Che cos’è il DMARC? Definizione, funzionamento e importanza

di

Ultimo aggiornamento:
12 12 minuti di lettura
Che cos’è il DMARC? Definizione, funzionamento e importanza

I punti chiave da prendere in considerazione

  • DMARC protegge i domini dal phishing e dallo spoofing utilizzando l'autenticazione SPF e DKIM, insieme all'applicazione delle politiche e alla generazione di report.
  • DMARC è ora disciplinato dalla RFC 9989 (2026), che sostituisce la RFC 7489, ma i record DMARC validi già esistenti non richiedono alcuna migrazione.
  • La pubblicazione di un record DMARC non è più sufficiente. Le politiche di applicazione (quarantena o rifiuto) sono sempre più richieste da Gmail, Yahoo, Microsoft, PCI DSS e altri standard di conformità.
  • I rapporti DMARC offrono una panoramica completa di tutte le fonti di posta elettronica che utilizzano il tuo dominio, aiutandoti a identificare i mittenti non autorizzati e a procedere in modo sicuro verso l'applicazione delle misure di sicurezza.
  • L'adozione a livello globale è elevata, ma l'applicazione delle misure è ancora carente, lasciando molte organizzazioni vulnerabili allo spoofing dei domini nonostante abbiano implementato i record DMARC.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) è un protocollo di autenticazione della posta elettronica che consente ai proprietari dei domini di controllare cosa succede alle e-mail che non superano i controlli SPF e DKIM. Protegge il tuo dominio da phishing, spoofing e compromissione della posta aziendale (BEC), indicando ai server di posta riceventi di monitorare, mettere in quarantena o rifiutare le e-mail non autenticate.

DMARC è ora disciplinato dalla RFC 9989 (maggio 2026), che ha sostituito la RFC 7489 originale. È importante sottolineare che i record esistenti, configurati correttamente prima dell'aggiornamento della RFC, rimangono validi, pertanto non è necessario effettuare alcuna migrazione.

Cosa significa l'acronimo DMARC? Significato completo

DMARC è l'acronimo di Domain-based Message Authentication, Reporting, and Conformance. Ogni parte del nome corrisponde a una funzione effettiva del protocollo:

  • Basato sul dominio: DMARC opera a livello di dominio, non a livello di singolo messaggio. È sufficiente pubblicare un’unica politica DNS che regola tutta la posta che dichiara di provenire dal proprio dominio.
  • Autenticazione dei messaggi: verifica che un’e-mail provenga effettivamente dal proprio dominio, controllando i risultati SPF e DKIM e verificando che corrispondano all’indirizzo “Da:” visibile.
  • Reportistica: i server di ricezione ti inviano dei report che indicano chi sta inviando e-mail utilizzando il tuo dominio e i risultati ottenuti in termini di autenticazione.
  • Conformità: si pubblica una politica (nessuna, quarantena o rifiuto) che indica ai destinatari come gestire i messaggi non conformi, e questi ultimi si attengono a tale politica.

Come funziona DMARC?

DMARC funziona verificando se un’e-mail in arrivo supera i controlli SPF o DKIM, confermando che il risultato corrisponda al dominio indicato nel campo “Da:”. Successivamente, applica la politica che hai pubblicato nel DNS. Si basa su SPF e DKIM e aggiunge ciò che manca a ciascuno di essi se considerato singolarmente.

Quando arriva un'e-mail che dichiara di provenire dal tuo dominio, il server ricevente esegue entrambi i controlli, verifica se uno dei due corrisponde al tuo dominio "Da:" e quindi applica la politica che hai pubblicato nel DNS. Infine, ti invia un rapporto in modo che tu possa vedere esattamente cosa è successo.

