Defaults.Exposed › Correzioni › Guides
"DMARC Policy Not Enabled": cosa intendono i checker, e l'onesto primo passo da 5 minuti (2026)
Pubblicato 2026-07-08
Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. Veda come assegniamo i voti.
“DMARC policy not enabled” significa una di due cose diverse: il Suo dominio non ha alcun record DMARC, oppure ne ha uno impostato a p=none. Solo il 10,59% dei domini — 27.640.987 di 261.086.232 — applica una policy DMARC, secondo il censimento Defaults.Exposed. Pubblicare un record di monitoraggio richiede cinque minuti; l’applicazione è un progetto.
Questa guida decodifica l’avviso, Le dà il record TXT esatto da pubblicare e il punto esatto in cui metterlo, passa in rassegna gli errori di sintassi che fanno fallire i primi tentativi e fissa un’aspettativa onesta su come sarà la Sua prima settimana di report DMARC. Non è, di proposito, una guida “sistemi DMARC in 5 minuti” — i cinque minuti Le danno visibilità, non protezione.
Cosa significa davvero “DMARC policy not enabled”?
Checker come MXToolbox comprimono due casi diversi in un unico avviso arancione, e il percorso di correzione dipende da quale dei due ha:
| Cosa mostra il checker | Cosa significa davvero | Domini interessati (su 261.086.232 valutati) |
|---|---|---|
| “No DMARC record found” | Non c’è nulla pubblicato su _dmarc.yourdomain. I destinatari non applicano alcuna policy e non Le inviano report. Lei è invisibile ai Suoi stessi problemi di posta. | 196.105.162 (75,11%) |
| “DMARC policy not enabled” / “policy is none” | Un record esiste ma dice p=none: la reportistica è attiva, la protezione è spenta. I destinatari consegnano la posta falsificata esattamente come prima. | 37.312.637 (14,29%) |
| “Policy: quarantine” oppure “reject” | Una policy applicata. I destinatari agiscono sui fallimenti. | 27.640.987 (10,59%) |
Dati aggiornati al 2026-06-29.
La prima riga è dove vive la maggior parte di internet: il 75,11% dei domini valutati non pubblica alcun record DMARC, e un altro 14,29% resta a p=none. L’inverso dell’ultima riga è il numero che conta: il 89,41% dei domini non ha alcuna policy DMARC applicata — su 261.086.232 domini valutati nel censimento. Se il Suo checker mostra l’avviso, Lei è nella stragrande maggioranza. Non è una rassicurazione; è il motivo per cui lo spoofing resta a buon mercato.
Una precisazione che risparmia confusione più avanti: DMARC è lo strato di policy sopra SPF e DKIM, verificato rispetto all’intestazione From che il Suo destinatario vede davvero. “Not enabled” significa che non ha ancora detto ai destinatari di fare alcunché. Se i tre valori di policy sono nuovi per Lei, la spiegazione in linguaggio semplice è cos’è DMARC: none, quarantine, reject.
Cosa può onestamente sistemare in cinque minuti?
Pubblicare un record. Tutta qui l’affermazione onesta.
v=DMARC1; p=none; rua=mailto:[email protected]
Cinque minuti dopo la messa in linea di questo record TXT, i destinatari che verificano DMARC inizieranno a compilare report giornalieri su chi invia posta a nome del Suo dominio — server legittimi e impostori allo stesso modo. Quella visibilità è davvero preziosa e davvero istantanea.
Cosa non fa: p=none non protegge nulla. La posta falsificata viene consegnata esattamente come ieri, e un checker che riscansiona domani potrebbe dire ancora “policy not enabled” — correttamente, perché la spunta verde è riservata a quarantine o reject. Abbiamo spiegato il perché in p=none non è protezione; il percorso graduale verso una policy che blocca davvero lo spoofing è da p=none a p=reject. Il passo da cinque minuti qui sotto è come si comincia; quella guida è come si finisce.
Come pubblica il Suo primo record DMARC?
- Esegua la scansione gratuita prima di toccare il DNS. Le dice quale dei due casi ha davvero — nessun record vs
p=none— e se SPF e DKIM sono a posto sotto, il che determina quanto in fretta potrà passare all’applicazione più avanti. - Scelga un indirizzo per ricevere i report. Una casella dedicata come
dmarc-reports@yourdomainva bene per iniziare. Se invece usa un servizio di analisi dei report, veda la FAQ qui sotto — gli indirizzi di terze parti hanno un’insidia silenziosa. - Aggiunga un record TXT sull’host
_dmarc. Nella maggior parte dei pannelli DNS (veda la guida alla configurazione DMARC su IONOS per un esempio svolto) inserisce_dmarcnel campo host/nome — il pannello aggiunge automaticamente il Suo dominio, producendo_dmarc.yourdomain.com. Valore:v=DMARC1; p=none; rua=mailto:[email protected] - Verifichi che si risolva.
dig TXT _dmarc.yourdomain.com(o qualsiasi checker online) dovrebbe restituire esattamente un record che inizia conv=DMARC1. La maggior parte delle modifiche DNS è visibile entro pochi minuti; un TTL basso aiuta. - Riesegua la scansione. Il Suo report mostrerà DMARC presente in modalità monitoraggio — un riflesso onesto di dove si trova: reportistica attiva, applicazione in sospeso.
Un solo record copre anche i Suoi sottodomini: i destinatari che non trovano un record su mail.yourdomain.com ripiegano sulla policy del dominio organizzativo, quindi non Le serve un record per ogni sottodominio per iniziare il monitoraggio.
Quali sono gli errori più comuni nell’aggiungere il record?
