• Cos'è il DMARC? Come funziona, politiche e suggerimenti per la configurazione

Cos'è il DMARC? Come funziona, politiche e suggerimenti per la configurazione

Blog, DMARC

Capire cos'è il DMARC, come impedisce lo spoofing e come pubblicare il proprio record. Vedere esempi e imparare a evitare errori di configurazione.

di Maitham Al Lawati

Ultimo aggiornamento:
Tempo di lettura: 10 min
Cos'è il DMARC? Come funziona, politiche e suggerimenti per la configurazione
Indice dei contenuti-

I punti chiave da prendere in considerazione

  • Il DMARC aiuta a proteggere il vostro dominio da attacchi di phishing, spoofing e email generate dall'intelligenza artificiale, verificando se le email provengono veramente dal vostro dominio.
  • La combinazione di SPF, DKIM e DMARC crea un quadro di autenticazione forte che migliora la sicurezza e la deliverability della posta in arrivo.
  • Errori come l'errata configurazione dei criteri, l'ignoranza delle segnalazioni, lo scarso allineamento SPF/DKIM o il passaggio troppo rapido al "rifiuto" possono indebolire la protezione.

Nel 2025, circa 376 miliardi di e-mail vengono inviate ogni giorno in tutto il mondo, rendendo l'e-mail uno dei canali di comunicazione più utilizzati. Purtroppo, questa popolarità attrae anche i criminali informatici: Gli attacchi di phishing basati sull'intelligenza artificiale sono in aumento, con rapporti che indicano circa 1,96 milioni di attacchi di phishing in un solo anno, con un aumento del 182% circa rispetto ai livelli del 2021.

Per proteggere le comunicazioni via e-mail e la reputazione del vostro marchio, dovete sapere cos'è il DMARC e perché è importante. Il DMARC aiuta a verificare la legittimità dei messaggi, impedisce agli aggressori di impersonare il vostro dominio e migliora le possibilità di raggiungere la posta in arrivo. È ormai ampiamente utilizzato nei settori finanziario, sanitario, manifatturiero, tecnologico e in altri settori in cui la sicurezza delle comunicazioni è essenziale.

Cos'è DMARC?

DMARC è un protocollo di autenticazione delle e-mail progettato per bloccare le frodi e il phishing. Offre ai proprietari dei domini il controllo sulle modalità di autenticazione delle e-mail e su cosa deve accadere se un messaggio non supera i controlli.

Il DMARC verifica se un'e-mail proviene veramente dal vostro dominio e fornisce rapporti che mostrano chi sta inviando per vostro conto. Questo aiuta le organizzazioni a rafforzare la sicurezza e a proteggere la reputazione del proprio dominio. Molte aziende utilizzano anche i fornitori di DMARC per gestire l'impostazione, la reportistica e l'applicazione dei criteri.

Il DMARC lavora insieme a SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) per garantire che solo i mittenti autorizzati possano utilizzare il vostro dominio. Non sostituisce gli antivirus o i firewall, ma aggiunge un livello di protezione essenziale. Con il DMARC, le aziende possono scegliere cosa fare delle e-mail non autenticate (se rifiutarle, metterle in quarantena o consegnarle).

Che cosa significa DMARC?

DMARC è l'acronimo di Domain-based Message Authentication, Reporting, and Conformance.

Capire il significato di ciascuna parte dell'acronimo DMARC aiuta a capire come il protocollo protegge il vostro dominio, migliora la deliverability e vi dà visibilità su chi invia la posta per vostro conto. Ogni componente riflette una funzione che è necessario comprendere per configurare correttamente il DMARC e interpretare i rapporti.

