Redazione MailSniper
Autore
Ogni giorno qualcuno potrebbe inviare email spacciandosi per la tua azienda. Clienti, fornitori, colleghi — chiunque potrebbe ricevere un messaggio che sembra arrivare dal tuo dominio, ma in realta' e' un tentativo di truffa. Succede piu' spesso di quanto pensi.
DMARC (Domain-based Message Authentication, Reporting and Conformance) e' il protocollo che risolve questo problema. Dice ai server di posta di tutto il mondo: "Ecco come verificare che un'email dal mio dominio sia autentica. Se non lo e', ecco cosa fare."
Senza DMARC, chiunque puo' falsificare il campo "From" di un'email e far credere che arrivi dalla tua azienda. Con DMARC, hai il controllo.
DMARC funziona sopra due protocolli che devi gia' avere configurato:
Se non hai ancora SPF e DKIM, fermati qui e configurali prima. Puoi verificare lo stato attuale del tuo dominio con il nostro strumento di verifica DNS gratuito.
La prima regola di DMARC: non iniziare mai con il blocco. Parti dal monitoraggio.
Crea un record DNS di tipo TXT con questo contenuto:
_dmarc.tuodominio.it TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@tuodominio.it; ruf=mailto:dmarc-forensic@tuodominio.it; pct=100"Cosa significa ogni campo:
Con p=none non blocchi nulla. Stai solo dicendo: "Mandami un report su chi invia email dal mio dominio e se passano SPF/DKIM".
Almeno 2-4 settimane. Durante questo periodo:
Questo passaggio e' fondamentale. Se salti il monitoraggio e vai diretto al blocco, rischi di bloccare le tue stesse email.
Dopo aver verificato che tutti i servizi legittimi passano l'autenticazione, passa alla quarantena. Ma fallo gradualmente.
_dmarc.tuodominio.it TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@tuodominio.it; ruf=mailto:dmarc-forensic@tuodominio.it; pct=25"Con p=quarantine; pct=25 stai dicendo: "Il 25% delle email che falliscono DMARC va messo in spam. Il resto trattalo come prima."
Mantieni questa configurazione per 1-2 settimane e controlla i report. Se non ci sono problemi (nessuna email legittima finita in spam), passa al 50%.
Aumenta gradualmente la percentuale:
pct=50 → attendi 1 settimana → controlla report
pct=75 → attendi 1 settimana → controlla report
pct=100 → attendi 1-2 settimaneOgni volta che aumenti, verifica che nessun servizio legittimo sia finito in quarantena. Se trovi problemi, torna indietro, correggi SPF/DKIM per quel servizio, e riprova.
Quando sei sicuro che tutto funziona con p=quarantine; pct=100, e' il momento di passare a reject.
_dmarc.tuodominio.it TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@tuodominio.it; ruf=mailto:dmarc-forensic@tuodominio.it; pct=100"Con p=reject il messaggio e' chiaro: "Se un'email non passa DMARC, rifiutala. Non consegnarla, non metterla in spam. Rifiutala e basta."
Questo e' il livello massimo di protezione. Le email fraudolente dal tuo dominio vengono bloccate prima ancora di arrivare nella casella del destinatario.
E' l'errore piu' frequente. Aziende che configurano DMARC con reject senza il periodo di monitoraggio, e poi scoprono che le email del CRM, della newsletter o del sistema di fatturazione finiscono nel vuoto. Risultato: clienti che non ricevono fatture, conferme d'ordine perse, caos.
Hai il CRM che invia email? Il sistema di ticketing? La piattaforma di email marketing? Il gestionale? Ognuno di questi deve essere incluso nel record SPF o deve firmare con DKIM. Se ne dimentichi uno, le sue email verranno bloccate quando attivi reject.
I report DMARC esistono per un motivo. Se non li leggi, stai configurando alla cieca. Esistono servizi gratuiti e a pagamento che rendono i report XML leggibili in dashboard grafiche.
SPF ha un limite di 10 lookup DNS. Se includi troppi servizi, il record SPF diventa invalido e DMARC fallisce. Usa il nostro verificatore DNS per controllare quanti lookup usa il tuo SPF.
I report aggregati (rua) arrivano come file XML, di solito compressi in .zip o .gz. Contengono:
Analizzando questi dati, puoi scoprire se qualcuno sta abusando del tuo dominio, e anche verificare che tutti i tuoi servizi legittimi funzionino correttamente.
DMARC protegge il tuo dominio in uscita — impedisce che altri si spaccino per te. Ma chi protegge la tua casella in entrata?
Qui entra in gioco MailSniper. Mentre DMARC verifica l'autenticita' del mittente, MailSniper analizza il contenuto, i link, gli allegati e il comportamento di ogni email con intelligenza artificiale.
Insieme, DMARC e MailSniper creano una difesa completa:
Prima di considerare completata la configurazione DMARC, verifica:
Se hai dubbi sulla configurazione o vuoi un supporto professionale, contattaci. Ti aiutiamo a configurare DMARC nel modo giusto, senza rischiare di bloccare le tue email legittime.
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl GDPR impone obblighi specifici sulla sicurezza delle comunicazioni email. Ecco cosa devono sapere le aziende italiane per essere conformi e protette.
LeggiIl social engineering ha aggirato l'autenticazione a due fattori di Odido, esponendo milioni di clienti. Un caso che insegna alle PMI italiane quanto vale davvero il fattore umano nella sicurezza aziendale.
LeggiRimborsi falsi, cartelle esattoriali urgenti, PEC compromesse: le truffe via email che sfruttano il nome dell'Agenzia delle Entrate sono sempre piu' sofisticate. Ecco i 5 tipi piu' comuni nel 2026, i 7 segnali per riconoscerle e cosa fare per proteggerti.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.