Guida all'installazione di DMARC: come configurare DMARC nel 2025 (senza interrompere la posta elettronica)
di
Tempo di lettura: 8 min
Solo il 53,8% delle aziende in tutto il mondo ha configurato DMARC sul proprio dominio, lasciando le altre vulnerabili alle minacce basate sulla posta elettronica.
L'autenticazione email è la prima linea di difesa. DMARC, SPF e DKIM sono protocolli di autenticazione email che aiutano a prevenire attacchi di spoofing e phishing. SPF garantisce che solo gli IP autorizzati possano inviare email per tuo conto, DKIM aggiunge una firma digitale per verificare l'integrità del messaggio e DMARC si basa su entrambi per indicare ai server di ricezione come gestire le email che non superano questi controlli. Senza DMARC, anche i domini con SPF e DKIM possono comunque essere falsificati.
Evita la seccatura, configura DMARC in pochi minuti utilizzando PowerDMARC e proteggi il tuo dominio oggi stesso!
I punti chiave da prendere in considerazione
- L'impostazione DMARC, basata su SPF/DKIM, protegge da spoofing e phishing e salvaguarda la reputazione del dominio.
- Un record DMARC nel DNS definisce le politiche di gestione (`nessuno`, `quarantena`, `rifiuto`) per le e-mail non autorizzate.
- Il corretto formato del record DMARC (ad esempio, i tag obbligatori `v=DMARC1`, `p=policy`) è fondamentale per un funzionamento efficace e per evitare problemi di consegna.
- L'abilitazione del reporting DMARC (`rua`, `ruf`) fornisce preziose informazioni sui flussi di e-mail e sui risultati dell'autenticazione per il monitoraggio.
- La verifica regolare tramite strumenti assicura la corretta configurazione, mentre `p=reject` offre la massima protezione.
Prerequisiti per la configurazione DMARC
Prima di passare alla procedura di impostazione del DMARC, assicuratevi di avere già predisposto quanto segue:
- Accesso alla console di gestione DNS : essenziale per creare e pubblicare record DNS.
- Elenco dei mittenti di posta elettronica autorizzati : identifica tutti i servizi e i server che inviano e-mail per tuo conto per evitare blocchi involontari.
- Record SPF e/o DKIM esistenti nel DNS: almeno uno di questi record dovrebbe essere già configurato nel DNS, poiché DMARC si basa su di essi per l'autenticazione delle email. SPF (Sender Policy Framework) indica al server ricevente da quale dominio aspettarsi la provenienza dell'email, mentre DKIM (DomainKeys Identified Mail) è un metodo per firmare digitalmente le email per verificare l'autenticità del mittente.
Attenzione : se si ignora SPF/DKIM, DMARC non funzionerà. Assicurarsi di aver configurato correttamente uno dei due, o preferibilmente entrambi, prima di procedere con i passaggi successivi.
Configurazione DMARC passo dopo passo
Per avviare l'impostazione del DMARC DNS, seguite i passaggi di configurazione indicati di seguito:
Passo 1: Creare il record DMARC
Si inizia creando un record DNS TXT che definisce il criterio e ne stabilisce l'implementazione. Questo record viene aggiunto al file di zona DNS del dominio.
Per creare un record gratuito, utilizza il nostro generatore DMARC come mostrato nello screenshot qui sopra. Una volta aperta la schermata dello strumento, dovrai compilare alcuni campi obbligatori.
Semplificate la configurazione di DMARC con PowerDMARC!
Fase 2: Scegliere un criterio DMARC adatto alle proprie e-mail
Il tag p= policy è un tag obbligatorio che deve essere configurato nella configurazione DMARC. Se lo si ignora, il record non sarà valido.
Fase 3: Abilitare il reporting e fare clic su "Genera".
Per monitorare il flusso di posta e i risultati dell'autenticazione, configura i report aggregati DMARC (rua) definendo un indirizzo email a cui desideri ricevere i report. Infine, fai clic sul pulsante "Genera".
Passo 4: pubblicare e convalidare l'impostazione del record
Una volta completata la creazione del record TXT, utilizza il pulsante "copia" per copiare direttamente la sintassi e poi vai alla console di gestione DNS.
