Policy DMARC - Docs di MetricSpot

Q: Qual è la differenza tra `p=quarantine` e `p=reject`?

- quarantine — la posta in fallimento finisce in spam. Recuperabile; cauto. - reject — la posta in fallimento viene rifiutata al server ricevente. Il mittente (vero o falso) ottiene un hard bounce. Protezione più forte, ma se il tuo SPF/DKIM è configurato male per un servizio legittimo i tuoi clienti smettono di ricevere posta da te. Arriva sempre a p=reject dopo un periodo in quarantine con report puliti.

Q: Servono anche SPF e DKIM?

Sì. DMARC è il livello policy; SPF e DKIM sono i livelli di autenticazione. SPF dice "questo IP può inviare per il mio dominio"; DKIM firma il messaggio crittograficamente. DMARC dice "se nessuno dei due si allinea, rifiuta". Tutti e tre servono perché il sistema funzioni.

Cosa verifica questo controllo

Interroga il DNS per il record TXT _dmarc.<tuodominio> e ne parsa la policy. Riporta il valore p= (none, quarantine, reject), la percentuale, gli indirizzi di reporting e se la policy è applicata (qualunque cosa oltre p=none).

Perché è importante

DMARC (Domain-based Message Authentication, Reporting, and Conformance) dice alle caselle di posta riceventi — Gmail, Outlook, Yahoo, Apple iCloud — cosa fare quando un’email afferma di provenire dal tuo dominio ma fallisce i controlli SPF o DKIM. Senza una policy DMARC, la risposta è “fai passare” — e il tuo dominio diventa terreno libero per campagne di phishing.

Da febbraio 2024, Google e Yahoo richiedono DMARC per ogni mittente che invia email ai loro utenti più di 5.000 volte al giorno. Microsoft ha seguito con un enforcement progressivamente più stretto. I siti senza DMARC vedono crollare la deliverability, i clienti ricevono phishing brandizzato col loro nome e la fiducia nel brand si erode una fattura falsa alla volta.

Un esempio reale: una SaaS che abbiamo auditato non aveva DMARC. Entro tre mesi, gli attaccanti hanno spoofato billing@lorodominio.com in una campagna di phishing che ha colpito ~40k caselle dei loro clienti. La pulizia è costata più di un decennio di “DMARC ce la metteremo poi”.

Come sistemarlo

Pubblica un record TXT _dmarc presso il provider DNS del tuo dominio. La progressione:

1. Parti in modalità monitoring (p=none) — raccoglie dati senza impattare la deliverability.

_dmarc.tuodominio.com.   IN   TXT   "v=DMARC1; p=none; rua=mailto:dmarc-reports@tuodominio.com; pct=100"

L’indirizzo in rua= riceve report XML aggregati da ogni casella ricevente. Inoltrali a uno strumento che li parsa — consigliamo il DMARC monitoring gratuito di Postmark o Valimail Monitor.

2. Audita cosa invia legittimamente.

I report ti dicono quali IP e servizi inviano mail “come” il tuo dominio. Attesi: il tuo provider di email transazionali (Resend, Postmark, SendGrid), la piattaforma di marketing, eventualmente Google Workspace o Microsoft 365 e il tool di help desk. Qualunque altra cosa è un mittente non autorizzato o un’integrazione dimenticata.

Per ogni mittente legittimo, configura SPF e DKIM — DMARC richiede che uno dei due passi e sia allineato con l’header From.

3. Passa a quarantine una volta che i report sono puliti (nessun mittente legittimo che fallisce).

_dmarc.tuodominio.com.   IN   TXT   "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@tuodominio.com; pct=25"

pct=25 applica la policy solo al 25% della posta in fallimento — rollout graduale. Guarda i report, poi sali a 100, poi passa a p=reject.

4. Stato finale: p=reject.

_dmarc.tuodominio.com.   IN   TXT   "v=DMARC1; p=reject; rua=mailto:dmarc-reports@tuodominio.com; ruf=mailto:dmarc-forensics@tuodominio.com; adkim=s; aspf=s"

adkim=s e aspf=s richiedono allineamento stretto tra l’header From e il dominio di SPF/DKIM — bloccano gli attaccanti che usano trucchi sui sottodomini.

Configurazioni comuni:

Marketing email da noreply@email.tuodominio.com — imposta una policy DMARC separata sul sottodominio se la tua piattaforma di marketing non riesce ad allinearsi pienamente con l’apex.
Google Workspace — la chiave DKIM di Google deve stare nel DNS; attiva DKIM in Admin console.
Resend / Postmark / SendGrid — ciascuno fornisce un template DNS da incollare; DMARC funziona una volta che il loro DKIM è impostato.

Controlla il tuo record:

dig +short TXT _dmarc.tuodominio.com
# v=DMARC1; p=reject; rua=mailto:dmarc-reports@tuodominio.com; adkim=s; aspf=s

Oppure usa il DMARC checker di Mail Tester per un check di sanità con un clic.

Abbina questa regola alle basi HTTPS — HTTPS, abilitare HSTS — per una baseline completa email + sicurezza trasporto.

Domande frequenti

Qual è la differenza tra `p=quarantine` e `p=reject`?

quarantine — la posta in fallimento finisce in spam. Recuperabile; cauto.
reject — la posta in fallimento viene rifiutata al server ricevente. Il mittente (vero o falso) ottiene un hard bounce. Protezione più forte, ma se il tuo SPF/DKIM è configurato male per un servizio legittimo i tuoi clienti smettono di ricevere posta da te. Arriva sempre a p=reject dopo un periodo in quarantine con report puliti.

Servono anche SPF e DKIM?

Sì. DMARC è il livello policy; SPF e DKIM sono i livelli di autenticazione. SPF dice “questo IP può inviare per il mio dominio”; DKIM firma il messaggio crittograficamente. DMARC dice “se nessuno dei due si allinea, rifiuta”. Tutti e tre servono perché il sistema funzioni.

Il mio dominio non invia email. Mi serve comunque DMARC?

Sì — una policy DMARC “park” blocca chi prova a spoofare il tuo dominio inutilizzato:

_dmarc.tuodominio.com.   IN   TXT   "v=DMARC1; p=reject; rua=mailto:dmarc-reports@tuodominio.com"

Abbina a un record SPF che non permette niente:

tuodominio.com.   IN   TXT   "v=spf1 -all"

Ora nessun IP al mondo può inviare posta sostenendo di essere il tuo dominio.