Che cos'è una politica DMARC? Nessuna, Quarantena e Rifiuto

All'inizio del 2024, Google e Yahoo hanno chiarito che tutti i mittenti di massa devono avere una politica DMARC in vigore. Questo requisito ha trasformato la configurazione dei criteri DMARC da una fase tecnica di routine in una priorità urgente per le organizzazioni di ogni dimensione. Dopo l'annuncio, i team hanno iniziato a rivedere, aggiornare e applicare le proprie policy DMARC per soddisfare i nuovi standard, prevenire i problemi di deliverability e ridurre il rischio di abuso del dominio, dato che le minacce alla posta elettronica continuano a crescere.

L'impostazione della giusta policy aiuta le aziende a proteggere il proprio marchio, i dipendenti e i clienti dai tentativi di impersonificazione. Sebbene una politica DMARC non possa risolvere da sola ogni problema di sicurezza delle e-mail, rimane una delle difese più efficaci contro il phishing e gli attacchi di spoofing.

In questo articolo esploriamo i criteri DMARC, come implementarli, le sfide e i vantaggi e perché dovreste scegliere la nostra soluzione DMARC in hosting per l'implementazione dei criteri.

Cos'è una politica DMARC?

La politica DMARC è un sistema di convalida delle e-mail che utilizza il Domain Name System (DNS) per indicare ai server di posta elettronica riceventi come gestire le e-mail che dichiarano di provenire dal proprio dominio ma che non superano i controlli di autenticazione. È indicata dal tag "p" nel record DMARC che specifica l'azione che i server di posta devono intraprendere se un'e-mail non supera la convalida DMARC.

Un criterio correttamente implementato consente di decidere con quale rigore i provider di posta elettronica devono trattare i messaggi che non superano l'autenticazione. In parole povere, si sceglie il livello di applicazione che si desidera applicare alle e-mail sospette o non autorizzate.

È possibile impostare il proprio criterio su:

• Lasciare passare comunque (p=nessuno)
• Segnalarlo come sospetto(p=quarantena)
• Bloccarlo completamente (p=rifiuto)

Il tag p= nel record DMARC controlla questo comportamento. Indica ai server riceventi quale livello di applicazione applicare, il che lo rende una delle parti più importanti di una configurazione DMARC. Un criterio più severo come p=reject offre la massima protezione, impedendo il recapito di messaggi di posta elettronica contraffatti o non autorizzati.

Le 3 opzioni dei criteri DMARC

Prima di scegliere una polizza, è utile capire cosa fa ciascuna opzione e come influisce sul modo in cui il vostro dominio è protetto.

I tre tipi di criteri DMARC comprendono:

1. Criterio DMARC: Nessuno (p=nessuno)

Il criterio DMARC none (p=none) è una modalità rilassata che non comporta alcuna azione da parte del destinatario. Questo criterio può essere usato per monitorare l'attività delle e-mail ed è tipicamente usato durante la fase iniziale di implementazione del DMARC per il monitoraggio e la raccolta dei dati.

Non fornisce alcun livello di protezione contro i cyberattacchi e consente di consegnare tutti i messaggi, indipendentemente dai risultati dell'autenticazione. Questa opzione viene specificata nel record DMARC utilizzando il tag "p=none".

Esempio: v=DMARC1; p=none; rua= mailto:(indirizzo email);

Quando usare p=none

• Utilizzare questo criterio quando si desidera monitorare il traffico e-mail prima di applicare il DMARC.
• Ideale per i domini che stanno ancora identificando tutte le fonti di invio legittime.
• I server di posta elettronica riceventi non prendono provvedimenti per i messaggi non riusciti; le e-mail vengono comunque consegnate.
• Continuate a ricevere i rapporti aggregati DMARC, che vi aiutano a capire i problemi di autenticazione prima di passare a criteri più severi.

2. Criterio DMARC: Quarantena (p=quarantena)

Questa opzione viene specificata nel record DMARC utilizzando il tag "p=quarantine". p=quarantine fornisce un certo livello di protezione, in quanto il proprietario del dominio può chiedere al destinatario di riportare le e-mail nella cartella spam o quarantena per rivederle in un secondo momento nel caso in cuiil DMARC fallisca.

Questo criterio indica al server di posta elettronica ricevente di trattare con sospetto i messaggi che non superano l'autenticazione DMARC. Spesso viene implementato come passo intermedio tra "nessuno" e "rifiuta".

