Cos’è DMARC e perché ogni dominio aziendale ne ha bisogno oggi

by Domenico Tricarico
on Maggio 12, 2026
image_pdfimage_print

DMARC: la risposta definitiva al domain spoofing

Se lavori in ambito IT o gestisci la comunicazione digitale di un’azienda, probabilmente hai già sentito parlare di DMARC. Ma quante volte, nella pratica, lo vedi davvero configurato correttamente?

Con oltre 25 anni di esperienza nel settore della sicurezza informatica, posso dirlo senza mezzi termini: DMARC è uno degli strumenti di protezione del canale email più efficaci disponibili oggi, ed è ancora drammaticamente sottoutilizzato. Questo articolo spiega cos’è, come funziona e perché la sua assenza rappresenta un rischio concreto per qualsiasi organizzazione, dalle PMI alle Pubbliche Amministrazioni.

Cos’è DMARC?

DMARC (acronimo di Domain-based Message Authentication, Reporting and Conformance) è uno standard tecnico per l’autenticazione della posta elettronica, definito nell’RFC 7489 e supportato da tutti i principali gateway email moderni.

In termini semplici: DMARC permette al titolare di un dominio di stabilire, in modo inequivocabile, quali server sono autorizzati a inviare email a suo nome e come i server destinatari devono comportarsi quando arriva un messaggio non autorizzato.

Il problema che risolve ha un nome preciso: domain spoofing, ovvero l’uso fraudolento del tuo dominio da parte di attori malevoli per inviare email di phishing, malware o truffe BEC (Business Email Compromise, frodi che si fingono comunicazioni ufficiali dell’azienda).

In breve: DMARC dice al mondo “queste sono le email legittime del mio dominio. Tutto il resto, bloccatelo.”

Perché DMARC è diventato indispensabile

Phishing, BEC e frodi via email sono in costante crescita. Secondo le statistiche più recenti del settore, la grande maggioranza degli attacchi informatici alle aziende inizia ancora da una email. Il tuo dominio, senza DMARC, può essere usato da chiunque per inviare messaggi che ai tuoi clienti, fornitori e partner sembrano provenire da te.

Le conseguenze sono dirette e misurabili:

  • Danno reputazionale: i tuoi contatti ricevono email fraudolente apparentemente firmate da te
  • Danno economico: le truffe BEC prendono di mira dipendenti, fornitori e clienti usando il tuo nome
  • Danno operativo: i provider email iniziano a considerare il tuo dominio inaffidabile, penalizzando anche la posta legittima

DMARC non è un’opzione accessoria. È una misura di sicurezza di base, ormai attesa da qualsiasi organizzazione strutturata.

Come funziona DMARC: il ruolo di SPF e DKIM

Per capire DMARC è necessario conoscere i due standard su cui si appoggia.

SPF (Sender Policy Framework)

SPF è un record DNS che elenca esplicitamente quali indirizzi IP sono autorizzati a inviare email per un determinato dominio. È, in sostanza, una lista bianca di mittenti legittimi pubblicata nel DNS.

DKIM (DomainKeys Identified Mail)

DKIM aggiunge una firma crittografica a ogni messaggio email. La chiave pubblica per verificare la firma è anch’essa pubblicata nel DNS del dominio. In questo modo, il server destinatario può verificare che il messaggio non sia stato alterato e provenga effettivamente dall’infrastruttura dichiarata.

Il ruolo specifico di DMARC

SPF e DKIM fanno ciascuno la propria parte, ma da soli non bastano. DMARC introduce un elemento cruciale: il concetto di allineamento.

Allineamento significa che il dominio visibile nel campo From: dell’email (quello che l’utente legge) deve corrispondere ai domini usati nei controlli SPF e DKIM. Senza questo controllo, un attaccante può superare SPF e DKIM pur mostrando all’utente un mittente del tutto falso.

Inoltre, DMARC fornisce istruzioni precise su cosa fare con i messaggi che non superano i controlli: ignorarli, metterli in quarantena, o rifiutarli del tutto. E invia report al titolare del dominio, trasformandosi in un vero strumento di monitoraggio.

