Defaults.Exposed › Report
Qualcuno può inviare e-mail fingendosi la tua azienda? Per la maggior parte dei domini, sì (2026)
Pubblicato 2026-06-29
Dati al 2026-06-29 · metodologia v7. Dati censuari aggregati su 261 milioni di domini valutati. «Può essere falsificato» significa che il dominio non applica il DMARC (nessuna politica di quarantena o rifiuto), il controllo che indica ai server di posta riceventi di bloccare la posta contraffatta. Vedi come valutiamo.
Per la maggior parte delle aziende, sì — qualcuno può inviare email che sembrano provenire esattamente dal tuo dominio. Solo il 10,59% dei 261 milioni di domini che abbiamo valutato applica il DMARC, l’unico controllo che blocca davvero l’impersonificazione. Il restante 89,41% lascia la porta aperta: un truffatore può inserire il tuo indirizzo esatto nella riga «Da» e la maggior parte delle caselle di posta lo mostrerà come autentico. Questo è il meccanismo dietro le fatture false, le richieste di pagamento da frode del CEO e le truffe ai fornitori — e tentare non costa nulla.
Qualcuno può davvero inviare email a nome del mio dominio?
Se il tuo dominio non applica il DMARC, allora sì. L’email è stata progettata senza un modo integrato per verificare il mittente, quindi l’indirizzo «Da» è banale da falsificare. Tre impostazioni, a strati, risolvono il problema — SPF, DKIM e DMARC — ma solo l’ultima, impostata su applicazione, indica al server ricevente di rifiutare o mettere effettivamente in quarantena una falsificazione. Al 2026-06-29:
- Il 75,11% dei domini non ha alcun record DMARC.
- Il 14,29% ha un record DMARC impostato su solo monitoraggio (
p=none) — sembra protezione in un audit, ma indica ai riceventi di non fare nulla, quindi la posta falsificata arriva comunque. - Solo il 10,59% applica una politica di
quarantineoreject— la configurazione che ferma l’impersonificazione.
Quindi il 89,41% dei domini — più di otto su dieci — oggi può essere impersonato nelle email.
«Ma noi abbiamo SPF» — perché non basta
Questo è l’equivoco più comune e più pericoloso. Il 53,21% dei domini pubblica un record SPF, molti più del 10,59% che applica il DMARC. I proprietari vedono SPF e presumono di essere protetti. Non lo sono: SPF (e DKIM) controllano il percorso tecnico di invio, ma non governano l’indirizzo «Da» che una persona vede effettivamente. Senza DMARC impostato su applicazione, un attaccante può comunque superare SPF sulla propria infrastruttura e falsificare il tuo indirizzo visibile. SPF è un impianto idraulico necessario; l’applicazione del DMARC è la serratura.
Quanto è esposto il tuo angolo del web?
L’applicazione varia ampiamente in base alla terminazione del dominio. Più alto è meglio — è la quota di domini che bloccano effettivamente l’impersonificazione. Al 2026-06-29:
| Terminazione del dominio | Che applicano DMARC | Possono essere falsificati |
|---|---|---|
| .nl (Paesi Bassi) | 29,43% | 29,43% protetti, il resto esposto |
| .de (Germania) | 21,38% | — |
| .in (India) | 19,26% | — |
| .uk (Regno Unito) | 13,42% | — |
| .com | 9,50% | la terminazione più usata si colloca al di sotto della media globale del 10,59% |
| .net | 10,08% | — |
| .org | 10,01% | — |
| .xyz | 5,15% | — |
| .top | 3,17% | — |
| .cn (Cina) | 1,45% | la più bassa tra le principali terminazioni |
Persino la terminazione grande con le migliori prestazioni protegge meno di un terzo dei suoi domini. Su .com — dove vive la maggior parte delle aziende — solo il 9,50% applica il DMARC.
Quanto costa davvero a un’azienda
L’impersonificazione via email è il meccanismo dietro alcuni dei crimini online più costosi segnalati alle forze dell’ordine in tutto il mondo — la compromissione della posta aziendale. Lo schema è sempre lo stesso:
- Un cliente riceve una «fattura» dal tuo indirizzo con le coordinate bancarie del truffatore, la paga e scopre la frode settimane dopo — spesso trattandola come una tua colpa.
- Un dipendente riceve una richiesta urgente «dal capo» di spostare denaro o comprare carte regalo. L’indirizzo è davvero il tuo, quindi obbedisce.
- A un fornitore viene detto «le nostre coordinate bancarie sono cambiate» in un’email che supera ogni controllo visivo.
Nulla di tutto questo richiede di violare i tuoi sistemi. Richiede solo che il tuo dominio non applichi il DMARC — cosa che, per il 89,41% dei domini, non avviene.
Come capire se sei protetto (e correggere)
Non puoi capire dall’esterno se tu rientri nel 10,59% — l’unico modo per saperlo è controllare il tuo dominio. La correzione è gratuita e di solito richiede un pomeriggio, eseguita in ordine: pubblica SPF e DKIM, poi porta il DMARC all’applicazione (p=none → quarantine → reject). L’ultimo passaggio è quello che chiude davvero la porta.
Domande frequenti
Qualcuno può inviare un’email fingendosi la mia azienda? Se il tuo dominio non applica il DMARC (una politica di quarantena o rifiuto), sì — il tuo esatto indirizzo «Da» può essere falsificato e la maggior parte delle caselle di posta lo mostrerà come autentico. Al 2026-06-29, il 89,41% dei domini valutati si trova in questo stato.
Abbiamo già SPF — non siamo al sicuro?
No. SPF controlla il percorso tecnico di invio ma non l’indirizzo «Da» visibile. Il 53,21% dei domini pubblica SPF, ma senza DMARC impostato su applicazione il tuo indirizzo può comunque essere falsificato. Hai bisogno del DMARC su quarantine o reject.
Non basta un record DMARC?
Solo se applica. Un record impostato su p=none (solo monitoraggio) — che il 14,29% dei domini usa — non fa nulla per fermare lo spoofing. Solo quarantine o reject lo fanno, e solo il 10,59% dei domini ci arriva.
Come controllo il mio dominio? Esegui un controllo gratuito e privato (sotto). Mostriamo il risultato di un dominio solo al suo proprietario verificato.
È costoso correggere questo? No. SPF, DKIM e DMARC sono impostazioni DNS gratuite. Il costo è il tempo per configurarli nell’ordine giusto, non denaro.
Controlla se il tuo dominio può essere falsificato
Non indovinare da che parte del 10,59% ti trovi. Controlla il tuo dominio in modo privato e gratuito — vedrai lo stato del tuo DMARC, SPF e DKIM ed esattamente cosa correggere.
Controlla il tuo dominio → · Correggi DMARC → · Correggi SPF → · Come valutiamo → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.