  • Basato sul dominio: Il DMARC funziona a livello di dominio. L'utente pubblica un criterio DNS che indica ai server di ricezione come trattare la posta che dichiara di provenire dal proprio dominio.
  • Autenticazione dei messaggi: Il DMARC controlla se i messaggi di posta elettronica superano SPF o DKIM e se il dominio verificato corrisponde a quello dell'intestazione "Da". Questo allineamento aiuta a bloccare i messaggi falsificati.
  • Reporting: Il DMARC può inviare rapporti che mostrano chi utilizza il vostro dominio e come si comportano le vostre e-mail. Questi includono riepiloghi aggregati e, se abilitati, dettagli forensi sui fallimenti.
  • Conformità: Si imposta un criterio (nessuno, quarantena o rifiuto) che indica ai destinatari cosa fare con le e-mail che non superano i controlli DMARC. Questo determina il grado di protezione del vostro dominio.

Come il DMARC protegge le vostre e-mail

Il DMARC migliora la sicurezza delle e-mail aggiungendo un livello di applicazione dei criteri e di reporting in aggiunta ai metodi di autenticazione esistenti: SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Un dominio mittente pubblica un rapporto DMARC nel DNS specificando la propria politica. Quando viene inviata un'e-mail che dichiara di provenire da quel dominio:

  1. Invio di e-mail e controlli iniziali: Il server di invio applica tipicamente le firme DKIM. L'e-mail è sottoposta a un transito standard.
  2. Ricezione e autenticazione delle e-mail: Il server ricevente esegue i seguenti controlli:
    • Controllo SPF: Verifica se l'indirizzo IP di invio è elencato nel record SPF del dominio.
    • Controllo DKIM: Convalida la firma digitale dell'e-mail utilizzando la chiave pubblica nel DNS del dominio per garantire che non sia stata manomessa.
    • Controllo dell'allineamento: Conferma che il dominio nell'intestazione "Da" corrisponda al dominio convalidato da SPF o DKIM. In questo modo si evita che i domini falsificati passino l'autenticazione.
  3. Applicazione dei criteri DMARC: Il server ricevente controlla il dominio del mittente Record DMARC in DNS.
    • Se l'e-mail supera i controlli SPF o DKIM e ottiene l'allineamento per almeno uno di essi, supera il DMARC e viene solitamente consegnata normalmente.
    • Se l'email non supera sia SPF che DKIM, o non supera l'allineamento per entrambi, il server ricevente applica il DMAR
    • C specificata nel record DMARC del mittente (ad esempio, p=none per il monitoraggio, p=quarantena per l'invio allo spam o p=reject per il blocco dell'e-mail).
  4. Rapporti: Il server ricevente genera rapporti aggregati (RUA) che riassumono i dati di autenticazione (conteggi di passaggi/fallimenti, IP, risultati di allineamento) e rapporti potenzialmente forensi (RUF) che dettagliano i singoli fallimenti. Questi rapporti vengono inviati agli indirizzi specificati nel record DMARC del dominio mittente.

Molte organizzazioni scelgono di semplificare e automatizzare l'intero processo utilizzando soluzioni come PowerDMARC. Ad esempio, il fornitore di servizi gestiti con sede nel Regno Unito PrimaryTech ha collaborato con PowerDMARC per semplificare la gestione dei record SPF, DKIM e DMARC su più domini di clienti.

Questo non solo li ha aiutati a garantire un'accurata configurazione dei record DNS e l'applicazione delle policy, ma ha anche migliorato la deliverability delle e-mail dei loro clienti e la protezione dagli attacchi di spoofing, dimostrando l'impatto reale di un'efficace implementazione del DMARC.

Questo approccio è particolarmente utile per i team e gli MSP che devono gestire più account e domini di posta elettronica mantenendo al contempo politiche DMARC, visibilità e applicazione coerenti.

