Defaults.Exposed

Defaults.Exposed › Report

Le 6 fasi della maturità DMARC

Pubblicato 2026-07-03 · aggiornato 2026-07-03

Dati aggiornati al 2026-06-29 · metodologia v7. Questo è un modello di riferimento supportato da un censimento ricorrente; ogni edizione rimisura la stessa popolazione, così i numeri possono essere monitorati nel tempo. Tutti i dati sono aggregati — non pubblichiamo mai la valutazione di una singola azienda.

Pubblicare un DMARC non è la stessa cosa che essere protetti

Su 261 milioni di domini misurati, il 24,89% pubblica un record DMARC — ma solo il 10,59% lo applica. In altre parole: dei circa 65 milioni di domini che hanno iniziato il percorso DMARC, il 57,5% non ha mai raggiunto la parte che blocca qualcosa. Hanno pubblicato un record, indirizzato la reportistica da qualche parte e si sono fermati. Studi indipendenti più piccoli rilevano lo stesso andamento — un report di settore del 2026 lo ha stimato al ~9% di applicazione tra i ~938.000 domini esaminati.

L’adozione non è più il problema. La protezione lo è. E i domini si bloccano per una ragione strutturale: le mappe che tutti usano si fermano troppo presto. Terminano troppo in anticipo, e nessuna di esse dà un nome proprio al passaggio più difficile.

Dove si fermano le mappe esistenti

I modelli con cui il settore si orienta erano validi per la loro epoca e meritano una lettura equa:

Tutti e tre condividono due limiti. Primo, si fermano a p=reject — come se l’applicazione fosse il traguardo. Non lo è: lo standard stesso è andato avanti (DMARCbis — RFC 9989, 9990 e 9991 — è stato pubblicato a maggio 2026, sostituendo l’originale RFC 7489), e l’applicazione non fa nulla per la sicurezza del trasporto o la fiducia nel marchio. Secondo — ed è quello che di fatto lascia i domini bloccati — nessuno di essi rende “ogni mittente censito” una fase con un nome proprio. Per correttezza, le guide di distribuzione menzionano il lavoro: il modello di dmarcian include l’identificazione delle fonti come attività all’interno della sua fase di monitoraggio. Ma un’attività sepolta dentro una fase è esattamente il modo in cui viene trattata — come parte del “monitoraggio” anziché come il risultato distinto che è. Vedere arrivare i report sembra progresso. Non lo è, ancora. La ragione principale per cui i domini restano a p=none per anni è che possono vedere la propria posta ma non l’hanno censita — quindi non osano applicare, per paura di rompere qualcosa di reale.

Un modello utile deve dare a quel passaggio un nome proprio e criteri di uscita propri. Questo lo fa. Lo chiamiamo il Modello di Maturità dell’Adozione DMARC — DAMM: sei fasi, una mossa ciascuna, e un nome che puoi citare.

Il modello

Le sei fasi della maturità DMARC — da Non protetto a Rafforzato, con il muro tra Osservazione e Visibilità

Fase 1 — Non protetto. Nessun record DMARC — oppure SPF e DKIM incompleti al di sotto. Chiunque può inviare email a nome del tuo dominio, e nulla, da nessuna parte, sta controllando. La mossa: configura SPF e DKIM per la tua posta principale, e verifica che si autentichino e siano allineati. DMARC si basa su entrambi; non puoi saltare questa base.

Fase 2 — Autenticato. SPF e DKIM sono corretti e allineati per il tuo flusso di posta principale. La tua posta legittima dimostra la propria origine — ma nulla dice alle caselle di posta del mondo cosa fare della posta che non lo fa. La mossa: pubblica un record DMARC a p=none con un indirizzo di reportistica rua=.

Fase 3 — Osservazione. Il DMARC è pubblicato, i report aggregati stanno arrivando, e per la prima volta puoi vedere chi invia a nome del tuo dominio. Nulla è bloccato. La maggior parte degli strumenti chiama questa fase “visibilità” — noi deliberatamente no, perché vedere i report e comprenderli sono risultati diversi. La mossa: identifica ogni fonte legittima che invia a nome del tuo dominio, e allinea ciascuna.

Fase 4 — Visibilità. Ogni mittente legittimo è identificato e allineato — la piattaforma newsletter, il sistema di fatturazione, il CRM, quella cosa a cui il marketing si è iscritto la primavera scorsa. Conosci la tua posta. Nulla di legittimo si romperà se applichi. Questa è la fase che le vecchie mappe saltano, e il muro che la maggior parte dei domini non scala mai. La mossa: alza la policy — p=none → p=quarantine (la modalità di test t=y di DMARCbis aiuta qui) → p=reject.

