Defaults.Exposed

Defaults.Exposed › Report

Cos'è DMARC? p=none, quarantine e reject spiegati (2026)

Pubblicato 2026-07-01

Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. DMARC è la policy DNS che indica ai server di posta riceventi cosa fare con i messaggi che non superano l’autenticazione. Vedi come assegniamo i voti.

DMARC è l’istruzione che decide se un’email contraffatta a tuo nome viene rifiutata, messa in quarantena o recapitata normalmente. Ha tre impostazioni — none, quarantine, reject — e solo le ultime due ti proteggono davvero. Sui 261 milioni di domini, solo il 10,59% è in modalità applicativa. Gran parte degli altri non pubblica nulla (75,11%) oppure pubblica un record di solo monitoraggio che sembra una protezione ma non blocca nulla (14,29%). Ecco cosa fa ciascuna policy.

Cosa significano le tre policy DMARC

DMARC collega SPF e DKIM all’indirizzo “From” visibile e indica ai riceventi cosa fare in caso di errore:

Insieme, quarantine e reject — le due policy applicative — coprono appena il 10,59% dei domini. Solo il 8,89% raccoglie i report aggregati (rua) che ti dicono chi invia a tuo nome.

”Abbiamo pubblicato DMARC” non è la stessa cosa di “applichiamo DMARC”

Questa è la trappola. Pubblicare un record sembra il traguardo, ma un record p=none è un rilevatore di fumo senza batteria — osserva, non agisce. E i refusi ti declassano silenziosamente a nessuna protezione: 48.648 domini (0,07% dei record DMARC) hanno un token di policy che i riceventi non riescono a leggere — errori di ortografia come quarentine o la lingua sbagliata — quindi viene trattato come assenza di policy. Vedi perché p=none non è una protezione e refusi DMARC.

Come imposto DMARC?

Fallo in ordine — passare alla modalità applicativa prima che SPF e DKIM siano solidi farà rimbalzare la tua stessa posta:

  1. Pubblica prima SPF e DKIM e verifica che la tua posta legittima superi entrambi.
  2. Parti da p=none con rua — un record come v=DMARC1; p=none; rua=mailto:you@yourdomain. Osserva i report per qualche settimana per individuare ogni mittente reale.
  3. Passa a p=quarantine, poi a p=reject una volta che i report sono puliti. Quest’ultimo passaggio è quello che ferma davvero l’impersonificazione. Vedi correggi DMARC.

Applicazione per estensione di dominio

Più alto è, meglio è — la quota che blocca effettivamente le contraffazioni. Al 2026-06-29:

Estensione di dominioDMARC applicativo
.nl (Paesi Bassi)29,43%
.de (Germania)21,38%
.uk (Regno Unito)13,42%
.com9,50%
.net10,08%
.org10,01%
.xyz5,15%

Anche l’estensione grande più forte applica la policy solo su una minoranza dei suoi domini.

Domande frequenti

Cos’è un record DMARC? Un record DNS TXT su _dmarc.yourdomain che inizia con v=DMARC1, il cui valore p= indica ai riceventi cosa fare con la posta che non supera l’autenticazione: none, quarantine o reject.

p=none è sufficiente? No. p=none è solo monitoraggio e non blocca nulla. Il 14,29% dei domini si ferma qui e resta contraffattibile. Solo quarantine o reject ti protegge.

Qual è la differenza tra quarantine e reject? quarantine invia allo spam la posta che fallisce; reject la rifiuta del tutto. Reject è la più forte. Al 2026-06-29, il 5,28% dei domini usa quarantine e il 5,31% usa reject.

DMARC bloccherà la mia stessa email? Solo se SPF o DKIM non sono stati configurati correttamente prima. Ecco perché si parte da p=none, si osservano i report e si stringe la policy una volta che tutti i mittenti reali superano i controlli.

DMARC è gratuito? Sì — è un record DNS. Il costo è il tempo necessario per implementarlo in sicurezza, non il denaro.

Controlla gratis il DMARC del tuo dominio

Scopri se la tua policy DMARC applica davvero — in modo privato e solo per il proprietario.

Controlla il tuo dominio → · Correggi DMARC → · Qualcuno può contraffare il mio dominio? → · Come assegniamo i voti → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.