Esamina e valuta la tua policy DMARC
DNS e record
Lookup DNS Tutti i record DNS per qualsiasi dominio Lookup record A Indirizzi IPv4 di un dominio Lookup record AAAA Indirizzi IPv6 di un dominio Lookup MX Server di posta di un dominio Lookup NS Name server autoritativi Lookup TXT Record TXT, SPF, verifica Lookup CNAME Record di nome canonico (alias) Lookup SOA Record Start of Authority Lookup SRV Record di localizzazione dei servizi Lookup CAA Quali CA possono emettere certificati DNS inverso (PTR) Da indirizzo IP a hostname Verifica DNSSEC Il dominio è firmato e validato? Diagnostica DNS Un report completo di delega e DNSRecapitabilità email
Verifica SPF Valida il tuo record Sender Policy Framework Verifica DMARC Esamina e valuta la tua policy DMARC Verifica DKIM Trova e valida la tua chiave pubblica DKIM Verifica blacklist Verifica un IP rispetto alle blocklist email (DNSBL) Test SMTP Connettiti a un server di posta e verifica STARTTLS Verifica MTA-STS Policy TLS forzata per la posta in entrata Verifica BIMI Record del logo del brand per l'email Verifica TLS-RPT Policy di reportistica SMTP TLSRete e web
Verifica certificato SSL Esamina il certificato TLS e la scadenza di un sito Verifica header HTTP Esamina header di risposta, redirect e sicurezza Ping (TCP) Raggiungibilità e latenza su TCP Verifica porte Quali porte comuni sono aperteDominio
Lookup WHOIS Dati di registrazione per domini, IP e ASNDMARC si basa su SPF e DKIM per indicare ai destinatari cosa fare con la posta che non supera l'autenticazione e dove inviare i report. Una policy 'p=none' si limita a monitorare; 'quarantine' e 'reject' proteggono davvero il tuo dominio dallo spoofing. IPeek legge il record su _dmarc.tuo-dominio, analizza ogni tag e valuta la solidità della policy.
DMARC è un record TXT su _dmarc.tuo-dominio che inizia con v=DMARC1. Passa quando un messaggio supera SPF o DKIM e il dominio autenticato si allinea con il dominio From visibile. L'allineamento è la chiave: un truffatore può superare SPF o DKIM grezzo sul proprio dominio, ma non può allinearlo con il tuo. Un record come v=DMARC1; p=reject; rua=mailto:reports@tuo-dominio; adkim=s; aspf=s impone il rifiuto e richiede l'allineamento rigoroso sia per DKIM sia per SPF.
Il tag p definisce la tua policy. p=none si limita a monitorare — la posta continua a fluire, ma raccogli report per vedere chi invia a tuo nome. p=quarantine instrada la posta non conforme nello spam, mentre p=reject la blocca del tutto, la protezione più forte contro lo spoofing. Il tag pct consente di aumentare gradualmente l'applicazione (ad esempio pct=25), e sp imposta una policy separata per i sottodomini. Parti da none per raccogliere dati, poi stringi verso quarantine e reject una volta che i tuoi mittenti legittimi superano il controllo. IPeek valuta quanto è solida la tua policy attuale.
Il sistema di reportistica è ciò che rende DMARC concreto. Il tag rua indica una casella che riceve report aggregati XML giornalieri, riepilogando quali fonti hanno inviato posta a nome del tuo dominio e se hanno superato SPF, DKIM e allineamento. Usa questi report per individuare mittenti legittimi che hai dimenticato di autorizzare prima di stringere la policy. Il tag opzionale ruf richiede report forensi (per singolo fallimento), anche se la maggior parte dei destinatari non li invia più per motivi di privacy. Senza rua applichi la policy alla cieca.
p=none è una policy di solo monitoraggio. Indica ai destinatari di non intraprendere alcuna azione speciale sulla posta che non supera DMARC, quindi i messaggi vengono consegnati normalmente, ma ricevi comunque report aggregati che mostrano chi invia email a nome del tuo dominio. Usa p=none per raccogliere dati e identificare i mittenti legittimi, poi passa a quarantine o reject per una vera protezione dallo spoofing.
Entrambi applicano la policy, ma in modo diverso. p=quarantine indica ai destinatari di consegnare la posta non conforme nella cartella spam o posta indesiderata, mentre p=reject indica di bloccarla del tutto, così non raggiunge mai il destinatario. Reject è la protezione più forte contro lo spoofing. Quarantine è un passaggio intermedio comune prima di adottare il rifiuto completo.
L'allineamento richiede che il dominio autenticato da SPF o DKIM coincida con il dominio nell'intestazione From visibile. DMARC passa solo quando almeno uno dei due si allinea. L'allineamento rilassato (predefinito) consente ai sottodomini di corrispondere al dominio organizzativo; l'allineamento rigoroso (adkim=s, aspf=s) richiede una corrispondenza esatta. L'allineamento è ciò che impedisce agli aggressori di superare l'autenticazione sul proprio dominio.
Un record DMARC è un record TXT pubblicato sul sottodominio _dmarc del tuo dominio — ad esempio _dmarc.example.com. Deve iniziare con v=DMARC1 ed è pubblicato una sola volta per dominio organizzativo. I destinatari interrogano esattamente questa posizione per trovare la tua policy. IPeek legge automaticamente il record su _dmarc.tuo-dominio e analizza ogni tag che contiene.
No. DMARC passa se SPF oppure DKIM supera il controllo e si allinea con il tuo dominio From, quindi non sono strettamente necessari entrambi. Tuttavia, configurarli entrambi è fortemente consigliato: aggiunge ridondanza e DKIM sopravvive all'inoltro delle email, mentre SPF spesso si rompe in quel caso. Avere entrambi i metodi di autenticazione allineati ti garantisce i risultati DMARC più affidabili.