DMARC Generator: Crea il Record DMARC Perfetto in 2 Minuti

Perché ogni dominio ha bisogno di DMARC

Nel panorama attuale della sicurezza email, non avere un record DMARC equivale a lasciare la porta aperta agli attaccanti. Google, Yahoo e Apple hanno reso l'autenticazione email obbligatoria per i mittenti di massa dal 2024, ma anche per domini con volumi ridotti, DMARC è diventato un requisito fondamentale per la deliverability. Senza DMARC, le email inviate dal tuo dominio vengono trattate con maggiore sospetto dai server riceventi, aumentando la probabilità che finiscano in spam.

Il nostro DMARC Generator semplifica la creazione del record eliminando la necessità di conoscere a memoria la sintassi. Basta selezionare le opzioni desiderate — policy, email per i report, parametri di allineamento — e lo strumento genera il record TXT pronto per il copia-incolla nel pannello DNS. Ma prima di generare il record, è fondamentale comprendere ogni parametro e le sue implicazioni.

I parametri DMARC spiegati

v=DMARC1;          # Versione (obbligatorio, sempre DMARC1)
p=quarantine;       # Policy per il dominio: none|quarantine|reject
sp=reject;          # Policy per i sottodomini (opzionale)
pct=100;            # Percentuale di email a cui applicare la policy
rua=mailto:x@d.com; # Email per report aggregati (consigliato)
ruf=mailto:y@d.com; # Email per report forensi (opzionale)
adkim=r;            # Allineamento DKIM: r=relaxed, s=strict
aspf=r;             # Allineamento SPF: r=relaxed, s=strict
ri=86400;           # Intervallo report in secondi (default 24h)
fo=1;               # Opzioni report forense: 0|1|d|s

Il parametro pct è particolarmente utile durante il rollout: permette di applicare la policy solo a una percentuale delle email. Con pct=25, solo il 25% delle email non autenticate viene trattato secondo la policy (quarantine o reject), mentre il 75% viene trattato come con p=none. Questo permette un rollout graduale e sicuro: inizi con pct=10, monitori i report, aumenti a 25, 50, 75 e infine 100.

Workflow di implementazione DMARC

Prima di generare il record DMARC, verifica che le fondamenta siano solide. Usa SPF Lookup per confermare che il record SPF sia valido e copra tutti i servizi che inviano email per tuo conto. Controlla DKIM per ogni servizio che lo supporta. Solo dopo aver confermato che l'autenticazione funziona puoi procedere con DMARC.

Il workflow consigliato prevede quattro fasi: Settimana 1-2, genera un record con p=none e rua per iniziare a raccogliere dati. Settimana 3-4, analizza i report e correggi eventuali problemi di autenticazione. Mese 2, passa a p=quarantine con pct=25 e aumenta gradualmente. Mese 3+, quando i report confermano che tutte le email legittime passano l'autenticazione, attiva p=reject con pct=100.

Errori comuni nella configurazione DMARC

L'errore più frequente è saltare la fase di monitoraggio e attivare direttamente p=reject. Questo può bloccare email legittime da servizi terzi (CRM, newsletter, fatturazione) che non sono coperti da SPF o DKIM. Un altro errore è non specificare rua: senza report aggregati, navighi alla cieca e non puoi sapere se email legittime vengono bloccate dalla tua policy.

Attenzione anche all'allineamento: con aspf=s (strict), il dominio nel Return-Path deve corrispondere esattamente al dominio nel From. Servizi terzi che usano il proprio dominio nel Return-Path falliranno l'allineamento strict. Usa relaxed (r) a meno che tu non abbia requisiti di sicurezza specifici che richiedono strict. Lo stesso vale per adkim: relaxed permette ai sottodomini di allinearsi, strict richiede corrispondenza esatta.

Un errore tecnico comune è inserire il record TXT nel nome host sbagliato. Il record DMARC deve essere esattamente su _dmarc.tuodominio.com, non sulla root del dominio e non su dmarc.tuodominio.com (senza underscore). Verifica con il nostro DMARC Lookup che il record sia visibile e sintatticamente corretto dopo il deploy. La propagazione DNS richiede tipicamente da pochi minuti a qualche ora.