Vai al contenuto principale
Sicurezza web UE: 10 passi verso un rating migliore · Parte 2

DMARC: da "none" a "reject" — in tre passaggi

Il 46,8% dei siti UE ha DMARC, ma il 63% imposta la policy su "none". Perché non protegge nessuno e come fare correttamente.

· SiteGuardian

Parte 2 della serie "Sicurezza web UE: 10 passi verso un rating migliore"

Il problema

Qualcuno invia un'e-mail da ceo@vostro-dominio.com al vostro cliente. L'e-mail contiene una richiesta di pagamento. Non siete stati voi a inviarla.

Senza DMARC: il server di posta ricevente non ha modo di verificare se il dominio del mittente è legittimo. L'e-mail arriva nella casella di posta.

Con DMARC impostato su reject: il server di posta controlla SPF e DKIM, determina che l'e-mail non è autorizzata e la rifiuta. Non viene mai consegnata.

Il 46,8% dei siti web europei ha un record DMARC. Ma il 63% di questi imposta la policy su none — ovvero nessuna applicazione. Il dominio resta falsificabile, come se DMARC non fosse configurato.

Cosa vediamo nel Benchmark

Da oltre 700.000 siti web europei:

  • SPF: 75,7% — la maggior parte ha le basi
  • DKIM: 31,1% — meno di uno su tre firma le proprie e-mail
  • DMARC: 46,8% — ma di questi:
  • policy=none: 63% (solo monitoraggio, non blocca nulla)
  • policy=quarantine: 17% (sposta nello spam)
  • policy=reject: 20% (rifiuta completamente — l'unica protezione efficace)

E poi le configurazioni errate: quarantaine, rejet, keiner, brak, beleidsnaam — refusi che fanno ignorare completamente il record. Lo standard DMARC è rigido: un solo errore di battitura nel campo della policy e l'intera configurazione viene scartata.

Cos'è DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) si basa su SPF e DKIM:

  1. SPF verifica: questo server di posta è autorizzato a inviare per conto del mio dominio?
  2. DKIM verifica: il messaggio è stato alterato durante il trasporto?
  3. DMARC stabilisce: cosa deve succedere quando sia SPF che DKIM falliscono?

Senza DMARC, ogni server di posta ricevente decide da solo. Con DMARC, voi decidete.

I tre passaggi

Passaggio 1: impostare DMARC su none (giorno 1)

Create un record TXT per _dmarc.vostro-dominio.com:

v=DMARC1; p=none; rua=mailto:dmarc-reports@vostro-dominio.com
  • p=none — nessuna applicazione, solo monitoraggio
  • rua=mailto:... — i server riceventi inviano report aggregati a questo indirizzo

I report vi mostrano chi sta inviando e-mail per conto vostro. Spesso scoprirete strumenti per newsletter, sistemi CRM o servizi di terze parti di cui vi eravate dimenticati.

Attendete 2-4 settimane. Analizzate i report. Assicuratevi che tutti i mittenti legittimi siano allineati con SPF o DKIM.

Passaggio 2: passare a quarantine (settimana 3-4)

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc-reports@vostro-dominio.com
  • p=quarantine — le e-mail non autenticate finiscono nella cartella spam
  • pct=10 — solo il 10% delle e-mail viene trattato così (rollout graduale)

Monitorate i report. Nessun reclamo? Aumentate pct a 50, poi a 100.

Passaggio 3: passare a reject (settimana 5-6)

v=DMARC1; p=reject; rua=mailto:dmarc-reports@vostro-dominio.com

Ora le e-mail contraffatte vengono rifiutate. Il vostro dominio è protetto.

SPF e DKIM devono essere corretti

DMARC funziona solo se almeno SPF o DKIM è configurato correttamente:

SPF: un record TXT per vostro-dominio.com che elenca tutti i server di posta autorizzati:

v=spf1 include:_spf.google.com include:spf.brevo.com -all

Il -all alla fine è fondamentale — dice "rifiuta tutti gli altri". ~all (tilde) è un softfail e viene spesso ignorato.

DKIM: il vostro provider di posta genera una coppia di chiavi. La chiave pubblica viene pubblicata come record TXT sotto selettore._domainkey.vostro-dominio.com. Chiedete al vostro provider — la maggior parte ha una guida alla configurazione.

Errori comuni

1. Dimenticare i mittenti di terze parti. Piattaforme newsletter (Mailchimp, Brevo), sistemi di ticketing (Zendesk, Freshdesk), CRM (HubSpot) — tutti inviano e-mail per conto vostro. Tutti devono essere inclusi nel record SPF o firmare con DKIM.

2. Ignorare i sottodomini. DMARC si applica ai sottodomini per impostazione predefinita. Se marketing.vostro-dominio.com invia e-mail, deve essere coperto. Usate sp=reject per una policy separata per i sottodomini.

3. Non leggere i report. I report aggregati DMARC in XML non sono pensati per essere letti da persone. Usate un analizzatore gratuito (dmarcian, Postmark DMARC Tool) per capire cosa sta succedendo.

Contesto normativo

  • NIS2 Art. 21(2)(j) richiede misure per la "sicurezza della catena di approvvigionamento" — questo include la protezione delle comunicazioni e-mail con partner e fornitori.
  • GDPR Art. 32 richiede "misure tecniche adeguate" — lo spoofing e-mail abilita il phishing, che porta a violazioni dei dati.
  • DORA Art. 7 richiede al settore finanziario di identificare e classificare tutti i rischi ICT — gli attacchi via e-mail sono tra i più comuni.

Controlla il tuo dominio

SiteGuardian verifica SPF, DKIM, DMARC, STARTTLS e MTA-STS in un'unica scansione — e vi mostra non solo se i record esistono, ma se funzionano davvero:

https://siteguardian.io/scan

La prossima settimana nella Parte 3: Content Security Policy — la difesa più efficace contro XSS, assente nell'89% dei siti UE.

Questo articolo fa parte della serie "Sicurezza web UE: 10 passi verso un rating migliore". Dati dal SiteGuardian EU Web Security Benchmark su oltre 700.000 siti web europei.

Come si posiziona il tuo sito web?

SiteGuardian analizza il tuo dominio su sei dimensioni di sicurezza — gratis, istantaneo, senza registrazione.

Analizza il tuo sito web

Sicurezza web UE: 10 passi verso un rating migliore

Questo articolo fa parte di una serie settimanale sulle best practice di sicurezza web in UE.

SiteGuardian

2026-04-20

RSS