Come si implementa DMARC: il record DNS

L’implementazione parte dalla pubblicazione di un record TXT nel DNS del dominio, nel formato:

_dmarc.dominio.it  IN  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@dominio.it; ruf=mailto:dmarc-forensics@dominio.it; pct=100"

I parametri principali hanno questo significato:

Parametro Significato
v=DMARC1 Versione del protocollo (obbligatorio)
p= Policy: none, quarantine o reject
rua= Indirizzo per i report aggregati (statistiche giornaliere)
ruf= Indirizzo per i report forensi (dettaglio dei singoli fallimenti)
pct= Percentuale di traffico su cui applicare la policy

Le tre policy DMARC: come scegliere quella giusta

DMARC prevede tre livelli di enforcement. La scelta non è definitiva: si segue un percorso progressivo.

1. p=none — Fase di monitoraggio

Nessun messaggio viene bloccato o messo in quarantena. Si raccolgono soltanto dati. Questa è la fase di avvio obbligatoria: senza una mappatura completa dei flussi email legittimi, passare subito a policy più restrittive significa rischiare di bloccare posta autorizzata.

2. p=quarantine — Fase di protezione parziale

I messaggi che non superano i controlli DMARC vengono classificati come sospetti e tipicamente finiscono nella cartella spam del destinatario. Non vengono ancora rifiutati del tutto, ma la pressione verso la conformità aumenta.

3. p=reject — Protezione completa

I messaggi non conformi vengono rifiutati direttamente dal server destinatario. Non raggiungono l’utente. È il livello di protezione massimo e l’obiettivo finale di qualsiasi percorso di implementazione serio.

Best practice consolidata: si inizia sempre con p=none, si analizzano i report per almeno 4-6 settimane, si correggono le configurazioni SPF e DKIM di tutti i servizi legittimi, poi si passa a quarantine e infine a reject. Il parametro pct= consente di applicare la nuova policy solo a una percentuale crescente del traffico, riducendo il rischio di impatti improvvisi.

Allineamento relaxed e strict: quale scegliere?

DMARC offre due modalità di allineamento tra il dominio del campo From: e quello usato nei controlli SPF/DKIM:

  • Allineamento relaxed (predefinito): è sufficiente che il dominio base coincida. Per esempio, un’email proveniente da newsletter.dominio.it è considerata allineata con dominio.it. È la scelta più comune in ambienti con molti sottodomini o servizi di terze parti.
  • Allineamento strict: deve coincidere l’intero dominio, sottodomini inclusi. Offre maggiore protezione, ma richiede un’infrastruttura email ben mappata e configurata.

La scelta dipende dalla complessità dell’ambiente email e dal livello di rischio che l’organizzazione vuole mitigare.

I report DMARC: da strumento tecnico a vantaggio operativo

Uno degli aspetti più sottovalutati di DMARC è la sua capacità di reporting. I report non sono un dettaglio tecnico secondario: sono la base su cui si costruisce una governance efficace del canale email.

Report aggregati (rua)

Arrivano solitamente ogni 24 ore e contengono statistiche su: indirizzi IP mittenti, risultati dei controlli SPF e DKIM, policy applicata, volume di messaggi per sorgente. Permettono di identificare tutti i sistemi che inviano email per conto del dominio, inclusi servizi di marketing, ERP, CRM, applicazioni legacy e strumenti SaaS.

Report forensi (ruf)

Contengono il dettaglio dei singoli messaggi che falliscono l’autenticazione. Sono particolarmente utili per diagnosticare problemi di configurazione o per analizzare tentativi di abuso specifici.

Questi report arrivano in formato XML e richiedono strumenti dedicati per essere analizzati in modo efficace. Piattaforme specializzate trasformano i dati grezzi in dashboard comprensibili, rendendo l’analisi accessibile anche a chi non ha competenze tecniche avanzate.

Errori frequenti che compromettono l’implementazione

Dopo anni di interventi su infrastrutture email aziendali, ho identificato i pattern di errore più ricorrenti. Conoscerli in anticipo permette di evitarli.