Quasi ogni primo tentativo fallito è uno di questi — e contano, perché un record non interpretabile viene trattato come nessun record. Il censimento conta 48.648 record DMARC pubblicati che non superano il parsing; gli errori di battitura che la gente pubblica davvero sono catalogati ne il censimento dei refusi DMARC.
- Host sbagliato. Il record deve vivere su
_dmarc.yourdomain.com, non sull’apex. Sul dominio nudo non fa nulla, e i checker continuano a segnalare “no DMARC record found”. - Dominio aggiunto due volte. Digitare
_dmarc.yourdomain.comin un pannello che lo aggiunge automaticamente produce_dmarc.yourdomain.com.yourdomain.com. Inserisca solo_dmarc. - Virgole al posto dei punti e virgola. I tag sono separati da
;. Un record non interpretabile viene trattato come nessun record. v=DMARC1mancante o fuori posto. Deve essere il primo tag, scritto esattamente così; i record che iniziano conp=falliscono il parsing.mailto:mancante nel rua.rua=dmarc@yourdomainnon è valido; deve essererua=mailto:[email protected].- Due record DMARC. I destinatari che trovano più di un record
v=DMARC1li ignorano tutti — stessa famiglia di guasti dell’SPF multi-record. - Virgolette tipografiche dal copia-incolla. Virgolette curve o spazi non separabili contrabbandati da un documento rompono il parsing. Ridigiti il record se un checker lo dice malformato ma a vista sembra corretto.
Come saranno i report rua nella prima settimana?
Fissi le aspettative ora, per non concludere che sia rotto:
- Arrivano più o meno ogni giorno, per destinatario. Google tipicamente invia un report aggregato ogni 24 ore; Microsoft, Yahoo e gli altri con i propri cicli. Per un dominio piccolo, la prima settimana di solito significa una manciata di email, per lo più da
[email protected]. - Sono allegati XML compressi, non una dashboard. Grezzi, sono quasi illeggibili; un parser gratuito li trasforma in una tabella dei mittenti.
- Il volume segue il Suo volume di posta. Se invia poca posta, o soprattutto verso provider che non fanno reportistica, si aspetti dati scarsi. Due settimane silenziose sono normali per un dominio a basso volume — verifichi il record con
diginvece di dare per scontato che sia fallito. - Si aspetti sorprese. La maggior parte dei domini scopre mittenti dimenticati — il CRM, lo strumento di fatturazione, il modulo di contatto. Ognuno ha bisogno di SPF o DKIM allineato prima di poter applicare la policy. Se i report mostrano DMARC che fallisce mentre SPF e DKIM singolarmente passano, è un problema di allineamento — veda DMARC fallisce ma SPF e DKIM passano.
E soprattutto, i report li chieda: il 64,3% dei domini con un record DMARC non pubblica alcun indirizzo rua=, quindi non ne riceve alcun report — il taglio del censimento su questo è in DMARC pubblicato alla cieca. Tutto ciò che impara qui alimenta il percorso verso l’applicazione — il monitoraggio è la settimana uno di quel progetto, non una destinazione. Parcheggiare a p=none a tempo indeterminato è il modo più comune in cui i domini finiscono nel 89,41%.
Domande frequenti
Pubblicare p=none danneggerà la deliverability della mia posta?
No. p=none non cambia nulla nel modo in cui i destinatari trattano la Sua posta — chiede soltanto i report. Può anzi aiutare: i requisiti per i bulk sender di Google e Yahoo esigono almeno un record DMARC a p=none dai mittenti ad alto volume, quindi pubblicarne uno è un requisito minimo di conformità, non un rischio.
Ho pubblicato il record — perché il checker dice ancora “policy not enabled”?
Perché Le sta dicendo la verità: la Sua policy è none, e i checker riservano la promozione a quarantine o reject. Si è unito ai domini che monitorano ma non applicano — al 2026-06-29, solo il 10,59% di 261.086.232 domini valutati applica la policy. L’avviso sparisce quando completa il percorso verso l’applicazione.
Devo avere SPF e DKIM configurati prima di aggiungere DMARC?
Le serve almeno uno dei due, allineato, perché la Sua posta passi DMARC — ma non servono perfetti prima di pubblicare p=none. Il monitoraggio è esattamente il modo in cui scopre cosa è rotto: 70.368.600 di 261.086.232 domini valutati (al 2026-06-29) hanno un SPF morbido e nessuna applicazione DMARC, e i report sono il modo in cui scoprirebbero cosa li blocca.
Posso inviare i report a un analizzatore di terze parti invece che alla mia casella?
Sì — ma un indirizzo rua su un dominio diverso richiede che il fornitore pubblichi un record di autorizzazione (yourdomain._report._dmarc.vendor.com), altrimenti i destinatari trattengono i report in silenzio. I servizi seri lo fanno automaticamente; se i report non arrivano mai, verifichi prima questo.
Invii il report al titolare
Se sta sistemando questo per un cliente o un datore di lavoro, non lasci che il lavoro resti invisibile. Riesegua la scansione gratuita dopo che il record si risolve e inoltri il report con il voto: mostra DMARC che passa da assente a monitorato, con data e in linguaggio semplice — e mostra qual è il prossimo passo sulla strada dell’applicazione. I titolari hanno sempre più bisogno esattamente di questa prova per i rinnovi dell’assicurazione cyber e per i questionari di sicurezza dei fornitori, e un report di una pagina con il voto risponde a quelle domande meglio di quanto farà mai lo screenshot di un pannello DNS.
Verifichi il Suo dominio gratis
Veda quale dei due casi ha — nessun record oppure p=none — e cosa c’è sotto, in privato e visibile solo al titolare.
Verifichi il Suo dominio → · Sistemare DMARC → · Da p=none a p=reject → · Come assegniamo i voti → · Solo dati aggregati. Dati conservati e trattati nell’UE.