Esempio: v=DMARC1; p=quarantena; rua=mailto:(indirizzo e-mail);

Quando usare p=quarantena

• Utilizzare questo criterio quando si desidera una protezione più forte, ma è necessario esaminare le e-mail sospette prima di bloccarle completamente.
• I messaggi non riusciti vengono inviati alla cartella spam/spazzatura, dando la possibilità di controllarli senza perdere la posta legittima.
• Agisce come livello di applicazione intermedio, aiutando a passare senza problemi a p=rifiuto.
• Consente di valutare l'impatto del DMARC e di decidere se le e-mail contrassegnate sono legittime o se devono essere scartate.
• Contribuisce a ridurre l'ingombro della posta in arrivo, tenendo le e-mail dubbie fuori dalla posta in arrivo principale, pur consentendone la visibilità.

3. Criterio DMARC: Rifiuto (p=rifiuto)

Questa opzione viene specificata nel record DMARC con "p=reject". Si tratta della politica più rigida, che indica ai ricevitori di rifiutare i messaggi non autenticati.

Il rifiuto dei criteri DMARC garantisce la massima applicazione, assicurando che i messaggi che non superano i controlli DMARC non vengano consegnati. Il criterio viene implementato quando i proprietari dei domini sono sicuri della loro configurazione di autenticazione delle e-mail.

Esempio: v=DMARC1; p=reject; rua= mailto:(indirizzo email);

Quando usare p=reject

• Scegliete questo criterio quando volete il massimo livello di protezione contro il phishing, lo spoofing e qualsiasi uso non autorizzato del vostro dominio.
• Le e-mail che non superano l'autenticazione vengono completamente bloccate, garantendo che i messaggi sospetti non raggiungano mai i destinatari.
• Ideale per i domini che sono già completamente autenticati in tutti i servizi di invio e non hanno più bisogno di mettere in quarantena i casi limite.

Dovresti:

• Eseguire test approfonditi e verificare che tutti i mittenti legittimi superino i controlli SPF e DKIM prima di passare a p=reject.
• Mantenete abilitato il reporting DMARC in modo da poter monitorare eventuali guasti residui e garantire che tutto continui a funzionare senza intoppi.
• Per un'implementazione sicura, iniziare con p=none, passare a p=quarantena e quindi passare a p=reject una volta che i rapporti mostrano un allineamento coerente.

Altri criteri DMARC

Il DMARC offre ulteriori parametri di policy per perfezionare l'implementazione.

• Il parametro percentuale (pct=) consente l'applicazione graduale del criterio specificando la porzione di messaggi soggetti a DMARC. Ad esempio: pct=50 applica il criterio al 50% dei messaggi.
  • Quando usarlo:
    • Usare pct= quando si sta passando da p=nessuno → p=quarantena → p=rifiuto e si vuole testare l'applicazione per gradi senza impattare tutta la posta in uscita.
  • Guida alla tempistica:
    • Iniziare con pct=20 durante i primi test.
    • Aumentare a pct=50-70 quando la maggior parte dei mittenti legittimi supera l'autenticazione.
    • Passare a pct=100 quando si è certi che la configurazione è stabile.
• La politica del sottodominio (sp=) è un record di criterio che imposta regole separate per i sottodomini. È utile quando i sottodomini richiedono una gestione diversa. Ad esempio: v=DMARC1; p=reject; sp=quarantena; rua=mailto:[email protected].
  • Quando usarlo:
    • Utilizzare sp= quando i sottodomini hanno comportamenti di invio diversi o quando si desidera un'applicazione più rigida o più indulgente rispetto al dominio principale.
  • Guida alla tempistica:
    • Applicare sp=none durante la valutazione dei mittenti di sottodomini.
    • Passare a sp=quarantena una volta verificata l'autenticazione.
    • Passare a sp=reject quando non si vuole più che i sottodomini siano usati impropriamente per lo spoofing.

Impostare i criteri DMARC nel modo giusto con PowerDMARC!

Perché il DMARC è importante

Le e-mail possono essere facilmente contraffatte, rendendo difficile distinguere il vero affare da un pericoloso falso. È qui che entra in gioco il DMARC. Il DMARC è una sorta di checkpoint per la sicurezza delle e-mail che verifica l'identità del mittente prima di lasciar passare i messaggi e svolge un ruolo fondamentale nel raggiungimento della conformità normativa con framework quali GDPR, HIPAA e PCI-DSS.

Secondo le proiezioni, le perdite globali dovute alla criminalità informatica supereranno i 10,5 trilioni di dollari nel 2025evidenziando l'entità della minaccia. Nel frattempo, il Rapporto Verizon sulle indagini sulle violazioni dei dati nel 2025 mostra che il phishing e gli attacchi basati sulle credenziali rimangono dominanti, con circa il 15% di tutte le violazioni che iniziano con il phishing.