Attivare p=reject senza fase di monitoraggio

È l’errore più comune e potenzialmente più dannoso. Senza aver prima censito tutti i sistemi che inviano email per conto del dominio, si rischia di bloccare posta legittima in modo indiscriminato.

Dimenticare i flussi “minori”

Stampanti multifunzione, sistemi di ticketing, applicativi gestionali, notifiche automatiche: spesso inviano email usando il dominio aziendale senza SPF o DKIM configurati. Basta uno di questi flussi non mappati per creare problemi quando si passa a policy restrittive.

Confondere DMARC con un sistema antispam completo

DMARC protegge dall’abuso del tuo dominio da parte di esterni. Non filtra la posta in arrivo da altri domini. Va integrato con gateway email, sistemi antispam e una strategia di sicurezza più ampia.

Non leggere i report

Pubblicare il record DMARC con p=none e non analizzare mai i report vanifica completamente lo scopo dello strumento. I dati ci sono, ma non vengono usati.

DMARC per le Pubbliche Amministrazioni

Per le PA italiane, DMARC non è più solo una buona pratica: è una misura di sicurezza sempre più richiesta nelle strategie di protezione del canale PEC e della posta ordinaria. Le linee guida nazionali sulla sicurezza informatica per la PA includono esplicitamente l’autenticazione email tra i controlli attesi. Implementare DMARC è oggi un requisito di maturità digitale, non un’opzione.

Domande frequenti su DMARC

DMARC blocca le email di spam che ricevo?

No. DMARC protegge il tuo dominio dall’essere usato da altri per inviare email fraudolente. Non filtra la posta in arrivo da domini terzi.

È sufficiente configurare SPF e DKIM senza DMARC?

SPF e DKIM da soli non implementano nessuna policy e non inviano report. Senza DMARC, non hai né controllo né visibilità su come viene usato il tuo dominio.

Quanto tempo richiede un’implementazione DMARC corretta?

Dipende dalla complessità dell’infrastruttura. In un ambiente con pochi servizi email ben documentati, la fase di monitoraggio può durare 3-4 settimane. In realtà con molti sistemi legacy, CRM, piattaforme di marketing e fornitori terzi, è realistico pianificare 2-3 mesi per un’implementazione solida.

DMARC è obbligatorio?

Non esiste oggi un obbligo normativo universale in Italia, ma alcuni provider — tra cui Google e Yahoo — richiedono DMARC per i mittenti che inviano grandi volumi di email. Per le PA, le linee guida di sicurezza lo indicano come misura attesa. In ogni caso, l’assenza di DMARC è un rischio operativo e reputazionale che nessuna organizzazione dovrebbe accettare consapevolmente.

DMARC influisce sulla deliverability delle email?

Sì, in positivo. I provider email considerano più affidabili i domini con SPF, DKIM e DMARC correttamente configurati, il che si traduce in una migliore consegna della posta legittima e in una riduzione del rischio che le tue email finiscano in spam.

Il percorso di implementazione consigliato

Un’implementazione DMARC efficace non è una semplice modifica DNS. È un progetto di sicurezza e governance del canale email che richiede analisi, pianificazione e monitoraggio continuativo.

  1. Assessment iniziale: verifica dello stato attuale di SPF, DKIM e DMARC; censimento di tutti i flussi email del dominio
  2. Configurazione del monitoraggio (p=none): pubblicazione del record DMARC e raccolta dei report
  3. Analisi e tuning: lettura dei report, identificazione di tutti i mittenti legittimi, correzione delle configurazioni mancanti
  4. Transizione graduale: passaggio a p=quarantine (eventualmente con pct= crescente), poi a p=reject
  5. Manutenzione continuativa: aggiornamento della configurazione al variare dei servizi email utilizzati

In ambienti multi-dominio, con molti fornitori esterni o con sistemi legacy, la competenza tecnica e gli strumenti giusti fanno la differenza tra un’implementazione che funziona e una che crea problemi operativi.

