Come impostare DMARC: guida alla configurazione passo dopo passo

Solo 53,8% delle aziende a livello mondiale ha configurato il DMARC sul proprio dominio, il che significa che quasi la metà opera senza un livello critico di protezione contro gli attacchi basati sulle e-mail. Molte organizzazioni cercano ancora di capire come configurare il DMARC, non sapendo che l'assenza di questo protocollo crea un facile punto di ingresso per tentativi di spoofing e phishing.

L'autenticazione delle e-mail è al centro della sicurezza del dominio. SPF, DKIM e DMARC lavorano insieme per verificare chi è autorizzato a inviare posta dal vostro dominio e come devono essere gestiti i messaggi sospetti. L'SPF autorizza specifici IP di invio, il DKIM applica una firma crittografica che dimostra l'integrità del messaggio e il DMARC utilizza entrambi per applicare i criteri e guidare i server di ricezione su cosa fare se un messaggio non supera l'autenticazione. Anche con SPF e DKIM, un dominio senza DMARC rimane esposto perché non ci sono istruzioni su come trattare i messaggi non riusciti.

Prerequisiti per la configurazione DMARC

Prima di passare alla procedura di impostazione del DMARC, assicuratevi di avere già predisposto quanto segue:

1. Accesso alla console di gestione DNS : essenziale per creare e pubblicare record DNS.
2. Elenco dei mittenti di e-mail autorizzati: Identificare tutti i servizi e i server che inviano e-mail per conto dell'utente per evitare blocchi involontari.
3. Record SPF e/o DKIM esistenti nel vostro DNS: Almeno uno di questi record dovrebbe essere già configurato nel vostro DNS, poiché il DMARC si basa su di essi per l'autenticazione delle e-mail. SPF (Sender Policy Framework) indica al server ricevente da quale dominio deve aspettarsi che l'email provenga, mentre DKIM (DomainKeys Identified Mail) è un metodo di firma digitale delle e-mail per verificare l'autenticità del mittente.

Avvertenze: Se si saltare SPF/DKIM, DMARC non funzionerà. Assicurarsi di aver configurato correttamente uno dei due o, preferibilmente, entrambi prima di passare alle fasi successive.

Come impostare DMARC passo dopo passo

DMARC è un protocollo di autenticazione delle e-mail che indica ai server di ricezione cosa fare quando un'e-mail non supera la verifica SPF o DKIM. Aiuta a proteggere il vostro dominio da spoofing, phishing e uso non autorizzato.

Per avviare l'impostazione del DMARC DNS, seguire la procedura descritta di seguito.

Passo 1: Creare il record DMARC

Si inizia creando un record DNS TXT che contiene la vostra politica DMARC e attiva il protocollo sul vostro dominio. Un record DNS TXT è una semplice voce di testo nelle impostazioni DNS del vostro dominio che memorizza informazioni importanti per i server esterni, come le istruzioni per l'autenticazione delle e-mail. Quando viene aggiunto al file di zona DNS del vostro dominio, indica ai server di posta elettronica riceventi come gestire i messaggi che dichiarano di provenire dal vostro dominio.

Per generare gratuitamente questo record, utilizzate il nostro strumento di generazione DMARC, come mostrato nella schermata precedente. Una volta aperto lo strumento, verranno visualizzati i campi obbligatori da completare prima che il record venga creato.

Semplificate la configurazione di DMARC con PowerDMARC!

Fase 2: Scegliere un criterio DMARC adatto alle proprie e-mail

Il tag p= policy è una parte obbligatoria di ogni record DMARC. Indica ai server di posta ricevuti cosa fare con le e-mail che non superano i controlli SPF e DKIM. Se questo tag manca, il record DMARC diventa non valido e non verrà applicato.

Fase 3: Abilitare il reporting e fare clic su "Genera". 

Per monitorare il flusso di posta e i risultati dell'autenticazione, attivate i rapporti aggregati DMARC (rua) specificando l'indirizzo e-mail a cui desiderate riceverli. I rapporti aggregati DMARC sono riepiloghi XML giornalieri inviati dai provider della casella di posta elettronica che mostrano quali server stanno inviando la posta per conto dell'utente, come si sono comportati i messaggi rispetto a SPF e DKIM e se alcune fonti non autorizzate hanno tentato di utilizzare il vostro dominio. Dopo aver inserito l'indirizzo di segnalazione, fare clic su "Genera" per creare il record.

Passo 4: Pubblicare e convalidare l'impostazione del record

Una volta creato il record TXT, fare clic sul pulsante "copia" per copiare la sintassi completa, quindi aprire la console di gestione DNS.

Creare un nuovo record TXT.

-Nel campo Host/Nome, inserire _dmarc (o _dmarc.yourdomain.com, a seconda del provider DNS).

-Nel campo Valore/Dati, incollare la sintassi del record DMARC generato.

-Salvare il record per pubblicarlo e completare l'impostazione del DMARC.