Il flusso di autenticazione delle e-mail: SPF, DKIM e DMARC

Ecco la sequenza completa, dal momento in cui viene inviata un'e-mail fino al momento in cui il report torna nella tua casella di posta:

  1. L'e-mail viene inviata: un server invia un messaggio utilizzando il tuo dominio nell'indirizzo "Da:".
  2. Verifica SPF: il server ricevente verifica se l'indirizzo IP del mittente è autorizzato nel record SPF del tuo dominio.
  3. Verifica DKIM: il destinatario verifica la firma DKIM del messaggio confrontandola con la chiave pubblica pubblicata nel tuo DNS, confermando così che il messaggio non è stato alterato durante il transito.
  4. Valutazione e allineamento DMARC: DMARC valuta entrambi i risultati e verifica che il dominio autenticato tramite SPF o DKIM corrisponda al dominio presente nell'intestazione visibile "From:". Almeno uno dei due deve superare la verifica ed essere allineato.
  5. Viene applicata la politica: in base alla politica pubblicata, il destinatario consegna il messaggio normalmente (nessuna azione), lo invia nella cartella spam (quarantena) oppure lo blocca (rifiuto).
  6. Il rapporto è stato inviato: il destinatario ti invia un rapporto riepilogativo, solitamente entro 24 ore, che riassume ciò che ha rilevato.

Che cos’è l’allineamento DMARC?

L'allineamento è il meccanismo che collega il superamento dei controlli SPF o DKIM al dominio che il destinatario vede effettivamente nel campo "Da:". Un messaggio può superare i controlli SPF o DKIM per un determinato dominio pur continuando a visualizzare il proprio dominio nell'intestazione "Da:". L'allineamento colma questa discrepanza richiedendo che il dominio autenticato corrisponda al dominio indicato nel campo "Da:".

Esistono due modalità di allineamento:

  • L'allineamento flessibile (impostazione predefinita) accetta una corrispondenza a livello di dominio organizzativo, quindi mail.example.com si allinea con example.com.
  • L'allineamento rigoroso richiede una corrispondenza esatta.

Senza l'allineamento, un malintenzionato potrebbe superare il controllo SPF utilizzando un dominio sotto il proprio controllo e comunque falsificare l'indirizzo "Da:", che è proprio la falla che il protocollo DMARC è stato creato per colmare.

Per saperne di più sui due tipi di allineamento, su cosa configurare e quando, consulta la nostra guida all'allineamento DMARC.

DMARC, SPF e DKIM: come funzionano insieme

DMARC non sostituisce SPF e DKIM, ma dipende da essi. Ciascuno dei tre protocolli gestisce un aspetto diverso del problema dell'autenticazione, e DMARC li integra tra loro.

Per saperne di più sui singoli protocolli , consulta la nostra guida su DMARC, SPF e DKIM.

Cosa fa l'SPF

L'SPF (Sender Policy Framework) definisce quali indirizzi IP e server sono autorizzati a inviare e-mail per conto del proprio dominio. Il server ricevente verifica l'indirizzo "envelope-from" (Return-Path) confrontandolo con il record SPF pubblicato. Il suo limite: l'SPF non protegge l'intestazione "Da:" visibile che i destinatari leggono effettivamente, quindi un messaggio può superare il controllo SPF pur visualizzando un dominio "Da:" contraffatto.

Cosa fa il DKIM

Il protocollo DKIM (DomainKeys Identified Mail) appone una firma crittografica a ciascun messaggio. I destinatari verificano tale firma confrontandola con una chiave pubblica presente nel DNS del mittente, confermando così che il messaggio non sia stato manomesso durante il transito e identificando il dominio che ha apposto la firma. Il suo limite: come l’SPF, il DKIM può essere superato per un dominio diverso da quello indicato nell’intestazione “Da:”, quindi, di per sé, non impedisce lo spoofing dell’intestazione “Da:”.

Perché è fondamentale adottare il DMARC

SPF e DKIM sono meccanismi di autenticazione individuali, ma nessuno dei due indica al destinatario come comportarsi in caso di verifica fallita, né collega il risultato al dominio visibile nel campo "Da:". DMARC colma queste lacune: integra SPF e DKIM, richiede l'allineamento con il dominio "Da:", pubblica una politica di applicazione e attiva la segnalazione. Senza DMARC, lo spoofing può comunque avere successo anche quando SPF e DKIM sono entrambi attivi.

