Come leggere i rapporti DMARC (aggregati vs forensi)

I punti chiave da prendere in considerazione

I report DMARC forniscono informazioni fondamentali sull'autenticazione delle tue e-mail, aiutandoti a individuare e prevenire phishing, spoofing e utilizzi non autorizzati del tuo dominio.
Esistono due tipi principali di rapporti DMARC: I report aggregati, che offrono un riepilogo dei risultati dell'autenticazione delle e-mail, e i report forensi, che forniscono informazioni dettagliate sulle singole e-mail non riuscite.
Leggere i report DMARC grezzi può essere complesso a causa del loro formato XML, ma strumenti come PowerDMARC semplificano questa operazione convertendo i dati in dashboard di facile comprensione dashboard.
Per abilitare la segnalazione DMARC è necessario pubblicare un record DNS TXT con i tag corretti (rua/ruf), consentendo ai proprietari dei domini di ricevere e agire sui report che rafforzano la sicurezza delle loro e-mail e proteggono il loro marchio.

Il phishing è responsabile del 90% degli attacchi informatici, pertanto è fondamentale che voi e il vostro team sia fondamentale capire come leggere i rapporti DMARC per salvaguardare i vostri dati e la vostra reputazione.

I RAPPORTI DMARC (Domain-based Message Authentication, Reporting, and Conformance) forniscono informazioni dettagliate sull'autenticazione delle e-mail, aiutandovi a tenere sotto controllo la sicurezza della vostra posta elettronica. Confermando che le e-mail provengono veramente da fonti attendibili, il DMARC svolge un ruolo fondamentale nel bloccare phishing e spoofing che potrebbero danneggiare il vostro marchio e mettere a rischio i vostri clienti.

Questo blog ti guiderà nella lettura dei report DMARC e ti spiegherà come l'utilizzo degli strumenti giusti possa semplificare questo processo, aiutandoti a a proteggere il tuo dominio e a rafforzare la sicurezza della tua posta elettronica con fiducia.

Cos'è un rapporto DMARC?

I rapporti DMARC sono rapporti diagnostici generati dai server di posta in arrivo che mostrano come vengono autenticate le tue e-mail su Internet. Forniscono una chiara visibilità sul comportamento delle e-mail e sui flussi di posta, compresi i risultati dell'autenticazione SPF e DKIM per i messaggi inviati da un dominio abilitato DMARC.

Questi rapporti si basano su due tecnologie chiave:

SPF (Sender Policy Framework) verifica se un'e-mail viene inviata da un server autorizzato.
DKIM (DomainKeys Identified Mail) verifica se il contenuto dell'e-mail è stato alterato durante il transito.

Insieme, questi controlli mostrano se le vostre e-mail sono autentiche o potenzialmente fraudolente.

Come abilitare i report DMARC (passo dopo passo)

Prima di poter leggere i rapporti DMARC, è necessario impostare un record DMARC che indichi ai provider di caselle di posta dove inviare i tuoi rapporti.

Passaggio 1: Pubblicare un record DMARC

Crea un record DNS TXT per: _dmarc.tuodominio.com

Inizia con la modalità di monitoraggio: v=DMARC1; p=none; rua=mailto:[email protected];

Passaggio 2: aggiungere le destinazioni dei report (prima rua)

rua (rapporti aggregati): Questo è il principale canale di segnalazione DMARC e quello su cui fanno affidamento la maggior parte delle organizzazioni.
ruf (rapporti forensi): Opzionale. Il supporto varia a seconda del fornitore e può sollevare questioni relative alla privacy, pertanto molte organizzazioni lo ignorano o lo utilizzano con cautela.

Esempio con entrambi (solo se si intende utilizzare la reportistica forense):

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];

Passaggio 3: Decidi come ricevere i rapporti

Hai due opzioni pratiche:

Casella di posta dedicata: Utile per i test, ma i report grezzi arrivano come allegati XML e diventano difficili da gestire su larga scala.
Strumento di reporting DMARC: Consigliato per il monitoraggio continuo, il filtraggio e i dashboard utilizzabili.

Passaggio 4: Verificare che i rapporti stiano arrivando

I rapporti aggregati spesso iniziano ad apparire entro 24-48 ore, a seconda della propagazione DNS e dei cicli di segnalazione del provider di posta elettronica. Se non arriva nulla, verificare:

il record DMARC è pubblicato correttamente,
la casella postale/il servizio di destinazione può ricevere messaggi,
e il tuo dominio sta inviando attivamente e-mail.

Una volta abilitati i report, potrai leggerli.

