Defaults.Exposed

Defaults.ExposedCorrezioniGuides

DMARC da p=none a p=reject senza perdere email legittime: il rollout graduale (2026)

Pubblicato 2026-07-08

Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. Veda come assegniamo i voti.

Porti DMARC da p=none a p=reject in quattro fasi: monitori i report rua per 2–4 settimane, sistemi ogni mittente legittimo, aumenti p=quarantine con pct, poi reject — mai saltare direttamente a reject. 70.368.600 di 261.086.232 domini valutati sono bloccati a SPF morbido senza applicazione DMARC, secondo il censimento Defaults.Exposed.

Questo è il runbook operativo: una tabella delle fasi con criteri di uscita, il record per ciascuna fase, la sottigliezza del pct di RFC 7489 che cambia il significato di “50%” a reject, e il tag sp= per i sottodomini. Se sta decidendo se applicare la policy, legga prima le 6 fasi della maturità DMARC — quello è il quadro concettuale; e se i livelli di policy stessi Le sono nuovi, cosa significano davvero p=none, p=quarantine e p=reject è l’introduzione. Questa pagina è il fare.

Perché non si può saltare direttamente a p=reject?

Perché p=reject dice a ogni destinatario che la rispetta di respingere la posta che fallisce DMARC — e finché non ha osservato i Suoi report, non sa cosa fallisce. Quasi ogni dominio che attiva il monitoraggio scopre mittenti legittimi dimenticati: il CRM, lo strumento di fatturazione, un modulo di contatto. Salti a reject dal primo giorno e quella posta non finisce nello spam: scompare al momento SMTP. Perdere un ciclo di fatturazione insegna a un’organizzazione a temere DMARC, e il record viene riportato a p=none per sempre — di 261.086.232 domini valutati, 37.312.637 sono parcheggiati esattamente lì, e solo il 10,59% (27.640.987) raggiunge mai una policy applicata.

L’altro motivo è l’allineamento. DMARC passa solo quando SPF o DKIM passa e si allinea con il dominio From visibile — SPF rispetto al dominio del Return-Path (RFC5321.MailFrom), DKIM rispetto al d= della firma. I mittenti di terze parti di solito passano SPF sul loro dominio, non sul Suo, motivo per cui la fase sistemare-ogni-sorgente consiste soprattutto nell’attivare il DKIM con dominio personalizzato di ciascun fornitore — spiegato in DMARC fallisce ma SPF e DKIM passano.

Quali sono le quattro fasi del rollout?

FaseRecord della policypctCosa succede alla posta che fallisceCriteri di uscita
1. Monitoraggiop=none; rua=mailto:…Consegnata normalmente; Lei riceve report aggregati2–4 settimane di report; ogni mittente identificato come legittimo o meno
2. Sistemare le sorgentip=none (invariato)Ancora consegnata normalmenteOgni sorgente legittima passa DMARC allineata (DKIM con dominio personalizzato per mittente); i fallimenti residui sono solo traffico sconosciuto/spoofato
3. Aumento di quarantinep=quarantine10 → 25 → 50 → 100La quota campionata va nelle cartelle spam; la quota esclusa dal campione è trattata come p=none (consegnata)1–2 settimane a pct=100 con zero posta legittima in quarantena
4. Rejectp=reject100Respinta al momento SMTP; il mittente riceve un bounce, il destinatario non vede nullaContinuativa — mantenga rua attivo per sempre per intercettare nuovi mittenti

Dati al 2026-06-29; comportamento della policy secondo RFC 7489.

La fase 3 è quella in cui i domini si bloccano o vanno nel panico. Finire nello spam è recuperabile — gli utenti trovano la posta, Lei allenta il pct, sistema la sorgente. Il rifiuto non è recuperabile, ed è per questo che quarantine a pct=100 che gira pulito è il biglietto d’ingresso alla fase 4.

Come si esegue il rollout, passo per passo?

