Defaults.Exposed

Defaults.Exposed › Report

Pubblicare alla cieca: la maggior parte dei record DMARC non richiede alcun report

Pubblicato 2026-07-03 · aggiornato 2026-07-03

Dati aggiornati al 2026-06-29 · metodologia v7. Dati del censimento su ogni dominio che pubblica un record DMARC analizzabile, deduplicati per dominio. La presenza di rua= è misurata su tutti i record, quindi la sua esatta sovrapposizione con una singola policy non è ricavabile — laddove questo articolo formula affermazioni su tale sovrapposizione, indica dei limiti, mai tabelle incrociate esatte. Tutti i dati sono aggregati — non pubblichiamo mai il voto di una singola azienda.

La maggior parte dei record DMARC non sta osservando

Degli 65 milioni di domini che pubblicano un record DMARC, solo 23 milioni — il 35,7% — includono il tag rua= che richiede i report aggregati. L’altro 64,3% pubblica alla cieca: c’è una policy sul record, ma nessuno ha chiesto di essere informato su ciò che accade sotto di essa. Si tratta di 42 milioni di domini con un record DMARC che non è in grado di mostrare loro nulla.

Un record DMARC senza reporting è un campanello senza nessuno in casa. I server di posta destinatari controllano diligentemente ogni messaggio a fronte di esso — e i loro risultati, l’elenco di tutti coloro che inviano a nome del tuo dominio, non vanno da nessuna parte. Il meccanismo funziona; è solo il proprietario che non sta ascoltando.

Cosa fa davvero rua=

DMARC ha due metà. La metà policy (p=none, quarantine o reject) indica ai destinatari cosa fare con la posta che non supera l’autenticazione. La metà reporting — il tag rua=, un indirizzo di casella di posta — chiede ai destinatari di inviarti report aggregati giornalieri: quali server hanno inviato a nome del tuo dominio, quanta posta e se ha superato SPF e DKIM.

Quella seconda metà è l’intero ciclo di feedback. I report sono il modo in cui scopri la piattaforma di newsletter che nessuno ha documentato, lo strumento di fatturazione che il marketing ha collegato, il mittente ombra in un’altra regione — prima di applicare l’enforcement e romperli. Senza rua=, nessuna di queste informazioni ti raggiunge mai. Aggiungerlo costa una sola modifica DNS: aggiungi rua=mailto:[email protected] (o l’indirizzo di un servizio di monitoraggio) al record esistente.

Il divario tra le Fasi 2 e 3: pubblicato e cieco

Nelle sei fasi della maturità DMARC, la Fase 3 — Osservazione — inizia quando DMARC è pubblicato e i report aggregati stanno fluendo. Un record senza rua= non si qualifica. Si colloca nel divario tra le Fasi 2 e 3 — pubblicato e cieco — un luogo che il modello lascia deliberatamente senza un numero proprio.

Questo è importante perché ogni fase successiva dipende dai report. Non puoi identificare i tuoi mittenti (Fase 4) da report che non ricevi mai; non puoi applicare l’enforcement in sicurezza (Fase 5) senza conoscere i tuoi mittenti. Un record cieco non è un primo passo del percorso — è una piazzola appena fuori da esso. E il censimento suggerisce che la maggior parte dei titolari di record è parcheggiata lì o nelle vicinanze: il 57,5% di tutti i record DMARC non raggiunge mai l’enforcement.

Peggio che inutile, perché sembra un progresso

Un record DMARC mancante almeno appare per quello che è: una lacuna. Uno cieco sembra una spunta. Qualcuno ha eseguito una checklist di conformità, o una guida alla recapitabilità, o una correzione in una riga fornita da un vendor — ha pubblicato v=DMARC1; p=none — e lo scanner è diventato verde. L’organizzazione ora si sente più avanti rispetto all’organizzazione che non ha alcun record, pur essendo funzionalmente nello stesso punto: nessuna visibilità, nessun enforcement, nessun percorso verso l’uno o l’altro.

