Implementare DMARC non è una missione impossibile. Questa guida completa ti segue in ogni fase dell’autenticazione DMARC nel 2025 – dalle configurazioni iniziali fino all’applicazione totale – con strategie comprovate per proteggere il tuo dominio senza compromettere la deliverability delle email.

Minacce come phishing e furto di credenziali rappresentano secondo Verizon [1] il 44 % di tutte le violazioni dei dati – un’autenticazione email robusta è quindi fondamentale per la sicurezza aziendale. Eppure, introdurre DMARC spesso sembra complicato, complice la presenza di consigli contrastanti su record DNS, protocolli di autenticazione e la configurazione corretta di DKIM e SPF.

L’implementazione di DMARC è meno complessa di quanto sembri: con il giusto approccio e il supporto di esperti, le aziende possono ottenere un’autenticazione email a livello enterprise, bloccando attacchi di spoofing e garantendo la consegna dei messaggi legittimi.

A livello globale, il 50,2 % delle aziende quotate ha già raggiunto la piena applicazione di DMARC [2]. Organizzazioni prive di un’adeguata autenticazione email sono sempre più a rischio, soprattutto perché provider come Google e Yahoo richiederanno DMARC agli invii massivi. DMARC diventa così cruciale per la deliverability, anche se molte organizzazioni esitano ad applicare policy restrittive: quasi il 75 % resta in modalità monitoraggio (p=none) anziché applicare DMARC in modo rigoroso [5].

Con questa guida attraverserai passo dopo passo ogni fase di adozione di DMARC – con consigli pratici e tattiche comprovate. Al termine, avrai un sistema efficace che protegge la reputazione del tuo brand e garantisce la sicurezza delle comunicazioni.

1. Verifica e preparazione: Identifica tutte le fonti che inviano email ed esamina la corretta configurazione SPF/DKIM
2. Crea la policy iniziale: Parti in modalità monitoraggio (p=none) per raccogliere dati
3. Distribuisci e monitora: Pubblica il record DMARC e analizza i rapporti ricevuti
4. Identifica e autentica: Inserisci nel DNS tutte le fonti legittime, correttamente autenticate
5. Applica gradualmente: Passa dal monitoraggio alla quarantena, poi al reject
6. Gestisci e ottimizza: Monitoraggio e aggiustamenti continui della policy

Risultato atteso: Protezione completa dallo spoofing e tasso di consegna superiore al 99 % per le email legittime

Cosa fare: Pubblica inizialmente un record DMARC in modalità monitoraggio per raccogliere dati di autenticazione senza incidere sulla consegna delle email.

Esempio: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-failures@yourdomain.com; pct=100

• Utilizza caselle di posta in grado di gestire volumi elevati di email
• Eventualmente affidati a un servizio di reportistica DMARC per un'analisi più semplice

• Accedi alla console DNS del tuo provider
• Crea un nuovo record TXT con hostname _dmarc.yourdomain.com
• Inserisci la stringa DMARC come valore
• Imposta il TTL su 3600 secondi (1 ora) per test più rapidi

Così puoi partire: Il record DMARC è pubblicato e la modifica DNS propagata (verificabile con dig o nslookup).

Risoluzione problemi: Se la modifica non è visibile, contatta il provider per conoscere gli intervalli di aggiornamento. La propagazione completa può richiedere fino a 24 ore.

Cosa fare: Mappare tutto l’ecosistema email e assicurarsi che i protocolli di autenticazione siano correttamente implementati.

• Includi il dominio principale (es. company.com)
• Elenca tutte le sottodomini (es. marketing.company.com, support.company.com)
• Identifica terze parti che inviano mail per tuo conto

• Piattaforme di email marketing (Mailchimp, Constant Contact, ecc.)
• Sistemi CRM (Salesforce, HubSpot, ecc.)
• Servizi transazionali (SendGrid, Mailgun, ecc.)
• Server e applicazioni interne
• Sistemi di notifica automatica

• Evita record SPF inutili analizzando i report DMARC
• DKIM deve essere attivo su tutti i servizi di invio
• Esegui test con strumenti come Red Sift Investigate

Così puoi partire: Hai l’elenco completo delle fonti email e la certezza che SPF/DKIM siano configurati su ciascun mittente legittimo.

Risoluzione problemi: Prima di procedere, configura SPF/DKIM per tutte le fonti mancanti. Senza autenticazione, le email legittime verranno rifiutate dal controllo DMARC.

Cosa fare: Raccogli e analizza i report DMARC per comprendere l’ambiente di autenticazione e rilevare eventuali errori.

• Concedi tempo ai provider per consegnare i report
• I grandi provider inviano solitamente report giornalieri
• I provider più piccoli inviano report meno frequentemente

• Scarica i report XML dalla casella dedicata
• Utilizza strumenti DMARC o un sistema di reportistica se disponibile
• Monitora i trend di autenticazione riuscita e fallita

• Controlla le fonti che generano errori SPF
• Verifica problemi sulla firma DKIM
• Segnala IP mittenti inattesi o non autorizzati

Dai priorità ai volumi significativi: una piattaforma marketing configurata male può causare migliaia di errori DMARC, mentre un sistema utilizzato di rado conta poco.

