Defaults.Exposed › Correzioni › Guides
Qualcuno sta inviando email dal Suo dominio: la guida di risposta all'emergenza (2026)
Pubblicato 2026-07-08
Cifre aggiornate al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. Veda come assegniamo i voti.
Prima verifichi se le email false usano il Suo dominio esatto o un dominio simile, perché le soluzioni sono completamente diverse. Lo spoofing del dominio esatto si può spegnere nel DNS — e la maggior parte dei domini non l’ha fatto: il 89,41% non ha una policy DMARC applicata, e il 46,4% non pubblica alcun SPF, secondo il censimento Defaults.Exposed di 261.086.232 domini valutati.
Questa è una checklist per l’incidente: prima ora — confermare cosa sta succedendo senza peggiorare le cose; primo giorno — chiudere la porta aperta, o avviare la rimozione se la porta non è Sua; prima settimana — monitorare, avvisare le persone che rischiano di rimetterci, applicare la policy. Si sta solo chiedendo se questo potrebbe succedere? Inizi da qualcuno può spoofare il mio dominio? — questa pagina è per quando sta già succedendo.
Prima cosa: è davvero il Suo dominio, o un’imitazione?
Si procuri una delle email false e legga l’indirizzo mittente carattere per carattere. Tutto ciò che segue dipende da questo:
| Cosa mostra l’indirizzo From | Cosa sta succedendo | Il Suo percorso |
|---|---|---|
[email protected] — il Suo dominio, scritto esattamente giusto | Spoofing: il server di uno sconosciuto sta falsificando il Suo dominio nel campo mittente. I Suoi sistemi NON sono compromessi. | Soluzione DNS — SPF, DKIM, DMARC applicato. Percorso 1. |
[email protected], yourcompany-billing.com, yourcompany.co — simile, ma non Suo | Un dominio simile registrato da qualcun altro. Il Suo DNS non viene nemmeno consultato. | Rimozione + avvisi. Percorso 2. |
| Il Suo indirizzo esatto, e i messaggi sono nella Sua cartella Posta inviata o rispondono a conversazioni reali | Compromissione dell’account — qualcuno è dentro una casella vera. Un incidente diverso. | Cambi la password, revochi le sessioni, attivi la 2FA, controlli le regole di inoltro — prima di ogni altra cosa. |
Dati al 2026-06-29.
La riga in grassetto è il caso più comune e il più risolvibile. Il protocollo di base dell’email non ha mai verificato il campo mittente — chiunque può scriverci il Suo dominio — quindi la soluzione è pubblicare record DNS che permettano ai riceventi di controllare da soli. I numeri scomodi del censimento: 121.145.609 dei 261.086.232 domini valutati (il 46,4%) non pubblicano alcun record SPF, e 36.014 dei 138.927.207 domini che lo pubblicano lo terminano con +all — autorizzando letteralmente l’intera internet a inviare a loro nome (dati al 2026-06-29).
La prima ora: confermi, non reagisca
- Esegua la scansione gratuita su defaults.exposed. Trenta secondi, senza registrazione. Le dice se il Suo dominio è attualmente spoofabile — SPF presente e rigoroso o no, DMARC applicato o no — prima di toccare il DNS.
- Non risponda al falso, non clicchi nulla al suo interno, e non mandi ancora email di massa ai Suoi contatti. Un messaggio in preda al panico “ignorate le email da parte nostra!” inviato dallo stesso dominio suona esattamente come la truffa. Gli avvisi arrivano dopo, mirati e per un altro canale.
- Raccolga un campione completo con tutte le intestazioni. Chieda a un destinatario di inoltrare il falso come allegato (Gmail: “Mostra originale” → scarica; Outlook: “Visualizza origine messaggio”). Uno screenshot del campo mittente non basta — le intestazioni sono la prova per tutto ciò che segue.
