Defaults.Exposed

Defaults.Exposed › Report

Hai impostato DMARC su p=none — ecco perché sei ancora esposto (2026)

Pubblicato 2026-06-29

Dati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. “Applicare” significa una policy DMARC quarantine o reject. Vedi come valutiamo.

Se il tuo record DMARC dice p=none, il tuo dominio può ancora essere impersonato — il record sta monitorando, non proteggendo. Questa è la trappola di falsa sicurezza più comune nelle email: p=none sembra che DMARC sia “fatto”, supera un controllo di conformità superficiale e non fa nulla per fermare una falsificazione. Al 2026-06-29, il 14,29% di tutti i domini è su p=none — in realtà più del 10,59% che raggiunge una policy di applicazione.

Cosa fa davvero p=none

DMARC ha tre policy, e solo due di esse ti proteggono:

p=none esiste per una ragione: è il primo passo sicuro, in cui raccogli i report e confermi che la tua posta legittima passa prima di attivare l’applicazione. La trappola è fermarsi lì. Un dominio parcheggiato su p=none a tempo indeterminato è, dal punto di vista di un aggressore, identico a un dominio senza alcun DMARC — l’email falsificata arriva comunque nella casella di posta.

I numeri mostrano che la maggior parte dei domini si ferma troppo presto

Stato DMARCQuota di dominiProtetto?
Nessun record DMARC75,11%No
p=none (solo monitoraggio)14,29%No — la trappola
In applicazione (quarantine/reject)10,59%

Nel complesso, il 89,41% dei domini può essere impersonato — e una grossa fetta di essi ha un record DMARC, solo che non è in applicazione. Hanno fatto la parte difficile e si sono fermati a un passo dalla protezione.

Come passare da p=none alla protezione

Non salti direttamente a reject. Il percorso sicuro, una volta che i tuoi report mostrano che la posta legittima passa:

  1. Conferma l’allineamento su p=none — verifica che i report DMARC mostrino che i tuoi mittenti reali (SPF/DKIM) passano.
  2. Passa a p=quarantine — la posta che non supera i controlli va nello spam. Tieni d’occhio per una o due settimane.
  3. Passa a p=reject — la posta che non supera i controlli viene rifiutata. Questa è l’impostazione che ferma davvero l’impersonificazione.

È una progressione deliberata, non un interruttore una tantum — ma la destinazione è l’applicazione. Vedi come correggere DMARC.

Domande frequenti

p=none ferma lo spoofing delle email? No. p=none si limita a monitorare — i server riceventi consegnano comunque la posta falsificata. Solo p=quarantine o p=reject ferma l’impersonificazione. Il 14,29% dei domini è bloccato su p=none.

p=none è meglio di nessun DMARC? Solo per te, come passo temporaneo per raccogliere report. Per la protezione contro l’impersonificazione, equivale a non averne nessuno — la falsificazione passa comunque.

Per quanto tempo dovrei restare su p=none? Giusto il tempo necessario per confermare che la tua posta legittima passa — di solito qualche settimana — poi passa a quarantine e reject. Un p=none a tempo indeterminato è la trappola.

Come faccio a sapere se sto applicando? Controlla il tuo dominio (sotto) — legge la tua policy effettiva e ti dice se è in applicazione, solo monitoraggio o assente.

Verifica se il tuo DMARC ti protegge davvero

p=none è un punto di controllo, non una destinazione. Controlla il tuo dominio gratuitamente e in modo privato — vedi la tua policy reale e il percorso verso l’applicazione.

Controlla il tuo dominio → · Correggi DMARC → · Qualcuno può impersonare il tuo dominio? → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.