Tabella comparativa: SPF, DKIM e DMARC

ProtocolloCosa controllaDove si vedeCosa proteggeCiò che non può fare da solo
SPFSe l'IP mittente è autorizzatoMittente / Percorso di ritornoAutorizza i server di invio legittimiNon protegge l'intestazione "Da:" visibile
DKIMUna firma crittografica sul messaggioIntestazione DKIM-Signature + chiave pubblica DNSIntegrità del messaggio e identità del dominio di firmaPuò passare anche quando il dominio "Da:" è falsificato
DMARCRisultati SPF/DKIM + allineamento con il campo "Da:"Politica DNS su _dmarc.yourdomain.comMette in relazione entrambi, definisce le linee guida e consente la rendicontazioneNon c'è nulla da valutare senza SPF e DKIM

Criteri DMARC: Nessuno, Quarantena e Rifiuto

La politica DMARC indica ai server destinatari come gestire i messaggi che non superano l'autenticazione e l'allineamento. Esistono tre politiche DMARC, ciascuna delle quali prevede un livello di applicazione più rigoroso rispetto alla precedente.

p=nessuno (Monitor)

Non viene intrapresa alcuna azione coercitiva; la posta in sospeso viene comunque recapitata e vengono inviati dei rapporti che consentono di verificare chi sta effettuando invii per conto vostro. Questo è il primo passo giusto da compiere per qualsiasi nuova implementazione.

Nota sulla conformità: l'impostazione "p=none" non soddisfa i requisiti per i mittenti di messaggi in massa di Gmail e Yahoo né i requisiti anti-phishing dello standard PCI DSS v4.0, che ne prevedono l'applicazione obbligatoria.

p = quarantena (applicazione flessibile)

I messaggi che non vengono recapitati vengono indirizzati alla cartella dello spam o della posta indesiderata anziché alla posta in arrivo. I messaggi legittimi e autenticati non subiscono alcuna modifica. Nota sulla conformità: la quarantena soddisfa i requisiti di conformità previsti da Gmail, Yahoo, Microsoft e PCI DSS v4.0.

p = rifiuto (applicazione integrale)

I messaggi che non superano il controllo vengono respinti immediatamente e non raggiungono mai né la posta in arrivo né la cartella dello spam. Questo rappresenta il livello di protezione più elevato. Nota sulla conformità: l’opzione “reject” soddisfa tutti i requisiti attuali. Un avvertimento tratto dalla RFC 9989: per i domini i cui utenti inviano messaggi alle mailing list, l’opzione “p=quarantine” può rappresentare una politica permanente più sicura, poiché le mailing list spesso compromettono l’autenticazione in modi tali da causare il rifiuto di messaggi legittimi.

Cosa sono i report DMARC?

DMARC è l'unico protocollo di autenticazione delle e-mail che fornisce dati di visibilità. Questi report sono il motivo principale per cui è consigliabile impostare DMARC su p=none prima di passare alla fase di applicazione: ti mostrano tutte le fonti che inviano e-mail a nome del tuo dominio, così puoi verificare che i tuoi mittenti legittimi superino il controllo prima di iniziare a bloccare qualsiasi messaggio.

Rapporti aggregati (RUA)

I report aggregati sono riepiloghi giornalieri in formato XML inviati da ogni server di posta ricevente che ha elaborato messaggi provenienti dal tuo dominio. Ogni report elenca gli indirizzi IP di invio, il volume dei messaggi, l’esito (superato/fallito) dei controlli SPF e DKIM, il risultato complessivo del DMARC e l’azione applicata. Sono fondamentali perché senza di essi non è possibile applicare la propria politica in modo sicuro: è necessario verificare che ogni mittente legittimo superi i controlli prima di procedere alla quarantena o al rifiuto. Leggere manualmente il codice XML grezzo non è scalabile, pertanto la maggior parte dei team utilizza il nostro DMARC Report Analyzer per trasformare i report in dashboard di facile consultazione.

