Strumenti diagnostici di rete

Verifica DMARC

Esamina e valuta la tua policy DMARC

Che cos'è un record DMARC?

DMARC si basa su SPF e DKIM per indicare ai destinatari cosa fare con la posta che non supera l'autenticazione e dove inviare i report. Una policy 'p=none' si limita a monitorare; 'quarantine' e 'reject' proteggono davvero il tuo dominio dallo spoofing. IPeek legge il record su _dmarc.tuo-dominio, analizza ogni tag e valuta la solidità della policy.

Come funziona DMARC con l'allineamento

DMARC è un record TXT su _dmarc.tuo-dominio che inizia con v=DMARC1. Passa quando un messaggio supera SPF o DKIM e il dominio autenticato si allinea con il dominio From visibile. L'allineamento è la chiave: un truffatore può superare SPF o DKIM grezzo sul proprio dominio, ma non può allinearlo con il tuo. Un record come v=DMARC1; p=reject; rua=mailto:reports@tuo-dominio; adkim=s; aspf=s impone il rifiuto e richiede l'allineamento rigoroso sia per DKIM sia per SPF.

Come interpretare p=none, quarantine e reject

Il tag p definisce la tua policy. p=none si limita a monitorare — la posta continua a fluire, ma raccogli report per vedere chi invia a tuo nome. p=quarantine instrada la posta non conforme nello spam, mentre p=reject la blocca del tutto, la protezione più forte contro lo spoofing. Il tag pct consente di aumentare gradualmente l'applicazione (ad esempio pct=25), e sp imposta una policy separata per i sottodomini. Parti da none per raccogliere dati, poi stringi verso quarantine e reject una volta che i tuoi mittenti legittimi superano il controllo. IPeek valuta quanto è solida la tua policy attuale.

I report DMARC e il tag rua

Il sistema di reportistica è ciò che rende DMARC concreto. Il tag rua indica una casella che riceve report aggregati XML giornalieri, riepilogando quali fonti hanno inviato posta a nome del tuo dominio e se hanno superato SPF, DKIM e allineamento. Usa questi report per individuare mittenti legittimi che hai dimenticato di autorizzare prima di stringere la policy. Il tag opzionale ruf richiede report forensi (per singolo fallimento), anche se la maggior parte dei destinatari non li invia più per motivi di privacy. Senza rua applichi la policy alla cieca.

Domande frequenti

Cosa significa p=none in un record DMARC?

p=none è una policy di solo monitoraggio. Indica ai destinatari di non intraprendere alcuna azione speciale sulla posta che non supera DMARC, quindi i messaggi vengono consegnati normalmente, ma ricevi comunque report aggregati che mostrano chi invia email a nome del tuo dominio. Usa p=none per raccogliere dati e identificare i mittenti legittimi, poi passa a quarantine o reject per una vera protezione dallo spoofing.

Qual è la differenza tra quarantine e reject in DMARC?

Entrambi applicano la policy, ma in modo diverso. p=quarantine indica ai destinatari di consegnare la posta non conforme nella cartella spam o posta indesiderata, mentre p=reject indica di bloccarla del tutto, così non raggiunge mai il destinatario. Reject è la protezione più forte contro lo spoofing. Quarantine è un passaggio intermedio comune prima di adottare il rifiuto completo.

Che cos'è l'allineamento DMARC?

L'allineamento richiede che il dominio autenticato da SPF o DKIM coincida con il dominio nell'intestazione From visibile. DMARC passa solo quando almeno uno dei due si allinea. L'allineamento rilassato (predefinito) consente ai sottodomini di corrispondere al dominio organizzativo; l'allineamento rigoroso (adkim=s, aspf=s) richiede una corrispondenza esatta. L'allineamento è ciò che impedisce agli aggressori di superare l'autenticazione sul proprio dominio.

Dove si pubblica un record DMARC?

Un record DMARC è un record TXT pubblicato sul sottodominio _dmarc del tuo dominio — ad esempio _dmarc.example.com. Deve iniziare con v=DMARC1 ed è pubblicato una sola volta per dominio organizzativo. I destinatari interrogano esattamente questa posizione per trovare la tua policy. IPeek legge automaticamente il record su _dmarc.tuo-dominio e analizza ogni tag che contiene.

Mi servono sia SPF sia DKIM perché DMARC passi?

No. DMARC passa se SPF oppure DKIM supera il controllo e si allinea con il tuo dominio From, quindi non sono strettamente necessari entrambi. Tuttavia, configurarli entrambi è fortemente consigliato: aggiunge ridondanza e DKIM sopravvive all'inoltro delle email, mentre SPF spesso si rompe in quel caso. Avere entrambi i metodi di autenticazione allineati ti garantisce i risultati DMARC più affidabili.

Strumenti correlati

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어