Perché DMARC è essenziale per la sicurezza delle e-mail

Il DMARC rafforza la sicurezza delle e-mail affrontando alcuni dei maggiori rischi che le organizzazioni devono affrontare oggi:

  • Prevenzione dello spoofing e del phishing delle e-mail: Il DMARC verifica che le e-mail provengano veramente dal vostro dominio, bloccando gli aggressori che cercano di impersonarvi. Questo è particolarmente importante in quanto gli attacchi di phishing diventano sempre più convincenti e frequenti.
  • Miglioramento della deliverability delle e-mail: Le e-mail autenticate hanno maggiori probabilità di raggiungere la posta in arrivo (piuttosto che la cartella spam). Il DMARC aiuta i messaggi legittimi a passare i filtri in modo coerente e migliora la deliverability complessiva.
  • Proteggere la reputazione del vostro marchio: Quando gli aggressori utilizzano impropriamente il vostro dominio per il phishing o lo spam, i clienti perdono fiducia. Il DMARC impedisce l'uso non autorizzato del vostro dominio e protegge il vostro marchio dall'essere associato alle frodi.
  • Fornisce informazioni utili: I rapporti DMARC mostrano chi sta inviando posta utilizzando il vostro dominio, quali messaggi non superano l'autenticazione e dove possono esistere problemi di configurazione. Questa visibilità vi aiuta a individuare i mittenti non autorizzati e a risolvere rapidamente i problemi.
  • Soddisfare i requisiti di conformità del settore: L'adozione del DMARC è sempre più legata alle aspettative di conformità di diversi settori, come quello finanziario (PCI-DSS), sanitario (linee guida HIPAA) e persino piattaforme tecnologiche come Google e Yahoo, che ora applicano requisiti più severi per le e-mail non autenticate.

L'implementazione del DMARC offre alle organizzazioni una maggiore sicurezza, un dominio più affidabile e una migliore collocazione nella posta in arrivo per le comunicazioni legittime.

Semplificate il DMARC con PowerDMARC!

Prova di 15 giorniPrenota una demo

Come configurare il DMARC?

La configurazione del DMARC è essenziale perché indica ai server di posta ricevuti come gestire le e-mail inviate dal vostro dominio. Senza una corretta configurazione, anche i messaggi legittimi possono fallire l'autenticazione e gli aggressori possono impersonare più facilmente il vostro dominio.

Ecco i passi da seguire:

1. Configurare SPF e DKIM

Prima di implementare il DMARC, assicuratevi che SPF e DKIM siano configurati correttamente per il vostro dominio e per tutte le fonti di invio legittime:

  • SPF: definisce quali indirizzi IP e server sono autorizzati a inviare e-mail per conto del vostro dominio.
  • DKIM: aggiunge una firma digitale alle vostre e-mail, verificando il mittente e assicurando che il messaggio non sia stato manomesso durante il trasporto.

Questi protocolli costituiscono la base del DMARC. Il DMARC richiede il passaggio e l'allineamento di almeno uno degli SPF o DKIM, anche se l'implementazione di entrambi è fortemente consigliata per una maggiore sicurezza. Assicuratevi di identificare *tutte* le fonti di e-mail legittime (compresi i servizi di terze parti come le piattaforme di marketing o i CRM) e di autorizzarle tramite SPF/DKIM.

2. Creare un record DMARC

Un record DMARC è un record TXT (testo) pubblicato nelle impostazioni DNS (Domain Name System) del vostro dominio. Specifica la politica di autenticazione delle e-mail. Include:

  • Tag obbligatori:
    • v=DMARC1: Indica la versione DMARC (attualmente sempre DMARC1).
    • p=none/quarantine/reject: Definisce il criterio di gestione delle e-mail che non superano i controlli di autenticazione e allineamento DMARC.
  • Tag facoltativi ma consigliati:
    • rua=mailto:[email protected]: Dove vengono inviati i rapporti aggregati.
    • ruf=mailto:[email protected]: Dove vengono inviati i rapporti sui guasti forensi.
    • pct=100: Percentuale di messaggi a cui si applica il criterio.
    • sp=none/quarantine/reject: Politica per i sottodomini.
    • adkim=r/s: Modalità di allineamento DKIM (rilassata o rigida).
    • aspf=r/s: Modalità di allineamento SPF (rilassata o rigorosa).