Se non hai familiarità con i report, consulta la nostra guida passo passo su come leggere i report DMARC per una spiegazione semplificata.

Segnalazioni di guasti (RUF)

I rapporti di errore (precedentemente denominati "rapporti forensi") sono notifiche relative a singoli messaggi inviate quando un’e-mail non supera il controllo DMARC. Sono più dettagliati rispetto ai rapporti aggregati. Nota sulla privacy: Google, Microsoft e Yahoo non inviano più rapporti di errore, quindi se il tuo dominio ne riceve, provengono da provider minori. Includi il tag ruf= nel tuo record solo se disponi di un processore configurato per gestirli.

Da cosa protegge il DMARC?

Lo scopo principale di DMARC è impedire agli hacker di inviare e-mail che sembrano provenire proprio dal tuo dominio. Ciò copre tre dei tipi di attacchi via e-mail più dannosi.

Spoofing delle e-mail

In un attacco di spoofing, qualcuno invia un’e-mail che sembra provenire proprio dal tuo dominio, ad esempio [email protected]. Il DMARC con parametro p=reject blocca questi messaggi prima che raggiungano qualsiasi casella di posta, poiché non superano l’autenticazione e l’allineamento relativi al tuo dominio.

Attacchi di phishing

Le e-mail di phishing si spacciano per il vostro marchio per indurre clienti o dipendenti a fornire credenziali o denaro. Con il DMARC attivato, gli hacker non possono utilizzare il vostro dominio come mittente, il che elimina la versione più convincente di un’e-mail di phishing: quella che sembra davvero provenire da voi.

Compromissione delle e-mail aziendali (BEC)

Gli attacchi BEC consistono nell'usurpare l'identità di un amministratore delegato, di un direttore finanziario o di un fornitore di fiducia per richiedere bonifici bancari o dati sensibili. DMARC blocca gli attacchi BEC con dominio esatto, in cui l'autore dell'attacco falsifica il vostro dominio reale. Si noti che la falsificazione del nome visualizzato, in cui il nome visibile è "Nome dell'amministratore delegato" ma il dominio sottostante non ha alcuna attinenza, non viene bloccata da DMARC, poiché l'autore dell'attacco non sta utilizzando affatto il vostro dominio.

Vantaggi dell'implementazione di DMARC

  1. Blocca il phishing e lo spoofing nel dominio esatto: l'usurpazione del dominio viene bloccata prima che raggiunga i destinatari, eliminando gli attacchi più convincenti contro i vostri clienti e il vostro personale.
  2. Protegge la reputazione del marchio: i clienti smettono di ricevere e-mail fraudolente che sembrano provenire da te, il che preserva la fiducia nel tuo marchio.
  3. Migliora la deliverability delle e-mail: le e-mail autenticate godono della fiducia dei destinatari e hanno maggiori probabilità di arrivare nella posta in arrivo, mentre quelle non autenticate vengono contrassegnate come sospette.
  4. Garantisce una visibilità completa: i report aggregati mostrano tutte le fonti che inviano e-mail dal tuo dominio, compresi i servizi dimenticati e i mittenti non autorizzati.
  5. Abilita BIMI: una politica p=quarantine o p=reject è un prerequisito per la visualizzazione del logo del tuo marchio BIMI accanto ai tuoi messaggi nelle caselle di posta supportate.
  6. Soddisfa i requisiti di conformità: il DMARC a livello di applicazione aiuta a soddisfare lo standard PCI DSS v4.0, le norme di Google/Yahoo e Microsoft relative ai mittenti di posta in massa e la direttiva CISA BOD 18-01.

Requisiti di conformità DMARC nel 2026

La conformità è diventata il motivo principale per cui le organizzazioni implementano il DMARC. Negli ultimi due anni, i principali provider di posta elettronica e diverse autorità di regolamentazione hanno trasformato il DMARC da una best practice a un requisito obbligatorio. È fondamentale sottolineare che l’impostazione p=none non soddisfa nessuno dei requisiti indicati di seguito, mentre l’applicazione delle misure previste (quarantena o rifiuto) è proprio ciò che ci si aspetta.

