Come impostare il DMARC? Guida all'impostazione e alla configurazione del DMARC

Una corretta configurazione del DMARC protegge l'organizzazione da spoofing, phishing e altri cyberattacchi basati sulle e-mail. Configurando il protocollo DMARC (Domain-based Message Authentication Reporting and Conformance), si crea un solido livello di sicurezza per le e-mail, assicurando che siano autenticate e conformi agli standard moderni. Questo processo di configurazione prevede la creazione di un record DNS e la sua pubblicazione da parte del provider di hosting, rendendo la sicurezza delle e-mail più accessibile e gestibile.

Prerequisiti per l'impostazione di DMARC

Prima di passare alla procedura di impostazione del DMARC, assicuratevi di avere già predisposto quanto segue:

1. Accesso alla console di gestione DNS: È essenziale per creare e pubblicare i record DNS.
2. Elenco dei mittenti autorizzati di e-mail: Identificare tutti i servizi e i server che inviano e-mail per conto dell'azienda per evitare blocchi involontari.
3. Record SPF e/o DKIM esistenti nel DNS: Almeno uno di questi record dovrebbe essere già configurato nel vostro DNS, poiché il DMARC si basa su di essi per l'autenticazione delle e-mail.

Come impostare il DMARC Passo dopo passo

Per avviare l'impostazione del DMARC DNS, seguite i passaggi di configurazione indicati di seguito:

Passo 1: Creare il record DMARC

Si inizia creando un record DNS che definisce il criterio e ne stabilisce l'implementazione.

Per creare un record gratuito, utilizzare il nostro generatore DMARC come mostrato nella schermata precedente. Una volta aperta la schermata dello strumento, saranno presenti alcuni criteri obbligatori da compilare.

Semplificate la configurazione di DMARC con PowerDMARC!

Fase 2: Scegliere un criterio DMARC adatto alle proprie e-mail

Il tag p= policy è un tag obbligatorio che deve essere configurato nella configurazione DMARC. Se lo si ignora, il record non sarà valido. 

Per evitare che i messaggi di posta elettronica vengano sottoposti a spoofing, è necessario configurare un criterio criterio DMARC di p=quarantena o superiore. Tuttavia, è possibile scegliere un criterio "nessuno" se si desidera monitorare le e-mail prima di passare all'applicazione completa.

Fase 3: Abilitare il reporting e fare clic su "Genera". 

Gli altri criteri per l'impostazione del DMARC non sono obbligatori, tuttavia, se si desidera impostare le flessibilità di allineamento per DKIM e SPF o abilitare la reportistica DMARC, è possibile farlo. I rapporti RUA e RUF possono aiutare a monitorare il flusso di posta e i risultati dell'autenticazione per individuare rapidamente le incongruenze.

Infine, fare clic sul pulsante "genera" per finalizzare le impostazioni DMARC e terminare il processo di creazione del record.

Passo 4: pubblicare e convalidare l'impostazione del record

Una volta terminata la creazione del record TXT, utilizzate il pulsante "copy" per copiare direttamente la sintassi e poi andate alla vostra console di gestione DNS. Incollare il record sul DNS per completare l'impostazione del DMARC.

Leggete la nostra guida dettagliata su come pubblicare un record DMARC sul vostro DNS per saperne di più.

Verifica dell'impostazione DMARC

Dopo aver impostato il DMARC, è necessario verificare le configurazioni per assicurarsi che il protocollo funzioni secondo le proprie esigenze e per evitare di incorrere nell'errore molto comune "Nessun record DMARC trovato". Senza controlli e monitoraggi adeguati, l'autenticazione delle e-mail può diventare molto impegnativa e portare a falsi positivi o fallimenti, con un impatto sulle prestazioni di consegna della posta.

Per verificare la vostra configurazione, potete utilizzare gratuitamente lo strumento di verifica DMARC di PowerDMARC. Si tratta di uno strumento immediato ed efficace per convalidare il vostro record DNS TXT che non solo mostra lo stato di validità del vostro record, ma evidenzia anche gli errori e suggerisce miglioramenti per raggiungere prima la conformità!

Per utilizzarlo:

1. Inserite il nome del vostro dominio nella casella di destinazione (ad esempio, se l'URL del vostro sito web è https://company.com il nome di dominio sarà azienda.com)
2. Fare clic sul pulsante "Cerca".
3. Vedere i risultati visualizzati sullo schermo

Consigliamo questo metodo di verifica, in alternativa alla verifica manuale, per un'esperienza più rapida, accurata e senza problemi.

Esempio di impostazione DMARC

Ecco un esempio di una tipica configurazione DMARC:

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; fo=0;

Nota: all'inizio del percorso di autenticazione delle e-mail, è possibile mantenere il criterio DMARC (p) a nessuno invece che a rifiuto, per monitorare il flusso di e-mail e risolvere i problemi prima di passare a un criterio rigoroso.

Sintassi del record DMARC

La sintassi dell'impostazione del DMARC è la parte più importante dell'implementazione, in quanto determina il modo in cui le e-mail verranno autenticate e l'azione che verrà intrapresa dopo la verifica. Esploriamo alcuni meccanismi principali:

1. Il campo "v" determina la versione del protocollo DMARC, ovvero DMARC1.
2. Il campo "p" è il campo obbligatorio del criterio DMARC che può essere impostato su nessuno/rifiuto/quarantena.
3. I campi "rua" feedback aggregato e "ruf" rapporti forensi sono opzioni di reporting DMARC che aiutano gli ESP riceventi a fornire un feedback sulle e-mail inviate ai vostri destinatari, che verrebbero inviate all'indirizzo e-mail definito o alla casella di posta elettronica dedicata.