Come leggere i rapporti DMARC

I report DMARC sono solitamente in formato XML allegati a e-mail con oggetto "Report DMARC". Sebbene i report grezzi non siano di facile lettura, comprenderne la struttura aiuta a ricavarne informazioni preziose.

Potresti anche trovare utili risorse come la knowledge base di PowerDMARC per imparare a configurare e interpretare i tuoi report.

Ecco come leggere i rapporti DMARC:

Comprendere il formato XML DMARC

Un tipico rapporto DMARC XML include queste sezioni chiave:

IP di origine: l'indirizzo IP del server di invio.
Politica valutata: L'azione intrapresa in base al criterio DMARC
Risultati SPF e DKIM: Se ogni controllo è stato superato o meno
Dettagli del dominio: I nomi di dominio coinvolti nell'invio e nell'autenticazione

Decodificare gli elementi chiave di un rapporto grezzo

Quando esamini un rapporto, concentrati su questi campi critici:

source_ip: Da dove proviene l'e-mail
policy_evaluated: Cosa ha deciso la tua politica DMARC (ad esempio, nessuna azione, quarantena, rifiuto)
spf e dkim: Risultati che indicano superamento o fallimento. Il superamento significa che l'e-mail ha soddisfatto gli standard di autenticazione, mentre il fallimento indica problemi che potrebbero indicare spoofing o configurazione errata.

Aspettatevi sfide pratiche con i rapporti grezzi

Quando si lavora direttamente con i file XML, è comune incontrare alcuni ostacoli:

I rapporti potrebbero arrivare in formato compresso (.zip o .gz).
I domini ad alto volume possono generare file di dimensioni molto grandi
Spesso riceverai più rapporti da diversi fornitori relativi allo stesso giorno.

Questo è il motivo per cui la maggior parte dei team abbandona l'ispezione manuale quando il volume dei rapporti aumenta.

Identificare i problemi dai dati (SPF, DKIM, Allineamento)

Fai attenzione a questi errorisemplicemente perché SPF o DKIM non sono stati configurati correttamente. Gli strumenti di marketing, i sistemi CRM, le piattaforme di newsletter e gli strumenti di helpdesk devono essere aggiunti al tuo record SPF o configurati con le loro chiavi DKIM per superare DMARC in modo coerente. Questi errori sono particolarmente comuni dopo l'implementazione di un nuovo strumento, un cambio di dominio o un aggiornamento di invio da parte del fornitore.

Segnali di avvertimento:

Errori in controlli SPF o DKIM controlli
Problemi di allineamento quando il dominio di invio non corrisponde a quello autenticato
Indirizzi IP sospetti che non appartengono a alle tue fonti di posta conosciute

Questi segnali potrebbero indicare tentativi di usurpazione della tua identità il tuo dominio.

Leggi come Jordi Altimira (Responsabile dell'implementazione tecnica e del successo dei clienti presso Pablo Herreros) ha ottenuto un punteggio di sicurezza del dominio del 100% con PowerDMARC.

Leggi il caso di studio Inizia la prova gratuita di 15 giorni

Tipi di report DMARC

I report DMARC vengono forniti principalmente attraverso due tipi di report: aggregati (RUA) e forensi (RUF). Entrambi hanno scopi diversi e la maggior parte delle organizzazioni si affida principalmente ai report aggregati per il monitoraggio continuo.

1. Rapporti aggregati DMARC (RUA)

I report aggregati DMARC forniscono una panoramica delle analisi e delle attività DMARC per un dominio. Essi includono:

Informazioni relative al numero di messaggi che hanno superato o meno l'autenticazione DMARC.
Gli indirizzi IP dei server di posta inviati
Gli stati di autenticazione dei meccanismi utilizzati per verificare il messaggio email

Queste informazioni aiutano a renderti consapevole degli spammer e dei servizi di terze parti non autorizzati che utilizzano in modo improprio il tuo nome di dominio.

Per rendere ancora più facile l'interpretazione di questi report, le visualizzazioni dei report aggregati di PowerDMARC sono più leggibili e comprensibili, poiché sono semplificate e organizzate in grafici e tabelle con opzioni avanzate di visualizzazione e filtraggio. Per abilitare i nostri report aggregati leggibili dall'utente, contattaci oggi stesso!

2. Rapporti forensi DMARC (RUF)

I rapporti forensi DMARC, noti anche come rapporti sui guasti, forniscono informazioni dettagliate sui singoli messaggi e-mail che non hanno superato l'autenticazione DMARC. In alcuni casi, i rapporti DMARC forensi possono includere:

L'intero messaggio e-mail
Lo stato di autenticazione
Il motivo del fallimento del messaggio non autorizzato

I rapporti di errore in DMARC sono particolarmente utili quando si indagano specifici incidenti forensi, come potenziali frodi via e-mail, abuso di nomi di dominio e furti d'identità.

