Defaults.Exposed › Correzioni › DMARC (Protezione dalla contraffazione delle email)

Come correggere DMARC (Protezione dalla contraffazione delle email)

Il DMARC è l'unica impostazione che dice davvero ai provider di posta di tutto il mondo di BLOCCARE le email che falsificano il nome della tua azienda. SPF e DKIM controllano le serrature; il DMARC decide cosa succede quando una contraffazione non supera il controllo — cestinarla, segnalarla o farla passare. Impostato male, il tuo dominio è completamente falsificabile; impostato bene, l'impersonificazione si ferma alla casella di posta.

In sintesi per la tua attività: Senza far rispettare il DMARC, un criminale può inviare email che sembrano arrivare esattamente dalla tua azienda — ai tuoi clienti, ai tuoi dipendenti e ai tuoi fornitori — e finiscono nella loro casella di posta, non nello spam. Le persone vengono truffate a tuo nome, e danno la colpa a te.

Cosa può costarti

• Un truffatore invia a un tuo cliente una fattura realistica «dal tuo ufficio amministrativo» con le proprie coordinate bancarie. Il cliente la paga. Lo scopri settimane dopo, quando reclama la merce che ha già pagato — e ne ritiene responsabile te.
• Una falsa email di «pagamento urgente» arriva al tuo responsabile amministrativo, sembrando provenire da te, il titolare. Bonifica i soldi prima che a qualcuno venga in mente di ricontrollare — e una volta che il denaro è sul conto di un criminale, non si recupera quasi mai.
• L'ufficio IT di un grosso cliente fa un controllo di sicurezza sul tuo dominio prima di firmare. Il risultato è «email non protetta — può essere falsificata». Perdi la trattativa a favore di un concorrente il cui dominio ha superato il controllo.
• Il tuo dominio viene usato in un'ondata di phishing. I clienti ingannati lasciano recensioni furiose e avvertono gli altri. Il danno alla reputazione dura mesi dopo l'attacco.
• Persino le tue email autentiche cominciano a finire nel cestino, perché Google e Yahoo diffidano sempre più — e ora a volte rifiutano — dei domini senza un DMARC fatto rispettare.

Perché è importante. L'email non è mai stata progettata per dimostrare chi l'ha davvero inviata, quindi falsificare l'indirizzo del mittente è banale. Il DMARC è l'unico controllo che trasforma «sappiamo riconoscere i falsi» in «i falsi vengono bloccati» — e ti fornisce anche i report giornalieri che rivelano chi invia posta a nome del tuo marchio. I grandi provider di caselle ora trattano una policy DMARC mancante o non fatta rispettare come un segnale di sfiducia, quindi questo incide anche sul fatto che le tue stesse email vengano recapitate.

Cos’è il DMARC, in parole semplici

L’email ha un segreto sporco: la riga «da» è solo testo digitato. Chiunque, ovunque, può scrivere il nome e l’indirizzo della tua azienda nel campo «da» di un’email e inviarla. Internet non è mai stata progettata per fermarlo.

Ci sono tre impostazioni che, insieme, risolvono questo problema. Pensale come la sicurezza di un edificio:

• L’SPF è l’elenco di chi è autorizzato a entrare dall’ingresso principale (quali servizi di posta possono inviare a tuo nome).
• Il DKIM è un sigillo a prova di manomissione che dimostra che il messaggio non è stato alterato durante il tragitto.
• Il DMARC è la guardia che controlla l’elenco e il sigillo — e, cosa cruciale, decide cosa fare quando non corrispondono: farlo passare, mandarlo nello spam o respingerlo alla porta.

Puoi avere l’elenco (SPF) e il sigillo (DKIM) e non avere comunque alcuna guardia. È la situazione più comune e più pericolosa: le serrature esistono, ma nulla le fa rispettare. Il DMARC è il far rispettare. È la differenza tra «riusciamo a capire che questa email è falsa» e «questa email falsa non raggiunge mai il tuo cliente».

Quanto può costarti

Non è teoria. Ecco i modi concreti in cui un dominio non protetto si trasforma in soldi veri e danni veri:

1. La truffa della fattura falsa. Un criminale invia al tuo cliente quella che sembra esattamente una fattura autentica del tuo ufficio amministrativo — stesso nome, stesso dominio, impaginazione professionale — ma con le proprie coordinate bancarie. Poiché il tuo dominio non è protetto, finisce in casella, non nello spam. Il cliente paga. Lo scopri settimane dopo, quando chiede dov’è l’ordine. Il denaro di solito è perso, e spesso il cliente ritiene responsabile te della falla.

2. Il bonifico da frode al titolare. Un’email sembra arrivare da te, il titolare, al tuo responsabile amministrativo: «Puoi far passare questo pagamento con urgenza, sono in riunione». Sembra del tutto reale perché è il tuo indirizzo — solo contraffatto. Il pagamento parte. Questo schema — la Business Email Compromise — è una delle truffe più costose che colpiscono le piccole imprese, proprio perché l’email arriva davvero dal tuo dominio, e così passa diritta oltre ogni sospetto.