È possibile utilizzare strumenti online per generare correttamente la sintassi del record DMARC.

3. Selezionare un criterio DMARC

I criteri DMARC indicano ai ricevitori di e-mail come gestire i messaggi che non superano i controlli di autenticazione o di allineamento. Esistono tre tipi di criteri DMARCognuno dei quali offre un diverso livello di applicazione:

  • p=none (modalità di monitoraggio): Non viene intrapresa alcuna azione sui messaggi di posta elettronica non riusciti; vengono inviati dei rapporti che consentono di comprendere le fonti di invio.
  • p=quarantena: I messaggi di posta elettronica non riusciti vengono trattati come sospetti e di solito vengono inseriti nella cartella spam.
  • p=rifiuta: I messaggi di posta elettronica non riusciti vengono bloccati completamente, garantendo la massima protezione.

4. Pubblicare il record DMARC

Una volta creato il record DMARC, pubblicarlo nelle impostazioni DNS come record TXT:

  • Campo Host/Nome: Inserire _dmarc (ad esempio, _dmarc.yourdomain.com).
  • Tipo di record: Selezionare TXT.
  • Campo Valore/Dati: Incollare la stringa del record DMARC (ad esempio, "v=DMARC1; p=none; rua=mailto:[email protected];").
  • TTL (Time to Live): In genere è impostato su 1 ora (3600 secondi) o sul valore predefinito del provider DNS.

In questo modo la vostra politica DMARC è accessibile ai destinatari di e-mail in tutto il mondo.

5. Verifica dell'impostazione DMARC

Dopo aver pubblicato il record, è necessario verificare che tutto sia configurato correttamente. Strumenti come Google Admin Toolbox possono confermare se i record DMARC, SPF e DKIM sono visibili e validi.

Per una convalida più approfondita, Il controllore DMARC di PowerDMARC fornisce un'analisi completa del vostro record DNS, evidenzia gli errori di sintassi e mostra se la vostra politica è applicata correttamente tra i provider di posta. Questo assicura che la vostra configurazione sia accurata, sicura e pronta per il monitoraggio.

6. Abilitazione e monitoraggio della reportistica

Assicuratevi che il vostro record DMARC includa il tag `rua` che punta a una casella di posta elettronica dedicata per ricevere i rapporti aggregati. Questi rapporti, solitamente inviati quotidianamente in formato XML, sono fondamentali per il monitoraggio:

  • Rapporti aggregati (rua): Forniscono una panoramica dei risultati dell'autenticazione delle e-mail da parte di vari destinatari, compresi gli indirizzi IP che inviano posta dichiarando di provenire dal vostro dominio, il conteggio dei passaggi/fallimenti SPF/DKIM e lo stato di allineamento. L'analisi di questi rapporti (spesso con un servizio di analisi DMARC) aiuta a identificare le fonti di invio legittime che necessitano di modifiche alla configurazione e a individuare gli usi non autorizzati.
  • Rapporti forensi (ruf): Offrono informazioni dettagliate (comprese le intestazioni e talvolta frammenti di contenuto) su singoli fallimenti di consegna delle e-mail. A causa di problemi di volume e di privacy, non tutti i destinatari inviano rapporti RUF e la loro elaborazione richiede una gestione attenta.

Esaminare regolarmente i rapporti, soprattutto dopo aver iniziato con `p=none`, per risolvere i problemi di SPF/DKIM/allineamento dei mittenti legittimi prima di passare a `p=quarantena` o `p=rifiuto`. Mantenere i record DNS accurati e aggiornati man mano che le fonti di invio cambiano.

Che aspetto ha il record DMARC?