- Legga il verdetto che il server ricevente ha già emesso. Nelle intestazioni, trovi
Authentication-Results:— undmarc=failsul Suo dominio esatto conferma lo spoofing del Suo dominio; un dominio simile inheader.from=conferma il percorso 2. Una sottigliezza: i riceventi valutano SPF rispetto al dominio del Return-Path (l’RFC5321.MailFrom, l’indirizzo di bounce), non all’intestazione From che il Suo destinatario vede — un’email contraffatta può perfino mostrarespf=passper il dominio del truffatore mentre falsifica il Suo nel From. Il controllo di allineamento di DMARC chiude esattamente quella falla.
Percorso 1 — è il Suo dominio esatto: il primo giorno
Lo spoofing del Suo dominio esatto funziona solo finché il Suo DNS non dice nulla che permetta ai riceventi di rifiutarlo. Oggi pubblica (o irrigidisce) i tre record; l’applicazione arriva nel corso della settimana.
- SPF: pubblichi un solo record che elenca i Suoi mittenti reali, terminando con
-all(“tutti gli altri: respinti”). Se il Suo termina con+allo?all, corregga prima quello — è una porta aperta che ha pubblicato Lei stessa. Guida passo passo: come correggere SPF, i clic per provider in SPF su GoDaddy. - DKIM: attivi la firma del dominio nel Suo provider email e in ogni strumento di newsletter/fatturazione (di solito un paio di record CNAME ciascuno).
- DMARC: pubblichi
v=DMARC1; p=none; rua=mailto:...oggi stesso così i report iniziano ad arrivare;p=rejectè il progetto di questa settimana, non di quest’ora — riferimento completo in come correggere DMARC. Se il dominio non invia alcuna email legittima — un vecchio marchio, un dominio parcheggiato — salti la prudenza e lo blocchi oggi stesso: quel vecchio dominio del Suo rebranding è una porta lasciata aperta.
L’avvertenza onesta, prima di rilassarsi: una policy DMARC applicata dice ai server riceventi di cestinare o rifiutare le contraffazioni del dominio esatto — e i grandi provider la rispettano. Ma vincola solo i riceventi che la controllano, e non fa assolutamente nulla contro i domini simili: una volta che i truffatori non possono più inviare come yourcompany.com, registrare yourcompany-billing.com costa pochi euro. DMARC riduce l’attacco; non chiude la storia — i passi della prima settimana contano anche per Lei.
Percorso 2 — è un dominio simile: questa non è una soluzione DNS
Nessun record che Lei pubblichi sul Suo dominio influisce sulla posta proveniente da un dominio che non possiede — nulla nel Suo DNS viene nemmeno consultato. Il piano è rimozione più avvisi:
- Scopra chi c’è dietro il dominio simile. Lo cerchi in RDAP/WHOIS (per esempio
lookup.icann.org) per ottenere il suo registrar, e controlli se ospita un sito web. - Lo segnali al contatto abuse del registrar allegando il Suo campione con intestazioni complete — i registrar sospendono domini di phishing ogni giorno; prove chiare accelerano tutto. C’è un sito di phishing? Lo segnali anche all’hosting, a Google Safe Browsing e a Microsoft SmartScreen.
- Segnali le email come phishing nelle caselle riceventi (“Segnala phishing” di Gmail/Outlook) — questo addestra i grandi filtri contro il dominio simile più in fretta di qualsiasi lettera.
- Avvisi i probabili bersagli per un altro canale — il passo che ferma davvero i soldi in uscita. Chiami o scriva (non si limiti a un’email) a clienti, fornitori e al Suo contabile: nomini il dominio falso, e renda qualsiasi cambio di coordinate bancarie “da parte Sua” verificabile per telefono. Quell’abitudine è la miglior difesa contro la storia di frode sulle fatture che ha sentito.
- Se il dominio simile abusa del Suo marchio, un ricorso UDRP può trasferirle il dominio — più lento di una rimozione, ma permanente.
