _dmarc.tuodominio.com
7. Valore (dati TXT): incolla il tuo record DMARC
8. Fare clic su “Aggiungi un record”
Pubblica il record DMARC su Namecheap
1. Accedi al tuo account Namecheap
2. Vai su Dashboard > Elenco domini
3. Fai clic su "Gestisci" accanto al tuo dominio
4. Vai su "DNS avanzato"
5. Fare clic su “Aggiungi nuovo record”
6. Tipo: record TXT
7. Host: _dmarc
8. Valore: incolla il tuo record DMARC
9. TTL: Automatico (3600)
10. Clicca sul segno di spunta per salvare
Pubblicare il record DMARC su Amazon Route 53
1. Accedi alla console di gestione AWS > Route 53
2. Vai alla sezione "Zone ospitate" e seleziona il tuo dominio
3. Fare clic su "Crea record"
4. Nome del record: _dmarc
5. Tipo di record: TXT
6. Valore: incolla il tuo record DMARC racchiuso tra virgolette doppie
- Esempio: “v=DMARC1; p=none; rua=mailto:[email protected]”
- La Route 53 richiede le virgolette; senza di esse, il record non verrà salvato
7. TTL: 300 (o 3600)
8. Fare clic su "Crea record"
Nota: Route 53 richiede che i valori dei record TXT siano racchiusi tra virgolette doppie. Copia e incolla il tuo record così com’è, quindi racchiudilo tra “…”.
Pubblica il record DMARC su Microsoft 365 / Azure DNS
Se il tuo DNS è gestito tramite Azure DNS:
1. Accedi al Portale di Azure > Zone DNS
2. Seleziona il tuo dominio
3. Fare clic su + Registra serie
4. Nome: _dmarc
5. Tipo: TXT
6. TTL: 3600
7. Valore: incolla il tuo record DMARC
8. Fare clic su OK
Se il tuo DNS è gestito da un registrar (GoDaddy, Namecheap, ecc.):
- Segui le istruzioni fornite dal responsabile delle iscrizioni riportate sopra
Quanto tempo impiega un record DMARC a propagarsi?
Le modifiche al DNS sono gestite da un’impostazione denominata TTL (Time To Live), che indica ai server per quanto tempo conservare un record DNS nella cache prima di verificare la presenza di aggiornamenti. La maggior parte dei provider DNS imposta il TTL su 3600 secondi (1 ora) per impostazione predefinita.
Tempistiche tipiche:
- Nella maggior parte dei casi, la propagazione del DNS avviene entro 1–2 ore
- In casi rari, la propagazione completa a livello globale può richiedere fino a 48 ore
- Non farti prendere dal panico se il tuo strumento di verifica DMARC mostra “nessun record” nella prima ora; aspetta almeno 30-60 minuti e riprova
Verifica la propagazione a livello globale: utilizza il nostro strumento di verifica della propagazione DNS per assicurarti che il tuo record sia attivo su diversi server DNS globali.
Come verificare che il proprio record DMARC funzioni correttamente
Metodo 1: Strumento di verifica DMARC di PowerDMARC
1. Vai a DMARC Record Checker
2. Inserisci il nome del tuo dominio
3. Fare clic su "Verifica"
4. I risultati mostrano che:
- Valido: il record è formattato correttamente e pubblicato
- Non valido: errore di sintassi; controlla il tuo record
- Nessun record trovato: controllare la propagazione del DNS o verificare che il record sia stato salvato nel DNS
Metodo 2: Riga di comando (nslookup o dig)
Su Windows (Prompt dei comandi):
nslookup -type=TXT _dmarc.tuodominio.com
Su Mac/Linux (Terminale):
dig TXT _dmarc.tuodominio.com
Risultato corretto:
_dmarc.tuodominio.com. 3600 IN TXT “v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected]”
Se non vedi alcun risultato, significa che il DNS non si è ancora propagato oppure che il record non è stato salvato correttamente.
Metodo 3: Controllare l'intestazione dell'e-mail (Authentication-Results)
Invia un'e-mail di prova e controlla le intestazioni.
