Perché DMARC non funziona? Risolvere il malfunzionamento di DMARC nel 2026
di
Ultimo aggiornamento: Tempo di lettura: 10 min
Il DMARC fail si verifica quando un'e-mail inviata dal vostro dominio non supera i controlli di autenticazione delle e-mail stabiliti dal DMARC. Quando un'e-mail non supera l'autenticazione DMARC, può essere bloccata, con conseguente riduzione della deliverability e danno alla reputazione del mittente.
I malfunzionamenti del DMARC rappresentano una sfida significativa per le aziende che dipendono dalla posta elettronica per le comunicazioni aziendali. Affrontare questi problemi è fondamentale per mantenere una comunicazione continua, proteggere il vostro dominio e garantire che le vostre e-mail raggiungano costantemente i destinatari.
I punti chiave da prendere in considerazione
- I malfunzionamenti del DMARC possono causare problemi significativi per la consegna delle e-mail e la sicurezza del dominio.
- Le cause più comuni dei fallimenti DMARC includono problemi di allineamento con DKIM o SPF, firme non configurate correttamente e fonti di invio non autorizzate.
- Per risolvere i malfunzionamenti del DMARC, iniziate con l'implementazione di una politica DMARC rilassata e garantite l'allineamento SPF e DKIM.
- Il monitoraggio continuo attraverso i rapporti DMARC è essenziale per identificare e correggere i problemi di autenticazione.
- L'utilizzo di strumenti come PowerDMARC può aiutare ad automatizzare il rilevamento delle minacce e a migliorare la sicurezza generale delle e-mail.
Perché il DMARC non funziona? 5 cause comuni
I motivi più comuni per cui il DMARC fallisce possono essere: errori di allineamento, disallineamento della fonte di invio, problemi con la firma DKIM, email inoltrate, ecc. Analizziamoli uno per uno:
1. Fallimenti di allineamento DMARC
Il DMARC utilizza l'allineamento dei domini per autenticare le e-mail. Ciò significa che il DMARC verifica se il dominio menzionato nell'indirizzo From (nell'intestazione visibile) è autentico, confrontandolo con il dominio menzionato nell'intestazione nascosta Return-path (per SPF) e nell'intestazione della firma DKIM (per DKIM). Se una delle due corrispondenze è positiva, l'e-mail passa il DMARC, altrimenti la verifica DMARC fallisce.
Pertanto, se le vostre e-mail non superano il DMARC, può trattarsi di un caso di disallineamento del dominio. In altre parole, gli identificatori SPF e DKIM non sono allineati e l'e-mail sembra essere inviata da una fonte non autorizzata. Questa, tuttavia, è solo una delle ragioni del fallimento del DMARC.
Semplificate la sicurezza con PowerDMARC!
Modalità di allineamento DMARC
Anche la modalità di allineamento del protocollo può portare al fallimento del DMARC. È possibile scegliere tra le seguenti modalità di allineamento per l'autenticazione SPF:
- Rilassato: Significa che se il dominio nell'intestazione Return-path e il dominio nell'intestazione From sono semplicemente una corrispondenza organizzativa, anche in questo caso l'SPF passerà.
- Rigoroso: Significa che solo se il dominio nell'intestazione Return-path e il dominio nell'intestazione From corrispondono esattamente, l'SPF passerà.
Si può scegliere tra le seguenti modalità di allineamento per l'autenticazione DKIM:
- Rilassato: Significa che se il dominio nella firma DKIM e il dominio nell'intestazione From corrispondono semplicemente all'organizzazione, anche il DKIM passerà.
- Rigoroso: Significa che solo se il dominio nella firma DKIM e il dominio nell'intestazione From corrispondono esattamente, il DKIM passa.
Si noti che per le e-mail per passare l'autenticazione DMARC, è necessario allineare SPF o DKIM.
2. La firma DKIM non è impostata
Un caso molto comune in cui il DMARC può fallire è che non sia stata specificata una firma DKIM per il vostro dominio. In questi casi, il vostro provider di servizi di scambio di e-mail assegna una firma DKIM predefinita firma DKIM alle e-mail in uscita che non corrispondono al dominio indicato nell'intestazione From. In questi casi, l'MTA ricevente non riesce ad allineare i due domini e trova una mancata corrispondenza. Ciò comporta il fallimento di DKIM e DMARC per il messaggio.
