Il protocollo che unisce SPF e DKIM in una policy unica per proteggere il tuo dominio dallo spoofing e dal phishing.
Se SPF e la lista dei postini autorizzati e DKIM e il sigillo di ceralacca, allora DMARCe il regolamento che dice cosa fare quando qualcosa non torna. E il direttore dell'ufficio postale che prende le decisioni.
DMARC (Domain-based Message Authentication, Reporting and Conformance) e un protocollo che fa tre cose fondamentali: verifica che le email superino i controlli SPF e/o DKIM, dice ai server riceventi cosa fare con le email che falliscono (niente, quarantena o rifiuto), e ti invia report su chi sta usando il tuo dominio per inviare email.
In pratica, DMARC ti da il controllo completo su cosa succede quando qualcuno tenta di impersonare il tuo dominio via email. Senza DMARC, i server di destinazione devono decidere da soli -- e spesso lasciano passare le email fraudolente.
DMARC aggiunge un livello decisionale sopra SPF e DKIM. Ecco il flusso completo:
Il server ricevente riceve un'email dal tuo dominio. Prima di tutto, esegue i controlli SPF e DKIM come di consueto.
DMARC verifica che il dominio nel campo "From" corrisponda al dominio verificato da SPF e/o DKIM. Questo e' l'"allineamento" -- e il passo che impedisce gli attacchi sofisticati dove SPF e DKIM passano ma su domini diversi.
Se l'allineamento fallisce, il server consulta il record DMARC del dominio per sapere cosa fare: none (solo monitoraggio), quarantine (metti in spam) o reject (rifiuta completamente).
Indipendentemente dal risultato, il server ricevente invia report aggregati (RUA) e/o forensi (RUF) all'indirizzo specificato nel record DMARC. Cosi' puoi vedere chi invia email a nome del tuo dominio.
Non blocca nulla. Raccoglie solo i report per capire chi invia email dal tuo dominio. Ideale come primo passo.
Le email che falliscono finiscono in spam. Protegge i destinatari senza rifiutare completamente.
Le email non autenticate vengono rifiutate. Massima protezione. Il livello da raggiungere.
v=DMARC1; p=reject; rua=mailto:dmarc@tuaazienda.it;
ruf=mailto:dmarc-forensic@tuaazienda.it; pct=100Questo record dice: “Rifiuta il 100% delle email che falliscono l'allineamento e inviami i report a questi indirizzi.”
SPF e DKIM da soli non bastano: senza DMARC, i server riceventi non sanno cosa fare con le email che falliscono i controlli. DMARC colma questa lacuna.
I report DMARC ti mostrano tutti i server che inviano email a nome del tuo dominio. Potresti scoprire servizi dimenticati, dipendenti con configurazioni errate o attaccanti attivi.
Dal 2024, Google e Yahoo richiedono DMARC per i mittenti di email massive. Senza, le tue newsletter e comunicazioni commerciali non arriveranno a destinazione.
La direttiva NIS2 richiede misure di autenticazione email per le aziende nei settori critici. DMARC a p=reject e' lo standard di riferimento.
MailSniper, powered by Libraesva, rispetta e applica rigorosamente le policy DMARC dei domini mittenti. Quando ricevi un'email, MailSniper esegue la verifica DMARC completa: controllo SPF, controllo DKIM, verifica dell'allineamento e applicazione della policy pubblicata dal mittente.
Ma MailSniper va oltre il semplice DMARC. Anche se un'email supera tutti i controlli di autenticazione, viene comunque analizzata dall'intelligenza artificiale per rilevare phishing, BEC e contenuti malevoli. Perche un'email puo essere autenticata ma comunque pericolosa -- pensa a un account compromesso che invia email legittime con link malevoli. Usa il nostro tool Verifica DNS per controllare il record DMARC del tuo dominio.