Come creare e pubblicare un record DMARC
di
Ultimo aggiornamento: Tempo di lettura: 9 min
I punti chiave da prendere in considerazione
- Un record DMARC è una voce DNS TXT che aiuta ad autenticare le e-mail in uscita e a prevenire gli attacchi di spoofing e phishing.
- La scelta della giusta politica DMARC è essenziale per controllare la gestione delle e-mail non autorizzate.
- Per implementare il DMARC, il record deve essere pubblicato nel Domain Name System (DNS) utilizzando strumenti come cPanel, GoDaddy o Cloudflare.
- Anche i domini che non inviano attivamente e-mail dovrebbero avere un record DMARC restrittivo, in particolare "p=reject", per prevenire potenziali abusi.
- Per ottenere risultati ottimali, si consiglia di mantenere un singolo record DMARC per dominio e di implementare l'applicazione gradualmente per evitare problemi di consegna delle e-mail.
- Soluzioni come PowerDMARC automatizzano la gestione dei record DMARC e semplificano il monitoraggio grazie all'uso dell'intelligenza artificiale delle minacce.
DMARC, ovvero Domain-based Message Authentication, Reporting and Conformance, è un protocollo tecnico per l'autenticazione dei messaggi in uscita. DMARC funge da prima linea di difesa contro una serie di minacce basate sulla posta elettronica, tra cui phishing e spoofing.
Per configurare DMARC, è necessario creare un record DMARC. Il record DMARC creato è un record TXT che viene poi pubblicato sul proprio DNS. Questo avvia il processo di autenticazione delle e-mail.
Impostando un record DMARC, dai ai proprietari dei domini la possibilità di dire ai destinatari come devono rispondere alle email inviate da fonti non autorizzate o illegittime.
Consiglio dell'esperto Maitham Al Lawati: "Per le organizzazioni che operano nel settore sanitario o finanziario, il DMARC non riguarda solo la sicurezza, ma anche il rispetto di severi requisiti di conformità. Iniziate con il monitoraggio, poi passate all'applicazione".
Questa guida ti accompagna nella creazione e nella pubblicazione corretta di un record TXT DNS DMARC, oltre a spiegarti come verificarlo e risolvere gli errori più comuni.
Cosa sono i record DMARC?
Un record DMARC è un record DNS TXT che specifica come i server di posta elettronica devono gestire i messaggi che non superano i controlli di autenticazione (SPF e DKIM).
Aiuta i proprietari di domini a prevenire lo spoofing delle e-mail e il phishing, indicando ai server dei destinatari se rifiutare, mettere in quarantena o consentire le email non autorizzate.
Anatomia di un record DMARC
Comprendere ogni tag DMARC è essenziale per una corretta configurazione. Ecco una panoramica completa di tutti i componenti dei record DMARC:
| Tag | Descrizione | Valori possibili | Esempio |
|---|---|---|---|
| v | Versione (obbligatorio) | DMARC1 | v=DMARC1 |
| p | Politica per il dominio (obbligatoria) | nessuno, quarantena, rifiuto | p=quarantena |
| rua | Rapporto aggregato e-mail | Indirizzo e-mail | rua=mailto:[email protected] |
| ruf | Email con il rapporto forense | Indirizzo e-mail | ruf=mailto:[email protected] |
| sp | Politica sui sottodomini | nessuno, quarantena, rifiuto | sp=rifiuta |
| adkim | Modalità di allineamento DKIM | r (rilassato), s (rigoroso) | adkim=r |
| aspf | Modalità di allineamento SPF | r (rilassato), s (rigoroso) | aspf=r |
| pct | Percentuale di e-mail su cui applicare la politica | 0-100 | pct=25 |
| fo | Opzioni forensi | 0, 1, d, s | fo=1 |
| rf | Formato del rapporto | afrf | rf=afrf |
| ri | Intervallo di segnalazione (secondi) | Numero | ri=86400 |
Esempi di record DMARC
Ecco alcuni esempi reali di record DMARC per diversi casi d'uso. Copiali e personalizzali per il tuo dominio:
Modalità di monitoraggio di base (consigliata per i principianti)
- v=DMARC1; p=none; rua=mailto:[email protected]
- Caso d'uso: implementazione iniziale di DMARC per il monitoraggio del traffico e-mail senza applicazione.