Questi sono solo alcuni esempi, ma per saperne di più potete consultare il nostro blog dettagliato sui tag DMARC.

Perché configurare il DMARC

Il 90% degli attacchi di phishing utilizza la posta elettronica come vettore, rendendo indispensabile l'autenticazione via e-mail. L'Internet Crime Complaint Center dell'FBI del 2020 (Rapporto FBI IC3 2020) ha riportato che negli Stati Uniti sono state ricevute 28.500 denunce per attacchi via e-mail. Statistiche sul phishing via e-mail come queste portano immediatamente alla ribalta il DMARC.

Lo sapevi?

• Nel 2020 il 75% dei domini organizzativi di tutto il mondo è stato sottoposto a spoofing per inviare e-mail di phishing alle vittime
• Il 74% di queste campagne di phishing ha avuto successo
• La frequenza di BEC è aumentata del 15% dall'anno scorso
• IBM ha riferito che un'azienda su 5 nell'ultimo anno ha sperimentato violazioni di dati causate da e-mail dannose

Controllate il vostro dominio per vedere quanto siete protetti dalle frodi via e-mail!

Vantaggi e utilizzi di un'impostazione DMARC

Una configurazione DMARC può essere utile nelle seguenti situazioni:

• Per garantire che solo i mittenti autorizzati siano autorizzati a inviare e-mail per conto del vostro dominio di posta elettronica
• Per prevenire gli attacchi di phishing via e-mail e di spoofing del dominio diretto
• Per visualizzare gli indirizzi IP o le fonti che inviano e-mail a vostro nome
• Per evitare che i messaggi di spam raggiungano i vostri destinatari
• Migliorare la deliverability del traffico e-mail legittimo.

FAQ sull'impostazione del DMARC

1. È possibile impostare il DMARC senza DKIM o SPF?

No. È necessario configurare uno dei due per assicurarsi che le e-mail siano autenticate. Si può scegliere di configurare entrambi, che è l'approccio consigliato per la massima sicurezza, ma è del tutto facoltativo.

Abbiamo trattato entrambi gli approcci in modo approfondito nella nostra base di conoscenze.

2. Quali sono le migliori impostazioni DMARC?

La migliore impostazione DMARC, se si desidera la massima protezione contro gli attacchi basati sulle e-mail, è p=rifiuto (dove p è il meccanismo utilizzato per specificare la politica di registrazione). Un'impostazione DMARC adeguata dipende dalla quantità di applicazione desiderata (quanto rigorosamente si vuole che i ricevitori gestiscano le e-mail che non superano il DMARC).

Per il solo monitoraggio, è possibile impostare il DMARC con un criterio "nessuno", mentre è possibile configurare "quarantena" se si desidera esaminare le e-mail non autorizzate nella cartella di quarantena o di spam prima di scartarle o accettarle.

Si noti che se si desidera configurare il DMARC per impedire che il proprio dominio venga sottoposto a spoofing e tenere a bada gli attacchi di phishing e BEC, si consiglia di selezionare il seguente criterio durante la generazione del record DMARC:

Impostare il criterio DMARC su p=rifiuto

Che cosa significa?

Quando si configura l'applicazione del DMARC all'interno dell'organizzazione scegliendo le impostazioni DMARC "rifiutate", significa che ogni volta che un messaggio di posta elettronica inviato dal proprio dominio non supera l'autenticazione DMARC, l'e-mail dannosa viene immediatamente rifiutata dal server di posta elettronica ricevente, invece di essere consegnata alla casella di posta del destinatario.

3. Come disattivare il DMARC?

È importante ricordare che la disattivazione dell'autenticazione della posta elettronica per i vostri domini non è raccomandata o incoraggiata, poiché lascia i vostri domini vulnerabili a un'ampia gamma di attacchi informatici e fornisce un accesso aperto ai criminali informatici per impersonare il vostro dominio. Se volete comunque disattivare il protocollo, potete seguire i passaggi indicati di seguito:

1. Accedere alla console di gestione della società di registrazione DNS
2. Passare all'editor DNS avanzato per modificare le impostazioni DNS.
3. Individuare il dominio per il quale si desidera disattivare il DMARC.
4. Eliminare il record DMARC TXT
5. Salvate le modifiche e attendete un po' di tempo prima che si riflettano.

In alternativa, è possibile contattare il registrar del dominio per farsi aiutare a eliminare il record nel caso in cui non si abbia accesso alla console. 

L'eliminazione della voce DNS per il DMARC disabiliterà automaticamente il protocollo per quel particolare dominio. Tuttavia, se si dispone di più domini con DMARC abilitato, è necessario eliminare manualmente le voci DNS per tali domini per disabilitarli per la propria organizzazione.

Impostazione semplice di DMARC con PowerDMARC

Quando creare un account PowerDMARC gestisce per voi l'implementazione e la configurazione del protocollo. Inoltre, gestiamo e monitoriamo lo stato di salute del vostro dominio e delle vostre e-mail, analizziamo i vostri report aggregati e organizziamo i vostri risultati di autenticazione su un cruscotto dedicato.

Se non volete affrontare il fastidio di un'impostazione manuale, potete automatizzare il processo con una prova gratuita di 15 giorni. Per godere dei vantaggi dell'autenticazione delle e-mail e configurare il DMARC in modo da proteggere efficacemente il vostro dominio, iscrivetevi oggi stesso a oggi stesso!

• Informazioni su
• Ultimi messaggi

Maitham Al Lawati

Esperto di sicurezza informatica, CEO di PowerDMARC

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

• Come creare e pubblicare un record DMARC - 3 marzo 2025
• Come risolvere il problema "Nessun record SPF trovato" nel 2025 - 21 gennaio 2025
• Come leggere un rapporto DMARC - 19 gennaio 2025