Defaults.Exposed

Defaults.ExposedCorrezioniGuides

Il questionario di sicurezza di un cliente chiede dell'autenticazione email — risponda (e colmi le lacune) in un pomeriggio (2026)

Pubblicato 2026-07-08

Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati — non pubblichiamo mai i risultati di un singolo dominio. Veda come assegniamo i voti.

Il suo cliente lo chiede perché le regole europee sulla sicurezza della catena di fornitura ora gli impongono di verificare i propri fornitori. Le domande hanno un punto di partenza da due minuti: una scansione gratuita valuta esattamente ciò che stanno indagando. Solo il 7,4% dei domini ha l’autenticazione email pienamente allineata e applicata, secondo il censimento Defaults.Exposed di 261.086.232 domini (al 2026-06-29) — nemmeno la maggior parte dei fornitori può ancora rispondere “sì”.

Ecco il piano per il pomeriggio: esegua la scansione gratuita, legga il rapporto di una pagina con i voti, risponda onestamente a ciò che è già vero e sistemi il giorno stesso i rimedi rapidi gratuiti. Per tutto ciò che è più profondo, un rapporto datato più una breve nota di rimedio è una risposta provvisoria accettabile — e migliore di un “sì” senza prove.

Perché il nostro cliente più importante chiede all’improvviso della nostra sicurezza email?

Non è una questione personale. Se il suo cliente rientra nell’ambito della NIS2 — la direttiva UE sulla sicurezza delle reti e dei sistemi informativi — l’articolo 21(2)(d) lo obbliga a gestire la sicurezza della sua catena di fornitura, e il Regolamento di esecuzione (UE) 2024/2690 della Commissione dettaglia le misure, citando espressamente la sicurezza email. Così l’ufficio acquisti invia un questionario a ogni fornitore; lei potrebbe non essere direttamente soggetto alla NIS2, ma è così che l’obbligo scende a cascata fino a lei. La scadenza e la conseguenza — restare nella lista dei fornitori approvati — esistono perché il suo cliente deve dimostrare a un’autorità di vigilanza di aver fatto le verifiche. (Abbiamo scritto che cosa dice davvero la NIS2 sull’autenticazione email.) Anche gli assicuratori ormai fanno le stesse domande — se pure il suo modulo di rinnovo ha cominciato, quella è la versione assicurativa di questo pomeriggio.

Che cosa significano davvero le domande?

La sezione sulla sicurezza email di un tipico questionario per fornitori è composta da quattro domande travestite da acronimi. Le traduciamo una volta, poi li lasciamo da parte.

Che cosa chiede il questionarioChe cosa significa in parole sempliciCome risponde il rapporto della scansione
”Applicate una policy DMARC?” (DMARC — Domain-based Message Authentication, Reporting and Conformance)Ha detto ai server di posta del mondo di rifiutare le email che falsificano il suo dominio? La riga in cui la maggior parte dei fornitori fallisce: solo il 7,4% dei 261.086.232 domini valutati ce l’ha allineata e applicata (censimento al 2026-06-29).Indica e valuta la sua policy. “Applicata” significa reject o quarantine; “solo monitoraggio” non blocca ancora nulla — dica quale delle due, onestamente.
”L’SPF è configurato con una policy restrittiva?” (SPF — Sender Policy Framework)Ha pubblicato la lista dei server autorizzati a inviare email a nome della sua azienda — e finisce in modo fermo (“nessun altro”) o con un’alzata di spalle (“e forse altri”)?Mostra se la lista esiste, è valida e finisce in modo fermo o permissivo.
”Le email in uscita sono firmate digitalmente (DKIM)?” (DKIM — DomainKeys Identified Mail)La sua email porta una firma antimanomissione che dimostra la provenienza dal suo dominio — a nome suo, non con il nome predefinito del provider?Mostra se esiste una firma a nome del suo dominio — la trappola del nome predefinito del provider è la lacuna più comune che la scansione trova.
”Monitorate lo spoofing del dominio?”Se qualcuno inviasse email false a suo nome, lo scoprirebbe — o il primo segnale sarebbe una telefonata furibonda?Mostra se l’indirizzo di segnalazione è attivo, così i tentativi di impersonificazione arrivano a lei.

Ognuna di queste domande trova risposta nelle impostazioni pubbliche del suo dominio — nessun audit, nessuna agenzia, nessun accesso ai suoi sistemi. È per questo che il piano del pomeriggio funziona. Queste quattro sono inoltre solo le righe email di una lista più lunga: che cosa controllano sul suo dominio i questionari assicurativi e dei fornitori elenca in tabella ogni controllo indagato, con il tasso di superamento su scala internet per ciascuno. Questa pagina resta sul suo pomeriggio — che cosa rispondere e che cosa sistemare per primo.