Fase 5 — Applicato. p=quarantine o p=reject è attivo, con i sottodomini coperti da una policy sp= esplicita. La posta che non supera l’autenticazione viene ora effettivamente messa in quarantena o rifiutata presso i destinatari partecipanti — che includono ogni principale provider di caselle di posta — così lo spoofing diretto del tuo dominio esatto smette di arrivare a destinazione dove DMARC viene controllato. La mossa: aggiungi lo strato di rafforzamento — la copertura np= e il tree-walk di DMARCbis, MTA-STS e TLS-RPT per il trasporto, BIMI se la visualizzazione del marchio è importante per te.

Fase 6 — Rafforzato e sostenuto. Applicazione più lo stack moderno: copertura dei sottodomini inesistenti (np=) da DMARCbis, MTA-STS e TLS-RPT che proteggono la posta in transito, BIMI dove ripaga il suo costo — e, soprattutto, monitoraggio continuo della deriva e dei nuovi mittenti. Questo non è un distintivo; è una disciplina. Compaiono nuovi mittenti, i provider cambiano IP, le configurazioni si deteriorano. La mossa: resta qui.

La corsia senza posta. Misurato sull’intero inventario dei domini — inclusi i domini morti — il 51,5% dei domini non esegue alcun servizio di posta, e per loro il percorso si riduce a un unico passaggio. Un dominio che non invia mai dovrebbe pubblicare immediatamente SPF -all e DMARC p=reject: non c’è posta legittima da proteggere, quindi non c’è nulla da osservare e nessun muro da scalare. I domini di marchio parcheggiati e dormienti passano direttamente ad Applicato con un’unica modifica DNS — e così facendo chiudono uno dei vettori di impersonificazione più comuni che esistano.

Il muro: Fase 3 → 4

Ogni altra transizione in questo modello è una modifica DNS. Questa è lavoro investigativo — ed è dove muoiono i mesi.

Passare da Osservazione a Visibilità significa attribuire ogni fonte di invio presente nei tuoi report a un sistema reale: quale ESP, quale CRM, il relay di posta di quale ufficio regionale, quale strumento SaaS collegato da qualcuno nel 2023 e poi dimenticato. Significa trovare i mittenti shadow-IT che nessuno ha documentato. Significa sistemare l’allineamento ESP per ESP, perché ogni piattaforma ha il proprio modo di autenticarsi per tuo conto — alcune di esse sbagliate per impostazione predefinita.

Saltare il muro è come DMARC si è guadagnato la sua reputazione spaventosa. Applica da Osservazione — senza Visibilità — e bloccherai qualcosa di reale: un ciclo di fatturazione, un flusso di reimpostazione password, la newsletter del CEO. Poi arriva il ripristino nel panico a p=none, l’analisi interna post-mortem, e la lezione che tutti imparano nel modo sbagliato: “abbiamo provato DMARC e ha rotto le email.” La maggior parte delle storie dell’orrore su DMARC è esattamente questo — applicazione tentata con una fase di anticipo. Il muro non è una ragione per fermarsi alla Fase 3. È la ragione per cui la Fase 4 esiste.

Questa è anche la fase in cui i proprietari più spesso si fanno aiutare — un fornitore IT o un servizio di monitoraggio DMARC può svolgere il lavoro di identificazione dei mittenti; le fasi restano le stesse in ogni caso.

La parte che tutti dimenticano: Fase 5 → 6

Raggiungere p=reject ferma lo spoofing diretto del tuo dominio nel campo From:, presso i destinatari che lo controllano. Questo è necessario — e non è sufficiente. Vale anche la pena nominare ciò che l’applicazione non ha mai coperto: i domini sosia (yourc0mpany.com) e l’impersonificazione del nome visualizzato si trovano interamente al di fuori della portata di DMARC, quindi l’applicazione chiude la porta del dominio esatto e lascia quelle adiacenti alla vigilanza e ad altri controlli.

L’applicazione non fa nulla per il trasporto: senza MTA-STS e TLS-RPT, la posta verso il tuo dominio può ancora essere declassata o intercettata in transito. Non fa nulla per il riconoscimento del marchio: BIMI — il tuo logo, visualizzato nella casella di posta — è un segnale di fiducia, non un controllo di sicurezza, ed è onesto trattarlo come tale (richiede anche un certificato a pagamento, motivo per cui è ultimo, non primo). E il semplice p=reject precede DMARCbis: il tag np= e il tree-walk dei nuovi RFC chiudono la lacuna dei sottodomini inesistenti che le distribuzioni più vecchie lasciano aperta.

Un dominio a p=reject senza nessuno degli elementi di cui sopra è protetto dall’attacco più comune e impreparato per il resto. Questa è una distinzione reale, e merita una fase propria.

