Configurazione Policy DMARC: Previeni lo Spoofing Email

Cos'è DMARC e perché ti serve adesso#

DMARC (Domain-based Message Authentication, Reporting, and Conformance) è il livello di enforcement dell'autenticazione email.

SPF e DKIM esistono per prevenire lo spoofing, ma hanno delle lacune. DMARC le riempie:

1. Richiedendo che SPF e DKIM siano allineati (entrambi passano E il dominio mittente corrisponde)
2. Imponendo una policy (rifiutare le email contraffatte)
3. Fornendo reportistica (report giornalieri sui tentativi di autenticazione)

A febbraio 2026: Gmail e Yahoo richiedono DMARC con p=quarantine o p=reject. Le email senza un DMARC adeguato finiscono in spam o vengono rifiutate.

Come DMARC previene lo spoofing#

Senza DMARC:

From: tu@tuaazienda.com
Mail-From: attaccante.com
SPF-From: attaccante.com

L'email passa SPF (autorizzata su attaccante.com) ma sembra provenire da tuaazienda.com. Lo spoofing funziona. ❌

Con DMARC:

DMARC policy: p=reject
From: tu@tuaazienda.com
Mail-From: attaccante.com
Risultato: REJECT (i domini non sono allineati)

L'email viene rifiutata perché il dominio "From" visibile non corrisponde al dominio autenticato. ✅

Formato del record DMARC#

Il record DMARC vive su: _dmarc.tuodominio.com

Formato base:

v=DMARC1; p=none; rua=mailto:admin@tuodominio.com

Cosa significa ogni parte:

• v=DMARC1: versione (sempre questa)
• p=none: policy (none/quarantine/reject)
• rua=mailto:...: dove inviare i report

Policy DMARC spiegate#

Policy	Cosa succede	L'email è	Quando usarla
p=none	Solo monitoraggio	Consegnata	Fase di apprendimento (settimana 1-2)
p=quarantine	Email sospette in spam	Consegnata in spam	Test (settimana 2-4)
p=reject	Email contraffatte bloccate	Rifiutata completamente	Produzione (settimana 4+)

p=none (solo monitoraggio)#

v=DMARC1; p=none; rua=mailto:admin@tuodominio.com; ruf=mailto:forensics@tuodominio.com

Cosa succede:

• Le email contraffatte vengono comunque consegnate
• Ricevi report giornalieri su cosa verrebbe rifiutato
• Usalo per 1-2 settimane mentre verifichi che le email legittime non vengano colpite

Contenuto del report:

• Quante email hanno passato/fallito SPF
• Quante email hanno passato/fallito DKIM
• IP sorgente delle email che falliscono
• Quali servizi sono legittimi e quali sospetti

p=quarantine (policy di quarantena)#

v=DMARC1; p=quarantine; rua=mailto:admin@tuodominio.com

Cosa succede:

• Le email contraffatte vanno nella cartella spam invece che in inbox
• Gli utenti possono comunque vederle (con uno sforzo)
• Ricevi report

Usalo per 1-2 settimane mentre testi che le email legittime continuino ad arrivare.

p=reject (policy rigida)#

v=DMARC1; p=reject; rua=mailto:admin@tuodominio.com

Cosa succede:

• Le email contraffatte vengono rifiutate del tutto
• I destinatari non le vedono mai
• L'attaccante non riceve alcun segnale che lo spoofing è fallito

Usalo in produzione una volta che hai verificato con p=quarantine.

Setup DMARC passo-passo#

Step 1: Verifica che SPF e DKIM funzionino#

DMARC richiede che SPF e DKIM siano configurati per primi.

Verifica entrambi con: Nova Uptime Email Health Checker

Se uno dei due fallisce, configuralo prima di aggiungere DMARC.

Step 2: Crea un indirizzo email per i report#

DMARC invia report giornalieri (potrebbero essere centinaia di email al giorno per domini grandi).

Crea un'email dedicata:

dmarc-reports@tuodominio.com

Oppure usa la tua email admin principale se vuoi i report lì.

Step 3: Pubblica il record DMARC#

Vai dal tuo provider DNS (Cloudflare, Route 53, GoDaddy, ecc.)

Aggiungi un record TXT:

• Nome: _dmarc (esatto)
• Valore: v=DMARC1; p=none; rua=mailto:dmarc-reports@tuodominio.com
• TTL: 3600

Salva e attendi 5-15 minuti per la propagazione DNS.

Step 4: Testa la policy DMARC#

Opzione 1: invia un'email di test

1. Invia un'email dal tuo dominio
2. Controlla negli header dell'email DMARC: PASS o DMARC: FAIL
3. Cerca dmarc-reports@tuodominio.com (potrebbe richiedere 24 ore)

Opzione 2: usa uno strumento di verifica

• Nova Uptime Email Health Checker
• Inserisci il tuo dominio
• Controlla lo stato DMARC

Step 5: Monitora i report per 1-2 settimane#

I report DMARC arrivano giornalmente (o aggregati settimanalmente, a seconda della policy).

Cosa cercare:

• Tutte le tue email legittime stanno passando?
• Email che falliscono in modo inatteso?
• Tentativi di spoofing contro il tuo dominio?

Se tutto passa: passa a p=quarantine

Step 6: Passa a p=quarantine (settimana 3)#

Dopo aver confermato che nessuna email legittima fallisce:

Aggiorna il record TXT DNS:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@tuodominio.com

Monitora di nuovo per 1-2 settimane.