Verifica subito la tua configurazione DMARC

Se non sai se il tuo dominio ha DMARC configurato, o se non sei sicuro che la configurazione attuale sia corretta, il primo passo è un check tecnico. Bastano pochi minuti per avere un quadro chiaro della situazione.

LBIT Solution offre un assessment gratuito della configurazione SPF, DKIM e DMARC del tuo dominio. Analizziamo lo stato attuale, identifichiamo i rischi e definiamo insieme un percorso di implementazione adatto alla tua infrastruttura.

Contattaci per il check gratuito →

Autore: Team LBIT Solution — Esperti di sicurezza informatica con oltre 25 anni di esperienza in ambito enterprise e Pubblica Amministrazione. lbit-solution.it

[ { "@context": "https://schema.org", "@type": "Article", "headline": "Cos'è DMARC e perché ogni dominio aziendale ne ha bisogno oggi", "description": "DMARC protegge il dominio aziendale da spoofing, phishing e frodi BEC. Scopri cos'è, come funziona con SPF e DKIM, e come implementarlo correttamente in 3 fasi. Guida completa per aziende e PA.", "url": "https://blog.lbit-solution.it/cose-dmarc-sicurezza-email-aziendale/", "datePublished": "2026-05-12", "dateModified": "2026-05-12", "inLanguage": "it-IT", "author": { "@type": "Person", "name": "Team LBIT Solution", "url": "https://lbit-solution.it" }, "publisher": { "@type": "Organization", "name": "LBIT Solution", "url": "https://lbit-solution.it", "logo": { "@type": "ImageObject", "url": "https://lbit-solution.it/wp-content/uploads/logo-lbit.png" } }, "image": { "@type": "ImageObject", "url": "https://cdn.blog.lbit-solution.it/wp-content/uploads/dmarc-email-security-cover.jpg", "width": 1200, "height": 630 }, "mainEntityOfPage": { "@type": "WebPage", "@id": "https://blog.lbit-solution.it/cose-dmarc-sicurezza-email-aziendale/" }, "about": { "@type": "Thing", "name": "DMARC", "sameAs": "https://www.wikidata.org/wiki/Q5206403" }, "keywords": [ "DMARC", "email security", "SPF", "DKIM", "domain spoofing", "phishing", "Business Email Compromise", "sicurezza email aziendale", "autenticazione email", "record DNS" ], "articleSection": "Cybersecurity", "wordCount": 1800, "timeRequired": "PT8M" }, { "@context": "https://schema.org", "@type": "FAQPage", "mainEntity": [ { "@type": "Question", "name": "DMARC blocca le email di spam che ricevo?", "acceptedAnswer": { "@type": "Answer", "text": "No. DMARC protegge il tuo dominio dall'essere usato da altri per inviare email fraudolente. Non filtra la posta in arrivo da domini terzi." } }, { "@type": "Question", "name": "È sufficiente configurare SPF e DKIM senza DMARC?", "acceptedAnswer": { "@type": "Answer", "text": "SPF e DKIM da soli non implementano nessuna policy e non inviano report. Senza DMARC, non hai né controllo né visibilità su come viene usato il tuo dominio." } }, { "@type": "Question", "name": "Quanto tempo richiede un'implementazione DMARC corretta?", "acceptedAnswer": { "@type": "Answer", "text": "Dipende dalla complessità dell'infrastruttura. In un ambiente con pochi servizi email ben documentati, la fase di monitoraggio può durare 3-4 settimane. In realtà con molti sistemi legacy, CRM, piattaforme di marketing e fornitori terzi, è realistico pianificare 2-3 mesi per un'implementazione solida." } }, { "@type": "Question", "name": "DMARC è obbligatorio?", "acceptedAnswer": { "@type": "Answer", "text": "Non esiste oggi un obbligo normativo universale in Italia, ma alcuni provider — tra cui Google e Yahoo — richiedono DMARC per i mittenti che inviano grandi volumi di email. Per le PA italiane, le linee guida di sicurezza lo indicano come misura attesa. In ogni caso, l'assenza di DMARC è un rischio operativo e reputazionale che nessuna organizzazione dovrebbe accettare