Perche' DMARC e' Essenziale per la Tua Azienda
Ogni giorno qualcuno potrebbe inviare email spacciandosi per la tua azienda. Clienti, fornitori, colleghi — chiunque potrebbe ricevere un messaggio che sembra arrivare dal tuo dominio, ma in realta' e' un tentativo di truffa. Succede piu' spesso di quanto pensi.
DMARC (Domain-based Message Authentication, Reporting and Conformance) e' il protocollo che risolve questo problema. Dice ai server di posta di tutto il mondo: "Ecco come verificare che un'email dal mio dominio sia autentica. Se non lo e', ecco cosa fare."
Senza DMARC, chiunque puo' falsificare il campo "From" di un'email e far credere che arrivi dalla tua azienda. Con DMARC, hai il controllo.
Prima di Iniziare: SPF e DKIM
DMARC funziona sopra due protocolli che devi gia' avere configurato:
- SPF (Sender Policy Framework): un record DNS che elenca quali server sono autorizzati a inviare email per il tuo dominio
- DKIM (DomainKeys Identified Mail): una firma crittografica che dimostra che l'email non e' stata modificata durante il transito
Se non hai ancora SPF e DKIM, fermati qui e configurali prima. Puoi verificare lo stato attuale del tuo dominio con il nostro strumento di verifica DNS gratuito.
Fase 1: Monitoraggio con p=none
La prima regola di DMARC: non iniziare mai con il blocco. Parti dal monitoraggio.
Crea un record DNS di tipo TXT con questo contenuto:
_dmarc.tuodominio.it TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@tuodominio.it; ruf=mailto:dmarc-forensic@tuodominio.it; pct=100"
Cosa significa ogni campo:
- v=DMARC1 — versione del protocollo (obbligatorio)
- p=none — policy: non fare nulla, solo monitorare
- rua — indirizzo dove ricevere i report aggregati (statistiche giornaliere)
- ruf — indirizzo per i report forensic (dettagli su singole email fallite)
- pct=100 — applica la policy al 100% delle email
Con p=none non blocchi nulla. Stai solo dicendo: "Mandami un report su chi invia email dal mio dominio e se passano SPF/DKIM".
Quanto Tempo Restare in Monitoraggio?
Almeno 2-4 settimane. Durante questo periodo:
- Raccogli i report aggregati (arrivano in formato XML)
- Identifica tutti i servizi legittimi che inviano email per il tuo dominio (CRM, newsletter, ticketing, fatturazione)
- Assicurati che ognuno di questi servizi passi SPF o DKIM
- Correggi le configurazioni dove necessario
Questo passaggio e' fondamentale. Se salti il monitoraggio e vai diretto al blocco, rischi di bloccare le tue stesse email.
Fase 2: Quarantena Graduale
Dopo aver verificato che tutti i servizi legittimi passano l'autenticazione, passa alla quarantena. Ma fallo gradualmente.
Step 2a: Quarantena al 25%
_dmarc.tuodominio.it TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@tuodominio.it; ruf=mailto:dmarc-forensic@tuodominio.it; pct=25"
Con p=quarantine; pct=25 stai dicendo: "Il 25% delle email che falliscono DMARC va messo in spam. Il resto trattalo come prima."
Mantieni questa configurazione per 1-2 settimane e controlla i report. Se non ci sono problemi (nessuna email legittima finita in spam), passa al 50%.
Step 2b: Quarantena al 50%, poi 75%, poi 100%
Aumenta gradualmente la percentuale:
pct=50 → attendi 1 settimana → controlla report
pct=75 → attendi 1 settimana → controlla report
pct=100 → attendi 1-2 settimane
Ogni volta che aumenti, verifica che nessun servizio legittimo sia finito in quarantena. Se trovi problemi, torna indietro, correggi SPF/DKIM per quel servizio, e riprova.
Fase 3: Reject — La Protezione Completa
Quando sei sicuro che tutto funziona con p=quarantine; pct=100, e' il momento di passare a reject.
_dmarc.tuodominio.it TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@tuodominio.it; ruf=mailto:dmarc-forensic@tuodominio.it; pct=100"
Con p=reject il messaggio e' chiaro: "Se un'email non passa DMARC, rifiutala. Non consegnarla, non metterla in spam. Rifiutala e basta."
Questo e' il livello massimo di protezione. Le email fraudolente dal tuo dominio vengono bloccate prima ancora di arrivare nella casella del destinatario.
Errori Comuni da Evitare
1. Partire Direttamente con p=reject
E' l'errore piu' frequente. Aziende che configurano DMARC con reject senza il periodo di monitoraggio, e poi scoprono che le email del CRM, della newsletter o del sistema di fatturazione finiscono nel vuoto. Risultato: clienti che non ricevono fatture, conferme d'ordine perse, caos.
2. Dimenticare un Servizio di Invio
Hai il CRM che invia email? Il sistema di ticketing? La piattaforma di email marketing? Il gestionale? Ognuno di questi deve essere incluso nel record SPF o deve firmare con DKIM. Se ne dimentichi uno, le sue email verranno bloccate quando attivi reject.
3. Non Leggere i Report
I report DMARC esistono per un motivo. Se non li leggi, stai configurando alla cieca. Esistono servizi gratuiti e a pagamento che rendono i report XML leggibili in dashboard grafiche.
4. Record SPF con Troppi Lookup
SPF ha un limite di 10 lookup DNS. Se includi troppi servizi, il record SPF diventa invalido e DMARC fallisce. Usa il nostro verificatore DNS per controllare quanti lookup usa il tuo SPF.
Come Leggere i Report DMARC
I report aggregati (rua) arrivano come file XML, di solito compressi in .zip o .gz. Contengono:
- Dominio sorgente: chi ha inviato email dal tuo dominio
- IP sorgente: da quale indirizzo IP
- Risultato SPF: pass, fail, o neutral
- Risultato DKIM: pass o fail
- Risultato DMARC: pass o fail
- Azione applicata: none, quarantine, o reject
- Volume: quante email per ogni combinazione
Analizzando questi dati, puoi scoprire se qualcuno sta abusando del tuo dominio, e anche verificare che tutti i tuoi servizi legittimi funzionino correttamente.
DMARC e MailSniper: Protezione a Due Livelli
DMARC protegge il tuo dominio in uscita — impedisce che altri si spaccino per te. Ma chi protegge la tua casella in entrata?
Qui entra in gioco MailSniper. Mentre DMARC verifica l'autenticita' del mittente, MailSniper analizza il contenuto, i link, gli allegati e il comportamento di ogni email con intelligenza artificiale.
Insieme, DMARC e MailSniper creano una difesa completa:
- DMARC: blocca le email che fingono di essere te
- MailSniper: blocca le email pericolose che arrivano a te
Checklist Finale
Prima di considerare completata la configurazione DMARC, verifica:
- [ ] SPF configurato e funzionante (max 10 lookup)
- [ ] DKIM attivo su tutti i servizi di invio
- [ ] DMARC in monitoraggio per almeno 2 settimane
- [ ] Tutti i servizi legittimi identificati nei report
- [ ] Quarantena testata al 25%, 50%, 75%, 100%
- [ ] Reject attivato con pct=100
- [ ] Report regolarmente monitorati
- ] [Verifica DNS superata senza errori
Se hai dubbi sulla configurazione o vuoi un supporto professionale, contattaci. Ti aiutiamo a configurare DMARC nel modo giusto, senza rischiare di bloccare le tue email legittime.