Defaults.Exposed

Defaults.Exposed › Report

Qualcuno può inviare e-mail fingendosi la tua azienda? Per la maggior parte dei domini, sì (2026)

Pubblicato 2026-06-29

Dati al 2026-06-29 · metodologia v7. Dati censuari aggregati su 261 milioni di domini valutati. «Può essere falsificato» significa che il dominio non applica il DMARC (nessuna politica di quarantena o rifiuto), il controllo che indica ai server di posta riceventi di bloccare la posta contraffatta. Vedi come valutiamo.

Per la maggior parte delle aziende, sì — qualcuno può inviare email che sembrano provenire esattamente dal tuo dominio. Solo il 10,59% dei 261 milioni di domini che abbiamo valutato applica il DMARC, l’unico controllo che blocca davvero l’impersonificazione. Il restante 89,41% lascia la porta aperta: un truffatore può inserire il tuo indirizzo esatto nella riga «Da» e la maggior parte delle caselle di posta lo mostrerà come autentico. Questo è il meccanismo dietro le fatture false, le richieste di pagamento da frode del CEO e le truffe ai fornitori — e tentare non costa nulla.

Qualcuno può davvero inviare email a nome del mio dominio?

Se il tuo dominio non applica il DMARC, allora sì. L’email è stata progettata senza un modo integrato per verificare il mittente, quindi l’indirizzo «Da» è banale da falsificare. Tre impostazioni, a strati, risolvono il problema — SPF, DKIM e DMARC — ma solo l’ultima, impostata su applicazione, indica al server ricevente di rifiutare o mettere effettivamente in quarantena una falsificazione. Al 2026-06-29:

Quindi il 89,41% dei domini — più di otto su dieci — oggi può essere impersonato nelle email.

«Ma noi abbiamo SPF» — perché non basta

Questo è l’equivoco più comune e più pericoloso. Il 53,21% dei domini pubblica un record SPF, molti più del 10,59% che applica il DMARC. I proprietari vedono SPF e presumono di essere protetti. Non lo sono: SPF (e DKIM) controllano il percorso tecnico di invio, ma non governano l’indirizzo «Da» che una persona vede effettivamente. Senza DMARC impostato su applicazione, un attaccante può comunque superare SPF sulla propria infrastruttura e falsificare il tuo indirizzo visibile. SPF è un impianto idraulico necessario; l’applicazione del DMARC è la serratura.

Quanto è esposto il tuo angolo del web?

L’applicazione varia ampiamente in base alla terminazione del dominio. Più alto è meglio — è la quota di domini che bloccano effettivamente l’impersonificazione. Al 2026-06-29:

Terminazione del dominioChe applicano DMARCPossono essere falsificati
.nl (Paesi Bassi)29,43%29,43% protetti, il resto esposto
.de (Germania)21,38%
.in (India)19,26%
.uk (Regno Unito)13,42%
.com9,50%la terminazione più usata si colloca al di sotto della media globale del 10,59%
.net10,08%
.org10,01%
.xyz5,15%
.top3,17%
.cn (Cina)1,45%la più bassa tra le principali terminazioni

Persino la terminazione grande con le migliori prestazioni protegge meno di un terzo dei suoi domini. Su .com — dove vive la maggior parte delle aziende — solo il 9,50% applica il DMARC.

Quanto costa davvero a un’azienda

L’impersonificazione via email è il meccanismo dietro alcuni dei crimini online più costosi segnalati alle forze dell’ordine in tutto il mondo — la compromissione della posta aziendale. Lo schema è sempre lo stesso:

Nulla di tutto questo richiede di violare i tuoi sistemi. Richiede solo che il tuo dominio non applichi il DMARC — cosa che, per il 89,41% dei domini, non avviene.

Come capire se sei protetto (e correggere)

Non puoi capire dall’esterno se tu rientri nel 10,59% — l’unico modo per saperlo è controllare il tuo dominio. La correzione è gratuita e di solito richiede un pomeriggio, eseguita in ordine: pubblica SPF e DKIM, poi porta il DMARC all’applicazione (p=nonequarantinereject). L’ultimo passaggio è quello che chiude davvero la porta.

Domande frequenti

Qualcuno può inviare un’email fingendosi la mia azienda? Se il tuo dominio non applica il DMARC (una politica di quarantena o rifiuto), sì — il tuo esatto indirizzo «Da» può essere falsificato e la maggior parte delle caselle di posta lo mostrerà come autentico. Al 2026-06-29, il 89,41% dei domini valutati si trova in questo stato.

Abbiamo già SPF — non siamo al sicuro? No. SPF controlla il percorso tecnico di invio ma non l’indirizzo «Da» visibile. Il 53,21% dei domini pubblica SPF, ma senza DMARC impostato su applicazione il tuo indirizzo può comunque essere falsificato. Hai bisogno del DMARC su quarantine o reject.

Non basta un record DMARC? Solo se applica. Un record impostato su p=none (solo monitoraggio) — che il 14,29% dei domini usa — non fa nulla per fermare lo spoofing. Solo quarantine o reject lo fanno, e solo il 10,59% dei domini ci arriva.

Come controllo il mio dominio? Esegui un controllo gratuito e privato (sotto). Mostriamo il risultato di un dominio solo al suo proprietario verificato.

È costoso correggere questo? No. SPF, DKIM e DMARC sono impostazioni DNS gratuite. Il costo è il tempo per configurarli nell’ordine giusto, non denaro.

Controlla se il tuo dominio può essere falsificato

Non indovinare da che parte del 10,59% ti trovi. Controlla il tuo dominio in modo privato e gratuito — vedrai lo stato del tuo DMARC, SPF e DKIM ed esattamente cosa correggere.

Controlla il tuo dominio → · Correggi DMARC → · Correggi SPF → · Come valutiamo → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.