Step 7: Passa a p=reject (settimana 5+)#

Una volta soddisfatto dei risultati di quarantine:

Aggiorna il record TXT DNS:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@tuodominio.com; ruf=mailto:forensics@tuodominio.com

Adesso sei completamente protetto.

Policy DMARC per i sottodomini#

Di default, DMARC si applica solo a tuodominio.com. Se invii da sottodomini come mail.tuodominio.com, ti serve la policy per i sottodomini:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@tuodominio.com; sp=none

• sp=none: i sottodomini sono solo monitorati, non rifiutati
• Oppure imposta sp=quarantine o sp=reject a seconda delle esigenze

Errori DMARC comuni#

Errore 1: SPF/DKIM non allineati#

Esempio:

• From: tu@tuodominio.com
• SPF passa per: mail.tuodominio.com (sottodominio diverso)
• Risultato: DMARC fallisce (non allineato)

Soluzione: usa l'allineamento relaxed in DMARC:

aspf=r; adkim=r

Permette ai sottodomini di passare. (Non consigliato per la sicurezza, ma a volte necessario.)

Errore 2: Non ricevi mai report#

L'indirizzo email in rua= non esiste o le email finiscono in spam.

Soluzione:

• Verifica che l'indirizzo email esista
• Controlla la cartella spam per i report dmarc@tuodominio.com
• Inserisci il mittente del report nella whitelist email

Errore 3: Saltare direttamente a p=reject#

Saltare da p=none a p=reject fa fallire le email legittime.

Soluzione: usa la progressione: p=none → p=quarantine → p=reject in 4-6 settimane.

Errore 4: Non monitorare i cambiamenti#

Aggiungi un nuovo servizio email (Zapier, CRM, ecc.) che invia email, ma dimentichi di aggiornare SPF/DKIM. DMARC le rifiuta.

Soluzione: monitora i report DMARC ogni mese. Aggiungi i nuovi servizi quando vengono integrati nella tua infrastruttura.

Monitorare DMARC#

Settimanalmente:

• Controlla i report DMARC per fallimenti inattesi
• Aggiungi i nuovi servizi di invio a SPF/DKIM secondo necessità

Mensilmente:

• Rivedi i trend dei report
• Identifica eventuali tentativi di spoofing contro il tuo dominio
• Verifica che la policy sia ancora adeguata

Report DMARC: come capirli#

I report DMARC includono:

• Dominio: su quale dominio si riferiscono
• IP sorgente: da dove arrivano le email
• Conteggi pass/fail: tassi di pass/fail di SPF/DKIM
• Policy valutata: cosa accadrebbe a p=reject

Usalo per validare che:

1. I tuoi servizi legittimi stiano passando
2. Nessun IP inatteso stia inviando email
3. I tentativi di spoofing vengano rilevati

Lo stack di autenticazione completo#

SPF: "Il server è autorizzato?" DKIM: "Il messaggio è autentico?" DMARC: "Passano entrambi E il dominio è allineato?"

Tutti e tre insieme = autenticazione email corretta.

Controlla tutti e tre automaticamente: Nova Uptime Email Health Checker. Gratis. 🚀

Riepilogo#

1. Verifica prima che SPF e DKIM funzionino
2. Pubblica DMARC con p=none (settimana 1-2)
3. Passa a p=quarantine (settimana 3-4)
4. Passa a p=reject (settimana 5+)
5. Monitora i report di continuo
6. Aggiorna quando aggiungi nuovi servizi email

DMARC è obbligatorio nel 2026. I tuoi competitor sono già configurati. Non restare indietro.

Domande frequenti#

Come testo il mio record DMARC?#

Usa uno strumento DMARC checker gratuito per validare il tuo record. Verifica la sintassi, controlla le impostazioni di policy, conferma gli indirizzi di reporting e identifica gli errori di configurazione comuni. Puoi anche testarlo inviando un'email e controllando l'header DMARC nel messaggio ricevuto.

Qual è la differenza tra p=quarantine e p=reject?#

Con p=quarantine, le email che falliscono DMARC vengono consegnate nella cartella spam. Con p=reject, vengono bloccate del tutto e mai consegnate. Inizia con quarantine per intercettare i problemi prima di passare a reject per la massima protezione contro lo spoofing.

Mi serve DMARC se ho già SPF e DKIM?#

Sì. SPF e DKIM autenticano l'email ma non dicono ai server riceventi cosa fare quando l'autenticazione fallisce. DMARC fornisce la policy di enforcement e abilita il reporting in modo da poter monitorare i risultati di autenticazione su tutta la tua posta.

DMARC può rompere le mie email?#

Solo se mal configurato. Una policy p=reject applicata prima che tutti i mittenti legittimi siano autenticati bloccherà le tue stesse email. Inizia sempre con p=none, rivedi i report per 2-4 settimane, sistema le lacune di autenticazione e poi aumenta gradualmente l'enforcement.

Letture correlate#

• Setup DMARC: da None a Reject — Implementazione DMARC passo-passo
• Come configurare i record SPF — Setup SPF richiesto da DMARC
• Guida Verifica e Setup DKIM — Configurazione DKIM per l'allineamento DMARC
• Guida all'Email Health Checker — Analisi completa dell'autenticazione email
• DMARC Checker gratuito — Valida il tuo record DMARC all'istante