Passi:
1. Inviati un'e-mail di prova dal tuo dominio (oppure chiedi a qualcuno di un'altra azienda di inviarti un'e-mail)
2. In Gmail:
- Apri l'e-mail
- Fai clic sul menu con i tre puntini (⋮) > Mostra originale
- Cerca i risultati dell'autenticazione
3. In Outlook:
- Apri l'e-mail
- Fai clic su File > Proprietà > Intestazioni Internet
- Cerca i risultati dell'autenticazione
Cosa cercare:
✅ DMARC superato:
Risultati dell'autenticazione: mx.google.com;
dmarc=pass (p=REJECT sp=REJECT np=REJECT dis=NONE) header.from=yourdomain.com
❌ Errore DMARC:
Risultati dell'autenticazione: mx.google.com;
dmarc=fail (p=REJECT sp=REJECT) header.from=yourdomain.com motivo=”SPF non allineato”
Cosa significa “pass”: la firma SPF o DKIM è coerente con il dominio indicato nell’intestazione “From” e la politica DMARC è stata applicata.
Cosa significa “fail”: l’SPF o il DKIM non hanno superato la verifica o non sono allineati. Controlla il tuo record SPF e la configurazione DKIM.
Quando aspettarsi il primo rapporto DMARC
I report aggregati vengono inviati entro 24-72 ore dalla pubblicazione del tuo record.
Contenuto del rapporto:
- Riepilogo giornaliero di tutte le e-mail inviate dal tuo dominio
- Risultati dell'autenticazione (SPF superato/non superato, DKIM superato/non superato, DMARC superato/non superato)
- Invio degli indirizzi IP e del loro volume
- Paesi di origine
- Misure di applicazione delle politiche adottate dai curatori fallimentari
Cosa è cambiato nella RFC 9989 per i record DMARC
Nel maggio 2026, l'RFC 9989 ha sostituito l'RFC 7489 come standard ufficiale DMARC. Il record esistente continua a funzionare. Ecco le principali modifiche per i nuovi record:
Sono stati aggiunti tre nuovi tag:
- np= (policy per sottodomini inesistenti): aggiungi np=reject o np=quarantine per proteggere i sottodomini inesistenti. Prima della pubblicazione della RFC 9989, gli hacker potevano falsificare sottodomini casuali privi di record DMARC. Ora è possibile impostare una policy per questi casi a livello di dominio principale. La maggior parte dei proprietari di domini dovrebbe aggiungere questa impostazione.
- t= (flag della modalità di test): utilizzare t=y per indicare che la propria policy è in modalità di test. I destinatari interpretano p=reject; t=y come p=quarantine (un livello meno restrittivo), consentendo implementazioni graduali in tutta sicurezza. Sostituisce il vecchio tag pct=.
- psd= (indicatore di dominio con suffisso pubblico): Indica se un dominio è un suffisso pubblico (come .gov.uk o .bank). Rilevante solo per gli operatori di suffissi pubblici e per le gerarchie di domini complesse. La maggior parte dei titolari di domini può ignorare questo campo.
Tag obsoleti/rimossi:
- pct= è deprecato. I destinatari lo hanno implementato in modo non uniforme. Utilizzare invece t=y per le implementazioni graduali.
- rf= e ri= sono stati rimossi. Eliminateli se compaiono nei vostri record esistenti. I ricevitori li ignorano comunque.
Per approfondire le modifiche apportate alla RFC 9989, consulta la nostra guida DMARC RFC 9989.
Requisiti di conformità attualmente in vigore
| Requisiti | Stato | Scadenza | Azione |
|---|---|---|---|
| Rifiuto definitivo da parte di Gmail | Attivo | Febbraio 2024 | È richiesta la pubblicazione di DMARC; p=none è accettabile come punto di partenza, con l'aspettativa di passare successivamente a p=quarantine o p=reject per i mittenti che inviano messaggi in massa (oltre 5.000 messaggi al giorno) |
| Rifiuto definitivo da parte di Yahoo | Attivo | Febbraio 2024 | È richiesta la pubblicazione di DMARC; p=none è accettabile come punto di partenza, con l'aspettativa di passare successivamente a p=quarantine o p=reject per i mittenti che inviano messaggi in massa (oltre 5.000 messaggi al giorno) |
| Applicazione delle norme relative a Microsoft Outlook | Attivo | Maggio 2025 | Per i mittenti di messaggi in massa verso Outlook.com, Hotmail.com e Live.com è richiesta l'applicazione delle norme DMARC con SPF e DKIM |
| PCI-DSS versione 4.0 | Attivo | Marzo 2025 | Controlli anti-phishing obbligatori per tutti i soggetti che trattano i dati dei titolari di carte. |
Scopri i requisiti locali e globali nella nostra guida completa ai requisiti DMARC.
