Proton
What is DMARC?

DMARC è un metodo di autenticazione email che verifica che un messaggio provenga da un mittente legittimo. Scopri come funziona e perché è necessario per migliorare la consegnabilità delle tue email e proteggere il tuo dominio.

Basandosi sui protocolli di autenticazione DKIM e SPF, DMARC aiuta a prevenire che il tuo dominio email venga falsificato (spoofed) e utilizzato per inviare spam o per attacchi di phishing.

Ti spieghiamo DMARC, come funziona insieme a SPF e DKIM, e perché è fondamentale per proteggere il tuo dominio e assicurarti che le tue email vengano consegnate.

Cos’è DMARC?
Per cosa si usa DMARC?
Come funziona DMARC con SPF e DKIM
Come funziona DMARC?
Cos’è una politica DMARC?
Cos’è un record DMARC?
Perché utilizzare DMARC?
Proteggi il tuo dominio
Migliora la consegnabilità delle email
Risoluzione dei problemi delle email
Configura facilmente DMARC con Proton Mail

Pulsante Ottieni Proton Mail

Cos’è DMARC?

DMARC (Autenticazione dei messaggi basata sul dominio, Rapporti e Conformità) è uno standard aperto per l’autenticazione email che aiuta a prevenire che i truffatori falsifichino (spoofing) il tuo dominio.

Spammer e truffatori possono falsificare l’indirizzo Da delle email in modo che sembrino provenire da un mittente del tuo dominio (ad esempio, nome@iltuodominio.it).

DMARC verifica che il campo Da corrisponda al dominio nelle verifiche di autenticazione DKIM e SPF, aiutando i fornitori di servizi internet e i provider di email a identificare indirizzi falsificati. DMARC indica anche ai server di posta come gestire i messaggi che non superano questi controlli e consente ai destinatari di ricevere rapporti sulle email che non superano l’autenticazione.

Per cosa si usa DMARC?

I provider di email e i fornitori di servizi internet utilizzano DMARC con SPF e DKIM per identificare indirizzi falsificati, aiutandoli a rilevare e prevenire spam e email di phishing. Per esempio, in Proton Mail, DMARC è uno strumento che utilizziamo per la sicurezza contro gli abusi e la sicurezza dell’account.

Le piattaforme email utilizzano anche DMARC per monitorare e risolvere i problemi delle email. Con DMARC, puoi richiedere rapporti sui messaggi che non superano i controlli SPF e DKIM per aiutarti a identificare le cause della mancata consegna delle email. I rapporti DMARC mostrano anche chi invia email dal tuo dominio per avvisarti di potenziali truffatori che abusano del tuo dominio.

Come funziona DMARC con SPF e DKIM

DMARC lavora in sinergia con SPF e DKIM per verificare che il mittente di una email sia autentico. Ecco come i tre metodi di autenticazione lavorano insieme:

  • SPF (Sender Policy Framework) verifica che un’email sia stata inviata da un indirizzo IP autorizzato a inviare email dal dominio del mittente.
  • DKIM (DomainKeys Identified Mail) verifica criptograficamente che l’indirizzo del mittente e il contenuto del messaggio non siano stati alterati durante il trasporto.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) assicura che il dominio nei controlli DKIM e SPF corrisponda al dominio del mittente nel campo From. Specifica anche come i server di posta elettronica dovrebbero gestire un messaggio che fallisce sia i controlli DKIM che SPF — accettare, rifiutare o segnalarlo come spam.

Anche se DMARC richiede solo SPF o DKIM per funzionare, raccomandiamo vivamente a chiunque utilizzi un dominio personalizzato di configurare sia SPF che DKIM con DMARC per garantire la corretta consegna delle tue email.

Scopri come configurare SPF, DKIM e DMARC con Proton Mail

Come funziona DMARC?

DMARC lavora con SPF e/o DKIM per autenticare il mittente di un’email (campo From) e indica ai server di posta come instradare i messaggi che falliscono entrambi i controlli. Ecco come funziona:

Dopo aver configurato SPF e/o DKIM, devi pubblicare un record DMARC, che contiene una policy DMARC. La policy DMARC indica ai server di posta quale azione intraprendere con i messaggi che falliscono entrambi i controlli SPF e DKIM. Ci sono tre opzioni:

Policy DMARCAzione del server
NessunaNon intraprendere alcuna azione — il messaggio continua verso la casella di posta del destinatario.
QuarantenaSposta il messaggio nello spam o in un’altra cartella anziché nella casella di posta.
RifiutaBlocca il messaggio — il messaggio non viene consegnato
Opzioni della policy DMARC

Qualunque sia la policy DMARC che imposti, i servizi di posta elettronica possono adattare le loro azioni per ottimizzare la consegna. Ad esempio, poiché ci sono ancora casi in cui email legittime falliscono il DMARC, su Proton Mail non blocchiamo i messaggi con una policy DMARC di “rifiuto” ma li inviamo nella cartella spam con un avviso all’utente.