3. Fonti di invio non aggiunte al DNS
È importante notare che quando si impostare il DMARC per il proprio dominio con SPF, gli MTA riceventi eseguono query DNS per autorizzare le fonti di invio. Ciò significa che, a meno che tutte le fonti di invio autorizzate non siano elencate nel DNS del vostro dominio, le vostre e-mail non supereranno l'SPF e quindi il DMARC per le fonti non elencate, poiché il destinatario non sarà in grado di trovarle nel vostro DNS.
Pertanto, per garantire che le vostre e-mail legittime vengano sempre recapitate, assicuratevi di inserire nel vostro record DNS SPF tutte le voci relative ai fornitori di e-mail di terze parti autorizzati a inviare e-mail per conto del vostro dominio.
4. Posta elettronica inoltrata tramite server intermediari
In un tipico scenario di inoltro di e-mail, tra due server principali comunicanti sono coinvolti altri server. Si tratta dei cosiddetti server intermedi. L'e-mail può passare attraverso uno o più di questi server intermedi prima di essere consegnata al server di destinazione principale o al server del destinatario. Il controllo SPF fallisce perché l'indirizzo IP del server intermedio non corrisponde a quello del server di invio e questo nuovo indirizzo IP non è solitamente incluso nel record SPF del server originale.
Fortunatamente, l'inoltro delle e-mail di solito non ha alcun impatto sui risultati dell'autenticazione DKIM. In alcuni rari casi, il server intermediario può apportare alcune modifiche al contenuto, come l'aggiunta o l'alterazione dei piè di pagina dei messaggi, che possono portare a un errore. Tali scenari, tuttavia, non sono così comuni.
Per risolvere questo problema, è necessario optare immediatamente per la piena conformità DMARC nella propria organizzazione, allineando e autenticando tutti i messaggi in uscita sia con SPF che con DKIM. Il DMARC è valido per il messaggio se SPF o DKIM sono validi per l'e-mail.
Leggete il link correlato: Inoltro di e-mail e DMARC
5. Il vostro dominio è oggetto di spoofing
Se tutto va bene dal punto di vista dell'implementazione, è possibile che le vostre e-mail non riescano a superare il DMARC a causa di un attacco di spoofing. Si tratta di un attacco in cui gli imitatori e gli attori delle minacce cercano di inviare e-mail che sembrano provenire dal vostro dominio utilizzando un indirizzo IP dannoso.
Recenti statistiche sulle frodi via e-mail hanno concluso che i casi di spoofing delle e-mail sono in aumento e rappresentano una grave minaccia per la reputazione della vostra organizzazione. In questi casi, se il DMARC è implementato su un criterio di rifiuto, fallirà e l'email spoofata non verrà consegnata alla casella di posta del destinatario. Lo spoofing del dominio può quindi essere la risposta al fallimento del DMARC nella maggior parte dei casi.
Risolvete i guasti DMARC come un professionista con PowerDMARC!
Come risolvere il fallimento del DMARC in 5 Passi ?
Per risolvere il problema del DMARC, vi consigliamo di registrarvi con il nostro Analizzatore DMARC e di iniziare il vostro viaggio nella segnalazione e nel monitoraggio del DMARC.
Passo 1: iniziare con un criterio DMARC rilassato (p=nessuno)
Con un criterio non vincolante, è possibile iniziare a monitorare il proprio dominio con Rapporti aggregati DMARC (RUA) e tenere sotto controllo le vostre e-mail in entrata e in uscita, in modo da poter rispondere a qualsiasi problema di consegna indesiderata. Ciò consentirà ai messaggi di raggiungere i destinatari anche se il DMARC non funziona. Tuttavia, questo vi rende vulnerabili agli attacchi di phishing e spoofing.
Passo 2: garantire un corretto allineamento SPF e DKIM
Controllate i vostri record DNS per verificare la presenza di eventuali errori e combinate le vostre implementazioni DMARC con DKIM e SPF per ottenere la massima sicurezza e ridurre il rischio di falsi negativi.
È possibile utilizzare un programma gratuito di DMARC checker per trovare errori nella sintassi DMARC o nella formazione dei record DNS. Questi possono includere spazi extra, errori di ortografia, ecc.
Utilizzare l'allineamento SPF e DKIM
L'utilizzo congiunto di DKIM e SPF fornisce un approccio stratificato all'autenticazione delle e-mail. DKIM verifica l'integrità del messaggio, assicurando che non sia stato manomesso, mentre SPF verifica l'identità del server di invio. Insieme, contribuiscono a stabilire la fiducia nella fonte dell'e-mail, riducendo il rischio di spoofing, phishing e attività e-mail non autorizzate.
