DMARC spiegato: come proteggere la tua posta elettronica e aggiungere un record DMARC al DNS

L'affidabilità delle email influenza tutto, dalle comunicazioni con i clienti alle conferme degli ordini. Senza un'autenticazione adeguata, anche le email legittime possono finire nello spam o essere bloccate. DMARC aiuta a proteggere il tuo dominio dallo spoofing, migliorando al contempo la recapitabilità. Fornisce ai server di posta elettronica istruzioni chiare su come gestire i messaggi non recapitati. Configurarlo correttamente è ora essenziale, non facoltativo.

Punti chiave

• DMARC protegge il tuo dominio dallo spoofing e dall'impersonificazione delle email
• Funziona insieme a SPF e DKIM per verificare l'autenticità del mittente
• Un record DMARC risiede nel DNS come record TXT sotto il nome host _dmarc
• Iniziare con una politica di monitoraggio aiuta a evitare problemi di consegna
• Anche i domini che non inviano e-mail dovrebbero pubblicare un record DMARC
• Una corretta configurazione DMARC migliora il posizionamento della posta in arrivo e l'affidabilità delle e-mail

Cos'è DMARC e perché esiste

DMARC è l'acronimo di Domain Based Message Authentication Reporting and Conformance. In parole povere, si tratta di un insieme di istruzioni che indicano ai server di posta elettronica riceventi come gestire le email che dichiarano di provenire dal tuo dominio.

Prima di DMARC, l'autenticazione delle email si basava principalmente su SPF e DKIM. Questi sistemi verificano che il server sia autorizzato a inviare email per il dominio e confermano che il contenuto del messaggio rimanga invariato. Sebbene utili, non indicano ai server riceventi quale azione intraprendere in caso di problemi.

Questa lacuna ha permesso agli aggressori di sfruttare i domini falsificando gli indirizzi dei mittenti. Gli aggressori potevano far apparire email false come provenienti da marchi affidabili inviandole da server non autorizzati. DMARC colma questa lacuna.

DMARC aggiunge chiarezza definendo come i server riceventi gestiscono le email che non superano l'autenticazione. Decide se i server consegnano il messaggio, lo indirizzano allo spam o lo bloccano completamente. Questo rende DMARC un livello fondamentale di attendibilità delle email, piuttosto che una semplice impostazione tecnica.

Come DMARC si inserisce nell'autenticazione e-mail

Pensate a SPF e DKIM come a controlli di identità. DMARC agisce come decisore. Esamina i risultati di tali controlli e applica una policy basata sulle vostre istruzioni. Senza DMARC, i provider di posta elettronica devono indovinare cosa fare con i messaggi sospetti. Con DMARC, seguono le vostre regole.

Come funziona DMARC dietro le quinte

Quando un'e-mail viene inviata, attraversa diversi server prima di raggiungere il destinatario. Durante il percorso, il server ricevente verifica diversi aspetti per verificarne l'autenticità.

Innanzitutto, SPF verifica che il server di invio sia autorizzato a inviare email per il dominio. Successivamente, DKIM verifica che il messaggio sia integro e che sia stato firmato da un mittente autorizzato.

DMARC interviene e valuta l'allineamento . L'allineamento significa che il dominio utilizzato nell'indirizzo mittente corrisponde ai domini verificati da SPF e DKIM. Se l'allineamento fallisce, viene avviata l'applicazione di DMARC.

In base alla policy DMARC, il server ricevente consentirà il messaggio, lo invierà allo spam o lo bloccherà completamente. Questa operazione avviene automaticamente in background, senza alcun intervento dell'utente.

Un semplice esempio concreto di DMARC in azione

Immagina che qualcuno provi a inviare un'email falsa fingendo di essere un addebito per la tua azienda. Cambia l'indirizzo del mittente, ma invia il messaggio da un server non autorizzato. SPF fallisce. DKIM fallisce. DMARC rileva il problema e applica la tua policy. Se la policy viene rifiutata, l'email non raggiungerà mai la posta in arrivo. L'attacco si ferma prima di iniziare.

Che cos'è un record DMARC

Un record DMARC è il luogo in cui risiede la tua policy DMARC. Viene memorizzato come record TXT all'interno del DNS del tuo dominio. Il DNS è essenzialmente il manuale di istruzioni che spiega a Internet come funziona il tuo dominio.

Il record DMARC viene assegnato a un nome specifico, denominato dmarc.tuodominio.com . Questo consente ai server riceventi di trovarlo e leggerlo facilmente.

È importante comprendere che DMARC non è un tipo di record DNS speciale. Si tratta semplicemente di testo memorizzato all'interno di un record TXT. Questo lo rende compatibile con tutti i principali provider DNS.

