Defaults.Exposed › Correzioni › Guides
Il questionario di sicurezza di un cliente chiede dell'autenticazione email — risponda (e colmi le lacune) in un pomeriggio (2026)
Pubblicato 2026-07-08
Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati — non pubblichiamo mai i risultati di un singolo dominio. Veda come assegniamo i voti.
Il suo cliente lo chiede perché le regole europee sulla sicurezza della catena di fornitura ora gli impongono di verificare i propri fornitori. Le domande hanno un punto di partenza da due minuti: una scansione gratuita valuta esattamente ciò che stanno indagando. Solo il 7,4% dei domini ha l’autenticazione email pienamente allineata e applicata, secondo il censimento Defaults.Exposed di 261.086.232 domini (al 2026-06-29) — nemmeno la maggior parte dei fornitori può ancora rispondere “sì”.
Ecco il piano per il pomeriggio: esegua la scansione gratuita, legga il rapporto di una pagina con i voti, risponda onestamente a ciò che è già vero e sistemi il giorno stesso i rimedi rapidi gratuiti. Per tutto ciò che è più profondo, un rapporto datato più una breve nota di rimedio è una risposta provvisoria accettabile — e migliore di un “sì” senza prove.
Perché il nostro cliente più importante chiede all’improvviso della nostra sicurezza email?
Non è una questione personale. Se il suo cliente rientra nell’ambito della NIS2 — la direttiva UE sulla sicurezza delle reti e dei sistemi informativi — l’articolo 21(2)(d) lo obbliga a gestire la sicurezza della sua catena di fornitura, e il Regolamento di esecuzione (UE) 2024/2690 della Commissione dettaglia le misure, citando espressamente la sicurezza email. Così l’ufficio acquisti invia un questionario a ogni fornitore; lei potrebbe non essere direttamente soggetto alla NIS2, ma è così che l’obbligo scende a cascata fino a lei. La scadenza e la conseguenza — restare nella lista dei fornitori approvati — esistono perché il suo cliente deve dimostrare a un’autorità di vigilanza di aver fatto le verifiche. (Abbiamo scritto che cosa dice davvero la NIS2 sull’autenticazione email.) Anche gli assicuratori ormai fanno le stesse domande — se pure il suo modulo di rinnovo ha cominciato, quella è la versione assicurativa di questo pomeriggio.
Che cosa significano davvero le domande?
La sezione sulla sicurezza email di un tipico questionario per fornitori è composta da quattro domande travestite da acronimi. Le traduciamo una volta, poi li lasciamo da parte.
| Che cosa chiede il questionario | Che cosa significa in parole semplici | Come risponde il rapporto della scansione |
|---|---|---|
| ”Applicate una policy DMARC?” (DMARC — Domain-based Message Authentication, Reporting and Conformance) | Ha detto ai server di posta del mondo di rifiutare le email che falsificano il suo dominio? La riga in cui la maggior parte dei fornitori fallisce: solo il 7,4% dei 261.086.232 domini valutati ce l’ha allineata e applicata (censimento al 2026-06-29). | Indica e valuta la sua policy. “Applicata” significa reject o quarantine; “solo monitoraggio” non blocca ancora nulla — dica quale delle due, onestamente. |
| ”L’SPF è configurato con una policy restrittiva?” (SPF — Sender Policy Framework) | Ha pubblicato la lista dei server autorizzati a inviare email a nome della sua azienda — e finisce in modo fermo (“nessun altro”) o con un’alzata di spalle (“e forse altri”)? | Mostra se la lista esiste, è valida e finisce in modo fermo o permissivo. |
| ”Le email in uscita sono firmate digitalmente (DKIM)?” (DKIM — DomainKeys Identified Mail) | La sua email porta una firma antimanomissione che dimostra la provenienza dal suo dominio — a nome suo, non con il nome predefinito del provider? | Mostra se esiste una firma a nome del suo dominio — la trappola del nome predefinito del provider è la lacuna più comune che la scansione trova. |
| ”Monitorate lo spoofing del dominio?” | Se qualcuno inviasse email false a suo nome, lo scoprirebbe — o il primo segnale sarebbe una telefonata furibonda? | Mostra se l’indirizzo di segnalazione è attivo, così i tentativi di impersonificazione arrivano a lei. |
Ognuna di queste domande trova risposta nelle impostazioni pubbliche del suo dominio — nessun audit, nessuna agenzia, nessun accesso ai suoi sistemi. È per questo che il piano del pomeriggio funziona. Queste quattro sono inoltre solo le righe email di una lista più lunga: che cosa controllano sul suo dominio i questionari assicurativi e dei fornitori elenca in tabella ogni controllo indagato, con il tasso di superamento su scala internet per ciascuno. Questa pagina resta sul suo pomeriggio — che cosa rispondere e che cosa sistemare per primo.
Come rispondiamo entro la scadenza? Il piano di un pomeriggio
- Esegua la scansione gratuita su defaults.exposed — due minuti, prima che qualcuno tocchi qualsiasi cosa. Legge le impostazioni pubbliche del suo dominio e valuta esattamente le quattro aree qui sopra. Nessuna registrazione, nessun accesso alla sua email.