Fase 3: rafforzare la difesa con l'applicazione della legge
In seguito, vi aiutiamo a passare a una politica applicata che, in ultima analisi, vi aiuterà a ottenere l'immunità contro gli attacchi di phishing e spoofing dei domini.
Fase 4: Protezione con il rilevamento delle minacce guidato dall'intelligenza artificiale
Eliminare gli indirizzi IP dannosi e segnalarli direttamente dalla piattaforma PowerDMARC per eludere futuri attacchi di impersonificazione, con l'aiuto del nostro motore di Threat Intelligence.
Fase 5: Ottimizzazione continua con i report forensi
Abilitare i rapporti forensi DMARC (RUF) per ottenere informazioni dettagliate sui casi in cui le vostre e-mail non hanno superato il DMARC, in modo da poter arrivare alla radice del problema e risolverlo più rapidamente.
Perché il DMARC fallisce per i provider di caselle di posta elettronica di terze parti?
Se stai usando fornitori di caselle di posta esterni per inviare e-mail per tuo conto, devi abilitare DMARC, SPF e/o DKIM per loro. Puoi farlo contattandoli e chiedendo loro di gestire l'implementazione per te, oppure puoi prendere in mano la situazione e attivare manualmente i protocolli. Per farlo è necessario avere accesso al portale del tuo account ospitato su ciascuna di queste piattaforme (come amministratore).
La mancata attivazione di questi protocolli per il provider esterno di caselle di posta elettronica può causare il fallimento del DMARC.
In caso di fallimento del DMARC per i vostri messaggi Gmail, passate al record SPF del vostro dominio e verificate se avete inserito _spf.google.com in esso. In caso contrario, questo potrebbe essere il motivo per cui i server di ricezione non riescono a identificare Gmail come fonte di invio autorizzata. Lo stesso vale per le e-mail inviate da MailChimp, SendGrid e altri.
Come si presenta il fallimento del DMARC per i più diffusi provider di posta elettronica
Quando un'e-mail non supera i controlli DMARC, i principali provider di posta elettronica restituiscono messaggi di rifiuto specifici che indicano questo fallimento. Questi messaggi di rifiuto indicano in genere un problema di autenticazione delle e-mail e chiariscono che la politica DMARC del mittente è stata violata. Ecco come si manifesta questo problema sulle diverse piattaforme di posta elettronica:
- Gmail: Un controllo DMARC fallito per un'e-mail inviata a una casella di posta Gmail può comportare un messaggio di rifiuto che riporta "550-5.7.26 Questa e-mail è stata bloccata perché il mittente non è autenticato". Il messaggio può includere un riferimento per visitare la pagina di supporto di Google per ulteriori informazioni sui problemi DMARC.
- Prospettive: Se un messaggio di posta elettronica non supera la verifica DMARC in Outlook, è possibile che venga visualizzata una risposta che indica il rifiuto della consegna perché il dominio di invio non supera la verifica DMARC, con un criterio impostato su Rifiuta. In queste risposte potrebbe essere incluso un identificatore univoco per facilitare la risoluzione dei problemi.
- Yahoo: In caso di non conformità al DMARC, il messaggio di Yahoo può segnalare che l'e-mail non è stata accettata per motivi di policy. Di solito fornisce un link a risorse aggiuntive o a codici di errore per ulteriori dettagli.
Questi messaggi, pur variando nella formulazione, evidenziano universalmente un disallineamento tra la configurazione della posta elettronica del dominio e la sua politica DMARC. Per risolvere questi problemi è necessario modificare le impostazioni del servizio di posta elettronica.
Come rilevare se i messaggi non superano il DMARC?
Il fallimento del DMARC per i messaggi può essere rilevato facilmente se si è abilitato il reporting per i rapporti DMARC. Rapporti DMARC. In alternativa, è possibile effettuare un'analisi dell'intestazione delle e-mail o utilizzare la ricerca nei log di Gmail. Vediamo come:
1. Abilitare la segnalazione DMARC per i propri domini
Per rilevare il fallimento del DMARC, utilizzate questa comoda funzione offerta dal vostro protocollo DMARC. Potete ricevere dagli ESP rapporti contenenti i vostri dati DMARC semplicemente definendo un tag "rua" nel vostro record DNS DMARC. La sintassi potrebbe essere la seguente:
v=DMARC1; ptc=100; p=reject; rua=mailto:[email protected];
Il tag rua deve contenere l'indirizzo e-mail sul quale si desidera ricevere i rapporti.