Secondo l'RFC 7489 dell'IETF, il DMARC ha la capacità unica di consentire ai mittenti di e-mail di impostare le preferenze per l'autenticazione. Abilitandolo, è anche possibile ottenere rapporti sulla gestione delle e-mail e sul potenziale abuso del dominio. Questo fa sì che il DMARC si distingua in termini di convalida dei domini.

Secondo le nostre ultime statistiche DMARC, un numero significativo di domini è ancora vulnerabile agli attacchi di phishing a causa della mancata implementazione del DMARC.

Per avviare il processo di configurazione del DMARC, è necessario modificare adeguatamente il DNS e includere i record TXT del DNS per i protocolli. Tuttavia, l'implementazione manuale del protocollo DMARC può essere piuttosto complessa per gli utenti non tecnici. Può anche diventare piuttosto costosa se si assume un CISO esterno frazionato per gestirla per la propria azienda. Ecco perché l'uso di una soluzione come l' analizzatore DMARC di PowerDMARC ha senso: automatizza l'impostazione, semplifica la configurazione e fa risparmiare tempo e denaro. Lasciatevi guidare nella configurazione e aiutateci a proteggere il vostro marchio oggi stesso.

Opzioni di segnalazione DMARC

Le opzioni di reporting per il DMARC includono:

• Rapporti aggregati (rua=): Vengono inviati quotidianamente e forniscono riepiloghi di alto livello dei risultati dell'autenticazione e-mail, compresi gli IP che inviano la posta per conto dell'utente e il numero di messaggi passati o falliti.
• Rapporti forensi (ruf=): Inviati in tempo reale, contengono informazioni più dettagliate sui guasti dei singoli messaggi non autenticati.

Questi parametri consentono alle aziende di raccogliere informazioni preziose sui risultati dell'autenticazione DMARC, fornendo indicazioni sul numero di e-mail che non superano o superano l'autenticazione DMARC. Anche un report DMARC è utile:

1. Identificare potenziali problemi e modelli di abuso
2. Rilevare le configurazioni errate nell'impostazione della posta elettronica.
3. Ottenere informazioni sul comportamento e sui flussi di posta elettronica
4. Esaminare i risultati dell'autenticazione per i protocolli SPF e DKIM.

Vantaggi e sfide comuni

Il DMARC offre una forte protezione e una preziosa visibilità, ma la sua corretta implementazione comporta anche considerazioni operative e tecniche. La comprensione dei vantaggi e delle sfide aiuta a definire aspettative realistiche per l'implementazione.

Vantaggi

• Prevenzionedello spoofing dei domini e protezione dal phishing: Blocca i mittenti non autorizzati e riduce il rischio di attacchi di impersonificazione.
• Miglioramento della deliverability delle e-mail (10-15%): I domini autenticati godono di maggiore fiducia da parte dei provider di posta in arrivo, migliorando il posizionamento nella posta in arrivo.
• Visibilità grazie ai rapporti sulle fonti di invio: I rapporti DMARC rivelano chi invia la posta per conto dell'azienda e come i messaggi si autenticano.
• Conformità ai requisiti GDPR, HIPAA e Google/Yahoo 2024: Contribuisce a soddisfare i requisiti di sicurezza e autenticazione stabiliti dalle autorità di regolamentazione e dai principali provider di caselle postali.

Sfide

• Tempi di attuazione (3-6 mesi per una distribuzione sicura): Passare dal monitoraggio alla piena applicazione richiede tempo e un'attenta revisione.
• Requisito di individuazione di tutte le fonti di posta elettronica legittime: Ogni sistema di invio deve essere identificato e autenticato prima di applicare criteri rigorosi.
• Necessità di conoscenze tecniche (DNS, SPF, DKIM): Una corretta configurazione richiede familiarità con l'autenticazione delle e-mail e la gestione dei DNS.
• Limitazioni dell'autenticazione di servizi di terze parti: Alcuni strumenti o piattaforme hanno un supporto SPF/DKIM limitato, rendendo la configurazione più complessa.