Informazioni sulle opzioni dei criteri DMARC

Le policy DMARC definiscono cosa succede quando l'autenticazione fallisce. La scelta della policy giusta dipende dal livello di sicurezza della configurazione della posta elettronica.

Nessuna politica

Questa policy indica ai server riceventi di non intraprendere alcuna azione sulle email non recapitate. I messaggi vengono comunque recapitati, ma vengono generati dei report. Questa è la soluzione ideale per il monitoraggio. Permette di vedere chi invia email per conto del tuo dominio senza rischiare problemi di recapito.

Quarantena politica

Questa policy indica ai server di trattare le email non riuscite come sospette. La maggior parte dei provider le invia alla cartella spam. La quarantena viene spesso utilizzata come fase di transizione tra il monitoraggio e l'applicazione completa.

Rifiuto della politica

Questa è l'opzione più restrittiva. Le email che non superano i controlli DMARC vengono rifiutate immediatamente. Non raggiungono mai il destinatario. Questa policy offre la protezione più efficace contro spoofing e impersonificazione una volta verificata la configurazione.

Parti chiave di un record DMARC spiegate

Un record DMARC è composto da tag e valori separati da punto e virgola. Ogni parte svolge un ruolo specifico.

Tag versione v

Indica ai server quale versione di DMARC utilizza il record. Attualmente, è sempre DMARC1.

Etichetta politica p

Definisce l'azione da intraprendere quando l'autenticazione fallisce. I valori validi sono "none", "quarantine" o "reject".

Segnalazione Tag rua

Specifica dove devono essere inviati i report DMARC aggregati. I report vengono solitamente inviati a una casella di posta dedicata o a un servizio di monitoraggio di terze parti.

Tag di allineamento e reporting facoltativi

Tag come adkim e aspf controllano il rigore delle regole di allineamento. Altri come fo e pct regolano il comportamento di reporting e le percentuali di applicazione. Questi sono facoltativi e possono essere aggiunti in seguito, man mano che la configurazione si evolve.

Che cos'è un rapporto DMARC e perché è importante

I report DMARC forniscono visibilità su come il tuo dominio viene utilizzato nella posta elettronica. Mostrano quali server inviano email, come vengono eseguiti i controlli di autenticazione e se i messaggi superano o meno il test DMARC.

Questi report vengono solitamente inviati come file XML e possono sembrare inizialmente complessi. Ecco perché molte aziende utilizzano strumenti di reporting per tradurli in dashboard leggibili.

Rapporti aggregati vs rapporti forensi

I report aggregati forniscono dati riepilogativi nel tempo. I report forensi offrono informazioni dettagliate sui singoli messaggi non riusciti. Entrambi aiutano a identificare configurazioni errate e tentativi di abuso.

Tutti i domini necessitano di un record DMARC?

Sì. Anche i domini che non inviano mai email dovrebbero pubblicare un record DMARC. Senza di esso, gli aggressori possono utilizzare il nome di dominio nelle email di phishing senza incontrare troppa resistenza.

Per i domini non mittenti, una politica di rifiuto garantisce che tutte le email non autorizzate vengano bloccate. Questo protegge l'identità del tuo brand anche se non utilizzi mai la posta elettronica direttamente.

Come creare un record DMARC passo dopo passo

La configurazione di DMARC funziona meglio se eseguita in modo strutturato. Adottare subito una policy rigida senza visibilità può compromettere la consegna legittima delle email. Questi passaggi ti aiutano a creare un record DMARC in modo sicuro e affidabile.

Passaggio 1: verificare se esiste già un record DMARC

Prima di aggiungere qualcosa di nuovo, dovresti verificare se esiste già un record DMARC per il tuo dominio. Un dominio può avere un solo record DMARC. L'aggiunta di un secondo record causerà errori di convalida.

Puoi utilizzare qualsiasi strumento di ricerca DMARC online per verificarlo. Se un record esiste, esaminalo attentamente invece di sostituirlo alla cieca.

Fase 2: Decidi la tua strategia politica

Se è la prima volta che utilizzi DMARC, inizia con un approccio di monitoraggio. Impostando un criterio su "Nessuno" puoi raccogliere report senza influire sulla consegna delle email.

Una volta verificato che le email legittime superano l'autenticazione, è possibile passare alla quarantena e infine al rifiuto. Questo approccio graduale riduce il rischio di bloccare messaggi autentici.

Passaggio 3: scegli un indirizzo email per la segnalazione

I report DMARC vengono inviati all'indirizzo email definito nel tuo record. Questo indirizzo deve essere monitorato attivamente o connesso a un servizio di reporting.

Evita di utilizzare una casella di posta personale. Le segnalazioni possono essere frequenti e tecniche. Molte organizzazioni creano una casella di posta dedicata o si avvalgono di un fornitore di report DMARC di terze parti.