  1. Esegua la scansione gratuita su defaults.exposed prima di toccare il DNS. Conferma la Sua policy attuale e se SPF e DKIM sono in piedi alla base — le due gambe su cui l’applicazione poggia.
  2. Attivi il monitoraggio se non l’ha già fatto. Pubblicare p=none con rua= è il passo da cinque minuti descritto in “Policy DMARC non abilitata”. Raccolga 2–4 settimane di report — abbastanza da intercettare i mittenti mensili come i cicli di fatturazione.
  3. Faccia l’inventario di ogni sorgente nei report. Suddivida i mittenti in Suoi, dei Suoi fornitori e sconosciuti. I report grezzi arrivano come XML — uno strumento di elaborazione dei report (o la dashboard del Suo provider) li trasforma in un inventario leggibile dei mittenti.
  4. Faccia passare allineata ogni sorgente legittima. Attivi il DKIM con dominio personalizzato di ciascun fornitore (di solito due record CNAME nella loro dashboard) in modo che le firme portino il Suo dominio, non il loro. Preferisca DKIM per l’allineamento: sopravvive all’inoltro, SPF no.
  5. Attenda due settimane pulite. Esca dalla fase 2 solo quando i fallimenti segnalati sono esclusivamente traffico che non riconosce — lo spoofing che vuole bloccare.
  6. Passi a p=quarantine; pct=10 — modifichi il record TXT _dmarc esistente (esempio pratico: configurazione DMARC su IONOS), e attenzione alla sintassi: un refuso nel tag della policy può invalidare l’intero record. Aumenti pct a 25, 50, 100 nell’arco di 2–4 settimane, osservando i report e i ticket dell’helpdesk. Qualcosa di legittimo nello spam: riabbassi pct, sistemi la sorgente, riprenda.
  7. Passi a p=reject dopo 1–2 settimane pulite a pct=100. Mantenga rua= attivo per sempre — ogni nuovo strumento che la Sua azienda adotta è un futuro mittente che fallisce.

Cosa fa davvero pct? La sottigliezza di RFC 7489

pct chiede ai destinatari di applicare la Sua policy a quella percentuale di posta che fallisce. La sottigliezza, da RFC 7489 §6.6.4: la posta esclusa dal campione non ricade su “consegna normale” — riceve la policy immediatamente meno severa. Con p=quarantine; pct=25, l’altro 75% è trattato come p=none e consegnato. Ma con p=reject; pct=50, l’altro 50% viene messo in quarantena, non consegnato. Non esiste un reject gentile: nel momento in cui il Suo record dice reject, ogni messaggio che fallisce finisce come minimo nello spam presso i destinatari che rispettano la policy.

Usata deliberatamente, è una funzionalità — p=reject; pct=1 si comporta come “metti in quarantena quasi tutto, respingi un rivolo”, una legittima rampa d’accesso finale. Due cautele: non tutti i destinatari implementano il campionamento allo stesso modo, quindi tratti pct come una manopola approssimativa; e rimuova il tag (o imposti pct=100) una volta che la fase 4 è stabile, così il Suo record dice ciò che intende.

E i sottodomini — il tag sp=?

Per impostazione predefinita, i sottodomini ereditano la policy del dominio organizzativo: p=reject su yourdomain.com copre anche mail.yourdomain.com. Il tag sp= consente loro di divergere, in direzioni sia utili sia pericolose. Utile: p=quarantine; sp=reject blinda i sottodomini da cui non invia mai mentre l’apex è ancora a metà rampa — gli spoofer prendono deliberatamente di mira i sottodomini dei domini monitorati. Pericoloso: un sp=none dimenticato esenta silenziosamente ogni sottodominio dalla policy reject che Lei ha impiegato sei settimane a guadagnarsi. Lo verifichi alla fase 4; se un sottodominio ha davvero bisogno di una policy più permissiva, pubblichi un record _dmarc su quel sottodominio invece di allentarli tutti.

