Cos'è il tag DMARC sp (Subdomain Policy)?

L'attributo DMARC sp è l'abbreviazione di subdomain policy in DMARC. Specifica una politica di sottodominio unanime per tutti i sottodomini di un dominio organizzativo, se definita dal proprietario del dominio. Consente a un dominio di specificare che un diverso criterio DMARC è applicabile ai sottodomini del dominio DNS specificato.

Che cos'è il criterio sp (Subdomain Policy) nel DMARC?

SP (Subdomain Policy) in DMARC si riferisce a un meccanismo che consente ai proprietari di domini di specificare come DMARC debba gestire i messaggi e-mail inviati dai sottodomini. 

Per impostazione predefinita, i criteri DMARC impostati a livello di dominio organizzativo si applicano a tutti i sottodomini. Tuttavia, con il meccanismo SP, i proprietari dei domini possono ignorare il comportamento predefinito e specificare criteri DMARC diversi per i loro sottodomini. Ciò consente un controllo più granulare e una maggiore flessibilità nell'autenticazione e nell'applicazione delle e-mail.

Come funziona l'attributo DMARC sp? 

I sottodomini ereditano i criteri del dominio padre, a meno che non siano esplicitamente annullati da un record di criterio del sottodominio. L'attributo "sp" può annullare questa ereditarietà. Se un sottodominio ha un record DMARC esplicito, questo record avrà la precedenza sulla politica DMARC del dominio padre, anche se il sottodominio utilizza l'impostazione predefinita di p=nessuno. Ad esempio, se una politica DMARC è definita per la priorità "tutti", l'elemento "sp" influenzerà l'elaborazione DMARC sui sottodomini non coperti da alcuna politica specifica.

Per mantenere le cose semplici, si consiglia di omettere l'attributo "sp" dal dominio organizzativo stesso. In questo modo si otterrà un criterio predefinito di ripiego che impedisce lo spoofing sui sottodomini. È importante ricordare che il comportamento dei sottodomini è sempre determinato dalla politica organizzativa prevalente. 

Perché è necessario il tag DMARC Subdomain Policy?

Il tag DMARC sp è necessario quando si desidera configurare un criterio DMARC diverso per i sottodomini, in modo da sovrascrivere il criterio definito per il dominio principale. 

Configurazioni del tag DMARC SP ed effetti sull'autenticazione della vostra e-mail

Caso 1: Politica dei sottodomini a Nessuno 

Se hai il tuo record DMARC come: 

v=DMARC1; p=reject; sp=none; rua=mailto:[email protected];

In questo caso, mentre il vostro dominio principale è protetto contro gli attacchi di spoofing, i vostri sottodomini, anche se non li usate per scambiare informazioni, sarebbero comunque vulnerabili agli attacchi di impersonificazione.

Caso 2: Politica dei sottodomini da rifiutare

Se hai il tuo record DMARC come: 

v=DMARC1; p=nessuno; sp=reject; rua=mailto:[email protected];

In questo caso, mentre non ti stai impegnando in una politica di rifiuto sul dominio principale che usi per inviare le tue email, i tuoi sottodomini inattivi sono ancora protetti contro l'impersonificazione.

Nota: Se si desidera che i criteri del dominio e del sottodominio siano gli stessi, è possibile lasciare il criterio del tag sp vuoto o disattivato durante la creazione di un record e i sottodomini erediteranno automaticamente i criteri applicati al dominio principale.

Semplificate il DMARC con PowerDMARC!

Come abilitare il DMARC sp? 

Per abilitare il tag DMARC sp nel caso in cui si utilizzi il nostro strumento di generazione di record DMARC per la creazione di un record DMARC per il proprio dominio, è necessario attivare manualmente il pulsante del criterio del sottodominio e definire il criterio desiderato.

I vostri prossimi passi

Abilitare il tag sp DMARC e configurarlo in modo appropriato è un passo essenziale per rafforzare la sicurezza delle e-mail. Tuttavia, ci sono alcune misure aggiuntive che potete adottare per migliorare ulteriormente la vostra implementazione del DMARC. Ecco alcuni passi successivi consigliati:

Monitoraggio dei rapporti DMARC

Dopo aver abilitato il tag sp DMARC, è fondamentale monitorare i rapporti rapporti DMARC generati dai ricevitori di e-mail. Questi rapporti forniscono informazioni preziose sullo stato di allineamento e di autenticazione delle e-mail inviate. Analizzando regolarmente questi rapporti, è possibile identificare eventuali anomalie o fonti non autorizzate che tentano di inviare e-mail a nome del vostro dominio. Strumenti come gli analizzatori DMARC o i servizi di reporting possono aiutare a semplificare il processo di monitoraggio.

Passare gradualmente a una politica di "p=rifiuto".

Sebbene il tag DMARC sp migliori la sicurezza dei sottodomini, è importante considerare di passare gradualmente a una politica più rigorosa per il dominio principale. Impostando il tag "p" su "reject", è possibile indicare ai ricevitori di posta elettronica di rifiutare completamente le e-mail non autorizzate provenienti dal proprio dominio. Tuttavia, è consigliabile procedere con cautela e analizzare a fondo l'impatto della modifica della policy per evitare conseguenze indesiderate.

Implementare DKIM e SPF

Per rafforzare l'implementazione del DMARC, assicurarsi che sia il DKIM (DomainKeys Identified Mail) e SPF. SPF (Sender Policy Framework) siano configurati correttamente. L 'implementazione di DKIM aggiunge una firma digitale alle e-mail in uscita, mentre l'implementazione di SPF verifica che il server di invio sia autorizzato a inviare e-mail per conto del vostro dominio. Questi meccanismi, combinati con il DMARC, forniscono un solido quadro di autenticazione che aiuta a mitigare efficacemente gli attacchi di spoofing e phishing.

Revisione e aggiornamento periodico delle politiche DMARC

Con l'evoluzione dell'organizzazione e i cambiamenti dell'ecosistema di posta elettronica, è importante rivedere e aggiornare periodicamente le politiche DMARC. Ciò include la rivalutazione delle impostazioni dei tag sp DMARC per i sottodomini, l'adeguamento della politica generale e la garanzia che tutti i meccanismi di autenticazione delle e-mail siano aggiornati. La revisione regolare delle policy vi aiuterà a mantenere una sicurezza e-mail efficace e adattabile. sicurezza e-mail efficace e adattabile.

Conclusione

Adottando un approccio completo alla sicurezza delle e-mail, è possibile ridurre in modo significativo i rischi associati agli attacchi di spoofing e phishing, salvaguardando la reputazione dell'azienda e proteggendo gli stakeholder.

Dopo aver creato il tuo record DMARC è importante controllare la validità del tuo record usando il nostro strumento di ricerca del record DMARC per assicurarsi che il vostro record sia privo di errori e valido.

Iniziate il vostro viaggio DMARC con PowerDMARC per massimizzare la sicurezza delle e-mail del vostro dominio. Provate oggi stesso il vostro DMARC gratuito!  

• Informazioni su
• Ultimi messaggi

Yunes Tarada

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.

Ultimi messaggi di Yunes Tarada (vedi tutti)

• Certificato di marchio verificato vs certificato di marchio comune: scegliere quello giusto - 10 marzo 2026
• Livello di affidabilità dello spam (SCL) -1 Bypass: cosa significa e come gestirlo - 4 marzo 2026
• "Non supera la verifica DMARC e ha una politica DMARC di rifiuto": cosa significa e come risolverlo - 26 febbraio 2026