Errori comuni dei record DMARC
1. Nessun record DMARC trovato
Motivo: non hai pubblicato un record DMARC sul tuo dominio, è configurato in modo errato oppure la propagazione DNS non è ancora completata
Soluzione: dopo aver verificato che non esista alcun record nel proprio DNS, accedere alla console di gestione del DNS per pubblicare un nuovo record. Se esiste già un record, modificarlo per correggere eventuali errori o configurazioni errate. Se non sono trascorse le 48 ore necessarie per la propagazione, attendere qualche tempo prima di ricontrollare.
2. Errori di sintassi
Errori comuni:
- Mancanza di punti e virgola: ogni tag deve essere seguito da un punto e virgola.
- Spazi superflui: evitare gli spazi dopo i punti e virgola o intorno a
- Versione errata: deve essere v=DMARC1, non v=DMARC2 né version=1
- Nomi di tag non validi: errori di battitura come "po=reject" invece di "p=reject"
Record DMARC duplicati
Motivo: è necessario che vi sia un solo record TXT DMARC per dominio. Se sono presenti più record, i destinatari leggeranno solo il primo che trovano. Ciò può causare un comportamento imprevisto della politica.
Soluzione: assicurati di rimuovere i record duplicati appartenenti allo stesso dominio oppure, se necessario, di unirli.
Utilizza il comando: nslookup -type=TXT _dmarc.yourdomain.com oppure ricorri a uno strumento di verifica DMARC. Se riscontri due o più record DMARC, elimina immediatamente quelli duplicati.
Nome o tipo di record DNS errato
Motivo: il nome o il tipo del record DNS non è valido; ad esempio, è stato configurato un record MX al posto di un record TXT per DMARC.
Soluzione:
- Tipo di record: TXT (non A, CNAME, MX, ecc.)
- Nome del record: _dmarc (alcuni provider DNS aggiungono automaticamente il tuo dominio; altri richiedono _dmarc.tuodominio.com)
Errori comuni:
- Aggiunta di un record DMARC come record A o CNAME
- Pubblicazione sul dominio principale (tuodominio.com) anziché su _dmarc.tuodominio.com
- Errori di battitura come _dmrc o dmarc (trattino basso mancante)
Controlla il tuo gestore DNS per verificare il nome e il tipo esatti.
Hai bisogno di ulteriore aiuto? Guida completa alla risoluzione dei problemi
Per problemi relativi a errori di allineamento SPF/DKIM, errori relativi a mittenti di terze parti o messaggi legittimi finiti nella cartella dello spam, consulta la guida completa alla risoluzione dei problemi DMARC.
Record DMARC per domini non mittenti e domini parcheggiati
Anche se il tuo dominio non invia e-mail, gli hacker possono falsificarne l'identità per inviare messaggi di phishing ai tuoi clienti. Proteggi i domini inattivi e parcheggiati con un record DMARC restrittivo.
Record consigliato per un dominio che non effettua invii
v=DMARC1; p=reject; sp=reject; np=reject; adkim=s; aspf=s
Cosa fa:
- p=rifiuta; sp=rifiuta; np=rifiuta: Rifiuta tutte le e-mail non autorizzate
- adkim=s; aspf=s: Richiede un allineamento rigoroso (senza corrispondenze approssimative)
- No rua=: Nessun monitoraggio dei rapporti (il dominio non li invia)
Perché i domini che non inviano e-mail vengono presi di mira
Gli autori degli attacchi possono registrare domini simili o compromettere quelli inattivi presenti nel proprio portafoglio. Un dominio parcheggiato privo di record DMARC appare come un bersaglio facile per lo spoofing. L'impostazione di p=reject su tutti i domini impedisce:
- E-mail di phishing inviate dai domini “azienda.old” o “azienda.test”
- Danno reputazionale
- Abusi non individuati (se non venissero segnalati, non ci si accorgerebbe mai che sono avvenuti)
Prossimi passi dopo la pubblicazione di DMARC
L'impostazione "p=none" (modalità di monitoraggio) non offre alcuna protezione, ma si limita alla raccolta dei dati. Per proteggere il proprio dominio da spoofing e phishing, è necessario passare gradualmente alla modalità di applicazione delle misure di sicurezza.
