Defaults.Exposed

Defaults.ExposedCorrezioniGuides

"DMARC Policy Not Enabled": cosa intendono i checker, e l'onesto primo passo da 5 minuti (2026)

Pubblicato 2026-07-08

Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. Veda come assegniamo i voti.

“DMARC policy not enabled” significa una di due cose diverse: il Suo dominio non ha alcun record DMARC, oppure ne ha uno impostato a p=none. Solo il 10,59% dei domini — 27.640.987 di 261.086.232 — applica una policy DMARC, secondo il censimento Defaults.Exposed. Pubblicare un record di monitoraggio richiede cinque minuti; l’applicazione è un progetto.

Questa guida decodifica l’avviso, Le dà il record TXT esatto da pubblicare e il punto esatto in cui metterlo, passa in rassegna gli errori di sintassi che fanno fallire i primi tentativi e fissa un’aspettativa onesta su come sarà la Sua prima settimana di report DMARC. Non è, di proposito, una guida “sistemi DMARC in 5 minuti” — i cinque minuti Le danno visibilità, non protezione.

Cosa significa davvero “DMARC policy not enabled”?

Checker come MXToolbox comprimono due casi diversi in un unico avviso arancione, e il percorso di correzione dipende da quale dei due ha:

Cosa mostra il checkerCosa significa davveroDomini interessati (su 261.086.232 valutati)
“No DMARC record found”Non c’è nulla pubblicato su _dmarc.yourdomain. I destinatari non applicano alcuna policy e non Le inviano report. Lei è invisibile ai Suoi stessi problemi di posta.196.105.162 (75,11%)
“DMARC policy not enabled” / “policy is none”Un record esiste ma dice p=none: la reportistica è attiva, la protezione è spenta. I destinatari consegnano la posta falsificata esattamente come prima.37.312.637 (14,29%)
“Policy: quarantine” oppure “reject”Una policy applicata. I destinatari agiscono sui fallimenti.27.640.987 (10,59%)

Dati aggiornati al 2026-06-29.

La prima riga è dove vive la maggior parte di internet: il 75,11% dei domini valutati non pubblica alcun record DMARC, e un altro 14,29% resta a p=none. L’inverso dell’ultima riga è il numero che conta: il 89,41% dei domini non ha alcuna policy DMARC applicata — su 261.086.232 domini valutati nel censimento. Se il Suo checker mostra l’avviso, Lei è nella stragrande maggioranza. Non è una rassicurazione; è il motivo per cui lo spoofing resta a buon mercato.

Una precisazione che risparmia confusione più avanti: DMARC è lo strato di policy sopra SPF e DKIM, verificato rispetto all’intestazione From che il Suo destinatario vede davvero. “Not enabled” significa che non ha ancora detto ai destinatari di fare alcunché. Se i tre valori di policy sono nuovi per Lei, la spiegazione in linguaggio semplice è cos’è DMARC: none, quarantine, reject.

Cosa può onestamente sistemare in cinque minuti?

Pubblicare un record. Tutta qui l’affermazione onesta.

v=DMARC1; p=none; rua=mailto:[email protected]

Cinque minuti dopo la messa in linea di questo record TXT, i destinatari che verificano DMARC inizieranno a compilare report giornalieri su chi invia posta a nome del Suo dominio — server legittimi e impostori allo stesso modo. Quella visibilità è davvero preziosa e davvero istantanea.

Cosa non fa: p=none non protegge nulla. La posta falsificata viene consegnata esattamente come ieri, e un checker che riscansiona domani potrebbe dire ancora “policy not enabled” — correttamente, perché la spunta verde è riservata a quarantine o reject. Abbiamo spiegato il perché in p=none non è protezione; il percorso graduale verso una policy che blocca davvero lo spoofing è da p=none a p=reject. Il passo da cinque minuti qui sotto è come si comincia; quella guida è come si finisce.

Come pubblica il Suo primo record DMARC?