Risoluzione degli errori dei criteri DMARC

Quando si utilizza DMARC, è possibile che si verifichi un messaggio di errore. Di seguito sono riportati alcuni errori comuni dei criteri DMARC:

• Errori di sintassi: È necessario prestare attenzione a eventuali errori di sintassi durante l'impostazione del record per assicurarsi che il protocollo funzioni correttamente.
• Errori di configurazione: Gli errori durante la configurazione del criterio DMARC sono comuni e possono essere evitati utilizzando uno strumento di controllo DMARC.
• Criterio DMARC sp: Se si configura un criterio di rifiuto DMARC, ma si impostano i criteri dei sottodomini su nessuno, non sarà possibile ottenere la conformità. Ciò è dovuto a un override dei criteri sulle e-mail in uscita.
• Errore "Criterio DMARC non abilitato": Se le segnalazioni del vostro dominio evidenziano questo errore, significa che il criterio di dominio DMARC manca nel vostro DNS o è impostato su "nessuno". Modificate il vostro record per incorporare p=reject/quarantine e questo dovrebbe risolvere il problema.

Applicazione dei criteri DMARC con PowerDMARC

Il DMARC rimane uno dei metodi più efficaci per proteggere il vostro dominio da spoofing, phishing e uso non autorizzato delle e-mail. Scegliendo la giusta modalità di policy (nessuna, quarantena o rifiuto), si controlla il modo in cui i server di ricezione gestiscono i messaggi sospetti e la protezione del proprio dominio. Parametri aggiuntivi come pct= e sp= aiutano a perfezionare l'implementazione, mentre le opzioni di reporting come rua e ruf offrono una chiara visibilità dei risultati dell'autenticazione, delle fonti di invio, delle configurazioni errate e dei potenziali abusi.

Sebbene l'impostazione del DMARC possa essere complessa, soprattutto quando si lavora su più servizi di terze parti o si gestisce una tempistica di applicazione completa, i vantaggi a lungo termine sono notevoli: migliore deliverability, maggiore conformità e maggiore protezione del marchio.

L'analizzatore DMARC di PowerDMARC semplifica questo processo automatizzando la configurazione, semplificando la gestione dei criteri e trasformando i rapporti XML grezzi in informazioni utili. Se desiderate un percorso più semplice e sicuro per l'applicazione del DMARC, la nostra piattaforma è progettata per supportarvi in ogni fase.

Contattateci per implementare una politica DMARC e monitorare facilmente i risultati!

Domande frequenti (FAQ)

Qual è il criterio DMARC predefinito?

È possibile verificare la conformità DMARC esaminando i rapporti DMARC e confermando che le e-mail superino l'allineamento SPF e DKIM. Se utilizzate una piattaforma con un cruscotto di reportistica, come PowerDMARC, potete visualizzare lo stato di autenticazione del vostro dominio e vedere se i vostri messaggi soddisfano i requisiti DMARC.

Quale politica DMARC è la migliore?

Il miglior criterio per la massima sicurezza è p=rifiuto, in quanto blocca tutte le e-mail non autorizzate.

Tuttavia, la strategia migliore consiste nell'implementazione per fasi:

1. Iniziare con p=none per monitorare le segnalazioni senza influenzare la deliverability.
2. Passare a p=quarantena per inviare le e-mail non riuscite allo spam.
3. Terminate con p=reject solo quando siete pronti (cioè, solo quando siete sicuri che tutte le vostre e-mail legittime siano configurate correttamente).

Come posso risolvere il mio criterio DMARC?

È possibile correggere manualmente il criterio entrando nella gestione del DNS. Una volta entrati, è necessario modificare il record TXT DMARC. Una soluzione più semplice è quella di utilizzare la nostra soluzione in hosting per apportare modifiche al criterio con un solo clic.

Quale criterio DMARC si dovrebbe utilizzare per non accettare un'e-mail se il messaggio non supera il controllo DMARC?

Per rifiutare un messaggio di posta elettronica che non supera il controllo DMARC, si utilizza il criterio p=reject.

Questo criterio indica esplicitamente ai server di posta elettronica riceventi di bloccare e rifiutare completamente la consegna di qualsiasi messaggio che non superi l'autenticazione DMARC. L'e-mail non apparirà nella casella di posta del destinatario e nemmeno nella sua cartella spam. Se si vuole comunque inviare l'email alla cartella spam o alla cartella della posta indesiderata, si può usare p=quarantena.

• Informazioni su
• Ultimi messaggi

Maitham Al Lawati

Esperto di sicurezza informatica, CEO di PowerDMARC

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

• Statistiche relative al phishing via e-mail e al DMARC: tendenze 2026 in materia di sicurezza delle e-mail - 6 gennaio 2026
• Come risolvere il problema "Nessun record SPF trovato" nel 2026 - 3 gennaio 2026
• SPF Permerror: come risolvere il problema di un numero eccessivo di ricerche DNS - 24 dicembre 2025