Per maggiori dettagli, leggete la nostra guida completa sulla pubblicazione di un record DMARC nel DNS. Tenete presente che gli aggiornamenti DNS possono richiedere fino a 48 ore per propagarsi completamente.

Verifica dell'impostazione DMARC

Dopo aver impostato DMARC, è necessario verificare le configurazioni per evitare di incorrere nel comunissimo errore "Nessun record DMARC trovato" .

Per verificare la tua configurazione, puoi utilizzare gratuitamente lo strumento di verifica DMARC di PowerDMARC. Per utilizzarlo:

1. Inserisci il nome del tuo dominio nella casella di destinazione (ad esempio, se l'URL del tuo sito web è https://company.com, il nome del tuo dominio sarà company.com ).
2. Fare clic sul pulsante "Cerca".
3. Vedere i risultati visualizzati sullo schermo

Consigliamo questo metodo di verifica come alternativa alla verifica manuale per un'esperienza più rapida, accurata e senza problemi.

Suggerimenti avanzati per la configurazione DAMRC

Una volta completata la configurazione di base, ecco alcuni suggerimenti avanzati per migliorare l'implementazione:

Spiegazione delle politiche DMARC (quali scegliere?)

Per evitare che le tue email vengano falsificate, devi configurare una policy DMARC . Puoi scegliere tra tre policy principali:

• Nessuno (p=none): non viene intrapresa alcuna azione sulle email che non superano l'autenticazione DMARC. Questa opzione è ideale per monitorare il traffico email durante la configurazione iniziale.
• Quarantena(p=quarantena): Le e-mail non riuscite vengono contrassegnate come sospette e inviate alle cartelle spam/spazzatura.
• Rifiuta (p=reject): le email non andate a buon fine vengono bloccate e non vengono recapitate.

Nota: Scegliere un criterio "nessuno" per monitorare le e-mail prima di passare all'applicazione completa (p=quarantena o p=rifiuto).

Modalità di allineamento (rigoroso o rilassato)

Allineamento rilassato

• Allineamento SPF rilassato (aspf=r):
  L'allineamento passa se il dominio nel percorso di ritorno (dominio autenticato SPF) condivide lo stesso dominio organizzativo del dominio nell'indirizzo Da.
  Il dominio organizzativo è tipicamente il dominio di base (ad esempio, example.com), esclusi i sottodomini.

  Esempio:
  From: [email protected]
  Return-Path: [email protected]
  ✔ Passa l'allineamento SPF rilassato perché entrambi i domini condividono lo stesso dominio organizzativo (example.com).

• Allineamento rilassato DKIM (adkim=r):
  L'allineamento passa se il dominio d= nella firma DKIM condivide lo stesso dominio organizzativo del dominio dell'indirizzo From.

  Esempio:
  Da: [email protected]
  Firma DKIM: d=alerts.example.com
  ✔ Passa l'allineamento DKIM rilassato perché entrambi condividono lo stesso dominio organizzativo (example.com).

Allineamento rigoroso

• SPF strict alignment (aspf=s):
  L'allineamento passa solo se il dominio del Return-Path corrisponde esattamente al dominio dell'indirizzo From.

  Esempio:
  Da: [email protected]
  Percorso di ritorno: [email protected]
  ✔ Passa l'allineamento rigoroso.

  ❌ Se il percorso di ritorno fosse [email protected] o bounce.mail.example.com, l'allineamento rigoroso fallirebbe.

• Allineamento rigoroso DKIM (adkim=s):
  L'allineamento passa solo se il dominio d= nella firma DKIM corrisponde esattamente al dominio dell'indirizzo From.

  Esempio:
  Da: [email protected]
  Firma DKIM:[email protected]
  ✔ Supera l'allineamento rigoroso.

  ❌ Se d=alerts.example.com o bounce.mail.example.com, l'allineamento stretto fallirebbe.

Esempio di impostazione DMARC

Ecco un esempio di una semplice configurazione DMARC:

v=DMARC1; p=rifiutare; rua=mailto:[email protected];

Nota : quando inizi il tuo percorso di autenticazione della posta elettronica, puoi impostare la tua policy DMARC (p) su "none" anziché su "reject", per monitorare il flusso di posta elettronica e risolvere i problemi prima di passare a una policy rigorosa.