Approccio in tre fasi:
- Monitoraggio (p=nessuno): esamina i rapporti DMARC per 1-2 settimane. Identifica tutti i mittenti legittimi e le terze parti che inviano messaggi per tuo conto (strumenti SaaS, piattaforme di marketing, sistemi di gestione dei ticket).
- Fase di transizione (p = quarantena): spostare il traffico sospetto nella cartella dello spam. Mantenere questa fase per 1-4 settimane, monitorando il volume dei rapporti. Se vengono messe in quarantena e-mail legittime, significa che è stato individuato un mittente che necessita di una configurazione SPF o DKIM.
- Applica (p=rifiuta): rifiuta completamente le e-mail non autorizzate. Passare a questa opzione solo dopo aver verificato che tutti i mittenti legittimi siano stati identificati correttamente.
Gestione di DMARC su larga scala per più domini
Se gestisci più domini, modificare i record DNS uno per uno è un’operazione lenta e soggetta a errori. La soluzione Hosted DMARC di PowerDMARC automatizza la gestione dei record per l’intero portafoglio.
Vantaggi:
- Gestisci un numero illimitato di domini da un'unica dashboard
- Aggiornamenti in blocco delle politiche (applicazione o rifiuto delle politiche su 50 domini contemporaneamente)
- L'intelligence sulle minacce basata sull'intelligenza artificiale identifica i tentativi di spoofing
- Assistenza personalizzata e supporto da parte di esperti
Scopri di più su Hosted DMARC.
Domande frequenti
1. Ho bisogno di DMARC se ho già SPF e DKIM?
Sì. SPF e DKIM sono meccanismi di autenticazione individuali, ma senza DMARC non esiste una politica che indichi ai destinatari come comportarsi quando tali controlli falliscono. DMARC consente inoltre la generazione di report aggregati, senza i quali non è possibile sapere chi sta inviando e-mail dal proprio dominio.
2. Cosa succede se non ho un record DMARC?
Senza DMARC, i server di ricezione decidono autonomamente come gestire le e-mail non autenticate e il tuo dominio risulta più vulnerabile allo spoofing e al phishing. Diversi ESP richiedono l'adozione di DMARC per i mittenti che inviano e-mail in massa e la sua assenza può compromettere in modo significativo la deliverability.
3. Il DMARC si applica automaticamente ai sottodomini?
I sottodomini ereditano la politica DMARC del dominio principale, a meno che non venga sovrascritta. Utilizzare il tag sp= per impostare una politica diversa per i sottodomini esistenti e il tag np= (novità introdotta nella RFC 9989) per impostare la politica per i sottodomini inesistenti. Impostare sp=reject mantenendo p=quarantine è una pratica comune per garantire una protezione più rigorosa dei sottodomini.
4. Il DMARC è obbligatorio ai fini della conformità allo standard PCI DSS v4.0?
Lo standard PCI DSS v4.0, entrato pienamente in vigore nel 2025, richiede l'adozione di misure anti-phishing da parte delle organizzazioni che trattano i dati delle carte di pagamento. Sebbene DMARC non sia esplicitamente richiesto ai fini della conformità, la sua implementazione può aiutare a soddisfare tali requisiti.
- Come configurare DMARC: guida completa alla configurazione passo dopo passo (2026) - 20 giugno 2026
- Come leggere i report DMARC: una guida completa a RUA e RUF - 10 giugno 2026
- Che cos’è il DMARC? Definizione, funzionamento e importanza - 28 aprile 2026