La conseguenza è silenziosa e cumulativa. I record ciechi non falliscono rumorosamente; semplicemente non generano mai le prove che giustificherebbero la mossa successiva. Anni dopo il record dice ancora p=none, nessuno sa dire quali mittenti siano legittimi, e applicare l’enforcement sembra più rischioso che mai — proprio perché non è mai stato raccolto alcun report.

Cosa può e cosa non può dire il censimento

Poiché la presenza di rua= è misurata su tutti gli 65 milioni di record — non tabulata in modo incrociato per policy — il numero esatto di record p=none che sono anche ciechi non è ricavabile da questi marginali. I limiti restano comunque netti. 37 milioni di record (il 57,4% dei titolari di record) si trovano a p=none; solo 23 milioni di record nell’intero censimento richiedono report. Quindi al massimo 23 milioni di quei record p=none possono ricevere report — e almeno 14 milioni di essi sicuramente non ne ricevono, anche se ogni indirizzo di reporting nel censimento appartenesse a un dominio p=none. Comunque cada in realtà la sovrapposizione, milioni di domini si trovano in “modalità monitoraggio” con il monitor scollegato.

La correzione in una sola modifica

Se il tuo record DMARC non ha il tag rua=, la correzione è una singola modifica DNS ed è sicura a qualsiasi livello di policy:

  1. Scegli una destinazione per i report — una casella di posta che elaborerai davvero, oppure un servizio di monitoraggio DMARC gratuito/a pagamento che trasforma l’XML in qualcosa di leggibile.
  2. Aggiungilo al record: v=DMARC1; p=none; rua=mailto:[email protected]. Se la destinazione è un dominio diverso, quel dominio deve autorizzare la ricezione dei tuoi report (un piccolo record DNS aggiuntivo dal suo lato).
  3. Aspetta qualche giorno, poi leggi. I report arrivano quotidianamente dai principali destinatari. Ciò che mostrano — ogni fonte che invia a nome del tuo dominio — è la mappa per il resto del percorso.

Allora il record smette di essere arredamento e comincia a essere uno strumento. (Correggi DMARC →.)

Domande frequenti

Cos’è un report DMARC rua? Un report XML aggregato che i server di posta destinatari partecipanti inviano (in genere quotidianamente) all’indirizzo nel tag rua= del tuo record, riepilogando quali fonti hanno inviato posta a nome del tuo dominio e se ha superato l’allineamento SPF e DKIM. Non contiene alcun contenuto dei messaggi — solo l’infrastruttura del mittente e i conteggi di superato/non superato.

DMARC senza rua è inutile? Non inutile — una policy di enforcement blocca comunque lo spoofing anche senza. Ma a p=none, un record senza rua= non blocca nulla e non ti mostra nulla — il suo unico compito rimasto è spuntare la casella del requisito minimo dei provider di posta. E persino i domini con enforcement ma senza reporting perdono il rilevamento della deriva che mantiene sicuro l’enforcement man mano che appaiono nuovi mittenti. p=none non è protezione in ogni caso — senza report non è nemmeno preparazione.

rua= può puntare a una casella di posta qualsiasi? Sì, inclusa una su un dominio diverso — la maggior parte dei servizi di monitoraggio funziona esattamente così. Il dominio ricevente pubblica un piccolo record di verifica che autorizza i tuoi report. Ciò che conta è che qualcosa elabori davvero l’XML; una casella che nessuno legge è cecità con qualche passaggio in più.

I report aggregati espongono dati privati? No. I report aggregati rua contengono statistiche sulla fonte di invio e sull’autenticazione, non il corpo dei messaggi o gli elenchi dei destinatari. (I report di errore ruf=, separati, possono contenere frammenti di messaggi, motivo per cui molti destinatari non li inviano più — rua è quello che conta.)

Verifica se il tuo record sta osservando

Un record DMARC che non richiede alcun report è una delle correzioni più facili dell’intero percorso — una sola modifica DNS trasforma il cieco in Osservazione. Puoi verificarlo in modo privato e gratuito, e vedere quali dei 34 controlli superi e come correggere quelli che non superi.

Verifica il tuo dominio → · Le 6 fasi della maturità DMARC → · Il pilastro DMARC → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.