Fondamenti8 min di lettura

Come configurare DMARC passo per passo

DMARC è il terzo pilastro dell'autenticazione email. Ti protegge dal spoofing e aiuta Gmail, Libero e Outlook a decidere cosa fare con mail che non passano l'autenticazione. Ecco come configurarlo, dal monitoring (p=none) alla protezione massima (p=reject).

DMARC (Domain-based Message Authentication, Reporting, and Conformance) è il terzo pilastro dell'autenticazione email. Dopo aver configurato SPF e DKIM, il DMARC dice ai provider di posta cosa fare se un'email non supera i controlli di autenticazione. Questa guida ti porta dal primo record DMARC (politica p=none per il monitoraggio) fino a p=reject (protezione massima).

Prerequisiti: SPF e DKIM devono essere già configurati

DMARC funziona solo se il tuo dominio ha già un record SPF valido e DKIM configurato. Se non li hai ancora, sistema quelli prima: SPF definisce quali IP possono inviare email dal tuo dominio, DKIM aggiunge una firma crittografica. DMARC controlla che entrambi "allineino" correttamente al From-address.

Verifica il tuo setup con un test gratuito: check.live-direct-marketing.online ti mostra SPF/DKIM/DMARC status e eventuali problemi di allineamento.

SPFChi può inviare da questo IPDKIMFirma crittografica del dominioDMARCPolitica: cosa fare se fallisce
SPF, DKIM e DMARC nel flusso di autenticazione email

Step 1: Creare il record TXT DMARC base (p=none)

Accedi al tuo DNS (Aruba, SiteGround, Cloudflare, il tuo hoster). Crea un record TXT con questi dettagli:

  • Nome (subdomain): _dmarc
  • Valore: v=DMARC1; p=none; rua=mailto:dmarc-report@tuodominio.it

Spiegazione:

  • v=DMARC1: versione DMARC
  • p=none: politica "monitoring only" — non blocca nulla, solo rapporti
  • rua=mailto:...: indirizzo email per i rapporti aggregati su risultati autenticazione (XML, settimanali)

p=none è la scelta giusta per iniziare: ti permette di raccogliere dati senza rischiare di bloccare le tue stesse email.

Step 2: Configurare rua e interpretare i rapporti di monitoraggio

Dopo pochi giorni, inizierai a ricevere rapporti XML da Gmail, Libero, Yahoo e altri provider. Questi file compressi (talvolta in allegato .gz) mostrano:

  • Quante email sono state testate
  • Quante passavano SPF/DKIM/DMARC
  • Quante fallivano e da quali IP
  • Allineamento (il From-dominio corrisponde a SPF/DKIM?)

Strumenti per decifrare i rapporti:

  • DMARC Report Analyzer (online, gratuito) — carica l'XML e leggi i risultati in formato umano
  • Datalift, Agari (a pagamento, per volumi enterprise)
  • Anche una semplice ricerca "DMARC XML parser online" te ne propone di gratuiti

Cosa cercare nei rapporti:

  • Se SPF/DKIM sono ben allineati (auth_results pass, alignment 100%)
  • Se ci sono IP non tuoi che fingono il tuo dominio (una vera minaccia: DMARC aiuta a bloccarli)

Step 3: Monitoraggio e correzione dell'allineamento

Lascia p=none per almeno una o due settimane, finché i rapporti non mostrano costanza. Normalmente:

  • Il 95–100% delle tue email dovrebbe passare SPF e DKIM
  • L'allineamento DMARC dovrebbe essere coerente

Se vedi anomalie:

  • SPF fail su alcuni IP? Aggiungi quell'IP al record SPF (o +include:smtp-provider se è un ESP) e re-testa
  • DKIM fail? Verifica la chiave pubblica nel DNS (il DKIM record k=rsa; p=... è intatto?)
  • Misalignment (SPF/DKIM passano ma DMARC fail)? Leggi i dettagli: spesso un form contact o un service esterno sta mandando email da un dominio diverso — crea un DMARC subdomain separato per quella sorgente
Non saltare il monitoraggio con p=none
Una configurazione prematura con p=quarantine o p=reject rischia di bloccare email legittime della tua azienda — magari la newsletter da un ESP dimenticato, o una integrazione Zapier vecchia. Ascolta i rapporti per 1–2 settimane prima di escalare.