I rapporti sugli errori possono talvolta contenere informazioni sensibili, sollevando preoccupazioni relative alla privacy nel caso in cui un malintenzionato riesca ad accedervi. Ciò ha portato PowerDMARC a facilitare la crittografia PGP su questi rapporti, garantendo che solo tu abbia accesso ai contenuti sensibili.

Spiegazione dei campi del rapporto DMARC

I report DMARC aggregate (RUA) arrivano solitamente in formato XML e contengono più "record". Ogni record rappresenta l'attività e-mail proveniente da una fonte di invio specifica (in genere un indirizzo IP) e mostra come tale fonte ha agito rispetto alla tua politica DMARC. Una volta compreso il significato dei campi chiave, diventa molto più facile identificare i mittenti legittimi, individuare gli utilizzi non autorizzati e risolvere i problemi di allineamento SPF/DKIM.

Campi DMARC chiave che vedrai nei report aggregati (RUA)

Campo	Cosa ti dice	Perché è importante
nome_organizzazione	L'organizzazione che genera il rapporto	Aiuta a confermare quale provider/destinatario di posta elettronica ha osservato il traffico
e-mail	Indirizzo di contatto dell'organizzazione segnalante	Utile per la verifica o la risoluzione dei problemi
report_id	Identificatore univoco del rapporto	Ti aiuta a consultare e monitorare report specifici nel tempo
date_range	Periodo di tempo coperto dalla relazione	Conferma i tempi per i risultati
indirizzo_ip_di_origine	Indirizzo IP che ha inviato l'e-mail	Campo principale per identificare fonti di invio note rispetto a quelle sconosciute
conteggio	Numero di e-mail provenienti da quella fonte	Aiuta a stabilire le priorità delle indagini in base al volume
intestazione_da	Dominio nell'intestazione From visibile	Questo è il dominio che DMARC protegge e valuta l'allineamento rispetto ad esso.
disposizione	Azioni intraprese in base al DMARC (nessuna/quarantena/rifiuto)	Mostra come i destinatari hanno gestito i messaggi in base alla tua politica
spf	Risultato dell'autenticazione SPF (superato/non superato)	Indica se SPF ha avuto esito positivo per quella fonte.
dkim	Risultato dell'autenticazione DKIM (superato/non superato)	Indica se DKIM ha avuto esito positivo per quella fonte.
envelope_from (identità SPF)	Dominio utilizzato per la valutazione SPF (Return-Path/Mail From)	Necessario per diagnosticare errori di allineamento SPF
dkim_domain (identità DKIM)	Dominio utilizzato per firmare DKIM (d= valore)	Necessario per diagnosticare errori di allineamento DKIM
selettore (DKIM)	Selettore DKIM utilizzato	Aiuta a individuare quale chiave DKIM non funziona o è configurata in modo errato

Come questi campi lavorano insieme

Un errore comune è quello di considerare DMARC come un semplice controllo "SPF pass/DKIM pass". DMARC verifica anche se SPF o DKIM sono allineati con il dominio in header_from. Ecco perché è possibile che SPF o DKIM mostrino "pass", ma DMARC continui a fallire per quel record.

Utilizza queste combinazioni per interpretare rapidamente i record:

DMARC superato: SPF o DKIM superano il controllo e sono allineati con header_from
DMARC fallito: Né SPF né DKIM raggiungono l'allineamento con header_from
SPF superato ma DMARC fallito: SPF può essere superato, ma il envelope_from dominio non è allineato con header_from
DKIM superato ma DMARC fallito: DKIM può essere superato, ma il dkim_domain non è allineato con header_from
Volume elevato da un indirizzo IP sconosciuto source_ip: Spesso indica un mittente non autorizzato, un sistema trascurato o un servizio di terze parti configurato in modo errato.

Una volta compresi questi campi, la lettura dei report DMARC diventa molto più pratica. Il passo successivo consiste nel rivedere i record in ordine di priorità, iniziando dalle fonti che generano il volume più elevato o i tassi di errore più alti.

Problemi comuni riscontrati nei rapporti DMARC

I rapporti aggregati DMARC spesso rivelano problemi che influiscono sull'autenticazione, sulla sicurezza del dominio e sulla deliverability delle e-mail. Questi sono i problemi che potresti incontrare più facilmente e il loro significato.