PowerDMARC fornisce report semplificati e di facile lettura che consentono di individuare facilmente i problemi DMARC e di risolverli più rapidamente:
2. Analizzare le intestazioni delle e-mail manualmente o utilizzare strumenti di analisi.
Il fallimento del DMARC può essere rilevato anche analizzando le intestazioni delle e-mail.
a. Metodo manuale
È possibile analizzare le intestazioni manualmente, come mostrato di seguito
Se si utilizza Gmail per inviare e-mail, è possibile fare clic su un messaggio, fare clic su "altro" (i 3 punti nell'angolo in alto a destra) e quindi su "mostra originale":
Ora è possibile controllare i risultati dell'autenticazione DMARC:
b. Strumenti di analisi automatizzati
L'analizzatore di intestazioni e-mail di PowerDMARC analizzatore di intestazioni e-mail è uno strumento eccellente per il rilevamento istantaneo degli errori di DMARC e per mitigare il problema del DMARC fail.
Con noi avrete un'analisi completa dello stato del DMARC per le vostre e-mail, degli allineamenti e di altri adempimenti, come mostrato di seguito:
3. Utilizzare la ricerca nel registro e-mail di Google
È possibile trovare ulteriori informazioni su un particolare messaggio che non rispetta il DMARC utilizzando la ricerca nei registri di posta elettronica di Google. In questo modo si scoprono i dettagli del messaggio, i dettagli del messaggio successivo alla consegna e i dettagli del destinatario. I risultati sono presentati in formato tabellare come mostrato di seguito:
Risolvere il fallimento di DMARC con PowerDMARC
PowerDMARC attenua i malfunzionamenti del DMARC offrendo una serie di caratteristiche e funzionalità complete. In primo luogo, assiste le organizzazioni nella corretta implementazione del DMARC fornendo una guida passo-passo e strumenti di automazione. Questo assicura che i record DMARC, l'autenticazione SPF e DKIM siano configurati correttamente, aumentando le possibilità di successo dell'implementazione del DMARC.
Una volta che il DMARC è stato implementato, PowerDMARC monitora costantemente il traffico e-mail e genera report e avvisi in tempo reale per i guasti DMARC. Questa visibilità consente alle aziende di identificare rapidamente i problemi di autenticazione, come i fallimenti SPF o DKIM, e di intraprendere azioni correttive.
Oltre al monitoraggio, PowerDMARC integra funzionalità di AI threat intelligence. Sfrutta i feed globali delle minacce per identificare e analizzare le fonti degli attacchi di phishing e dei tentativi di spoofing. Fornendo approfondimenti sull'attività sospetta delle e-mail, le organizzazioni possono identificare in modo proattivo le potenziali minacce e adottare le misure necessarie per ridurre i rischi.
Contattateci per iniziare!
Conclusione: Promuovere la sicurezza delle e-mail nel modo corretto
Adottando un approccio a più livelli alla sicurezza delle e-mail, le organizzazioni e i privati possono migliorare significativamente le loro difese contro le minacce informatiche in continua evoluzione. Ciò include l'implementazione di solidi meccanismi di autenticazione, l'impiego di tecnologie di crittografia, l'educazione degli utenti sugli attacchi di phishing e l'aggiornamento regolare dei protocolli di sicurezza.
Inoltre, l'integrazione di strumenti di intelligenza artificiale per migliorare le pratiche di sicurezza della vostra e-mail è il modo migliore per rimanere al passo con gli attacchi sofisticati organizzati dai criminali informatici.
Per prevenire il fallimento del DMARC e risolvere facilmente gli errori DMARC, iscrivetevi per entrare in contatto con il team di esperti DMARC di PowerDMARC!
Processo di revisione dei contenuti e di verifica dei fatti
Questo articolo è stato redatto da un esperto di sicurezza informatica. I metodi e le pratiche presentati in questo articolo sono strategie reali che abbiamo implementato per i nostri clienti e che li hanno aiutati a superare il fallimento del DMARC. Se questi metodi non funzionano per voi, contattateci per avere una guida gratuita da parte di un esperto DMARC.
Esperto di sicurezza informatica, CEO di PowerDMARC
Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.
Ultimi messaggi di Maitham Al Lawati (vedi tutti)