Gmail e Yahoo (da febbraio 2024)

Da febbraio 2024, Gmail e Yahoo richiedono ai mittenti che inviano grandi volumi di messaggi, ovvero quelli che inviano 5.000 o più messaggi al giorno, di utilizzare SPF, DKIM e un record DMARC pubblicato. A novembre 2025, Gmail è passato al rifiuto definitivo delle e-mail non conformi. Un record p=none soddisfa i requisiti minimi per la pubblicazione di un record DMARC, ma è l’applicazione delle misure (quarantena o rifiuto) a garantire una protezione effettiva.

Microsoft Outlook (da maggio 2025)

Il 5 maggio 2025 Microsoft ha iniziato ad applicare i requisiti di autenticazione per i mittenti di posta in massa, respingendo immediatamente a livello SMTP i messaggi inviati in grandi volumi che non superano l'autenticazione, anziché indirizzarli nella cartella della posta indesiderata. Il protocollo DMARC fa parte dei requisiti di autenticazione di Microsoft per i mittenti che inviano più di 5.000 messaggi al giorno.

PCI DSS v4.0 (a partire da marzo 2025)

Il requisito 5.4.1 dello standard PCI DSS v4.0.1 prevede l'adozione di meccanismi automatizzati anti-phishing, tra cui DMARC insieme a SPF e DKIM, per le organizzazioni che trattano dati relativi alle carte di pagamento. Tale requisito è diventato obbligatorio il 31 marzo 2025. Un record p=none a solo scopo di monitoraggio non soddisfa tale requisito; i revisori si aspettano l'adozione di una politica di applicazione.

CISA BOD 18-01 (Domini federali statunitensi)

La Direttiva Operativa Vincolante n. 18-01 (CISA BOD 18-01) dell’Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) impone a tutti i domini del ramo esecutivo federale di implementare il protocollo DMARC con impostazione p=reject. Si è trattato del primo provvedimento governativo a richiedere l’adozione di una politica a livello di applicazione effettiva, anziché una semplice adozione.

Per conoscere i requisiti e le raccomandazioni globali in materia di conformità, consulta la nostra guida completa sui requisiti di conformità DMARC.

L'adozione del DMARC nel 2026: statistiche chiave

Le statistiche di PowerDMARC relative al 2026 sul phishing via e-mail e sul DMARC mostrano un chiaro andamento globale: il phishing continua a crescere, l’adozione del DMARC è in aumento ma ancora lontana dall’essere universale, e la maggior parte dei domini che lo adottano non raggiunge mai il livello di applicazione necessario a bloccare effettivamente lo spoofing.

  • Solo circa il 18% dei 10 milioni di domini più visitati al mondo pubblica un record DMARC valido, e appena il 4% circa applica pienamente una politica di rifiuto (analisi del secondo trimestre del 2025), lasciando la stragrande maggioranza dei domini esposta allo spoofing e all’usurpazione del marchio.
  • Tra i domini che pubblicano le impostazioni DMARC, la maggior parte non arriva ad applicarle: il 68,2% utilizza p=none, il 12,1% utilizza p=quarantine e solo il 19,6% adotta una politica rigorosa p=reject.
  • Anche la volontà di applicare le norme è scarsa: solo il 25,5% dei mittenti con "p=none" prevede di rafforzare la propria politica entro un anno, mentre il 61% afferma che procederà a un aggiornamento solo se costretto da una normativa o da esigenze aziendali.
  • I requisiti di autenticazione stanno dando i loro frutti proprio dove servono: dopo che Google e Yahoo hanno introdotto i requisiti per i mittenti di messaggi in massa, Google ha registrato un calo del 65% dei messaggi non autenticati che raggiungono Gmail, con 265 miliardi di messaggi non autenticati in meno solo nel 2024.
  • La posta in gioco è alta: una violazione legata al phishing costa in media circa 4,88 milioni di dollari, mentre gli attacchi di tipo “Business Email Compromise” hanno causato perdite dichiarate pari a circa 2,9 miliardi di dollari.