Step 4: Escalare a p=quarantine

Quando i tuoi rapporti sono stabili e allineati, aggiorna il record:

v=DMARC1; p=quarantine; rua=mailto:dmarc-report@tuodominio.it

p=quarantine dice a Gmail, Libero, Outlook, ecc.: se DMARC fail, metti l'email in Spam (non rigettarla). È il passo intermedio: protegge il dominio ma non blocca mail legittime se qualcosa va storto.

Monitora i rapporti per 1–2 settimane. Se non vedi mail bloccate inaspettatamente — vai a p=reject.

Step 5: Passare a p=reject (protezione massima)

Quando sei completamente fiducioso, escalation finale:

v=DMARC1; p=reject; rua=mailto:dmarc-report@tuodominio.it

p=reject ordina ai provider di rifiutare email che non passano DMARC autenticazione. È il massimo livello di protezione: spacciatori non riescono a fingere il tuo dominio.

Continua a monitorare i rapporti rua ogni settimana. Se il tuo setup è stabile, DMARC p=reject è la miglior protezione.

Errori comuni (e come evitarli)

  1. Configurare DMARC senza SPF/DKIM — DMARC non funziona. SPF e DKIM sono prerequisiti.
  2. Non monitorare i rapporti rua — Non sai se il tuo DMARC sta funzionando. Leggi i rapporti ogni settimana.
  3. Saltare p=none e p=quarantine — Rischi di bloccare email legittima. Escalazione graduale è lo standard.
  4. Specificare rua sbagliato — I rapporti finiscono nell'indirizzo sbagliato. Verifica che l'email rua@… sia leggibile dal tuo team.
  5. Scordare il sottodominio _dmarc — Il record DMARC DEVE essere su _dmarc.tuodominio.it, non sulla radice.
  6. DMARC troppo permissivo — Se non specifichi, il default è adkim=r (relaxed DKIM alignment). Considera adkim=s (strict) dopo il testing.

Dopo quanto tempo vedo i rapporti rua?

I provider di posta (Gmail, Libero, Outlook, ecc.) raccolgono i dati durante la giornata e mandano rapporti aggregati (XML) una volta al giorno o ogni due giorni. In genere ricevi i primi rapporti entro 24–48 ore dalla configurazione del DMARC, ma potrebbero arrivare anche dopo una settimana se il volume di mail è basso.

Posso usare p=reject subito?

Tecnicamente sì, ma è sconsigliato. Se c'è un misalignment (es. un'integrazione esterna che mandi email da un tuo sottodominio senza DKIM), con p=reject quelle mail finiscono nei Reject (il provider non le consegna). È meglio iniziare con p=none (monitoring), fare due settimane di rapporti, poi p=quarantine per una settimana, poi p=reject.

Ho un dominio locale italiano (.it) — DMARC cambia qualcosa?

No. Gmail, Libero, Aruba, Outlook e tutti i provider mondiali usano DMARC uguale. Anche in Italia gli ISP e le piattaforme ESP (MailUp, 4Dem, Brevo) richiedono DMARC allineato come standard. Se spedisci da un dominio .it a Libero.it, Yahoo.it, ecc., DMARC è lo stesso.
Letture correlate
Found this useful? Share it
AB
Sull'autore
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifica la tua deliverability su oltre 20 provider

Gmail, Outlook, Yahoo, Libero, GMX, ProtonMail e altri. Screenshot reali della posta in arrivo, SPF/DKIM/DMARC, verdetti dei filtri antispam. Gratis, senza registrazione.

Avvia il test gratuito →

Test illimitati · Oltre 20 caselle · Risultati in tempo reale · Nessun account