Sintassi del record DMARC e tag opzionali

La sintassi della configurazione DMARC determina come verranno autenticate le email e le azioni da intraprendere dopo la verifica. Analizziamo alcuni meccanismi principali:

• v (obbligatorio): Specifica la versione DMARC. Deve essere DMARC1 e comparire per prima nel record.
• p (obbligatorio): Definisce il criterio per i fallimenti DMARC (nessuno, quarantena o rifiuto).
• rua (opzionale): Specifica l'indirizzo o gli indirizzi e-mail per ricevere i rapporti aggregati utilizzando il formato mailto:.
• ruf (facoltativo):specifica l'indirizzo o gli indirizzi e-mail per ricevere i rapporti sui guasti forensi utilizzando il formato mailto:.
• adkim (opzionale): Imposta la modalità di allineamento DKIM su r (rilassato) o s (rigoroso). La modalità predefinita è rilassata, se non è definita. 
• aspf (opzionale): Imposta la modalità di allineamento SPF su r (rilassato) o s (rigoroso). La modalità predefinita è rilassata, se non è definita. 
• pct (opzionale): Definisce la percentuale di email non riuscite soggette al criterio DMARC (l'impostazione predefinita è 100).
• fo (opzionale): Controlla quando vengono inviati i rapporti forensi. Le opzioni includono 0, 1, d e s.

Puoi approfondire l'argomento nel nostro blog dettagliato sui tag DMARC . Assicurati che i tag siano separati da punto e virgola e che non ci siano spazi in eccesso per mantenere la formattazione corretta.

Errori comuni di impostazione del DMARC da evitare

Le configurazioni errate nel DMARC sono spesso dovute a problemi di allineamento, errori di sintassi o lacune nel monitoraggio continuo. Un problema frequente è SPF o DKIM non allineati. Il DMARC richiede che almeno uno di questi domini sia allineato con il dominio "Da". Se i domini non corrispondono, le e-mail legittime possono fallire l'autenticazione anche se i record esistono. Ciò è particolarmente comune quando servizi di terze parti inviano per conto dell'azienda senza un'adeguata configurazione.

Un'altra fonte di problemi è la sintassi errata dei tag DMARC. Anche un piccolo errore di formattazione, come un punto e virgola mancante, un tag non supportato o un valore non valido, può rendere inutilizzabile l'intero record. Poiché i record DMARC vengono letti dalle macchine, la precisione è importante.

Un problema a parte si verifica quando le organizzazioni applicano politiche rigide troppo presto. Passare subito a p=quarantena o p=rifiuto senza aver prima esaminato i rapporti aggregati può causare il blocco della posta legittima. I rapporti forniscono una visione di tutti i mittenti che utilizzano il vostro dominio, quindi esaminarli prima di applicare le regole più severe aiuta a evitare interruzioni accidentali.

Inoltre, molte configurazioni falliscono perché gli indirizzi e-mail RUA e RUF sono obsoleti. Questi indirizzi di segnalazione devono rimanere attivi e accessibili, altrimenti si perde visibilità sui risultati dell'autenticazione. Quando la casella di posta utilizzata per i report viene disattivata o modificata senza aggiornare il record DMARC, il monitoraggio si interrompe e i problemi passano inosservati.

Il bilancio

Il DMARC è essenziale per mantenere al sicuro il vostro dominio, i vostri clienti e la reputazione del vostro marchio. Con la giusta configurazione e un monitoraggio regolare, impedisce l'impersonificazione, riduce i rischi di phishing e garantisce l'affidabilità delle vostre e-mail.

In un panorama in cui le frodi sono ovunque, una politica DMARC forte fa molto di più che bloccare le minacce. Invia un chiaro segnale che il vostro dominio tratta la sicurezza con serietà e che non lasciate la porta aperta agli aggressori.

Se desiderate un modo più rapido, semplice e accurato per gestire il DMARC, scoprite PowerDMARC. La nostra piattaforma semplifica l'impostazione, fornisce una chiara reportistica e vi aiuta a mantenere una forte protezione su tutte le vostre fonti di invio. Iniziate la vostra prova gratuita o prenotate una demo per proteggere il vostro dominio oggi stesso.

Domande frequenti (FAQ)

Quanto tempo ci vuole perché il DMARC inizi a funzionare dopo la configurazione?

Il DMARC inizia a funzionare non appena le modifiche al DNS si propagano. Ciò può richiedere da pochi minuti a 48 ore, a seconda del vostro provider.

Posso impostare DMARC senza DKIM o SPF?

Affinché il DMARC funzioni, è necessario impostarne almeno uno (SPF o DKIM). Senza uno dei due, il DMARC non ha nulla con cui convalidare le vostre e-mail.

Cosa succede se si imposta un criterio DMARC su "rifiuta" troppo presto?

Le e-mail legittime possono essere bloccate. Passare a un criterio di rifiuto prima di esaminare i rapporti DMARC può causare il fallimento dell'autenticazione dei mittenti autorizzati.

• Informazioni su
• Ultimi messaggi

Maitham Al Lawati

Esperto di sicurezza informatica, CEO di PowerDMARC

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

• Statistiche relative al phishing via e-mail e al DMARC: tendenze 2026 in materia di sicurezza delle e-mail - 6 gennaio 2026
• Come risolvere il problema "Nessun record SPF trovato" nel 2026 - 3 gennaio 2026
• SPF Permerror: cosa significa e come risolverlo - 24 dicembre 2025