ProtonBlog(new window)
Iscriviti con RSS
What is DMARC?

Cos’è DMARC?

Condividi questa pagina

DMARC è un metodo di autenticazione email che verifica che un messaggio provenga da un mittente legittimo. Scopri come funziona e perché è necessario per migliorare la consegnabilità delle tue email e proteggere il tuo dominio.

Basandosi sui protocolli di autenticazione DKIM e SPF(new window), DMARC aiuta a prevenire che il tuo dominio email venga falsificato (spoofed) e utilizzato per inviare spam o per attacchi di phishing.

Ti spieghiamo DMARC, come funziona insieme a SPF e DKIM, e perché è fondamentale per proteggere il tuo dominio e assicurarti che le tue email vengano consegnate.

Cos’è DMARC?
Per cosa si usa DMARC?
Come funziona DMARC con SPF e DKIM
Come funziona DMARC?
Cos’è una politica DMARC?
Cos’è un record DMARC?
Perché utilizzare DMARC?
Proteggi il tuo dominio
Migliora la consegnabilità delle email
Risoluzione dei problemi delle email
Configura facilmente DMARC con Proton Mail

Pulsante Ottieni Proton Mail

Cos’è DMARC?

DMARC (Autenticazione dei messaggi basata sul dominio, Rapporti e Conformità) è uno standard aperto per l’autenticazione email che aiuta a prevenire che i truffatori falsifichino (spoofing) il tuo dominio.

Spammer e truffatori possono falsificare l’indirizzo Da delle email in modo che sembrino provenire da un mittente del tuo dominio (ad esempio, nome@iltuodominio.it).

DMARC verifica che il campo Da corrisponda al dominio nelle verifiche di autenticazione DKIM e SPF(new window), aiutando i fornitori di servizi internet e i provider di email a identificare indirizzi falsificati. DMARC indica anche ai server di posta come gestire i messaggi che non superano questi controlli e consente ai destinatari di ricevere rapporti sulle email che non superano l’autenticazione.

Per cosa si usa DMARC?

I provider di email e i fornitori di servizi internet utilizzano DMARC con SPF e DKIM per identificare indirizzi falsificati, aiutandoli a rilevare e prevenire spam e email di phishing. Per esempio, in Proton Mail, DMARC è uno strumento che utilizziamo per la sicurezza contro gli abusi e la sicurezza dell’account.

Le piattaforme email utilizzano anche DMARC per monitorare e risolvere i problemi delle email. Con DMARC, puoi richiedere rapporti sui messaggi che non superano i controlli SPF e DKIM per aiutarti a identificare le cause della mancata consegna delle email. I rapporti DMARC mostrano anche chi invia email dal tuo dominio per avvisarti di potenziali truffatori che abusano del tuo dominio.

Come funziona DMARC con SPF e DKIM

DMARC lavora in sinergia con SPF e DKIM per verificare che il mittente di una email sia autentico. Ecco come i tre metodi di autenticazione lavorano insieme:

  • SPF (Sender Policy Framework)(new window) verifica che un’email sia stata inviata da un indirizzo IP autorizzato a inviare email dal dominio del mittente.
  • DKIM (DomainKeys Identified Mail) verifica criptograficamente che l’indirizzo del mittente e il contenuto del messaggio non siano stati alterati durante il trasporto.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) assicura che il dominio nei controlli DKIM e SPF corrisponda al dominio del mittente nel campo From. Specifica anche come i server di posta elettronica dovrebbero gestire un messaggio che fallisce sia i controlli DKIM che SPF — accettare, rifiutare o segnalarlo come spam.

Anche se DMARC richiede solo SPF o DKIM per funzionare, raccomandiamo vivamente a chiunque utilizzi un dominio personalizzato di configurare sia SPF che DKIM con DMARC per garantire la corretta consegna delle tue email.

Scopri come configurare SPF, DKIM e DMARC con Proton Mail

Come funziona DMARC?

DMARC lavora con SPF e/o DKIM per autenticare il mittente di un’email (campo From) e indica ai server di posta come instradare i messaggi che falliscono entrambi i controlli. Ecco come funziona:

Dopo aver configurato SPF e/o DKIM, devi pubblicare un record DMARC, che contiene una policy DMARC. La policy DMARC indica ai server di posta quale azione intraprendere con i messaggi che falliscono entrambi i controlli SPF e DKIM. Ci sono tre opzioni:

Policy DMARCAzione del server
NessunaNon intraprendere alcuna azione — il messaggio continua verso la casella di posta del destinatario.
QuarantenaSposta il messaggio nello spam o in un’altra cartella anziché nella casella di posta.
RifiutaBlocca il messaggio — il messaggio non viene consegnato
Opzioni della policy DMARC

Qualunque sia la policy DMARC che imposti, i servizi di posta elettronica possono adattare le loro azioni per ottimizzare la consegna. Ad esempio, poiché ci sono ancora casi in cui email legittime falliscono il DMARC, su Proton Mail non blocchiamo i messaggi con una policy DMARC di “rifiuto” ma li inviamo nella cartella spam con un avviso all’utente.

