Defaults.Exposed › Configurazione › DMARC

Come configurare il DMARC su Google Workspace

Aggiungi un record DMARC nel tuo DNS per dire ai destinatari cosa fare con le email che non superano i controlli SPF e DKIM.

Perché è importante per la tua attività

Il DMARC è la regola che lega insieme SPF e DKIM. Indica ai server di posta dei destinatari cosa fare quando un’email che dichiara di provenire dal tuo dominio non supera quei controlli — ignorarla, mandarla nello spam o rifiutarla del tutto — e può inviarti report che mostrano chi sta spedendo (e falsificando) posta a tuo nome. In parole semplici: il DMARC è ciò che davvero impedisce ai truffatori di spacciarsi per il tuo dominio e ingannare clienti e collaboratori. È gratuito, e trasforma SPF e DKIM da «utili da avere» in una protezione reale.

Configura prima SPF e DKIM

Il DMARC dipende da SPF e DKIM. Impostali prima, o insieme, al DMARC. Un record DMARC da solo — senza SPF/DKIM funzionanti — può far bloccare le tue stesse email legittime. Inizia con cautela (vedi la nota sulla regola più sotto) e stringi le maglie nel tempo.

Importante: dove si fa questa operazione

Come l’SPF, il DMARC è un record DNS, non un’impostazione dentro la console di amministrazione Google. Google Workspace gestisce la tua posta, ma il record DMARC si aggiunge dove risiede il DNS del tuo dominio — il tuo registrar, il web host, Cloudflare, o chiunque controlli i tuoi nameserver. Dentro Google non c’è nulla da attivare per il DMARC; il ruolo di Google è semplicemente che un SPF e un DKIM funzionanti (configurati a parte) sono ciò su cui il DMARC si basa.

Prima: quale azienda gestisce il tuo DNS?

Un record DMARC funziona solo se viene aggiunto dove puntano i nameserver del tuo dominio. Se non ne sei sicuro, controlla la sezione Nameservers nell’account del tuo registrar, oppure chiedi a chi ha allestito il tuo sito. Aggiungi il record nelle impostazioni DNS di quella azienda (cerca DNS / Records / Advanced DNS).

Cosa aggiungerai

Un singolo record TXT in corrispondenza di un nome host speciale: _dmarc.

Un valore di partenza sicuro, che si limita a monitorare e non blocca nulla, è:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = solo monitoraggio; per ora non viene bloccato nulla. Va bene per le prime settimane.
• rua=mailto:... = dove vengono inviati i report riepilogativi. Usa una casella reale che controlli.
• Una volta confermato (tramite i report e il controllo gratuito) che la tua posta genuina passa, puoi stringere la regola su p=quarantine (manda i fallimenti nello spam) e in seguito su p=reject (rifiuta del tutto i fallimenti).

Passaggi

1. Accedi al tuo host DNS (il tuo registrar, web host o provider DNS — non la console di amministrazione Google).
2. Apri le impostazioni DNS del tuo dominio (cerca DNS / Records / Advanced DNS).
3. Aggiungi un nuovo record e scegli TXT.
4. Nel campo Name / Host, inserisci esattamente _dmarc (con il trattino basso iniziale). Non digitare _dmarc.yourdomain.com — l’host DNS aggiunge il dominio automaticamente.
5. Nel campo Value (Valore), incolla la tua stringa DMARC, ad es. v=DMARC1; p=none; rua=mailto:[email protected] (sostituisci l’email con un indirizzo reale che monitori).
6. Lascia il TTL sul valore predefinito.
7. Salva.

Errori comuni

• Non è nella console di amministrazione Google. C’è chi cerca «DMARC» tra le impostazioni di Google — lì non c’è. Va nel tuo host DNS.
• Il nome host è _dmarc, con il trattino basso. Ometterlo, o digitare il dominio completo dopo, colloca il record nel posto sbagliato e il DMARC non verrà trovato.
• Attenzione alle virgolette. Incolla il valore semplice; la maggior parte degli host DNS aggiunge le virgolette per te. Non racchiuderlo tu tra "...".
• Un solo record DMARC. Deve esistere esattamente un record TXT su _dmarc. Se ne esiste già uno, modificalo invece di aggiungerne un secondo.
• Inizia con p=none. Passare subito a p=reject prima che SPF/DKIM siano solidi può bloccare le tue stesse fatture e i tuoi preventivi. Prima monitora, poi stringi.
• Usa una casella di reporting reale. L’indirizzo rua deve essere uno su cui puoi davvero ricevere.
• Concedi tempo. Le modifiche al DNS possono richiedere da qualche minuto fino a un paio d’ore per avere effetto ovunque.

Verifica che abbia funzionato

Una volta salvato, conferma che il tuo record DMARC sia attivo e sensato con il controllo gratuito su Defaults.Exposed. Inserisci il tuo dominio e ti dirà in parole semplici se il DMARC è configurato correttamente e cosa fare poi. I tuoi dati vengono elaborati nell’UE.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.