E percorra comunque il percorso 1: gli aggressori raramente si scomodano con un dominio simile finché quello vero è ancora aperto, e il 89,41% dei domini non ha DMARC applicato (solo 27.640.987 su 261.086.232 — il 10,59% — lo fa, al 2026-06-29). Chiuda la Sua porta in ogni caso.
La prima settimana: monitorare, avvisare, applicare
- Legga i Suoi report DMARC. Entro un giorno o due dall’attivazione del tag
rua=, i report aggregati mostrano ogni server che invia a nome del Suo dominio — quelli veri e lo spoofer, con volumi e verdetti. È così che guarda l’attacco morire. - Confermi che i Suoi mittenti legittimi passino. Ogni sorgente reale (provider di posta, strumento di newsletter, app di fatturazione, modulo di contatto del sito) deve superare SPF o DKIM allineato al Suo dominio prima di applicare la policy — altrimenti il reject blocca anche la Sua posta.
- Porti DMARC a
p=quarantine, poi ap=reject. Sotto spoofing attivo può comprimere i soliti mesi in una o due settimane — ma comprime le tappe, non le salta. Il percorso graduale, la rampapcte la policy per i sottodomini: da p=none a p=reject senza perdere email legittime. - Invii un solo avviso, calmo e mirato, alle controparti che potrebbero aver ricevuto falsi: cosa è successo, cosa chiedeva il falso, la regola della verifica telefonica per i cambi di pagamento, e (percorso 2) il dominio simile esatto da bloccare.
- Ripeta la scansione e conservi il report. Assicuratori e clienti chiedono sempre più spesso cosa ha fatto per la sicurezza della Sua email; un report datato e con il voto risponde per iscritto.
Domande frequenti
Ho ricevuto un’email truffa dal mio stesso indirizzo. Sono stato hackerato? Quasi sempre no — la posta di estorsione “da Lei, a Lei” è lo stesso trucco di falsificazione, che sfrutta il fatto che il Suo dominio non rifiuta i falsi. Controlli la cartella Posta inviata e gli accessi recenti; se sono puliti, è spoofing, e una policy DMARC applicata ferma quella variante presso i riceventi che la rispettano. Al 2026-06-29, il 89,41% dei 261.086.232 domini valutati non l’ha fatto.
DMARC fermerà le email dai domini simili? No. La Sua policy DMARC governa solo il Suo dominio esatto (e i suoi sottodomini) — un dominio simile è il dominio di qualcun altro con il proprio DNS, mai confrontato con i Suoi record. I domini simili si combattono con segnalazioni abuse al registrar, segnalazioni di phishing e avvisi alle controparti, non con il DNS.
Quanto in fretta p=reject fermerà davvero lo spoofing? Le modifiche DNS raggiungono i riceventi in poche ore, e Gmail, Outlook e la maggior parte dei grandi provider applicano i verdetti DMARC — le contraffazioni del dominio esatto iniziano a morire il giorno in cui la policy entra in vigore. Due limiti onesti: riceventi più piccoli che non controllano mai DMARC potrebbero ancora consegnare i falsi, e applicare la policy prima che i Suoi mittenti siano allineati blocca la Sua posta legittima — acceleri le tappe, non le salti.
Invii il report al titolare
Se Lei è il consulente informatico che gestisce la cosa: quando i record sono attivi, riesegua la scansione e inoltri il report con il voto al titolare dell’azienda. Mostra, in linguaggio semplice, cosa ha permesso lo spoofing, cosa ha cambiato e dove sta il dominio ora — la risposta scritta a “adesso siamo al sicuro?”, e la prova per il rinnovo dell’assicurazione o il questionario di un cliente. Se il titolare è Lei: chieda esattamente quel report, e conservi il prima e il dopo.
Controlli gratis se il Suo dominio è spoofabile
Veda se il server di uno sconosciuto può attualmente spacciarsi per Lei — e cosa correggere esattamente — in modo privato e visibile solo al titolare.
Controlli il Suo dominio → · Da p=none a p=reject → · Correggere DMARC → · Qualcuno può spoofare il mio dominio? → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.