NIS2 significa che le aziende UE devono farlo?

DMARC funziona in modo identico ovunque — nulla in questo runbook cambia a un confine UE. Ciò che cambia è la spinta della conformità. L’articolo 21, paragrafo 2, lettera j) della NIS2 richiede ai soggetti in ambito di proteggere le proprie comunicazioni, e il regolamento di esecuzione (UE) 2024/2690 della Commissione dettaglia i requisiti tecnici per i soggetti dell’infrastruttura digitale che copre — il suo allegato (punto 6.7.2, lettera k)) richiede un piano di implementazione per l’adozione di standard moderni di sicurezza email concordati a livello internazionale, e il punto 6.7.2, lettera l) richiede le migliori pratiche di sicurezza DNS. Una policy DMARC applicata, con SPF e DKIM alla base, è il controllo verificabile riconosciuto contro lo spoofing; p=none è dimostrabilmente monitorare, non proteggere. Se i Suoi clienti sono in ambito, i loro questionari per i fornitori chiedono sempre più spesso esattamente questo.

Domande frequenti

Quanto dura l’intero rollout? Da sei a dieci settimane è la norma: 2–4 settimane di monitoraggio, 1–3 settimane per sistemare le sorgenti, 2–4 settimane di aumento di quarantine, poi reject. È tempo di calendario, non di lavoro — per lo più attesa che i report confermino ogni modifica. Il 89,41% di 261.086.232 domini valutati senza una policy applicata (dati al 2026-06-29) per lo più non è a metà rollout; non ha mai fatto partire il cronometro.

Posso saltare quarantine e usare p=reject con un pct basso? Può — secondo RFC 7489 §6.6.4, p=reject; pct=10 significa 10% respinto e 90% in quarantena, all’incirca una fase 3 avanzata. Ma p=quarantine prima è più facile da ragionare, e i destinatari variano in quanto fedelmente campionano. In ogni caso, le fasi 1–2 non sono negoziabili: nessuna variante di applicazione è sicura finché mittenti legittimi continuano a fallire.

E la posta che non posso sistemare — inoltri e mailing list? L’inoltro rompe SPF per costruzione, e alcune mailing list riscrivono il contenuto, rompendo anche DKIM. Il DKIM allineato sopravvive all’inoltro ordinario, il che copre la maggior parte dei casi; il piccolo residuo è il motivo per cui esiste la fase quarantine — la posta finita nello spam è recuperabile mentre Lei valuta. Dettagli in l’email inoltrata fallisce SPF.

Fermarsi a p=quarantine è sufficiente? È gran parte del valore, e molto meglio dei 37.312.637 domini parcheggiati a p=none (su 261.086.232 valutati, dati al 2026-06-29) — ma la posta spoofata raggiunge ancora le cartelle spam, da cui le persone la ripescano. Reject è il punto d’arrivo: solo il 10,59% dei domini valutati applica la policy, e finire il lavoro è ciò che verificatori, assicuratori e questionari riconoscono.

Invii il report al titolare

Se sta conducendo questo rollout per un cliente o un datore di lavoro, il traguardo è mostrabile. Riesegua la scansione gratuita quando p=reject risolve e inoltri il report con il voto: il dominio che passa a una policy applicata, con data e in linguaggio semplice. Quella singola pagina risponde alla voce sulla sicurezza email nei rinnovi delle polizze cyber e nei questionari per i fornitori spinti dalla NIS2 meglio di uno screenshot di un pannello DNS — e rende visibili sei settimane di lavoro attento e invisibile alla persona che lo paga.

Verifichi gratis la Sua policy DMARC

Veda qual è attualmente la Sua policy — e se SPF e DKIM possono sostenere l’applicazione — in modo privato e riservato al titolare.

Verifichi il Suo dominio → · Sistemare DMARC → · “Policy DMARC non abilitata” — l’onesto primo passo → · Solo dati aggregati. Dati conservati e trattati nell’UE.