DMARC Lookup: La Policy che Blocca lo Spoofing del Tuo Dominio

DMARC: il guardiano dell'autenticazione email

DMARC (Domain-based Message Authentication, Reporting & Conformance) è il protocollo che completa il trinomio dell'autenticazione email. Mentre SPF e DKIM sono meccanismi di autenticazione, DMARC è una policy: dice ai server riceventi cosa fare quando un'email fallisce l'autenticazione. Senza DMARC, un'email che fallisce SPF o DKIM potrebbe comunque essere consegnata — la decisione è lasciata interamente al server destinatario. Con DMARC, il proprietario del dominio riprende il controllo.

DMARC verifica inoltre l'allineamento del dominio: controlla che il dominio nell'header From (quello che l'utente vede) corrisponda al dominio autenticato da SPF o DKIM. Questo è fondamentale perché un attaccante potrebbe configurare SPF e DKIM per il proprio dominio, ma inviare email con il tuo dominio nel campo From. L'allineamento DMARC impedisce questo scenario, chiudendo la falla tra autenticazione tecnica e identità visibile.

Le tre policy DMARC

# Fase 1: Monitoraggio (nessuna azione, solo report)
v=DMARC1; p=none; rua=mailto:dmarc@esempio.com

# Fase 2: Quarantena (email sospette in spam)
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@esempio.com

# Fase 3: Blocco totale (email sospette rifiutate)
v=DMARC1; p=reject; rua=mailto:dmarc@esempio.com; ruf=mailto:dmarc-forensic@esempio.com

L'implementazione DMARC dovrebbe essere sempre graduale. Partire direttamente con p=reject è rischioso: potresti bloccare email legittime inviate da servizi che non hai ancora autenticato con SPF/DKIM. La strategia consigliata è: iniziare con p=none per raccogliere dati (tipicamente 2-4 settimane), analizzare i report per identificare tutte le fonti email legittime, configurare SPF e DKIM per ciascuna, poi passare a p=quarantine con pct basso (25-50%), aumentare gradualmente, e infine attivare p=reject.

Report DMARC: la visibilità che ti mancava

Uno dei vantaggi più sottovalutati di DMARC sono i report aggregati (rua). Ogni server che riceve email dal tuo dominio invia report giornalieri in formato XML che mostrano: quante email sono state ricevute, da quali IP, se hanno passato o fallito SPF/DKIM, e quale azione è stata applicata. Questi report sono una miniera di informazioni: rivelano servizi che inviano email per tuo conto che potresti aver dimenticato, tentativi di spoofing del tuo dominio, e problemi di configurazione.

Per analizzare i report DMARC (che sono in XML grezzo e difficili da leggere), esistono servizi dedicati che li aggregano in dashboard leggibili. In alternativa, puoi iniziare con una lettura manuale dei report più significativi. L'elemento chiave da monitorare è il rapporto tra email autenticate e non autenticate: se vedi molte email legittime che falliscono, devi aggiornare SPF o DKIM prima di inasprire la policy.

Verificare e generare il tuo record DMARC

Il nostro DMARC Lookup analizza il record DMARC del tuo dominio mostrando la policy, i parametri di allineamento, gli indirizzi per i report e eventuali errori di sintassi. Se non hai ancora un record DMARC, usa il DMARC Generator per crearne uno personalizzato con le opzioni corrette. Lo strumento genera il record TXT pronto per essere inserito nel DNS.

Ricorda che il record DMARC va inserito come TXT su _dmarc.tuodominio.com. Un errore comune è inserirlo sulla root del dominio o con un nome host sbagliato. Verifica anche che SPF e DKIM siano correttamente configurati prima di attivare DMARC: senza almeno uno dei due protocolli di autenticazione, DMARC non ha basi su cui operare. Usa SPF Lookup e DKIM Lookup per una verifica completa.

Infine, presta attenzione alla policy per i sottodomini (sp=). Se non specificata, i sottodomini ereditano la policy del dominio padre. Ma se i tuoi sottodomini non inviano email, è buona pratica impostare sp=reject per impedire che vengano usati per spoofing, anche se la policy del dominio principale è ancora in fase di monitoraggio con p=none.