La struttura di un record DMARC è definita nel DNS (Domain Name System) come un record TXT associato al dominio, in particolare al sottodominio `_dmarc`. Contiene diverse coppie tag-valore separate da punto e virgola, tra cui quelle che specificano la modalità del criterio e le opzioni di segnalazione. Ecco un esempio di come potrebbe apparire un record DMARC:

_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=reject; pct=100; adkim=r; aspf=r;"

In questo esempio:

  • "_dmarc.example.com." specifica il nome host DNS per il record DMARC di "example.com".
  • "IN TXT" indica che il tipo di record è un record di testo.
  • "v=DMARC1" indica che la versione del protocollo DMARC utilizzata è la versione 1. Questo tag è obbligatorio.
  • "p=rifiuto" imposta il criterio DMARC per il dominio principale su "reject". Ciò indica ai server di posta elettronica riceventi di rifiutare le e-mail che non superano i controlli DMARC per example.com. Questo tag è obbligatorio.
  • "rua=mailto:[email protected]" specifica l'indirizzo e-mail come destinazione per ricevere i rapporti aggregati (riepiloghi dei risultati dell'autenticazione). Questo tag è altamente consigliato per il monitoraggio.
  • "ruf=mailto:[email protected]" designa l'indirizzo e-mail come destinazione per ricevere i rapporti forensi (dettagli sui singoli fallimenti). Questo tag è facoltativo.
  • "sp=rifiuto" imposta il criterio dei sottodomini su "reject", assicurando che questo criterio DMARC si applichi rigorosamente anche ai sottodomini (ad esempio, mail.example.com), a meno che non abbiano un proprio record DMARC. Questo tag è facoltativo.
  • "pct=100" indica che il criterio (in questo caso di rifiuto) deve essere applicato al 100% delle e-mail che non superano i controlli DMARC. Opzionale; l'impostazione predefinita è 100.
  • "adkim=r" imposta il requisito di allineamento DKIM su rilassato (sono consentite le corrispondenze di sottodominio). Opzionale; l'impostazione predefinita è rilassata (r).
  • "aspf=r" imposta il requisito di allineamento SPF su rilassato (sono consentite le corrispondenze di sottodominio). Opzionale; l'impostazione predefinita è rilassata (r).

Errori comuni del DMARC e come evitarli

L'implementazione e la gestione del DMARC possono essere complesse e anche gli amministratori più esperti si imbattono in insidie comuni. Questa guida pratica mette in evidenza i problemi reali che possono compromettere l'efficacia della vostra configurazione DMARC.

Comprendere questi errori e come evitarli vi aiuterà a ottenere il massimo dal DMARC e a mantenere sicuro il vostro dominio e-mail.

L'errata configurazione del criterio èuno degli errori più frequenti: l'errata configurazione del criterio DMARC nel record DNS. Ciò può significare l'uso di una sintassi errata, di tag non supportati o la mancanza di tag obbligatori come v= (che specifica la versione DMARC) e p= (che imposta l'azione della policy, come nessuna, quarantena o rifiuto).

I tag di policy errati o mancanti possono causare seri problemi, dall'impossibilità di applicare correttamente le e-mail alla mancata consegna di messaggi legittimi. Assicurarsi che la sintassi dei criteri sia corretta e includa solo i tag supportati è essenziale affinché il DMARC funzioni come previsto.

L'impostazione del DMARC è comune, ma il mancato monitoraggio dei report è il punto in cui molte organizzazioni sbagliano. Abilitare ed esaminare regolarmente gli aggregati DMARC (rua) e forense (ruf) è fondamentale per capire come il vostro dominio viene utilizzato o abusato. Ignorare questi rapporti significa perdere preziose informazioni sui tentativi di autenticazione falliti, sui mittenti non autorizzati e sulle fonti non allineate.

Poiché i rapporti DMARC sono in formato XML, la loro complessità porta spesso a trascurarli. L'utilizzo di strumenti e dashboard di facile utilizzo come Postmark, DMARCian o servizi simili può trasformare questi dati in informazioni utili per rafforzare la sicurezza delle e-mail.

