Defaults.Exposed › DMARC
DMARC: adozione, maturità e classifiche
Dati aggiornati al 2026-06-29 · Edizione #1 · dati al 2026-06-29
Il DMARC è il record DNS che dice alle caselle di posta del mondo cosa fare con le email che fingono di provenire dal tuo dominio — consegnarle, metterle in quarantena o rifiutarle. Non pubblicare nulla (o lasciarlo in sola modalità di monitoraggio) e chiunque può mettere il tuo nome nella riga "From" di un'email. Questa sezione misura come l'intera internet usa davvero il DMARC — e dà ai risultati nomi chiari e citabili.
Censimento, non campione: 261 milioni di domini misurati. Il 10.6% applica il DMARC; il 75.1% non pubblica alcun record.
Il modello: il DMARC Adoption Maturity Model (DAMM)
I numeri sull'adozione significano qualcosa solo rispetto a una mappa. La nostra è il DMARC Adoption Maturity Model — DAMM: sei stadi da Non protetto a Rafforzato, una mossa per stadio, e un solo muro onesto nel mezzo — il passaggio da Observing (report in arrivo) a Visibility (ogni mittente identificato) che la maggior parte dei domini non scala mai. Ogni tabella e report in questa sezione è DAMM applicato al censimento.
È ora di dare un DAMM.
I denominatori permanenti
Ogni pagina DMARC di questo sito usa gli stessi denominatori, così che nessuna statistica qui possa cambiare silenziosamente la propria base:
- 65 milioni di domini pubblicano un record DMARC — il 24.9% dei 261 milioni di domini valutati.
- 27.6 milioni applicano (p=quarantine o p=reject) — il 42.5% dei record, il 10.6% di tutti i domini valutati.
- Cifre al 2026-06-29 (edizione #1); aggiornate mensilmente con il censimento.
A quale stadio sei? Sei domande
Inizia dalla domanda 0, poi rispondi in ordine — il primo "no" è il tuo stadio. Non serve altro che un'occhiata ai tuoi record DNS e alla tua casella di posta — e se non riesci a rispondere a una, non tirare a indovinare: il controllo gratuito legge il tuo DNS in tempo reale e risponde per te alle domande 1, 2, 3 e 5.
0. Il tuo dominio invia email?
No → il tuo percorso si riduce a un solo passo: pubblica SPF v=spf1 -all e DMARC p=reject oggi stesso. Un dominio che non invia mai non ha posta legittima da proteggere — nulla da osservare, nessun muro da scalare — quindi passa direttamente allo Stadio 5 — Applicato con un'unica modifica DNS. Sì → domanda successiva.
1. SPF e DKIM esistono e superano i controlli per la posta che invii?
No → sei probabilmente allo Stadio 1 — Non protetto. La tua prossima mossa: configura SPF e DKIM per la tua posta principale e verifica che entrambi autentichino e si allineino — allineamento significa che il dominio che SPF o DKIM valida è lo stesso dominio che una persona vede nella riga "From:" visibile, ovvero la corrispondenza che DMARC effettivamente verifica. Il DMARC si basa su entrambi. Sì → domanda successiva.
2. Pubblichi un record DMARC?
No → sei probabilmente allo Stadio 2 — Autenticato. La tua prossima mossa: pubblica un record DMARC a p=none con un indirizzo di reporting rua= — un solo record DNS, nulla si rompe. Sì → domanda successiva.
3. Il tuo record richiede report (rua=) che qualcuno riceve davvero?
No → sei probabilmente bloccato tra gli Stadi 2 e 3 — pubblicato, ma cieco. La tua prossima mossa: aggiungi un indirizzo rua= (una sola modifica DNS) così che i report aggregati fluiscano — un record che non osserva non può trovare i mittenti che dovrai allineare. Sì → domanda successiva.
4. Hai identificato ogni mittente legittimo della posta del tuo dominio — e ciascuno si allinea?
No → sei probabilmente allo Stadio 3 — Observing, davanti al muro dove la maggior parte dei domini si blocca. La tua prossima mossa: inventaria ogni servizio che invia a nome del tuo dominio (lo strumento newsletter, il sistema di fatturazione, il CRM) e allinea ciascuno di essi. Questo è anche lo stadio in cui i proprietari più spesso chiedono aiuto — un fornitore IT o un servizio di monitoraggio DMARC può fare il lavoro di identificazione dei mittenti; gli stadi restano gli stessi in entrambi i casi. Sì → domanda successiva.
5. La tua policy è p=quarantine o p=reject?
No → sei probabilmente allo Stadio 4 — Visibility, e puoi applicare in sicurezza. La tua prossima mossa: alza la policy per gradi — none → quarantine → reject. Sì → sei allo Stadio 5 — Applicato. La tua prossima mossa: lo strato di rafforzamento — copertura np=, MTA-STS e TLS-RPT — più il monitoraggio continuo. Questo è lo Stadio 6.
Cinque sì, rafforzamento in atto, e qualcuno che continua a osservare i report? Questo è lo Stadio 6 — Rafforzato. La mossa lì è restare: compaiono nuovi mittenti, i provider cambiano IP, le configurazioni si degradano. Non sei sicuro di una risposta? Esegui il controllo gratuito — risolve le domande 1, 2, 3 e 5 a partire dal tuo DNS in tempo reale in meno di un minuto, in modo privato.
Le classifiche e il report mensile
- Maturità DMARC per TLD
155 desinenze di dominio classificate per Maturity Score — i leader, i fanalini di coda, e la regola della partecipazione congelata che mantiene onesta la classifica. - Maturità DMARC per paese
68 paesi classificati tramite le loro desinenze nazionali — chi applica, chi osserva, chi non pubblica nulla. - DAMMM — il report sull'adozione DMARC, mensile
La DMARC Adoption Maturity Matrix — Mensile: stadi × tagli di popolazione, Wall Watch, Blind Watch. L'edizione #1 è quella di riferimento.
Approfondimenti
- I 6 stadi della maturità DMARC — il modello stesso
- Pubblicare alla cieca — la maggior parte dei record DMARC non richiede report
- SPF non basta — il conteggio dei domini che si affidano al solo SPF
- I pochi pienamente protetti — cosa fanno di diverso i domini che hanno finito
Vuoi sapere come si posiziona il tuo dominio? Esegui la verifica gratuita → — privato; mostriamo il voto di un dominio solo al suo proprietario verificato.
Come assegniamo i voti → · Solo dati aggregati; non pubblichiamo mai il voto di un singolo dominio.