- Creare un nuovo record TXT.
- Nel campo Host/Nome, inserisci `_dmarc` (o `_dmarc.yourdomain.com`, a seconda del tuo provider DNS).
- Nel campo Valore/Dati, incolla la sintassi del record DMARC che hai generato.
- Salva il record per pubblicarlo sul tuo DNS e completa la configurazione DMARC.
Leggi la nostra guida dettagliata su come pubblicare un record DMARC sul tuo DNS per saperne di più. Le modifiche al DNS possono richiedere fino a 48 ore per propagarsi, a seconda del provider.
Verifica dell'impostazione DMARC
Dopo aver impostato DMARC, è necessario verificare le configurazioni per evitare di incorrere nel comunissimo errore "Nessun record DMARC trovato" .
Per verificare la tua configurazione, puoi utilizzare gratuitamente lo strumento di verifica DMARC di PowerDMARC. Per utilizzarlo:
- Inserisci il nome del tuo dominio nella casella di destinazione (ad esempio, se l'URL del tuo sito web è https://company.com, il nome del tuo dominio sarà company.com ).
- Fare clic sul pulsante "Cerca".
- Vedere i risultati visualizzati sullo schermo
Consigliamo questo metodo di verifica come alternativa alla verifica manuale per un'esperienza più rapida, accurata e senza problemi.
Suggerimenti avanzati per la configurazione DAMRC
Una volta completata la configurazione di base, ecco alcuni suggerimenti avanzati per migliorare l'implementazione:
Spiegazione delle politiche DMARC (quali scegliere?)
Per evitare che le tue email vengano falsificate, devi configurare una policy DMARC . Puoi scegliere tra tre policy principali:
- Nessuno (p=none): non viene intrapresa alcuna azione sulle email che non superano l'autenticazione DMARC. Questa opzione è ideale per monitorare il traffico email durante la configurazione iniziale.
- Quarantena (p=quarantine): le email non riuscite vengono contrassegnate come sospette e inviate alle cartelle spam/posta indesiderata.
- Rifiuta (p=reject): le email non andate a buon fine vengono bloccate e non vengono recapitate.
Nota : scegli un criterio "nessuno" per monitorare le tue email prima di impegnarti nell'applicazione completa (p=quarantena o p=rifiuta).
Modalità di allineamento (rigoroso o rilassato)
Allineamento rilassato
-
SPF Relaxed Alignment (aspf=r):
L'allineamento passa se il dominio nel Return-Path (dominio autenticato SPF) condivide lo stesso dominio organizzativo del dominio nell'indirizzo From.
Il dominio organizzativo è tipicamente il dominio di base (ad esempio, example.com), esclusi i sottodomini.Esempio:
From: [email protected]
Return-Path: [email protected]
✔ Passa l'allineamento SPF rilassato perché entrambi i domini condividono lo stesso dominio organizzativo (example.com). -
DKIM Relaxed Alignment (adkim=r):
Alignment passa se il dominio d= nella firma DKIM condivide lo stesso dominio organizzativo del dominio dell'indirizzo From.Esempio:
From: [email protected]
DKIM-Signature: d=alerts.example.com
✔ Passa l'allineamento DKIM rilassato perché entrambi condividono lo stesso dominio organizzativo (example.com).
Allineamento rigoroso
-
SPF Strict Alignment (aspf=s):
Alignment passa solo se il dominio del Return-Path corrisponde esattamente al dominio dell'indirizzo From.Esempio:
Da: [email protected]
Percorso di ritorno: [email protected]
✔ Passa l'allineamento rigoroso.❌ Se il percorso di ritorno fosse [email protected] o bounce.mail.example.com, l'allineamento rigoroso fallirebbe.
-
DKIM Strict Alignment (adkim=s):
Alignment passa solo se il dominio d= nella firma DKIM corrisponde esattamente al dominio nell'indirizzo From.Esempio:
Da: [email protected]
DKIM-Signature:[email protected]
✔ Supera l'allineamento rigoroso.❌ Se d=alerts.example.com o bounce.mail.example.com, l'allineamento stretto fallirebbe.
