Defaults.Exposed › Report
Hai impostato DMARC su p=none — ecco perché sei ancora esposto (2026)
Pubblicato 2026-06-29
Dati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. “Applicare” significa una policy DMARC
quarantineoreject. Vedi come valutiamo.
Se il tuo record DMARC dice p=none, il tuo dominio può ancora essere impersonato — il record sta monitorando, non proteggendo. Questa è la trappola di falsa sicurezza più comune nelle email: p=none sembra che DMARC sia “fatto”, supera un controllo di conformità superficiale e non fa nulla per fermare una falsificazione. Al 2026-06-29, il 14,29% di tutti i domini è su p=none — in realtà più del 10,59% che raggiunge una policy di applicazione.
Cosa fa davvero p=none
DMARC ha tre policy, e solo due di esse ti proteggono:
p=none— “solo monitoraggio”. Dice ai server di posta riceventi di segnalare la posta falsificata ma di consegnarla comunque. Nessuna protezione. 14,29% dei domini.p=quarantine— inviare la posta che non supera i controlli nello spam.p=reject— rifiutare direttamente la posta che non supera i controlli.
p=none esiste per una ragione: è il primo passo sicuro, in cui raccogli i report e confermi che la tua posta legittima passa prima di attivare l’applicazione. La trappola è fermarsi lì. Un dominio parcheggiato su p=none a tempo indeterminato è, dal punto di vista di un aggressore, identico a un dominio senza alcun DMARC — l’email falsificata arriva comunque nella casella di posta.
I numeri mostrano che la maggior parte dei domini si ferma troppo presto
| Stato DMARC | Quota di domini | Protetto? |
|---|---|---|
| Nessun record DMARC | 75,11% | No |
p=none (solo monitoraggio) | 14,29% | No — la trappola |
In applicazione (quarantine/reject) | 10,59% | Sì |
Nel complesso, il 89,41% dei domini può essere impersonato — e una grossa fetta di essi ha un record DMARC, solo che non è in applicazione. Hanno fatto la parte difficile e si sono fermati a un passo dalla protezione.
Come passare da p=none alla protezione
Non salti direttamente a reject. Il percorso sicuro, una volta che i tuoi report mostrano che la posta legittima passa:
- Conferma l’allineamento su
p=none— verifica che i report DMARC mostrino che i tuoi mittenti reali (SPF/DKIM) passano. - Passa a
p=quarantine— la posta che non supera i controlli va nello spam. Tieni d’occhio per una o due settimane. - Passa a
p=reject— la posta che non supera i controlli viene rifiutata. Questa è l’impostazione che ferma davvero l’impersonificazione.
È una progressione deliberata, non un interruttore una tantum — ma la destinazione è l’applicazione. Vedi come correggere DMARC.
Domande frequenti
p=none ferma lo spoofing delle email?
No. p=none si limita a monitorare — i server riceventi consegnano comunque la posta falsificata. Solo p=quarantine o p=reject ferma l’impersonificazione. Il 14,29% dei domini è bloccato su p=none.
p=none è meglio di nessun DMARC? Solo per te, come passo temporaneo per raccogliere report. Per la protezione contro l’impersonificazione, equivale a non averne nessuno — la falsificazione passa comunque.
Per quanto tempo dovrei restare su p=none?
Giusto il tempo necessario per confermare che la tua posta legittima passa — di solito qualche settimana — poi passa a quarantine e reject. Un p=none a tempo indeterminato è la trappola.
Come faccio a sapere se sto applicando? Controlla il tuo dominio (sotto) — legge la tua policy effettiva e ti dice se è in applicazione, solo monitoraggio o assente.
Verifica se il tuo DMARC ti protegge davvero
p=none è un punto di controllo, non una destinazione. Controlla il tuo dominio gratuitamente e in modo privato — vedi la tua policy reale e il percorso verso l’applicazione.
Controlla il tuo dominio → · Correggi DMARC → · Qualcuno può impersonare il tuo dominio? → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.