Come rispondiamo entro la scadenza? Il piano di un pomeriggio

  1. Esegua la scansione gratuita su defaults.exposed — due minuti, prima che qualcuno tocchi qualsiasi cosa. Legge le impostazioni pubbliche del suo dominio e valuta esattamente le quattro aree qui sopra. Nessuna registrazione, nessun accesso alla sua email.
  2. Legga il rapporto con i voti. Una pagina, linguaggio semplice, con data — ogni voto corrisponde a una domanda del questionario, così conosce le sue risposte reali invece di tirare a indovinare.
  3. Risponda a ciò che è già vero. Dove il rapporto mostra un esito positivo, dica sì e dica perché (“verificato da scansione indipendente”, con la data).
  4. Sistemi il giorno stesso i rimedi rapidi gratuiti. Le lacune comuni sono impostazioni, non acquisti: una lista mittenti che finisce in modo permissivo (la soluzione SPF), una regola anti-spoofing assente o bloccata in modalità monitoraggio (la soluzione DMARC), una firma con il nome predefinito del provider. Tutto gratuito, per lo più un record DNS ciascuno — inoltri la pagina di soluzione a chi gestisce il suo dominio, e diversi “no” diventano “sì” prima che il modulo torni indietro.
  5. Per tutto ciò che è più profondo, invii il rapporto datato con una nota di rimedio. Passare correttamente a una policy pienamente applicata richiede settimane di monitoraggio preliminare — non dichiari mai che è fatto quando non lo è. “Scansione indipendente allegata; rollout dell’applicazione in corso, obiettivo settembre” è una risposta provvisoria accettabile per qualunque ufficio acquisti competente. Un falso “sì” non lo è: gli uffici acquisti riverificano, spesso proprio con questo tipo di scansione.

Questo questionario può davvero giocare a nostro favore?

Sì — per via di ciò che rimandano indietro tutti gli altri. La maggior parte dei fornitori risponde con un semplice “sì” senza nulla dietro, mentre solo il 7,4% dei 261.086.232 domini valutati ha davvero la postura allineata-e-applicata che viene indagata (censimento al 2026-06-29). Un rapporto datato e valutato in modo indipendente — anche uno che mostra una lacuna e una data di rimedio — batte un “sì” senza prove, perché uno è verificabile e l’altro è una speranza. Non le viene chiesto di essere perfetto; le viene chiesto di essere verificabile. Pochi dei suoi concorrenti in quella lista lo saranno.

E se ciò che davvero la assilla è quella storia di frode sulle fatture sentita all’evento di networking — stesse impostazioni, stesso controllo da due minuti.

Domande frequenti

E se non riesco a sistemare tutto prima della scadenza? Invii ciò che è vero: il rapporto datato, ciò che ha sistemato questa settimana e un piano datato per il resto. Chi valuta la catena di fornitura ai fini NIS2 verifica se i fornitori gestiscono il rischio, non se sono impeccabili — un rapporto con i voti più una nota di rimedio è gestione del rischio, per iscritto. Ciò che fa fallire le revisioni è il silenzio, o una dichiarazione che non regge a una riverifica.

Il mio consulente IT può occuparsene? Delle impostazioni gratuite, sì — la lista mittenti, la firma a suo nome, la regola anti-spoofing sono lavoro DNS di routine, e le pagine di soluzione qui sopra sono scritte per quel passaggio di consegne. Ciò che i consulenti ragionevolmente considerano fuori dal loro mandato è il livello di giudizio: quale policy applicare, quando è sicuro irrigidirla, che cosa dire al cliente nel frattempo. Il rapporto con i voti trasforma quelle decisioni in un documento, così nessuno dei due improvvisa.

Ci escluderanno davvero come fornitore? Per una risposta in bianco o una falsa dichiarazione scoperta — prima o poi, sì; il cliente deve rispondere a un’autorità di vigilanza. Per una lacuna onesta con una data di rimedio — molto improbabile: su tutti i 261.086.232 domini valutati, solo il 10,59% applica la policy anti-spoofing su cui questi questionari indagano (censimento al 2026-06-29). Onesti-con-un-piano si resta nella lista.

Non rientriamo nella NIS2 — possiamo ignorare il questionario? L’obbligo è del suo cliente, che lo assolve scegliendo fornitori verificabili. Il margine per distinguersi è enorme: solo il 7,4% di tutti i 261.086.232 domini valutati ha l’autenticazione email allineata e applicata (censimento al 2026-06-29). Un pomeriggio la mette davanti a quasi ogni altro nome in quella lista di fornitori.

Inoltri il rapporto al suo referente IT

Non ribatta nulla a mano. Esegua la scansione gratuita, poi inoltri due cose a chi si occupa del suo dominio: il rapporto con i voti e questo articolo. Il rapporto dice esattamente quali impostazioni cambiare; le pagine di soluzione danno i passaggi. Quando il rapporto corretto torna indietro, le risposte al questionario si scrivono da sole — voto per voto. Poi lo archivi: il prossimo cliente farà le stesse quattro domande, il suo rinnovo assicurativo le fa già, e un rapporto datato allegabile in cinque minuti è la differenza tra un pomeriggio e un’emergenza.

Controlli il suo dominio → · Che cosa controllano i questionari sul suo dominio → · Quella storia di frode sulle fatture che ha sentito → · Solo dati aggregati. Dati conservati ed elaborati nell’UE.