Politica di quarantena con segnalazione
- v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=25
- Caso d'uso: applicazione graduale che interessa il 25% delle e-mail, con reportistica sia aggregata che forense.
Politica di applicazione rigorosa
- v=DMARC1; p=rifiuta; sp=rifiuta; rua=mailto:[email protected]; adkim=s; aspf=s
- Caso d'uso: protezione completa con allineamento rigoroso sia per il dominio che per i sottodomini.
Protezione dei domini non mittenti
- v=DMARC1; p=rifiuta; sp=rifiuta; adkim=s; aspf=s
- Caso d'uso: domini che non inviano e-mail ma necessitano di protezione dallo spoofing.
Spiegazione dei tag dei record DMARC
1. Modalità dei criteri DMARC
Il criterio DMARC definisce il modo in cui i destinatari devono gestire le e-mail che non superano l'autenticazione DMARC. È indicata con "p". Può avere uno dei tre valori seguenti:
- p=none: Non intraprendere alcuna azione contro le e-mail non autorizzate.
- p=quarantena: Per segnalare email sospette.
- p=rifiuta: Per rifiutare le e-mail non autorizzate prima che raggiungano i destinatari.
2. Opzioni di segnalazione DMARC
- Rapporti aggregati (rua=): Si tratta di rapporti di sintesi inviati all'indirizzo e-mail specificato, che mostrano i risultati dell'autenticazione per tutte le e-mail provenienti dal dominio.
- Rapporti forensi (ruf=): Si tratta di rapporti dettagliati inviati quando un'e-mail non supera l'autenticazione DMARC.
3. Modalità di allineamento DMARC
- Allineamento SPF (aspf=): determina se il dominio del mittente nell'intestazione From: è allineato con il record SPF. È possibile scegliere tra un allineamento rigoroso (s) per una corrispondenza esatta o un allineamento flessibile (r) per una corrispondenza organizzativa.
- Allineamento DKIM (adkim=): Determina se la firma DKIM sia allineata con il dominio nell'intestazione From:. È possibile scegliere tra un allineamento rigoroso (s) per una corrispondenza esatta o un allineamento flessibile (r) per una corrispondenza organizzativa.
Come funziona DMARC con i sottodomini
Il tag "sp" (subdomain policy) controlla come le politiche DMARC si applicano ai sottodomini. Se non specificato, i sottodomini ereditano la politica del dominio principale.
- Eredità: I sottodomini ereditano automaticamente la politica DMARC del dominio principale.
- Sovrascrittura: Utilizza il tag "sp=" per impostare criteri diversi per i sottodomini.
- Best practice: Impostare politiche più rigorose per i sottodomini che non inviano e-mail.
Come creare un record DMARC?
Per creare un record DNS DMARC per il vostro dominio, assicuratevi di avere:
- a) uno strumento affidabile per generare il record
- b) accesso alla console di gestione DNS per pubblicare il record
Seguite i passaggi indicati di seguito per creare il vostro record:
1. Generare il record DMARC
Iscriviti per accedere al nostro portale utilizzando un indirizzo e-mail oppure registrati utilizzando Gmail/Office 365. Vai su Strumenti di analisi > PowerToolbox > Strumento gratuito per la generazione di record DMARC per iniziare a creare il tuo record DMARC.
2. Definisci una politica DMARC per il tuo record DMARC
Decidere una criterio DMARC a seconda del livello di applicazione desiderato (nessuno, quarantena o rifiuto). Ecco come scegliere il criterio di registrazione DMARC:
- Se si desidera che non vengano intraprese azioni contro le e-mail indesiderate inviate dal proprio dominio, scegliere "nessuna".
- Se si desidera mettere in quarantena le e-mail che non superano il DMARC, scegliere "quarantena".