Passaggio 4: preparare il valore del record DMARC

Un record DMARC di base include una versione, una policy e un indirizzo di segnalazione. Questa semplice struttura è sufficiente per avviare il monitoraggio in modo sicuro e aumentare la visibilità.

Come aggiungere un record DMARC al DNS

Una volta che il record DMARC è pronto, il passo successivo è aggiungerlo al DNS del tuo dominio. Le impostazioni DNS sono gestite da chi controlla i record del tuo dominio.

Dove viene gestito il DNS

Il DNS può essere gestito in luoghi diversi a seconda della configurazione del dominio. Tra i luoghi più comuni rientrano il registrar del dominio, il provider di web hosting o una CDN come Cloudflare .

Se non sei sicuro di dove sia gestito il DNS, controlla i nameserver del tuo dominio. Di solito indicano il provider responsabile del DNS.

Aggiunta del record TXT DMARC

All'interno del tuo gestore DNS, crea un nuovo record TXT.

• Il nome del record dovrebbe essere dmarc o dmarc.tuodominio.com a seconda del provider.
• Il campo valore dovrebbe contenere il testo completo della policy DMARC.
• Di solito il TTL può essere lasciato su automatico.

Salvare il record una volta inserito. Le modifiche DNS non hanno effetto immediato, quindi è richiesta pazienza.

Errori di formattazione comuni da evitare

Molti problemi con DMARC sono causati da piccoli errori di formattazione. L'utilizzo del simbolo radice al posto di _dmarc causerà il fallimento del record. Anche l'aggiunta di spazi extra o la mancanza di punti e virgola può compromettere la convalida.

Prima di salvare, controlla attentamente l'ortografia e la struttura.

Quanto tempo impiega DMARC a iniziare a funzionare

DMARC non si attiva istantaneamente. Le modifiche DNS devono propagarsi su Internet. Di solito, questo richiede pochi minuti, ma può richiedere fino a quarantotto ore a seconda del provider.

Durante questo periodo, alcuni server potrebbero vedere il nuovo record mentre altri no. Questo è un comportamento normale e si risolve da solo.

Come verificare se il tuo record DMARC funziona

Dopo la propagazione, è necessario verificare che il record DMARC sia attivo e leggibile. Gli strumenti di ricerca DMARC online possono confermarlo all'istante.

Un record valido mostrerà la policy, l'indirizzo di segnalazione e le impostazioni di allineamento. Se si verificano errori, di solito includono messaggi chiari che spiegano cosa deve essere corretto.

È anche possibile inviare e-mail di prova e rivedere i report DMARC per confermare il corretto comportamento.

Errori DMARC comuni e come risolverli

Anche piccoli errori possono causare il malfunzionamento di DMARC. Comprendere i problemi comuni aiuta a risolverli più velocemente.

Nessun record DMARC trovato

Di solito questo significa che il nome del record non è corretto o che il record non è ancora stato propagato. Conferma il nome host e attendi prima di procedere con la risoluzione dei problemi.

Errori di allineamento DMARC

Si verificano errori di allineamento quando il dominio nell'indirizzo del mittente non corrisponde ai domini SPF o DKIM. Questo accade spesso quando si utilizzano servizi di posta elettronica senza una configurazione adeguata.

Email legittime che finiscono nello spam

Questo accade spesso quando una policy rigorosa viene abilitata troppo presto. Tornare a una policy di monitoraggio durante la revisione dei report può prevenire la perdita di email.

Errore di più record DMARC

È consentito un solo record DMARC per dominio. Rimuovere i duplicati e mantenere un'unica policy consolidata.

DMARC e WordPress Email Deliverability

I siti web WordPress fanno largo uso della posta elettronica. Moduli di contatto, reimpostazioni delle password, conferme d'ordine e notifiche dipendono tutti da un recapito affidabile.

Senza DMARC, le email di WordPress hanno maggiori probabilità di essere segnalate come sospette. Questo è particolarmente vero quando le email vengono inviate utilizzando le impostazioni predefinite del server.

DMARC funziona al meglio se abbinato a una corretta configurazione SMTP e a servizi di invio autenticati. Insieme, migliorano significativamente il posizionamento e l'affidabilità della posta in arrivo.

Considerazioni finali: perché DMARC non è più facoltativo

DMARC non è più solo un aggiornamento di sicurezza. È un requisito fondamentale per l'affidabilità delle email. I provider di posta elettronica se lo aspettano, i clienti vi fanno affidamento e gli aggressori sfruttano attivamente i domini che ne sono privi.

Iniziare con il monitoraggio ti consente di ottenere visibilità senza rischi. L'applicazione graduale di policy più rigorose protegge il tuo brand e migliora la deliverability.

Che il tuo dominio invii email o meno, pubblicare un record DMARC è uno dei passaggi più semplici ed efficaci che puoi adottare per proteggere la tua presenza online.

Domande frequenti su DMARC