RFC 9989: Aggiornamento dello standard DMARC del 2026

Nel maggio 2026, l'RFC 9989 ha sostituito l'RFC 7489 come standard DMARC: si tratta del primo aggiornamento significativo dalla specifica originale del 2015. Poiché i record esistenti rimangono validi, non è necessaria alcuna migrazione. Tuttavia, i proprietari di domini che utilizzano tag deprecati possono valutare la possibilità di aggiornare i propri record per riflettere le nuove modifiche.

Ciò che è cambiato è una serie di piccole modifiche pratiche relative ai tag che è possibile pubblicare in un record. Ecco alcune delle modifiche principali:

  • pct= è stato deprecato. Il vecchio tag percentuale, che indicava ai destinatari di applicare la tua politica solo a una parte dei messaggi non recapitati, è stato rimosso perché si comportava in modo imprevedibile a seconda dei provider.
  • È stato aggiunto "np=" per impostare una politica separata per i sottodomini inesistenti, ovvero quelli che non inviano alcuna posta legittima. Ciò consente di respingere la posta proveniente da sottodomini che gli aggressori potrebbero inventare, senza influire sui sottodomini attivi che inviano posta.
  • È stato aggiunto il tag "t=" per indicare una fase di test o un'implementazione graduale, offrendo un metodo più chiaro e standardizzato per procedere all'applicazione delle regole rispetto al tag "pct=" ormai deprecato.

Per un riepilogo completo delle modifiche, puoi consultare la nostra guida sul DMARC RFC 9989.

Limiti del DMARC: da cosa non protegge

Il DMARC è estremamente efficace contro lo spoofing di domini esatti, ma non rappresenta una soluzione antifrode completa, ed è opportuno chiarire quali aspetti non copre:

  • Non offre protezione contro gli attacchi basati su domini simili, in cui un malintenzionato registra un dominio dall'aspetto simile, come ad esempio paypa1.com o paypal-secure.com, poiché il DMARC associato al proprio dominio non ha alcuna autorità su un dominio diverso.
  • Questo non impedisce l'uso improprio del nome visualizzato, in cui il nome visibile del mittente sembra quello del proprio marchio, ma il dominio e-mail sottostante non ha alcuna attinenza con esso.
  • Non è in grado di risolvere il problema degli account legittimi compromessi, poiché le e-mail inviate da un account autentico ma compromesso vengono autenticate correttamente.

Per le minacce che esulano dall'ambito di applicazione di DMARC, puoi utilizzare il nostro Lookalike Domain Checker per avviare un'indagine volta a individuare domini simili, casi di typosquatting e attacchi omoglifi.

Come iniziare a utilizzare DMARC

Per iniziare non è necessario configurare nulla di complesso. I passaggi seguenti ti consentiranno di partire subito:

1. Controlla i tuoi record SPF, DKIM e DMARC: come spiegato in precedenza, affinché DMARC funzioni è necessario che siano configurati SPF o DKIM (preferibilmente entrambi). Pertanto, prima di iniziare, devi verificare se questi record esistono. Inserisci il tuo dominio nel nostro Domain Analyzer per verificare in un colpo solo se disponi già di record SPF, DKIM e DMARC e qual è la tua attuale politica relativa ai record.

2. Se non ne hai già uno, crea un record: utilizza il nostro strumento DMARC Generator per generare un record con sintassi valida e pubblicalo nel tuo DNS per attivare il protocollo. Per cominciare, imposta sempre la politica su “none”, per poi passare gradualmente all’applicazione delle regole una volta che avrai acquisito sicurezza riguardo alla tua deliverability.

3. Aggiungi il record al tuo DNS: apri la console di gestione del DNS e pubblica il record DMARC sotto _dmarc.tuodominio.com come record TXT.

4. Verifica con lo strumento di controllo DMARC: infine, dopo 24 ore, verifica il tuo dominio tramite il nostro strumento di controllo DMARC per assicurarti che il record pubblicato sia valido e privo di errori.