Esempio di impostazione DMARC
Ecco un esempio di una semplice configurazione DMARC:
v=DMARC1; p=rifiutare; rua=mailto:[email protected];
Nota : quando inizi il tuo percorso di autenticazione della posta elettronica, puoi impostare la tua policy DMARC (p) su "none" anziché su "reject", per monitorare il flusso di posta elettronica e risolvere i problemi prima di passare a una policy rigorosa.
Sintassi del record DMARC e tag facoltativi
La sintassi della configurazione DMARC determina come verranno autenticate le email e le azioni da intraprendere dopo la verifica. Analizziamo alcuni meccanismi principali:
- v (obbligatorio): specifica la versione DMARC. Deve essere DMARC1 e comparire per primo nel record.
- p (obbligatorio): definisce la policy per gli errori DMARC (nessuno, quarantena o rifiuto).
- rua (facoltativo): specifica gli indirizzi email a cui inviare i report aggregati utilizzando il formato mailto:.
- ruf (facoltativo): specifica gli indirizzi email a cui ricevere i report di errori forensi utilizzando il formato mailto:.
- adkim (facoltativo): imposta la modalità di allineamento DKIM su r (rilassata) o s (rigorosa). La modalità predefinita è "rilassata", se non definita.
- aspf (facoltativo): imposta la modalità di allineamento SPF su r (rilassata) o s (rigorosa). La modalità predefinita è rilassata, se non definita.
- pct (facoltativo): definisce la percentuale di email non recapitate soggette al criterio DMARC (il valore predefinito è 100).
- fo (facoltativo): controlla quando vengono inviati i report forensi. Le opzioni includono 0, 1, d e s.
Puoi approfondire l'argomento nel nostro blog dettagliato sui tag DMARC . Assicurati che i tag siano separati da punto e virgola e che non ci siano spazi in eccesso per mantenere la formattazione corretta.
Configurazione successiva a DMARC: cosa fare ora?
Dopo aver configurato correttamente DMARC, è importante monitorare costantemente i report, passare gradualmente all'applicazione e risolvere gli errori lungo il percorso.
Come leggere i report DMARC?
Qui sopra è riportato un piccolo estratto di un report DMARC RUA. Per analizzarlo manualmente:
- Examine the <domain> and <source_ip> fields to verify your sending sources
- Check the <adkim> and <aspf> fields to confirm the alignment mode configured for your domain.
- Check your DMARC policy in the <p> field
- Check your email authentication results (pass/fail) by checking the <policy_evaluated> sections of the report.
Utilizzare un analizzatore di report DMARC
Per visualizzare e analizzare i tuoi report DMARC facilmente, senza la necessità di leggere complessi file XML, registrati a PowerDMARC. Il nostro analizzatore di report DMARC ti aiuta a visualizzare i report in un formato leggibile per una visibilità granulare.
Transizione a p=reject in modo sicuro
Quando si configura DMARC , è importante passare in modo sicuro alla policy ap=reject per evitare problemi di recapito. Per farlo:
- Inizia con p=none e abilita il reporting DMARC per monitorare il traffico e-mail.
- Dopo alcune settimane, passa a p=quarantine, applicandolo al 50% del volume di posta elettronica (utilizzando il tag pct=50).
- Applicalo gradualmente al 100% del volume di posta configurando pct=100 (oppure lascia il valore predefinito).
- Solo quando sarai sicuro della tua configurazione, passa a p=reject per il 50% del volume della tua posta (pct=50).
- Una volta soddisfatta della configurazione, applica p=reject al 100% del volume di posta (pct=100).
Suggerimento : utilizza la nostra soluzione DMARC ospitata per passare in tutta sicurezza alle policy applicate insieme al supporto di esperti.