Una volta pubblicato il tuo record DMARC, sei pronto a inviare email con DMARC come segue:

  1. Invii un’email, ad esempio, dall’indirizzo tu@iltuodominio.it.
  2. Il server di posta ricevente cerca la policy DMARC del tuo dominio nel record DMARC sul server DNS.
Come funziona DMARC (parte 1), mostrando come un server di posta in arrivo cerca il tuo record DMARC sul server DNS
Come funziona DMARC (1)
  1. Seguendo la politica DMARC, il server di posta in arrivo effettua i test di autenticazione DMARC, SPF e DKIM, verificando che il dominio nel campo Da del messaggio sia “allineato con” (corrisponda) al dominio in SPF e DKIM.
    • Per SPF, il campo Da dovrebbe allinearsi con il dominio nel campo Percorso di Ritorno nell’intestazione dell’email.
    • Per DKIM, il campo Da dovrebbe allinearsi con il dominio (d) nella firma DKIM.
  2. Se il messaggio supera sia l’autenticazione che il test di allineamento per SPF o DKIM, allora supera DMARC. Se fallisce sia il test di autenticazione che quello di allineamento per entrambi SPF e DKIM, non supera DMARC.
Come funziona DMARC (parte 2), mostrando come DMARC verifica sia l'autenticazione che l'allineamento del dominio per SPF e DKIM
Come funziona DMARC (2)
  1. Quando un messaggio non supera DMARC, il server di posta lo instrada secondo la politica DMARC (nessuna/quarantena/rifiuto).
  2. I server di posta che ricevono messaggi dal tuo dominio inviano regolarmente email con i risultati dell’autenticazione a te, il proprietario del dominio (assumendo che tu abbia incluso un indirizzo di segnalazione nel tuo record DMARC e che il server di posta sia configurato per inviare report DMARC).
Come funziona DMARC (parte 3), mostrando come DMARC instrada la posta secondo le opzioni della politica DMARC (nessuna/quarantena/rifiuto)
Come funziona DMARC (3)

Cos’è una politica DMARC?

Una politica DMARC permette al proprietario di un dominio di specificare cosa dovrebbe fare un server di posta in arrivo con le email che non superano DMARC, in altre parole, falliscono sia SPF che DKIM.

Ci sono tre opzioni per le politiche DMARC, indicate dal tag “p=” in un record DMARC:

  • p=nessuna: Non prendere nessuna azione, quindi tutti i messaggi che falliscono l’autenticazione saranno consegnati.
  • p=quarantena: Invia i messaggi falliti alla cartella spam.
  • p=rifiuto: Blocca i messaggi falliti, così non saranno consegnati.

p=nessuna può essere utile quando hai un nuovo dominio e vuoi controllare che le tue email legittime vengano consegnate. Con p=nessuna, tutti i messaggi vengono consegnati indipendentemente dall’autenticazione e ricevi report via email che puoi utilizzare per individuare problemi di autenticazione.

Tuttavia, una volta che sei sicuro che la tua email sia configurata correttamente, ti consigliamo di passare a p=quarantena, che invia i messaggi falliti alla cartella spam.

Se pensi di essere probabile bersaglio di spoofing via email, imposta p=rifiuto. Ad esempio, siti come PayPal ed eBay usano p=rifiuto perché sono bersagliati da spammer e truffatori che impersonano i loro domini.

Cos’è un record DMARC?

Un record DMARC è un tipo di record di testo DNS(new window) che indica ai server di posta in arrivo che un dominio è protetto dall’autenticazione DMARC. Tipicamente, i record DMARC includono:

  • Una politica DMARC, che indica ai server di posta in arrivo cosa fare quando un’email non supera l’autenticazione SPF e DKIM
  • Un indirizzo email opzionale dove i server di posta possono inviare report DMARC sull’autenticazione delle email inviate da quel dominio.

Un record DMARC consiste in una serie di tag, come v=DMARC1, p=quarantena, ecc.

Esempio di record DMARC

Ecco un esempio di record DMARC con una spiegazione dei tag sottostanti:

Esempio di record DMARC nel registrar di domini Namecheap
  • v=DMARC1: Il numero di versione DMARC. Ogni record DMARC deve iniziare con questo tag.
  • p=quarantine: La politica DMARC, che istruisce il server di posta ricevente a inviare i messaggi che non superano il controllo DMARC nella cartella dello spam. Questo valore può essere anche p=none o p=reject (scopri di più sulle politiche DMARC sopra).
  • rua=utente@iltuodominio.it: Specifica l’indirizzo per ricevere i rapporti aggregati DMARC, che ti forniscono una panoramica statistica di tutto il traffico email del tuo dominio. Puoi anche usare il tag ruf= (per esempio, ruf=utente@iltuodominio.it) per ricevere rapporti DMARC forensici più dettagliati sullo stato di autenticazione delle tue email.