3. Il contratto perso. Un cliente serio fa un controllo di sicurezza o di approvvigionamento prima di firmare. Il suo strumento segnala il tuo dominio come «falsificabile — nessun far rispettare l’autenticazione email». Quella singola bandiera rossa può bastare ad assegnare il contratto a un concorrente il cui dominio ha superato il controllo. Non ne conoscerai mai il vero motivo.

4. Il colpo alla reputazione che non puoi annullare. Il tuo dominio viene trascinato in una campagna di phishing. Decine di persone ingannate a tuo nome pubblicano avvisi e recensioni. L’attacco dura una settimana; la domanda «ma questa azienda è davvero sicura?» resta per mesi.

5. Le tue stesse email che finiscono nello spam. Google e Yahoo ora diffidano attivamente dei domini senza un DMARC fatto rispettare. Preventivi, fatture e risposte che hai davvero inviato cominciano a finire in silenzio nelle cartelle spam. Le trattative si bloccano e non scopri mai il perché.

Cos’è davvero (e com’è fatto un «buono»)

Il DMARC vive come una singola riga di testo nelle impostazioni del tuo dominio — un record DNS «TXT» pubblicato al nome speciale _dmarc.tuodominio. Al suo interno ci sono alcune brevi istruzioni. Due contano più di tutte, e sono esattamente le due cose che questa valutazione controlla.

1. La policy (p=) — gli ordini della guardia. È la parte con il peso maggiore del controllo. Può essere una di tre cose:

• p=none — solo osservazione. La guardia annota chi è passato ma non ferma nessuno. Non ti protegge da nulla; è una fase di monitoraggio, non una configurazione finita. (Il nostro motore lo valuta come un fallimento — meglio di nessun DMARC, ma non è protezione.)
• p=quarantine — manda i falsi nello spam. Protezione reale, ma un attaccante determinato conta sul fatto che le persone non controllino la cartella spam. Un solido passaggio intermedio — vale all’incirca metà punteggio.
• p=reject — respingi i falsi alla porta. L’email contraffatta non viene mai recapitata. È l’unica impostazione che ti protegge pienamente e vale il punteggio pieno.

Com’è fatto un «buono»: p=reject. Qualunque cosa di meno lascia una falla.

Due dettagli tecnici che il nostro controllo guarda, utili da conoscere per non farti cogliere impreparato:

• La policy per i sottodomini (sp=). Puoi impostare una policy forte per il tuo dominio principale ma lasciare per sbaglio i sottodomini (come mail.tuodominio o news.tuodominio) spalancati. Il nostro motore penalizza pesantemente questo caso — un dominio con p=reject ma sp=none viene valutato quasi come se non facesse rispettare nulla, perché gli attaccanti falsificheranno semplicemente un sottodominio. La buona pratica è lasciare che sp erediti la tua policy principale forte, o impostarlo esplicitamente su reject.
• La percentuale (pct=). Durante un rollout attento puoi applicare il far rispettare solo a una frazione della posta (es. pct=25). È uno strumento di transizione legittimo, ma un rollout parziale dà solo protezione parziale, e il nostro punteggio lo riflette — sale costantemente man mano che passi dal 25% verso il 100%, ma il punteggio pieno richiede copertura totale.

2. L’indirizzo per i report (rua=) — la tua visibilità. È il secondo controllo di questa pagina. Il tag rua= chiede a ogni provider di posta del mondo di inviarti un riepilogo giornaliero di chi ha provato a inviare email a nome del tuo dominio — i tuoi sistemi e gli eventuali impostori. Senza, sei alla cieca: non hai idea di chi stia abusando del tuo nome. Con esso, le aziende scoprono abitualmente tra i 5 e i 50 mittenti non autorizzati fin dal primissimo giorno.

Com’è fatto un «buono» per i report: un indirizzo rua=mailto: valido (o un URL https: di un servizio di reportistica) che riceva davvero i report. Il nostro controllo verifica il formato — un indirizzo scritto male o malformato fa sparire i report nel nulla, il che vale un risultato parziale o fallito anche se un tag è tecnicamente «presente».

Come sistemarlo (gratis, ~30 minuti distribuiti su due settimane)

Passa questa sezione a chi gestisce il tuo dominio, il tuo sito o il tuo IT — la correzione è completamente gratuita. Facciamo pagare solo il monitoraggio nel tempo, perché resti corretto, la gestione di un portafoglio di domini, o un audit. La modifica in sé non costa nulla.

La regola d’oro: non saltare mai dritto a reject. Attiva prima il monitoraggio, osserva i report, conferma che la tua posta reale sia riconosciuta, poi irrigidisci. Fatto in quest’ordine è sicuro; fatto di fretta può cestinare le tue stesse email.

Passo 1 — Assicurati prima che SPF e DKIM siano a posto. Il DMARC si basa su di loro. Se ne manca uno, sistemalo prima di far rispettare il DMARC (vedi le pagine SPF e DKIM).