consapevolmente." } }, { "@type": "Question", "name": "DMARC influisce sulla deliverability delle email?", "acceptedAnswer": { "@type": "Answer", "text": "Sì, in positivo. I provider email considerano più affidabili i domini con SPF, DKIM e DMARC correttamente configurati, il che si traduce in una migliore consegna della posta legittima e in una riduzione del rischio che le tue email finiscano in spam." } }, { "@type": "Question", "name": "Cos'è il domain spoofing?", "acceptedAnswer": { "@type": "Answer", "text": "Il domain spoofing è l'uso fraudolento del dominio di un'organizzazione da parte di attori malevoli per inviare email di phishing, malware o truffe BEC (Business Email Compromise), facendo credere ai destinatari che i messaggi provengano da una fonte legittima." } }, { "@type": "Question", "name": "Cos'è la policy p=reject in DMARC?", "acceptedAnswer": { "@type": "Answer", "text": "La policy p=reject è il livello di protezione massimo di DMARC. Con questa impostazione, i messaggi che non superano i controlli di autenticazione vengono rifiutati direttamente dal server destinatario e non raggiungono l'utente finale." } }, { "@type": "Question", "name": "Cosa sono i report DMARC?", "acceptedAnswer": { "@type": "Answer", "text": "I report DMARC sono file XML inviati periodicamente dai server destinatari al titolare del dominio. Esistono due tipi: report aggregati (rua), con statistiche giornaliere su IP mittenti e risultati dei controlli, e report forensi (ruf), con il dettaglio dei singoli messaggi che falliscono l'autenticazione." } } ] }, { "@context": "https://schema.org", "@type": "BreadcrumbList", "itemListElement": [ { "@type": "ListItem", "position": 1, "name": "Home", "item": "https://lbit-solution.it" }, { "@type": "ListItem", "position": 2, "name": "Blog", "item": "https://blog.lbit-solution.it" }, { "@type": "ListItem", "position": 3, "name": "Cybersecurity", "item": "https://blog.lbit-solution.it/categoria/cybersecurity/" }, { "@type": "ListItem", "position": 4, "name": "Cos'è DMARC e perché ogni dominio aziendale ne ha bisogno oggi", "item": "https://blog.lbit-solution.it/cose-dmarc-sicurezza-email-aziendale/" } ] }, { "@context": "https://schema.org", "@type": "HowTo", "name": "Come implementare DMARC correttamente", "description": "Guida passo-passo all'implementazione di DMARC per proteggere il dominio aziendale da spoofing e phishing.", "totalTime": "P6W", "step": [ { "@type": "HowToStep", "position": 1, "name": "Assessment iniziale", "text": "Verifica lo stato attuale dei record SPF, DKIM e DMARC. Censisci tutti i sistemi e servizi che inviano email per conto del dominio." }, { "@type": "HowToStep", "position": 2, "name": "Configurazione del monitoraggio con p=none", "text": "Pubblica il record DMARC con policy p=none e gli indirizzi rua e ruf per la raccolta dei report. In questa fase nessuna email viene bloccata." }, { "@type": "HowToStep", "position": 3, "name": "Analisi dei report e tuning", "text": "Analizza i report aggregati per almeno 4-6 settimane. Identifica tutti i mittenti legittimi e correggi le configurazioni SPF e DKIM mancanti o errate." }, { "@type": "HowToStep", "position": 4, "name": "Transizione a p=quarantine", "text": "Quando tutti i flussi legittimi sono correttamente configurati, passa a p=quarantine, eventualmente usando il parametro pct= per applicare la policy in modo graduale." }, { "@type": "HowToStep", "position": 5, "name": "Attivazione di p=reject", "text": "Dopo aver verificato che non vi siano più mittenti autorizzati non allineati, passa alla policy p=reject per la protezione massima del dominio." } ] } ]

Categories:

InformaticaNetworkingSicurezza

Tags:

DMARCDNSpostfix

No responses yet

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.