Per una guida completa su come configurare DMARC, consulta il blog indicato nel link, dove troverai un tutorial dettagliato passo dopo passo.

Parole finali

Il DMARC è passato dall’essere una semplice raccomandazione di sicurezza a diventare un requisito fondamentale. È ciò che dimostra al mondo che le e-mail che riportano il vostro dominio sono effettivamente vostre, ed è sempre più richiesto dai provider di posta elettronica e dalle autorità di regolamentazione a cui la vostra azienda è già soggetta. Il protocollo in sé non è complicato: basta pubblicare un record, leggere i rapporti e rendere più rigorosa la vostra politica man mano che i mittenti legittimi si allineano ad essa. Il vero lavoro consiste nel passare dal monitoraggio all’applicazione.

PowerDMARC è una piattaforma di gestione DMARC full-stack che si occupa per conto tuo dell'intero processo di monitoraggio e applicazione delle regole, trasformando i report grezzi in informazioni chiare e aiutandoti a raggiungere il livello "p=reject" senza bloccare la posta legittima.

Domande frequenti

Cos'è DMARC?

Un record DMARC è un record DNS di tipo TXT pubblicato all'indirizzo _dmarc.tuodominio.com. Contiene la tua politica DMARC e gli indirizzi e-mail a cui devono essere inviati i rapporti. La creazione e la pubblicazione di un record DMARC rappresentano il primo passo per l'implementazione di DMARC sul tuo dominio.

Il DMARC sarà obbligatorio nel 2026?

Sì, per i mittenti che inviano grandi volumi di email. Gmail e Yahoo richiedono l’implementazione del DMARC dal febbraio 2024 per i domini che inviano 5.000 o più email al giorno, mentre Microsoft ha iniziato ad applicarlo a partire dal maggio 2025. Lo standard PCI DSS v4.0 richiede l’implementazione del DMARC per i gestori di dati relativi alle carte di pagamento a partire dal marzo 2025. Anche per i mittenti che non inviano grandi volumi di email, il DMARC è fortemente raccomandato per proteggere il proprio dominio dallo spoofing.

Qual è la differenza tra DMARC, SPF e DKIM?

L'SPF verifica quali indirizzi IP sono autorizzati a inviare e-mail per un determinato dominio. Il DKIM verifica l'integrità dei messaggi tramite una firma crittografica. Il DMARC integra entrambi questi meccanismi, li allinea con il dominio visibile nel campo "Da:", aggiunge una politica di applicazione e abilita la generazione di report. Tutti e tre sono necessari per un'autenticazione completa delle e-mail.

Cosa impedisce il DMARC?

DMARC impedisce lo spoofing di domini esatti, ovvero quando un malintenzionato invia un’e-mail che sembra provenire dal proprio dominio. Ciò comprende le e-mail di phishing, l’usurpazione dell’identità del marchio e la compromissione della posta elettronica aziendale. Non impedisce invece gli attacchi con domini simili né lo spoofing del nome visualizzato, nei quali viene utilizzato un dominio diverso.

Cosa succede se non ho il DMARC?

Senza DMARC, i server di ricezione non dispongono di alcuna indicazione sulle politiche da applicare alle e-mail provenienti dal tuo dominio che non superano i controlli SPF e DKIM; di conseguenza, il tuo dominio può essere facilmente oggetto di spoofing in attacchi di phishing. A partire dal 2024, l’assenza di DMARC incide anche sulla deliverability per i mittenti che inviano e-mail in massa, poiché Gmail e Yahoo potrebbero rifiutare o declassare le tue e-mail legittime.

Il DMARC blocca tutti gli attacchi di phishing?

No. Il DMARC blocca gli attacchi di phishing che falsificano il tuo dominio esatto, ma non è in grado di bloccare i domini simili, l’uso improprio del nome visualizzato o gli attacchi provenienti da account legittimi compromessi. Il DMARC dovrebbe rappresentare uno dei livelli di una strategia di sicurezza della posta elettronica più ampia, piuttosto che l’unico.