Allineamento SPF o DKIM non riuscito: ciò si verifica quando le e-mail superano SPF o DKIM, ma i domini utilizzati non corrispondono al dominio che i destinatari vedono nell'intestazione "Da". Il mancato allineamento causa il fallimento del DMARC anche se i controlli di autenticazione sottostanti hanno esito positivo. Nella maggior parte dei casi, la soluzione consiste nel configurare i servizi di invio in modo che il Return-Path (identità SPF) e/o il dominio di firma DKIM siano allineati con il dominio "Da", quindi confermare la modifica attraverso la successiva serie di report aggregati.
Fonti di invio non autorizzate: I rapporti DMARC potrebbero mostrare server che inviano e-mail per suo nome senza autorizzazione. Potrebbe trattarsi di sistemi obsoleti, servizi di terze parti configurati in modo errato o soggetti malintenzionati. Identificare e rimuovere i mittenti non autorizzati è fondamentale per proteggere il tuo dominio dallo spoofing.
Servizi di posta elettronica configurati in modo errato (piattaforme di marketing, CRM, strumenti di ticketing, ecc.): Spesso i servizi legittimi non superano l'autenticazione semplicemente perché SPF o DKIM non sono stati configurati correttamente. Gli strumenti di marketing, i sistemi CRM, le piattaforme di newsletter e gli strumenti di helpdesk devono essere aggiunti al il tuo record SPF o configurati con le loro chiavi DKIM per superare DMARC in modo coerente.
Alti tassi di fallimento e cosa indicano: Un'elevata percentuale di email non recapitate nei nei tuoi rapporti DMARC indica problemi significativi; questo potrebbe indicare tentativi di furto d'identità, disallineamenti o mittenti importanti non autenticati. Gli alti tassi di fallimento richiedono un'attenzione immediata per prevenire la perdita di deliverability e il potenziale abuso del del tuo dominio.

Ecco perché oltre 10.000 clienti si affidano a PowerDMARC

Enorme riduzione dei tentativi di spoofing e delle e-mail non autorizzate
Onboarding più rapido + gestione automatizzata dell'autenticazione
Informazioni e segnalazioni in tempo reale sulle minacce in tutti i domini
Migliori tassi di consegna delle e-mail grazie alla rigorosa applicazione del DMARC

I primi 15 giorni sono offerti da noi

Iscriviti per una prova gratuita

Migliori pratiche per la gestione dei rapporti DMARC

Il consiglio da esperti è quello di automatizzare l'analisi dei report DMARC per risparmiare tempo ed evitare errori manuali. Per il resto, seguire queste pratiche consigliate:

Automatizzare il parsing con gli strumenti

I report aggregati DMARC vengono forniti in formato XML, che può essere difficile da leggere manualmente. L'utilizzo di uno strumento di analisi DMARC automatizza l'analisi, converte i report in dashboard o riepiloghi e aiuta a individuare errori di allineamento, mittenti non autorizzati o modelli che potrebbero essere sfuggiti.

Esaminare i rapporti settimanalmente o mensilmente

Una revisione costante garantisce di individuare tempestivamente eventuali nuovi problemi. Le revisioni settimanali funzionano bene per i domini ad alto volume, mentre i controlli mensili sono sufficienti per gli ambienti più piccoli. Il monitoraggio regolare garantisce che tutte le le tue fonti di invio rimangano autenticate e allineate man mano che la tua configurazione evolve.

Tenere traccia delle fonti IP e dei mittenti terzi

I rapporti DMARC rivelano tutti i server che inviano posta per per conto tuo, anche quelli che potresti aver dimenticato di aver collegato. Il monitoraggio di questi indirizzi IP aiuta a distinguere quali mittenti sono legittimi e quali devono essere rimossi, autenticati o esaminati più attentamente. Ciò diventa particolarmente importante quando si utilizzano diversi strumenti contemporaneamente, come piattaforme di marketing, CRM o sistemi di ticketing, che inviano email dal tuo dominio.

Mantenere l'allineamento tra tutti i servizi di invio

Ogni servizio che utilizzi deve superare i controlli SPF o DKIM ed essere allineato al tuo dominio; altrimenti DMARC fallirà anche se tutto il resto sembra a posto. È facile trascurare una o due piattaforme (soprattutto le integrazioni più vecchie), quindi vale la pena ricontrollare che ciascuna sia configurata con le giuste dichiarazioni SPF include o chiavi DKIM. Quando tutti i mittenti sono allineati correttamente, l'intera catena di autenticazione diventa molto più stabile. Ciò mantiene bassi i tassi di errore e protegge il tuo dominio dagli abusi.