Risoluzione dei problemi comuni nelle configurazioni DMARC
| Problemi | Cause | Correzioni |
|---|---|---|
| Email che non superano DMARC | - Disallineamento SPF/DKIM - Inoltro e-mail - Tentativi di spoofing - Errori di sintassi | - Utilizzare soluzioni DMARC gestite - Configura sia SPF che DKIM con la tua configurazione DMARC - Controlla i tuoi record DNS utilizzando gli strumenti di controllo dei record DNS - Monitora i tuoi report |
| Nessuna segnalazione ricevuta | - Email RUA non valida - Il provider di posta elettronica del destinatario non supporta i report RUF | - Assicurati che la tua posta RUA sia valida e attiva |
| SPF Permerror | - Superamento del limite di 10 ricerche DNS - Superamento del limite di lunghezza dei caratteri registrato dal record SPF - Errori di sintassi SPF e altri errori di configurazione | - Soluzioni SPF ospitate utilizzate - Utilizzare servizi di ottimizzazione SPF come l'appiattimento o, preferibilmente, le Macro. |
Come PowerDMARC semplifica la configurazione di DMARC
| Caratteristica | PotenzaDMARC | Configurazione fai da te |
|---|---|---|
| Report automatizzati | ✅ Sì | ❌ Analisi manuale |
| Monitoraggio MTA-STS | ✅ Incluso | ❌ Configurazione aggiuntiva |
| SPF, DKIM e DMARC ospitati | ✅ Completamente ospitato | ❌ Autogestito |
| Guida alla configurazione DNS | ✅ Procedura guidata integrata | ❌ Configurazione manuale |
| Visualizzatore di report aggregati | ✅ Dashboard visiva | ❌ Report XML non elaborati |
| Gestione dei rapporti forensi | ✅ Crittografia PGP | ❌ Necessita di un parser personalizzato |
| Avvisi | ✅ Avvisi in tempo reale | ❌ Nessun avviso nativo |
| Supporto BIMI | ✅ Disponibile | ❌ Configurazione manuale complessa |
| Raggruppamento di domini | ✅ Raggruppamento facile | ❌ Non supportato |
| Gestione degli accessi degli utenti | ✅ Controllo basato sui ruoli | ❌ Coordinamento manuale |
Caso di studio: come la Fatty Liver Foundation ha semplificato la configurazione DMARC aziendale con PowerDMARC
"Il set di strumenti offerto da PowerDMARC era intuitivo e gestiva le attività di configurazione per funzioni come DMARC e DKIM in modo molto intuitivo." – Wayne Eskridge, CEO, Fatty Liver Foundation
Per leggere la storia completa di come questa azienda no-profit con sede negli Stati Uniti ha semplificato l'impostazione e la gestione del DMARC, consultate il nostro caso di studio.
Domande frequenti sulla configurazione DMARC
- Posso configurare DMARC senza DKIM o SPF?
No. Il DMARC si basa sui risultati dei controlli di autenticazione SPF o DKIM (o di entrambi). È necessario configurare almeno uno di questi protocolli (SPF o DKIM) per il proprio dominio prima di implementare il DMARC.
- Dove è configurato il DMARC?
Il DMARC è configurato nel DNS del vostro dominio.
Viene aggiunto come record TXT al file di zona DNS del dominio. Questa operazione viene solitamente eseguita attraverso il pannello di controllo fornito dal registrar del dominio o dal provider di hosting DNS.
- Con quale frequenza dovrei controllare i report DMARC?
La frequenza del monitoraggio dipende da diversi fattori:
- Se sei una grande azienda, un MSSP che gestisce la sicurezza della posta elettronica per i propri clienti, ti trovi nelle fasi iniziali di implementazione o hai recentemente applicato la tua politica DMARC, ti consigliamo di controllare regolarmente i tuoi report.
- Una volta che la situazione si è stabilizzata, puoi iniziare a rivedere i report settimanalmente, prestando particolare attenzione quando vengono aggiunte nuove fonti di invio.
Esperto di sicurezza informatica, CEO di PowerDMARC
Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.
Ultimi messaggi di Maitham Al Lawati (vedi tutti)
- Fallimento dell'SPF: Cosa significa e come risolverlo - 29 settembre 2025
- Politica d'uso accettabile: Elementi chiave ed esempi - 9 settembre 2025
- Che cos'è il CASB? Spiegazione del broker di sicurezza per l'accesso al cloud - 8 settembre 2025