- Legga il rapporto con i voti. Una pagina, linguaggio semplice, con data — ogni voto corrisponde a una domanda del questionario, così conosce le sue risposte reali invece di tirare a indovinare.
- Risponda a ciò che è già vero. Dove il rapporto mostra un esito positivo, dica sì e dica perché (“verificato da scansione indipendente”, con la data).
- Sistemi il giorno stesso i rimedi rapidi gratuiti. Le lacune comuni sono impostazioni, non acquisti: una lista mittenti che finisce in modo permissivo (la soluzione SPF), una regola anti-spoofing assente o bloccata in modalità monitoraggio (la soluzione DMARC), una firma con il nome predefinito del provider. Tutto gratuito, per lo più un record DNS ciascuno — inoltri la pagina di soluzione a chi gestisce il suo dominio, e diversi “no” diventano “sì” prima che il modulo torni indietro.
- Per tutto ciò che è più profondo, invii il rapporto datato con una nota di rimedio. Passare correttamente a una policy pienamente applicata richiede settimane di monitoraggio preliminare — non dichiari mai che è fatto quando non lo è. “Scansione indipendente allegata; rollout dell’applicazione in corso, obiettivo settembre” è una risposta provvisoria accettabile per qualunque ufficio acquisti competente. Un falso “sì” non lo è: gli uffici acquisti riverificano, spesso proprio con questo tipo di scansione.
Questo questionario può davvero giocare a nostro favore?
Sì — per via di ciò che rimandano indietro tutti gli altri. La maggior parte dei fornitori risponde con un semplice “sì” senza nulla dietro, mentre solo il 7,4% dei 261.086.232 domini valutati ha davvero la postura allineata-e-applicata che viene indagata (censimento al 2026-06-29). Un rapporto datato e valutato in modo indipendente — anche uno che mostra una lacuna e una data di rimedio — batte un “sì” senza prove, perché uno è verificabile e l’altro è una speranza. Non le viene chiesto di essere perfetto; le viene chiesto di essere verificabile. Pochi dei suoi concorrenti in quella lista lo saranno.
E se ciò che davvero la assilla è quella storia di frode sulle fatture sentita all’evento di networking — stesse impostazioni, stesso controllo da due minuti.
Domande frequenti
E se non riesco a sistemare tutto prima della scadenza? Invii ciò che è vero: il rapporto datato, ciò che ha sistemato questa settimana e un piano datato per il resto. Chi valuta la catena di fornitura ai fini NIS2 verifica se i fornitori gestiscono il rischio, non se sono impeccabili — un rapporto con i voti più una nota di rimedio è gestione del rischio, per iscritto. Ciò che fa fallire le revisioni è il silenzio, o una dichiarazione che non regge a una riverifica.
Il mio consulente IT può occuparsene? Delle impostazioni gratuite, sì — la lista mittenti, la firma a suo nome, la regola anti-spoofing sono lavoro DNS di routine, e le pagine di soluzione qui sopra sono scritte per quel passaggio di consegne. Ciò che i consulenti ragionevolmente considerano fuori dal loro mandato è il livello di giudizio: quale policy applicare, quando è sicuro irrigidirla, che cosa dire al cliente nel frattempo. Il rapporto con i voti trasforma quelle decisioni in un documento, così nessuno dei due improvvisa.
Ci escluderanno davvero come fornitore? Per una risposta in bianco o una falsa dichiarazione scoperta — prima o poi, sì; il cliente deve rispondere a un’autorità di vigilanza. Per una lacuna onesta con una data di rimedio — molto improbabile: su tutti i 261.086.232 domini valutati, solo il 10,59% applica la policy anti-spoofing su cui questi questionari indagano (censimento al 2026-06-29). Onesti-con-un-piano si resta nella lista.
Non rientriamo nella NIS2 — possiamo ignorare il questionario? L’obbligo è del suo cliente, che lo assolve scegliendo fornitori verificabili. Il margine per distinguersi è enorme: solo il 7,4% di tutti i 261.086.232 domini valutati ha l’autenticazione email allineata e applicata (censimento al 2026-06-29). Un pomeriggio la mette davanti a quasi ogni altro nome in quella lista di fornitori.
Inoltri il rapporto al suo referente IT
Non ribatta nulla a mano. Esegua la scansione gratuita, poi inoltri due cose a chi si occupa del suo dominio: il rapporto con i voti e questo articolo. Il rapporto dice esattamente quali impostazioni cambiare; le pagine di soluzione danno i passaggi. Quando il rapporto corretto torna indietro, le risposte al questionario si scrivono da sole — voto per voto. Poi lo archivi: il prossimo cliente farà le stesse quattro domande, il suo rinnovo assicurativo le fa già, e un rapporto datato allegabile in cinque minuti è la differenza tra un pomeriggio e un’emergenza.
Controlli il suo dominio → · Che cosa controllano i questionari sul suo dominio → · Quella storia di frode sulle fatture che ha sentito → · Solo dati aggregati. Dati conservati ed elaborati nell’UE.