Così puoi partire: Ricevi regolarmente report e identifichi le fonti con successo o problemi di autenticazione.

Risoluzione problemi: Se non ricevi report, verifica le caselle rua/ruf e che i tuoi server non blocchino i report DMARC in ingresso come spam.

Cosa fare: Correggi i record SPF e DKIM per tutte le fonti lecite affinché superino l’autenticazione DMARC.

• Aggiungi IP al record SPF solo se il Return-Path corrisponde
• Aggiusta i parametri include dei terzi
• SPF non può superare il limite di 10 DNS lookup*

*Quando possibile, usa un provider DMARC come Red Sift OnDMARC che supera il limite dei 10 lookup

• Abilita la firma DKIM sui servizi dove manca
• Reimposta selettori e chiavi pubbliche se necessario
• Verifica la coerenza DKIM con il tuo dominio

• Implementa SRS (Sender Rewriting Scheme) o ARC (Authenticated Received Chain) per l’inoltro
• Considera altri metodi per routing complessi
• Documenta eventuali fonti legittime non autenticabili

Per i fornitori esterni, utilizza if possibile i record “include” nel SPF invece delle singole IP: beneficerai automaticamente degli aggiornamenti infrastrutturali lato provider.

Così puoi partire: I tuoi report DMARC mostrano oltre il 95 % di successo sulle fonti lecite – solo i messaggi sospetti o fraudolenti falliscono.

Risoluzione problemi: Se ancora email lecite falliscono, verifica inoltri, mailing list o gateway che possono modificare i messaggi. In contesti tecnici nuovi qualche compromesso può essere necessario.

Red Sift OnDMARC trasforma un progetto DMARC complesso e laborioso in un’esperienza guidata e intuitiva. Come soluzione DMARC leader in EMEA, con valutazione 4,9 stelle su G2, Red Sift ha aiutato oltre 1200 organizzazioni a ottenere piena protezione DMARC in 6–8 settimane.

• Analisi report automatizzata: OnDMARC sostituisce file XML indecifrabili con dashboard chiare e operative, anche nei casi più complessi
• Creazione guidata delle policy: La piattaforma suggerisce automaticamente il momento ideale per passare dal monitoraggio alla quarantena e poi al reject, basandosi sui tuoi tassi di successo
• Rilevamento intelligente delle fonti: OnDMARC intercetta tutte le fonti mittenti – inclusa Shadow IT non ancora mappata
• Autenticazione one-click: Configura SPF/DKIM in un clic, con aggiornamenti automatici ai cambi provider
• Supporto esperto: Accesso al team Customer Success premiato di Red Sift, anche per i casi più complessi

• Sicurezza prioritaria: DMARC non è più opzionale, ma difesa essenziale contro phishing e spoofing
• Infrastrutture complesse: Aziende con più domini, sottodomini e fornitori
• Rollout rapido richiesto: DMARC urgente per obblighi normativi o esigenze di business
• Risorse interne limitate: Sicurezza senza caricare il team IT
• Gestione continua: Organizzazioni che necessitano monitoraggio attivo e non solo una tantum

Cosa fare: Passa dal monitoraggio all’applicazione attiva – prima quarantena e poi reject.

1. Spostamento alla policy Quarantine

Esempio: v=DMARC1; p=quarantine; pct=25;rua=mailto:dmarc-reports@yourdomain.com;ruf=mailto:dmarc-failures@yourdomain.com

• Parti con il 25 % dei messaggi non conformi
• Verifica se email lecite finiscono in quarantena
• Aumenta pct gradualmente: 25 % → 50 % → 75 % → 100 %

1. Monitora gli effetti della quarantena

• Chiedi agli utenti se mancano messaggi
• Identifica email lecite nello spam
• Esamina i report per nuovi errori di autenticazione

1. Passaggio alla policy Reject

Esempio: v=DMARC1; p=reject; pct=25;rua=mailto:dmarc-reports@yourdomain.com;ruf=mailto:dmarc-failures@yourdomain.com

• Riparti dal 25 % e aumenta progressivamente
• Protezione massima per il tuo dominio
• Le email fraudolente vengono rifiutate

Sii graduale: meglio una settimana in più in quarantena che bloccare inavvertitamente email di business legittime.

Così puoi partire: Raggiungi p=reject e pct=100, i report DMARC mostrano risultati stabili sulle fonti lecite e lo spoofing è bloccato.

Risoluzione problemi: Se vengono rifiutate email legittime, abbassa subito pct e ricerca la causa. Non accelerare la transizione – la deliverability deve sempre avere la precedenza.

Cosa fare: Monitoraggio costante e ottimizzazione delle policy per garantire a lungo termine la sicurezza email.