- Se si desidera rifiutare o scartare le e-mail che non superano l'autenticazione, in modo da ridurre al minimo gli attacchi di spoofing e phishing, scegliere "rifiuta".
3. Configurare i campi opzionali raccomandati per il record DMARC
Anche se non tutti i campi sono obbligatori, vi consigliamo di configurare alcuni utili campi opzionali nel vostro record DMARC. Scopriamo quali sono:
- Campo di segnalazione aggregato (rua): Se si configura il campo rua, si riceveranno i dati di autenticazione DMARC direttamente al proprio indirizzo e-mail.
- Campo di segnalazione forense (ruf): Ottenete informazioni sugli incidenti forensi, come gli attacchi informatici, configurando il campo ruf nel vostro record DMARC.
- Modalità di allineamento DKIM/SPF" Scegliere se optare per un allineamento rilassato o rigoroso per SPF e/o DKIM.
Come pubblicare un record DMARC?
Per pubblicare un record DMARC, sono necessari alcuni prerequisiti:
- È necessario avere accesso alla console di gestione del DNS.
- È necessario avere l'autorizzazione a modificare e aggiungere nuovi record DNS per il proprio dominio.
Pubblicare il record DMARC con cPanel
1. Accedere alla console di gestione DNS di cPanel
2. Nella sezione Domini, fare clic su Editor zone DNS o Editor zone avanzato.
3. Aggiungi un record DMARC di tipo TXT (tex), compilando i dettagli come mostrato di seguito. Nel campo "Dati TXT" o "valore", devi incollare il record DMARC creato in precedenza.
Pubblicare un record DMARC con Godaddy
- Accedete al vostro portafoglio domini GoDaddy per accedere alla zona DNS.
- Alla voce Nome di dominio, trovare e selezionare il dominio di invio delle e-mail.
- Sotto il nome del dominio, fare clic su DNS
- Ora selezionate Aggiungi nuovo record e iniziate a pubblicare il vostro record con i seguenti dettagli:
- Tipo: TXT
- Nome: _dmarc
- Valore: incolla il valore del tuo record DMARC
Pubblicare un record DMARC con Cloudflare
- Accedere al proprio account Cloudflare.
- Selezionare l'account e il dominio desiderato.
- Andare su DNS e fare clic su Aggiungi record
- Incollare il record DMARC generato nella sezione Aggiungi record, come nell'esempio seguente:
Ecco perché oltre 10.000 clienti si affidano a PowerDMARC
- Enorme riduzione dei tentativi di spoofing e delle e-mail non autorizzate
- Onboarding più rapido + gestione automatizzata dell'autenticazione
- Informazioni e segnalazioni in tempo reale sulle minacce in tutti i domini
- Migliori tassi di consegna delle e-mail grazie alla rigorosa applicazione del DMARC
Verifica del record DMARC
Per verificare il tuo record DMARC ed evitare il comune errore "Nessun record DMARC trovato" , puoi utilizzare il nostro strumento di verifica gratuito.