Passo 2 — Pubblica un record di monitoraggio con i report attivi. Aggiungi un record DNS TXT:

• Host / nome: _dmarc.tuodominio (il tuo provider DNS potrebbe mostrarlo come solo _dmarc)
• Tipo: TXT
• Valore: v=DMARC1; p=none; rua=mailto:dmarc@tuodominio; adkim=s; aspf=s

Questo osserva e segnala senza ancora bloccare nulla. Le parti adkim=s; aspf=s richiedono un allineamento rigoroso — omettile all’inizio se sei incerto, e aggiungile una volta che la tua posta è confermata pulita.

Passo 3 — Leggi i report per ~2 settimane. I report DMARC grezzi sono XML densi. Usa un servizio di reportistica gratuito (per esempio dmarcian o lo strumento DMARC gratuito di Postmark) per trasformarli in una dashboard leggibile. Conferma che ogni mittente legittimo — il tuo provider di caselle, lo strumento di newsletter, il CRM, l’helpdesk, l’app di fatturazione — stia superando il controllo. Sistema ogni mittente autentico che non lo fa.

Passo 4 — Passa a quarantine. Una volta che la tua posta reale è pulita, cambia p=none in p=quarantine. Osserva per qualche altro giorno.

Passo 5 — Passa a reject. Infine cambia p=quarantine in p=reject. Ora sei pienamente protetto. Il record finale si presenta così:

v=DMARC1; p=reject; rua=mailto:dmarc@tuodominio; adkim=s; aspf=s

Passo 6 — Non dimenticare i sottodomini. Assicurati di non aver lasciato sp=none. Se non pubblichi alcun sp, i sottodomini ereditano la tua policy principale p=, che è ciò che vuoi.

Note per piattaforma comune:

• Google Workspace / Microsoft 365: entrambi supportano pienamente il DMARC. Il record DMARC in sé va nel tuo provider DNS, non nella console admin di Google o Microsoft — assicurati prima che SPF e DKIM siano abilitati nella console admin, poi pubblica il record DMARC TXT presso il tuo registrar/host DNS.
• Cloudflare: DNS > Records > Add record > TXT, nome _dmarc, incolla il valore. Cloudflare offre anche una gestione DMARC integrata che può configurarlo e raccogliere i report per te.
• Host / registrar comuni (GoDaddy, ecc.): cerca «DNS», «Zona DNS» o «DNS avanzato», aggiungi un record TXT con nome _dmarc e il valore qui sopra. La propagazione di solito richiede da pochi minuti a un’ora.

Errori comuni

• Fermarsi a p=none. L’errore più comune in assoluto. Il monitoraggio è l’inizio, non il traguardo — un dominio bloccato su «none» è ancora del tutto falsificabile. Il nostro motore lo valuta come un fallimento proprio per questo.
• Saltare dritti a reject senza monitoraggio. L’errore opposto. Senza la fase di reportistica potresti non accorgerti che un mittente legittimo (spesso uno strumento di newsletter o di fatturazione) non è allineato — e comincerai a bloccare la tua stessa posta.
• Dimenticare la policy per i sottodomini. Un solido p=reject con sp=none lascia una porta laterale spalancata; gli attaccanti falsificano semplicemente un sottodominio.
• Un indirizzo per i report rotto. Un rua= scritto male (o senza il prefisso mailto:) fa sparire i report nel nulla e ti lascia alla cieca senza rendertene conto. Il formato deve essere un URI mailto: o https: valido, altrimenti i report non vengono mai recapitati.
• «Non inviamo email quindi lo saltiamo.» Un dominio che non invia è un bersaglio primario proprio perché nessuno lo sorveglia. Pubblica una policy reject rigorosa per blindarlo del tutto.

Una nota sulla valutazione

Il controllo della policy (p=) è uno degli elementi con il peso maggiore dell’intera valutazione — perché è il singolo fattore più importante nel determinare se la tua azienda possa essere impersonata. reject vale il punteggio pieno; quarantine vale all’incirca la metà; none e un record mancante valgono un fallimento. Una policy per i sottodomini più debole o un rollout parziale pct= abbassano il punteggio per allinearlo al livello reale di protezione che hai davvero.

Anche il controllo dei report (rua=) ha un peso reale, ma pensalo meno come una casella da spuntare e più come lo strumento che ti permette di raggiungere reject in sicurezza. Configuralo nello stesso momento del tuo record di monitoraggio, e si ripaga in visibilità fin dal primo giorno.

Configuralo sul tuo host

Passo per passo per i provider più diffusi:

• Configura DMARC su GoDaddy
• Configura DMARC su Namecheap
• Configura DMARC su Cloudflare
• Configura DMARC su Google Workspace
• Configura DMARC su Microsoft 365
• Configura DMARC su Squarespace
• Configura DMARC su Wix
• Configura DMARC su AWS Route 53
• Configura DMARC su Hostinger
• Configura DMARC su Porkbun
• Configura DMARC su IONOS
• Configura DMARC su Bluehost

FAQ