La tua fase è misurabile

Questo modello non è solo un diagramma — la fase di un dominio è calcolabile, ed è ciò che lo separa da un poster appeso al muro.

Le fasi dalla 3 alla 6 possono essere derivate dai dati di reportistica DMARC del dominio stesso più i suoi record pubblicati: quale policy è attiva, se i report arrivano, e se ogni mittente osservato è allineato. Le fasi 1 e 2 sono valutate con un controllo DNS in tempo reale, poiché non esiste ancora alcun report. Un limite onesto in ciascuna direzione: la Fase 4 è confermata da evidenze nel tempo — “ogni mittente osservato è allineato attraverso un numero sufficiente di giorni di reportistica” è un forte indicatore indiretto, ma nessun report può rivelare il mittente che non hai ancora collegato. E lo strato di rafforzamento della Fase 6 — MTA-STS, TLS-RPT, BIMI — è invisibile nei report DMARC; ci vuole un controllo DNS per vederlo. Un dominio può sembrare “completo” dai suoi report e comunque portarsi dietro una lacuna nascosta tra Fase 5 → 6. Questo è il modello rispetto al quale la nostra stessa analisi di reportistica misura, ostacoli inclusi.

Un esempio pratico

Un’azienda di medie dimensioni utilizza Microsoft 365 dietro un gateway di filtraggio della posta. SPF termina in -all, DKIM è configurato, DMARC è pubblicato a p=none, e i report arrivano a uno strumento di monitoraggio. Sulle vecchie mappe questo sembra quasi completo. Su questa è alla Fase 3 — Osservazione: la configurazione difficile è completata, e il dominio si è bloccato esattamente al muro — visibile, non protetto. La mossa di maggior valore è 3 → 4 → 5: verifica che i (probabilmente pochi) mittenti legittimi siano tutti allineati, poi alza la policy per fasi. Per un dominio in questa forma, di solito si tratta di settimane di attenzione, non di mesi — il muro è più alto per chi non lo mappa mai.

Trova la tua fase

La domanda da mandare in pensione è “abbiamo il DMARC?” — il 24,89% dei domini può rispondere di sì mentre il 57,5% di essi resta spoofabile. La domanda migliore è “a quale fase siamo, e qual è l’unica mossa verso la successiva?” Ogni dominio su internet si trova oggi esattamente a una di queste sei fasi. Sapere quale trasforma un’ansia in una lista di cose da fare.

Dove si colloca internet nelle sei fasi — la maggior parte dei domini non ha alcun record DMARC; la maggior parte di quelli che ce l'hanno è bloccata prima dell'applicazione

Domande frequenti

Cos’è il DAMM? Il Modello di Maturità dell’Adozione DMARC — il modello a sei fasi di questa pagina: Non protetto, Autenticato, Osservazione, Visibilità, Applicato, Rafforzato. La fase di un dominio è misurabile dal suo DNS e dai suoi dati di reportistica DMARC, ed è ciò che lo separa da un poster appeso al muro.

Pubblicare p=none è dunque inutile? No — è la Fase 3, e la Fase 3 è portante: la reportistica è il modo in cui trovi ogni mittente prima di applicare. Diventa un problema solo quando viene trattata come una destinazione. Vedi perché p=none non è protezione.

Posso saltare direttamente a p=reject? Se il tuo dominio non invia posta — sì, oggi stesso, e dovresti farlo. Se invia posta — no: applicare senza Visibilità (Fase 4) è il modo in cui la posta legittima si rompe e avvengono i ripristini. Le fasi sono il percorso sicuro, non una formalità.

Ho bisogno di BIMI per essere “completo”? No. BIMI è lo strato di visualizzazione del marchio della Fase 6 e l’elemento più opzionale del modello — MTA-STS, TLS-RPT e la copertura np= di DMARCbis sono le parti che rafforzano concretamente un dominio. Se il costo del certificato non è giustificato per te, saltalo e mantieni il resto della Fase 6.

Dove si collocano SPF e DKIM? Alla base di tutto — sono le Fasi 1 → 2, e SPF senza DMARC protegge meno di quanto la maggior parte dei proprietari presuma. Dal 2024, i principali destinatari hanno anche richiesto l’autenticazione senza mezzi termini ai mittenti massivi.

Verifica a che punto si trova il tuo dominio

Queste fasi sono pattern di popolazione — il tuo dominio si trova esattamente a una di esse, e la mossa successiva è conoscibile. Puoi verificare in modo privato e gratuito, e vedere quali dei 34 controlli superi e come sistemare quelli che non superi.

Verifica il tuo dominio → · Come abbiamo valutato internet → · Il pilastro DMARC → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.