1. Registrati gratuitamente e vai su Strumenti di analisi > PowerToolbox > Strumento di verifica dei record DMARC
2. Esaminare lo stato del record DMARC, la sintassi e i tag per individuare eventuali errori.
Sei pronto a verificare il tuo record DMARC? Utilizza il DMARC Checker gratuito di PowerDMARC
Risoluzione dei problemi relativi agli errori comuni dei record DMARC
Utilizza questa checklist dettagliata per risolvere i problemi più comuni relativi ai record DMARC:
| Problema | Sintomi | Soluzione |
|---|---|---|
| Record non trovato | La ricerca DNS non restituisce alcun risultato | Verifica che il record sia pubblicato come tipo TXT con nome "_dmarc" |
| Errori di sintassi | Convalida record non riuscita | Controlla se ci sono punti e virgola mancanti, spazi extra o errori di battitura. |
| Record multipli | Applicazione incoerente delle politiche | Rimuovi i record duplicati, mantieni solo uno per dominio |
| Ritardi di propagazione | Modifiche non visibili a livello globale | Attendere 24-48 ore per la propagazione completa del DNS. |
| Indirizzi e-mail non validi | Rapporti non ricevuti | Verifica che gli indirizzi e-mail rua/ruf siano validi e accessibili |
Lista di controllo rapida per la risoluzione dei problemi
|
Errori comuni dei record DMARC
| Stato | Cosa significa | Cosa si può fare |
|---|---|---|
| Valido | Il vostro record DMARC è corretto e privo di errori | Non fare nulla |
| Non valido | Il vostro record DMARC presenta errori. Ciò può essere dovuto a una sintassi incompleta o errata. | Rivedete la vostra sintassi, consultate la nostra guida completa sui tag DMARC o contattateci per ricevere l'assistenza di un esperto. |
| Nessun record trovato | Nel vostro DNS non era presente alcun record DMARC. | Create un record DMARC per il vostro dominio e pubblicatelo sul vostro DNS. |
Una volta rilevati gli errori nel record, è necessario apportare le modifiche necessarie al DNS e salvarle. È possibile ricontrollare il record una volta che le modifiche sono state elaborate.
Record DMARC per i domini non spediti
La maggior parte delle persone si limita a proteggere i propri domini attivi, ma gli hacker possono falsificare anche i domini non utilizzati per l'invio di e-mail per inviare messaggi falsi a nome dell'utente! Per evitare che ciò accada, ecco i passaggi da seguire per implementare DMARC per i tuoi domini non mittenti:
- Pubblica un record DMARC non permissivo: inizia pubblicando un record DMARC per il dominio inattivo con una politica applicata come p=reject.
- Abilita la segnalazione (consigliato): Anche se il tuo dominio non invia e-mail, gli hacker possono comunque falsificarlo per inviare messaggi di phishing. I rapporti DMARC ti avvisano quando ciò accade.
- Pubblica un record SPF restrittivo: Imposta v=spf1 -all per impedire l'invio di e-mail.
- Disattiva i servizi e-mail integrati: Se il dominio è ancora collegato a server di posta elettronica esterni, potrebbe essere opportuno limitarne l'accesso se il dominio non è più in uso.
Conseguenze della mancata protezione dei domini inattivi
La mancata implementazione del DMARC per i domini non di invio può portare a diverse conseguenze, come ad esempio:
- Aumento del rischio di attacchi spoofing e phishing
- Danno alla reputazione del marchio e del dominio
- Abuso di dominio che passa inosservato per lunghi periodi di tempo
Singolo record DMARC per dominio
Quando si configura il record DMARC, è importante pubblicare una sola voce per dominio. Più record DMARC per un singolo dominio possono causare conflitti e errori di autenticazione ingiustificati!
Perché i record DMARC multipli sono un problema
- Errori di autenticazione delle e-mail: I destinatari delle e-mail potrebbero non sapere quale record DMARC seguire.
- Configurazioni errate e incongruenze: politiche in conflitto tra loro (ad esempio, un record che utilizza p=none e un altro che utilizza p=reject) portano a un'applicazione imprevedibile.
- Segnalazioni inaccurate: I rapporti DMARC potrebbero essere incompleti o inaffidabili.
Migliori pratiche per una corretta implementazione del DMARC
Per garantire una corretta configurazione dei record DMARC, ecco le migliori pratiche per l'implementazione:
- Pubblicare un singolo record per DMARC per dominio.
- Evitare di configurare l'opzione DMARC sp a meno che non si voglia che i sottodomini abbiano un criterio diverso.
- Utilizzare uno strumento di controllo DMARC per convalidare il record dopo la pubblicazione.
- Monitorate regolarmente i rapporti DMARC per assicurarvi che le attività sospette non passino inosservate.
Passi successivi alla pubblicazione di un record DMARC
Una volta terminata la pubblicazione del record DMARC, il passo successivo dovrebbe essere quello di concentrarsi sulla protezione del proprio dominio da truffatori e imitatori. Questo è il vostro obiettivo principale quando implementate i protocolli di sicurezza e i servizi di autenticazione delle e-mail.
La semplice pubblicazione di un record DMARC con una politica p=none non offre alcuna protezione contro gli attacchi di spoofing del dominio e le frodi via e-mail. Per questo, è necessario passare all' applicazione DMARC.