Una volta pubblicato il tuo record DMARC, sei pronto a inviare email con DMARC come segue:

  1. Invii un’email, ad esempio, dall’indirizzo tu@iltuodominio.it.
  2. Il server di posta ricevente cerca la policy DMARC del tuo dominio nel record DMARC sul server DNS.
Come funziona DMARC (parte 1), mostrando come un server di posta in arrivo cerca il tuo record DMARC sul server DNS
Come funziona DMARC (1)
  1. Seguendo la politica DMARC, il server di posta in arrivo effettua i test di autenticazione DMARC, SPF e DKIM, verificando che il dominio nel campo Da del messaggio sia “allineato con” (corrisponda) al dominio in SPF e DKIM.
    • Per SPF, il campo Da dovrebbe allinearsi con il dominio nel campo Percorso di Ritorno nell’intestazione dell’email.
    • Per DKIM, il campo Da dovrebbe allinearsi con il dominio (d) nella firma DKIM.
  2. Se il messaggio supera sia l’autenticazione che il test di allineamento per SPF o DKIM, allora supera DMARC. Se fallisce sia il test di autenticazione che quello di allineamento per entrambi SPF e DKIM, non supera DMARC.
Come funziona DMARC (parte 2), mostrando come DMARC verifica sia l'autenticazione che l'allineamento del dominio per SPF e DKIM
Come funziona DMARC (2)
  1. Quando un messaggio non supera DMARC, il server di posta lo instrada secondo la politica DMARC (nessuna/quarantena/rifiuto).
  2. I server di posta che ricevono messaggi dal tuo dominio inviano regolarmente email con i risultati dell’autenticazione a te, il proprietario del dominio (assumendo che tu abbia incluso un indirizzo di segnalazione nel tuo record DMARC e che il server di posta sia configurato per inviare report DMARC).
Come funziona DMARC (parte 3), mostrando come DMARC instrada la posta secondo le opzioni della politica DMARC (nessuna/quarantena/rifiuto)
Come funziona DMARC (3)

Cos’è una politica DMARC?

Una politica DMARC permette al proprietario di un dominio di specificare cosa dovrebbe fare un server di posta in arrivo con le email che non superano DMARC, in altre parole, falliscono sia SPF che DKIM.

Ci sono tre opzioni per le politiche DMARC, indicate dal tag “p=” in un record DMARC:

  • p=nessuna: Non prendere nessuna azione, quindi tutti i messaggi che falliscono l’autenticazione saranno consegnati.
  • p=quarantena: Invia i messaggi falliti alla cartella spam.
  • p=rifiuto: Blocca i messaggi falliti, così non saranno consegnati.

p=nessuna può essere utile quando hai un nuovo dominio e vuoi controllare che le tue email legittime vengano consegnate. Con p=nessuna, tutti i messaggi vengono consegnati indipendentemente dall’autenticazione e ricevi report via email che puoi utilizzare per individuare problemi di autenticazione.

Tuttavia, una volta che sei sicuro che la tua email sia configurata correttamente, ti consigliamo di passare a p=quarantena, che invia i messaggi falliti alla cartella spam.

Se pensi di essere probabile bersaglio di spoofing via email, imposta p=rifiuto. Ad esempio, siti come PayPal ed eBay usano p=rifiuto perché sono bersagliati da spammer e truffatori che impersonano i loro domini.

Cos’è un record DMARC?

Un record DMARC è un tipo di record di testo DNS(nuova finestra) che indica ai server di posta in arrivo che un dominio è protetto dall’autenticazione DMARC. Tipicamente, i record DMARC includono:

  • Una politica DMARC, che indica ai server di posta in arrivo cosa fare quando un’email non supera l’autenticazione SPF e DKIM
  • Un indirizzo email opzionale dove i server di posta possono inviare report DMARC sull’autenticazione delle email inviate da quel dominio.