Lista di controllo per la gestione DMARC

Configurare l'analisi e l'elaborazione automatizzata dei report
Esamina i rapporti settimanalmente (volume elevato) o mensilmente (volume ridotto)
Mantenere l'inventario di tutte le fonti di invio autorizzate
Monitorare i tassi di guasto e indagare immediatamente sui picchi
Assicurarsi che tutti i servizi mantengano un corretto allineamento SPF/DKIM
Documentare le modifiche e conservare la traccia di controllo

Passo successivo

Comprendere i rapporti DMARC è fondamentale per proteggere il proprio dominio di posta elettronica da attacchi di spoofing e phishing. Seguendo i passaggi indicati in questa guida, è possibile monitorare efficacemente l'autenticazione della posta elettronica e intervenire contro le minacce.

Azioni chiave da intraprendere ora:

Abilita la segnalazione DMARC configurando i tuoi record DNS con tag rua/ruf
Utilizza strumenti automatizzati per semplificare l'analisi e l'interpretazione dei report
Stabilire un programma di revisione regolare (settimanale o mensile)
Mantenere un inventario di tutte le fonti autorizzate per l'invio di e-mail
Applica gradualmente politiche DMARC più rigorose man mano che la tua autenticazione migliora.

Sei pronto a semplificare la sicurezza della tua posta elettronica? Strumenti come DMARC Report Reader di PowerDMARC trasformano complessi dati XML in informazioni chiare e utilizzabili che aiutano a proteggere il tuo dominio da phishing e spoofing.

Domande frequenti (FAQ)

1. In che modo i report DMARC contribuiscono a migliorare la sicurezza delle e-mail?

Ti mostrano quali e-mail superano o falliscono l'autenticazione, aiutandoti a individuare e bloccare i tentativi di spoofing o phishing che prendono di mira il tuo dominio.

2. Con quale frequenza vengono generati i report DMARC?

Sulla piattaforma PowerDMARC, i report DMARC vengono generati e organizzati su base giornaliera, settimanale o mensile, a seconda delle preferenze dell'utente.

3. Come posso migliorare il mio punteggio DMARC?

È possibile migliorare il punteggio DMARC risolvendo i problemi di autenticazione, allineando SPF e DKIM e applicando gradualmente politiche DMARC più severe.

4. Quali azioni posso intraprendere sulla base dei rapporti DMARC?

È possibile identificare i mittenti non autorizzati, regolare le impostazioni della posta elettronica e bloccare le e-mail fraudolente.

5. Cosa significa quando ricevo un rapporto DMARC?

Significa che un destinatario sta condividendo dettagli su come vengono autenticate le tue e-mail e se si sono verificati errori nei controlli.

6. Perché ricevo rapporti aggregati DMARC?

Ricevi rapporti aggregati DMARC perché hai pubblicato un record DMARC con un tag rua. Questi rapporti vengono inviati dai provider di posta elettronica per aiutarti a monitorare come viene utilizzato il tuo dominio per l'autenticazione delle e-mail.

7. Come posso controllare il mio rapporto DMARC?

È possibile controllare i report DMARC accedendo all'indirizzo e-mail specificato nel tag rua o utilizzando uno strumento di analisi DMARC che elabora e visualizza automaticamente i dati XML per facilitarne l'interpretazione.

8. Chi genera i rapporti DMARC?

I rapporti DMARC vengono generati e inviati dai server di posta elettronica riceventi e dai principali provider di caselle di posta elettronica come Gmail, Yahoo, Outlook e altri servizi di posta elettronica che elaborano le e-mail provenienti dal tuo dominio.

9. Dove inviare i rapporti DMARC?

I rapporti DMARC possono essere inviati all'indirizzo e-mail specificato nel tag rua del il tuo record DMARC.

A questo proposito, avete due opzioni:

Una casella di posta dedicata che crei (ad esempio [email protected]).
Un servizio di analisi DMARC di terze parti. È l'opzione consigliata, in quanto elabora i complessi report XML in dashboard di facile utilizzo.

10. Chi invia i rapporti DMARC?

I rapporti DMARC vengono inviati dai server di posta elettronica e dai provider di caselle postali riceventi.

Informazioni su
Ultimi messaggi

Maitham Al Lawati

Esperto di sicurezza informatica, CEO di PowerDMARC

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

Statistiche relative al phishing via e-mail e al DMARC: tendenze 2026 in materia di sicurezza delle e-mail - 6 gennaio 2026
Come risolvere il problema "Nessun record SPF trovato" nel 2026 - 3 gennaio 2026
SPF Permerror: come risolvere il problema di un numero eccessivo di ricerche DNS - 24 dicembre 2025

Come leggere i rapporti DMARC: Tipi, strumenti e suggerimenti