Anchela dimenticanza dell'allineamento SPF/DKIM è un problema comune. È importante ricordare che il DMARC non si limita a configurare SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), ma richiede un allineamento corretto. Ciò significa che il dominio dell'indirizzo "Da" visibile deve corrispondere al dominio autenticato da SPF e/o DKIM. Anche se SPF e DKIM passano singolarmente, DMARC fallisce se i domini non sono allineati correttamente. L'incomprensione o l'omissione dell'allineamento può portare a guasti imprevisti e avere un impatto sulla deliverability delle e-mail.

Passare subito a una politica rigida di p=rifiuto senza un sufficiente monitoraggio senza un sufficiente monitoraggio può ritorcersi contro. Senza raccogliere dati in nessuno o quarantena si rischia di bloccare le e-mail legittime, soprattutto quelle provenienti da servizi di terze parti come CRM (Customer Relationship Management), piattaforme di marketing o strumenti di supporto che potrebbero non essere completamente configurati. È preferibile un approccio graduale: iniziare con p=nessuno per raccogliere segnalazioni, esaminare attentamente e risolvere i problemi, quindi passare a p=quarantenae infine a p=rifiuto quando si è certi che tutti i mittenti legittimi superino l'autenticazione. Questo passaggio graduale garantisce un'applicazione regolare senza interrompere il flusso di e-mail.

Conclusione

Il DMARC è uno dei modi più efficaci per proteggere il vostro dominio da phishing, spoofing e dalla crescente ondata di attacchi generati dall'intelligenza artificiale. Se utilizzato insieme a SPF e DKIM, rafforza la sicurezza delle e-mail, migliora la deliverability e aiuta a capire esattamente chi sta inviando la posta per conto dell'azienda. Con una politica adeguata, le organizzazioni del settore finanziario, sanitario, governativo e di molti altri settori possono mantenere le loro comunicazioni affidabili e sicure.

L'impostazione corretta del DMARC richiede un monitoraggio continuo, controlli di allineamento e un passaggio graduale all'applicazione. PowerDMARC semplifica tutto questo fornendo autenticazione in hosting, report di facile lettura, avvisi in tempo reale e una guida esperta in ogni fase.

I nostri clienti ricevono un supporto dedicato dai nostri esperti DMARC interni per configurare le soluzioni più adatte alle loro esigenze. Contattateci oggi stesso per una prova gratuita del DMARC e iniziate a proteggere il vostro dominio con fiducia.

Domande frequenti (FAQ)

Il DMARC è richiesto dalla legge?

Il DMARC non è obbligatorio per legge nella maggior parte dei Paesi, ma molti settori e organizzazioni lo adottano come best practice per proteggere i propri domini di posta elettronica e i propri clienti da phishing e spoofing.

Il DMARC può fermare tutti gli attacchi di phishing?

Sebbene il DMARC riduca significativamente il phishing bloccando i mittenti non autorizzati, non può fermare tutti gli attacchi. Alcune tattiche di phishing aggirano l'autenticazione delle e-mail, quindi il DMARC dovrebbe essere parte di una strategia di sicurezza più ampia.

Quanto tempo occorre per implementare il DMARC?

I tempi di implementazione variano da poche ore per la configurazione di base a diverse settimane per il monitoraggio completo, la messa a punto dei criteri e l'allineamento con tutte le fonti di posta elettronica. Un'attenta pianificazione e un'applicazione graduale garantiscono il successo.

"`

Ultimi messaggi di Maitham Al Lawati (vedi tutti)
Ultimo aggiornamento:
Che cos'è una politica DMARC? Nessuna, Quarantena e Rifiutopolitica dmarcI 5 migliori strumenti di verifica delle e-mailI 7 migliori strumenti di verifica delle e-mail per una consegna sicura