Ci sono 11 diversi tag che possono essere aggiunti a un record DMARC, ma solo v e p sono obbligatori.

Altri tag comuni sono adkim e aspf, che specificano quanto strettamente il dominio nel campo From deve allinearsi con il dominio nei controlli DKIM e SPF (vedi come funziona DMARC sopra per i dettagli). Il valore può essere “stretto” (s), che richiede una corrispondenza esatta, o “rilassato” (r), che permette i sottodomini.

Ad esempio, se imposti il valore adkim=s per il tuo dominio (iltuodominio.it), solo le email inviate da @iltuodominio.it supereranno DMARC. Ma se cambi questo valore in adkim=r, anche le email inviate da sottodomini, come @news.iltuodominio.it o @info.iltuodominio.it, supereranno.

Se vuoi mantenere un allineamento stretto e permettere i sottodomini, puoi semplicemente aggiungere un record DMARC separato per ogni sottodominio.

Perché usare DMARC?

Se possiedi un tuo dominio, ti consigliamo vivamente di configurare DMARC, insieme a SPF e DKIM. Ecco perché:

Proteggi il tuo dominio

DMARC autentica l’indirizzo del mittente nelle tue email, rendendo più difficile per i truffatori impersonare il tuo dominio. Quindi, implementare DMARC aiuta a prevenire che gli attaccanti usino il tuo dominio per spam o attacchi di phishing.

Migliora la recapitabilità delle email

Le email inviate con DMARC appaiono legittime e possono essere facilmente verificate. Quindi, implementare DMARC riduce la probabilità che le tue email finiscano nella cartella dello spam. E più invii email autenticate, più costruisci la reputazione di invio del tuo dominio con i fornitori di servizi email nel lungo termine.

Risoluzione dei problemi delle email

Con DMARC, puoi ricevere rapporti regolari che ti permettono di monitorare l’autenticazione delle tue email e tracciare chi sta inviando email. In questo modo, puoi risolvere eventuali problemi di autenticazione e individuare spammers o truffatori che abusano del tuo dominio.

Configura facilmente DMARC con Proton Mail

Usare DMARC insieme a SPF e DKIM è il modo più efficace per prevenire l’abuso del tuo dominio per spam o attacchi di phishing. Tuttavia, configurare DMARC può essere complicato, poiché dipende dalla corretta implementazione di SPF e/o DKIM per funzionare.

Ecco perché abbiamo creato una semplice procedura guidata per mostrarti come fare. Sottoscrivi un piano a pagamento di Proton Mail, e ti guideremo passo dopo passo nella configurazione del tuo dominio personalizzato e nell’impostazione corretta di SPF, DKIM e DMARC.

Scegli Proton Mail Plus per un singolo dominio o Proton Unlimited con supporto per tre domini, 15 indirizzi, 500 GB di spazio di archiviazione e altro ancora.

Scegli il tuo piano Proton Mail

Se hai un’azienda, puoi configurare facilmente DMARC per proteggere il dominio del tuo marchio con Proton for Business. Oppure, se vuoi semplicemente provare un servizio di posta elettronica privata e sicura, ottieni Proton Mail gratuitamente.

Tutti i piani Proton includono Proton Mail crittografato end-to-end, Proton Calendar, Proton Drive e Proton VPN(new window). Quindi unisciti a noi e mantieniti al sicuro!

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

Una comunicazione sicura e fluida è il fondamento di ogni azienda. Con sempre più organizzazioni che proteggono i loro dati con Proton, abbiamo notevolmente ampliato il nostro ecosistema con nuovi prodotti e servizi, dal nostro gestore di password al
what is a brute force attack
Nel contesto della cybersecurity, un termine che spesso si incontra è attacco brute force. Un attacco brute force è qualsiasi attacco che non si basa sulla raffinatezza, ma utilizza la pura potenza di calcolo per violare la sicurezza o addirittura la
La Sezione 702 del Foreign Intelligence Surveillance Act è diventata famigerata come giustificazione legale che consente ad agenzie federali come la NSA, la CIA e l’FBI di effettuare intercettazioni senza mandato, raccogliendo i dati di centinaia di
In risposta al crescente numero di violazioni dei dati, Proton Mail offre una funzionalità agli abbonati a pagamento chiamata Monitoraggio del Dark Web. Il nostro sistema verifica se le tue credenziali o altri dati sono stati diffusi su mercati illeg
Il tuo indirizzo email è la tua identità online, e lo condividi ogni volta che crei un nuovo account per un servizio online. Sebbene ciò offra comodità, lascia anche la tua identità esposta se gli hacker riescono a violare i servizi che utilizzi. Le
proton pass f-droid
La nostra missione in Proton è contribuire a creare un internet che protegga la tua privacy di default, assicuri i tuoi dati e ti dia la libertà di scelta. Oggi facciamo un altro passo in questa direzione con il lancio del nostro gestore di password