Un record DMARC consiste in una serie di tag, come v=DMARC1, p=quarantena, ecc.

Esempio di record DMARC

Ecco un esempio di record DMARC con una spiegazione dei tag sottostanti:

Esempio di record DMARC nel registrar di domini Namecheap
  • v=DMARC1: Il numero di versione DMARC. Ogni record DMARC deve iniziare con questo tag.
  • p=quarantine: La politica DMARC, che istruisce il server di posta ricevente a inviare i messaggi che non superano il controllo DMARC nella cartella dello spam. Questo valore può essere anche p=none o p=reject (scopri di più sulle politiche DMARC sopra).
  • rua=utente@iltuodominio.it: Specifica l’indirizzo per ricevere i rapporti aggregati DMARC, che ti forniscono una panoramica statistica di tutto il traffico email del tuo dominio. Puoi anche usare il tag ruf= (per esempio, ruf=utente@iltuodominio.it) per ricevere rapporti DMARC forensici più dettagliati sullo stato di autenticazione delle tue email.

Ci sono 11 diversi tag che possono essere aggiunti a un record DMARC, ma solo v e p sono obbligatori.

Altri tag comuni sono adkim e aspf, che specificano quanto strettamente il dominio nel campo From deve allinearsi con il dominio nei controlli DKIM e SPF (vedi come funziona DMARC sopra per i dettagli). Il valore può essere “stretto” (s), che richiede una corrispondenza esatta, o “rilassato” (r), che permette i sottodomini.

Ad esempio, se imposti il valore adkim=s per il tuo dominio (iltuodominio.it), solo le email inviate da @iltuodominio.it supereranno DMARC. Ma se cambi questo valore in adkim=r, anche le email inviate da sottodomini, come @news.iltuodominio.it o @info.iltuodominio.it, supereranno.

Se vuoi mantenere un allineamento stretto e permettere i sottodomini, puoi semplicemente aggiungere un record DMARC separato per ogni sottodominio.

Perché usare DMARC?

Se possiedi un tuo dominio, ti consigliamo vivamente di configurare DMARC, insieme a SPF e DKIM. Ecco perché:

Proteggi il tuo dominio

DMARC autentica l’indirizzo del mittente nelle tue email, rendendo più difficile per i truffatori impersonare il tuo dominio. Quindi, implementare DMARC aiuta a prevenire che gli attaccanti usino il tuo dominio per spam o attacchi di phishing.

Migliora la recapitabilità delle email

Le email inviate con DMARC appaiono legittime e possono essere facilmente verificate. Quindi, implementare DMARC riduce la probabilità che le tue email finiscano nella cartella dello spam. E più invii email autenticate, più costruisci la reputazione di invio del tuo dominio con i fornitori di servizi email nel lungo termine.

Risoluzione dei problemi delle email

Con DMARC, puoi ricevere rapporti regolari che ti permettono di monitorare l’autenticazione delle tue email e tracciare chi sta inviando email. In questo modo, puoi risolvere eventuali problemi di autenticazione e individuare spammers o truffatori che abusano del tuo dominio.

Configura facilmente DMARC con Proton Mail

Usare DMARC insieme a SPF e DKIM è il modo più efficace per prevenire l’abuso del tuo dominio per spam o attacchi di phishing. Tuttavia, configurare DMARC può essere complicato, poiché dipende dalla corretta implementazione di SPF e/o DKIM per funzionare.

Ecco perché abbiamo creato una semplice procedura guidata per mostrarti come fare. Sottoscrivi un piano a pagamento di Proton Mail, e ti guideremo passo dopo passo nella configurazione del tuo dominio personalizzato e nell’impostazione corretta di SPF, DKIM e DMARC.

Scegli Proton Mail Plus per un singolo dominio o Proton Unlimited con supporto per tre domini, 15 indirizzi, 500 GB di spazio di archiviazione e altro ancora.

Se hai un’azienda, puoi configurare facilmente DMARC per proteggere il dominio del tuo marchio con Proton for Business. Oppure, se vuoi semplicemente provare un servizio di posta elettronica privata e sicura, ottieni Proton Mail gratuitamente.

Tutti i piani Proton includono Proton Mail crittografato end-to-end, Proton Calendar, Proton Drive e Proton VPN(nuova finestra). Quindi unisciti a noi e mantieniti al sicuro!

Articoli correlati

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.