  1. Esegua la scansione gratuita prima di toccare il DNS. Le dice quale dei due casi ha davvero — nessun record vs p=none — e se SPF e DKIM sono a posto sotto, il che determina quanto in fretta potrà passare all’applicazione più avanti.
  2. Scelga un indirizzo per ricevere i report. Una casella dedicata come dmarc-reports@yourdomain va bene per iniziare. Se invece usa un servizio di analisi dei report, veda la FAQ qui sotto — gli indirizzi di terze parti hanno un’insidia silenziosa.
  3. Aggiunga un record TXT sull’host _dmarc. Nella maggior parte dei pannelli DNS (veda la guida alla configurazione DMARC su IONOS per un esempio svolto) inserisce _dmarc nel campo host/nome — il pannello aggiunge automaticamente il Suo dominio, producendo _dmarc.yourdomain.com. Valore: v=DMARC1; p=none; rua=mailto:[email protected]
  4. Verifichi che si risolva. dig TXT _dmarc.yourdomain.com (o qualsiasi checker online) dovrebbe restituire esattamente un record che inizia con v=DMARC1. La maggior parte delle modifiche DNS è visibile entro pochi minuti; un TTL basso aiuta.
  5. Riesegua la scansione. Il Suo report mostrerà DMARC presente in modalità monitoraggio — un riflesso onesto di dove si trova: reportistica attiva, applicazione in sospeso.

Un solo record copre anche i Suoi sottodomini: i destinatari che non trovano un record su mail.yourdomain.com ripiegano sulla policy del dominio organizzativo, quindi non Le serve un record per ogni sottodominio per iniziare il monitoraggio.

Quali sono gli errori più comuni nell’aggiungere il record?

Quasi ogni primo tentativo fallito è uno di questi — e contano, perché un record non interpretabile viene trattato come nessun record. Il censimento conta 48.648 record DMARC pubblicati che non superano il parsing; gli errori di battitura che la gente pubblica davvero sono catalogati ne il censimento dei refusi DMARC.

Come saranno i report rua nella prima settimana?

Fissi le aspettative ora, per non concludere che sia rotto:

E soprattutto, i report li chieda: il 64,3% dei domini con un record DMARC non pubblica alcun indirizzo rua=, quindi non ne riceve alcun report — il taglio del censimento su questo è in DMARC pubblicato alla cieca. Tutto ciò che impara qui alimenta il percorso verso l’applicazione — il monitoraggio è la settimana uno di quel progetto, non una destinazione. Parcheggiare a p=none a tempo indeterminato è il modo più comune in cui i domini finiscono nel 89,41%.

Domande frequenti

Pubblicare p=none danneggerà la deliverability della mia posta? No. p=none non cambia nulla nel modo in cui i destinatari trattano la Sua posta — chiede soltanto i report. Può anzi aiutare: i requisiti per i bulk sender di Google e Yahoo esigono almeno un record DMARC a p=none dai mittenti ad alto volume, quindi pubblicarne uno è un requisito minimo di conformità, non un rischio.

Ho pubblicato il record — perché il checker dice ancora “policy not enabled”? Perché Le sta dicendo la verità: la Sua policy è none, e i checker riservano la promozione a quarantine o reject. Si è unito ai domini che monitorano ma non applicano — al 2026-06-29, solo il 10,59% di 261.086.232 domini valutati applica la policy. L’avviso sparisce quando completa il percorso verso l’applicazione.

Devo avere SPF e DKIM configurati prima di aggiungere DMARC? Le serve almeno uno dei due, allineato, perché la Sua posta passi DMARC — ma non servono perfetti prima di pubblicare p=none. Il monitoraggio è esattamente il modo in cui scopre cosa è rotto: 70.368.600 di 261.086.232 domini valutati (al 2026-06-29) hanno un SPF morbido e nessuna applicazione DMARC, e i report sono il modo in cui scoprirebbero cosa li blocca.

Posso inviare i report a un analizzatore di terze parti invece che alla mia casella? Sì — ma un indirizzo rua su un dominio diverso richiede che il fornitore pubblichi un record di autorizzazione (yourdomain._report._dmarc.vendor.com), altrimenti i destinatari trattengono i report in silenzio. I servizi seri lo fanno automaticamente; se i report non arrivano mai, verifichi prima questo.

Invii il report al titolare

Se sta sistemando questo per un cliente o un datore di lavoro, non lasci che il lavoro resti invisibile. Riesegua la scansione gratuita dopo che il record si risolve e inoltri il report con il voto: mostra DMARC che passa da assente a monitorato, con data e in linguaggio semplice — e mostra qual è il prossimo passo sulla strada dell’applicazione. I titolari hanno sempre più bisogno esattamente di questa prova per i rinnovi dell’assicurazione cyber e per i questionari di sicurezza dei fornitori, e un report di una pagina con il voto risponde a quelle domande meglio di quanto farà mai lo screenshot di un pannello DNS.

Verifichi il Suo dominio gratis

Veda quale dei due casi ha — nessun record oppure p=none — e cosa c’è sotto, in privato e visibile solo al titolare.

Verifichi il Suo dominio → · Sistemare DMARC → · Da p=none a p=reject → · Come assegniamo i voti → · Solo dati aggregati. Dati conservati e trattati nell’UE.