DMARC (Domain-based Message Authentication, Reporting, and Conformance) è il terzo pilastro dell'autenticazione email. Dopo aver configurato SPF e DKIM, il DMARC dice ai provider di posta cosa fare se un'email non supera i controlli di autenticazione. Questa guida ti porta dal primo record DMARC (politica p=none per il monitoraggio) fino a p=reject (protezione massima).
Prerequisiti: SPF e DKIM devono essere già configurati
DMARC funziona solo se il tuo dominio ha già un record SPF valido e DKIM configurato. Se non li hai ancora, sistema quelli prima: SPF definisce quali IP possono inviare email dal tuo dominio, DKIM aggiunge una firma crittografica. DMARC controlla che entrambi "allineino" correttamente al From-address.
Verifica il tuo setup con un test gratuito: check.live-direct-marketing.online ti mostra SPF/DKIM/DMARC status e eventuali problemi di allineamento.
Step 1: Creare il record TXT DMARC base (p=none)
Accedi al tuo DNS (Aruba, SiteGround, Cloudflare, il tuo hoster). Crea un record TXT con questi dettagli:
- Nome (subdomain):
_dmarc - Valore:
v=DMARC1; p=none; rua=mailto:dmarc-report@tuodominio.it
Spiegazione:
v=DMARC1: versione DMARCp=none: politica "monitoring only" — non blocca nulla, solo rapportirua=mailto:...: indirizzo email per i rapporti aggregati su risultati autenticazione (XML, settimanali)
p=none è la scelta giusta per iniziare: ti permette di raccogliere dati senza rischiare di bloccare le tue stesse email.
Step 2: Configurare rua e interpretare i rapporti di monitoraggio
Dopo pochi giorni, inizierai a ricevere rapporti XML da Gmail, Libero, Yahoo e altri provider. Questi file compressi (talvolta in allegato .gz) mostrano:
- Quante email sono state testate
- Quante passavano SPF/DKIM/DMARC
- Quante fallivano e da quali IP
- Allineamento (il From-dominio corrisponde a SPF/DKIM?)
Strumenti per decifrare i rapporti:
- DMARC Report Analyzer (online, gratuito) — carica l'XML e leggi i risultati in formato umano
- Datalift, Agari (a pagamento, per volumi enterprise)
- Anche una semplice ricerca "DMARC XML parser online" te ne propone di gratuiti
Cosa cercare nei rapporti:
- Se SPF/DKIM sono ben allineati (auth_results pass, alignment 100%)
- Se ci sono IP non tuoi che fingono il tuo dominio (una vera minaccia: DMARC aiuta a bloccarli)
Step 3: Monitoraggio e correzione dell'allineamento
Lascia p=none per almeno una o due settimane, finché i rapporti non mostrano costanza. Normalmente:
- Il 95–100% delle tue email dovrebbe passare SPF e DKIM
- L'allineamento DMARC dovrebbe essere coerente
Se vedi anomalie:
- SPF fail su alcuni IP? Aggiungi quell'IP al record SPF (o +include:smtp-provider se è un ESP) e re-testa
- DKIM fail? Verifica la chiave pubblica nel DNS (il DKIM record
k=rsa; p=...è intatto?) - Misalignment (SPF/DKIM passano ma DMARC fail)? Leggi i dettagli: spesso un form contact o un service esterno sta mandando email da un dominio diverso — crea un DMARC subdomain separato per quella sorgente
Step 4: Escalare a p=quarantine
Quando i tuoi rapporti sono stabili e allineati, aggiorna il record:
v=DMARC1; p=quarantine; rua=mailto:dmarc-report@tuodominio.itp=quarantine dice a Gmail, Libero, Outlook, ecc.: se DMARC fail, metti l'email in Spam (non rigettarla). È il passo intermedio: protegge il dominio ma non blocca mail legittime se qualcosa va storto.
Monitora i rapporti per 1–2 settimane. Se non vedi mail bloccate inaspettatamente — vai a p=reject.
Step 5: Passare a p=reject (protezione massima)
Quando sei completamente fiducioso, escalation finale:
v=DMARC1; p=reject; rua=mailto:dmarc-report@tuodominio.itp=reject ordina ai provider di rifiutare email che non passano DMARC autenticazione. È il massimo livello di protezione: spacciatori non riescono a fingere il tuo dominio.
Continua a monitorare i rapporti rua ogni settimana. Se il tuo setup è stabile, DMARC p=reject è la miglior protezione.
Errori comuni (e come evitarli)
- Configurare DMARC senza SPF/DKIM — DMARC non funziona. SPF e DKIM sono prerequisiti.
- Non monitorare i rapporti rua — Non sai se il tuo DMARC sta funzionando. Leggi i rapporti ogni settimana.
- Saltare p=none e p=quarantine — Rischi di bloccare email legittima. Escalazione graduale è lo standard.
- Specificare rua sbagliato — I rapporti finiscono nell'indirizzo sbagliato. Verifica che l'email rua@… sia leggibile dal tuo team.
- Scordare il sottodominio _dmarc — Il record DMARC DEVE essere su
_dmarc.tuodominio.it, non sulla radice. - DMARC troppo permissivo — Se non specifichi, il default è
adkim=r(relaxed DKIM alignment). Consideraadkim=s(strict) dopo il testing.