Per passare all'applicazione del DMARC, un approccio graduale è la scelta migliore per ottenere risultati ideali senza alcun impatto negativo sulla deliverability. Ecco un processo graduale da seguire:
- Iniziare con un criterio p=none, che rappresenta la modalità di monitoraggio.
- Abilita la segnalazione DMARC per il tuo dominio per analizzare il tuo traffico e-mail e la sua recapitabilità.
- Passare alla quarantena, mantenendo la percentuale a 10 e aumentandola gradualmente al 100% nell'arco di un paio di settimane.
- Una volta che siete sicuri della vostra configurazione, passate a p=rifiuto, mantenendo pct sulla percentuale più bassa e poi aumentando gradualmente fino all'applicazione completa per il 100% del volume di posta.
Come PowerDMARC semplifica la gestione dei record DMARC
Per le organizzazioni che gestiscono più domini o semplicemente per coloro che non desiderano perdere tempo nella configurazione e nella manutenzione manuale dei record DMARC, esiste PowerDMARC. Una soluzione semplice e intuitiva che automatizza la gestione dei record DMARC sotto un unico tetto. Grazie alla tecnologia di intelligence sulle minacce basata sull'intelligenza artificiale e alla reportistica dettagliata, PowerDMARC ha aiutato oltre 2000 clienti in tutto il mondo a semplificare il loro percorso DMARC.
Offre:
- Gestione multi-dominio e multi-client da un unico pannello di controllo
- Assistenza e supporto di prim'ordine
- Certificato per la conformità SOC2, ISO27001 e GDPR
Per iniziare, prova gratuitamente Prova gratuita di 15 giorni della protezione DMARC della piattaforma oggi stesso!
Domande frequenti
1. Come posso aggiungere un record DMARC?
Per aggiungere un record DMARC: 1) Genera il tuo record DMARC utilizzando uno strumento come il generatore di PowerDMARC, 2) Accedi alla tua console di gestione DNS, 3) Crea un nuovo record TXT con il nome "_dmarc" e incolla il tuo record DMARC come valore, 4) Salva le modifiche e attendi la propagazione DNS (fino a 48 ore).
2. Cosa succede se non ho un record DMARC?
Senza un record DMARC, il tuo dominio è vulnerabile agli attacchi di spoofing e phishing. I provider di posta elettronica come Gmail e Yahoo potrebbero rifiutare le e-mail provenienti da mittenti che inviano messaggi in massa senza DMARC. La reputazione del tuo dominio potrebbe essere danneggiata da un uso non autorizzato e non avrai alcuna visibilità sui fallimenti nell'autenticazione delle e-mail.
3. Come si presenta un tipico record DMARC?
Un record DMARC di base viene pubblicato come record DNS TXT all'indirizzo _dmarc.tuodominio.com e di solito inizia in modalità di monitoraggio. Un esempio comune è il seguente:
v=DMARC1; p=none; rua=mailto:[email protected]
Cosa fa:
- v=DMARC1 identifica il record come una politica DMARC.
- p=none consente il monitoraggio senza bloccare le e-mail.
- rua specifica dove vengono inviati i rapporti DMARC aggregati.
Questa configurazione consente di osservare i risultati dell'autenticazione e rilevare i tentativi di spoofing senza influire sulla consegna delle e-mail. Dopo aver esaminato i rapporti e verificato che tutti i mittenti legittimi siano allineati, è possibile passare gradualmente alla p=quarantine o p=reject per l'applicazione.
Esperto di sicurezza informatica, CEO di PowerDMARC
Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.
Ultimi messaggi di Maitham Al Lawati (vedi tutti)
- Statistiche relative al phishing via e-mail e al DMARC: tendenze 2026 in materia di sicurezza delle e-mail - 6 gennaio 2026
- Come risolvere il problema "Nessun record SPF trovato" nel 2026 - 3 gennaio 2026
- SPF Permerror: come risolvere il problema di un numero eccessivo di ricerche DNS - 24 dicembre 2025