• Analisi settimanale dei report aggregati DMARC
• Valutazione mensile dei trend e nuovi mittenti
• Revisione trimestrale dell’efficacia della policy

• Individua picchi improvvisi di errori DMARC
• Rileva nuovi mittenti
• Traccia l’evoluzione del tasso di successo

• Aggiorna SPF quando aggiungi nuovi servizi
• Cambia regolarmente le chiavi DKIM secondo le best practice
• Modifica la policy DMARC in caso di nuove infrastrutture

Documenta accuratamente configurazioni e processi. In caso di cambio personale o nuovi servizi, una documentazione chiara garantisce la sicurezza dell’autenticazione.

Così puoi partire: I tuoi processi garantiscono costantemente tassi di successo >99 % e permettono di individuare rapidamente minacce o errori di configurazione.

Risoluzione problemi: Se il tasso di successo cala, verifica prima le modifiche a servizi o DNS: la maggior parte dei problemi DMARC nasce da aggiornamenti non coordinati.

• Perché: Pressione da compliance o sicurezza
• Come evitarlo: Almeno 2–3 settimane di monitoraggio per garantire le analisi necessarie
• Se succede: Torna subito a p=none e riprendi il monitoraggio

• Perché: Shadow IT o sistemi legacy dimenticati che inviano email
• Come evitarlo: Audit accurato includendo tutti i reparti e sistemi storici
• Se succede: Inserisci le fonti trovate in SPF/DKIM e presta attenzione a nuovi mittenti sconosciuti

• Perché: Si crede basti il record DMARC del dominio principale
• Come evitarlo: Configura DMARC su ogni sottodominio usato
• Se succede: Crea record DMARC specifici o controlla la corretta inheritance

Per le organizzazioni alle prime armi: Inizia con una sottodominio a basso traffico come ambiente di test prima di applicare il metodo al dominio principale. Così riduci i rischi e acquisisci competenza.

Per utenti esperti: Una volta raggiunto p=reject, valuta il rollout BIMI (Brand Indicators for Message Identification): il tuo logo apparirà tra i destinatari compatibili – per maggiore fiducia e notorietà.

• Analisi dei report DMARC forensi: Usa i report ruf per diagnosticare errori complessi e identificare tentativi di spoofing evoluti
• Ereditarietà delle policy per sottodomini: Con l’attributo sp= controlli enforcement centrale o differenziato per sottodominio
• Avanza per percentuale: Sperimenta le modifiche alle policy (pct=) per valutarne l’impatto prima del rollout completo

• Successo dell’autenticazione: >95 % delle email lecite supera DMARC
• Conformità della policy: Operatività con p=reject e pct=100
• Difesa contro le minacce: Calo documentato di spoofing e phishing
• Deliverability: Mantenimento o aumento della inbox rate
• Copertura dei report: Arrivo regolare di report DMARC dai maggiori provider

• Settimane 1–2: Monitoraggio, raccolta report, identificazione errori
• Settimane 3–4: Correzioni autenticazione, passaggio a Quarantine
• Settimane 5–6: Passaggio a enforcement rigoroso, applicazione p=reject
• In continuo: Supervisione costante con >99 % di successo

Studi di impatto evidenziano netti miglioramenti con DMARC: dopo l’obbligo di autenticazione per gli invii di massa nel 2024, Google ha registrato un calo del 75 % dei messaggi non autenticati [3].

I protocolli SPF, DKIM e DMARC sono basilari anche per la deliverability – la loro diffusione è cresciuta dell’11 % nel 2024, dimostrando il ruolo centrale dell’autenticazione [4].

• Documenta le impostazioni DMARC per i team futuri
• Stabilisci un monitoraggio regolare e identifica i responsabili
• Considera l’adozione di BIMI per la valorizzazione del brand

• Implementa SPF, DKIM e DMARC su tutti i domini/sottodomini
• Adotta soluzioni avanzate contro le minacce in ingresso
• Valuta la crittografia delle email per le comunicazioni sensibili

• Revisione trimestrale delle prestazioni di autenticazione e delle policy
• Aggiorna regolarmente SPF in caso di nuovi servizi
• Audit annuale della sicurezza incluso SPF/DKIM/DMARC

Il panorama delle minacce email è in continua evoluzione. Una solida implementazione DMARC, unita a monitoraggio costante, costituisce la base duratura per proteggere le tue comunicazioni e la reputazione del brand.

DMARC è un compito continuo – non un progetto spot, ma una pratica di sicurezza da mantenere. Investire in autenticazione robusta ripaga: meno incidenti, reputazione tutelata e comunicazioni affidabili per supportare i tuoi obiettivi di business.

[1] Verizon. “2025 Data Breach Investigations Report.” https://www.verizon.com/business/resources/reports/dbir/ 

[2] Red Sift. “Red Sift's guide to global DMARC adoption” https://redsift.com/guides/red-sifts-guide-to-global-dmarc-adoption 

[3] Google. “New Gmail protections for a safer, less spammy inbox” https://powerdmarc.com/email-phishing-dmarc-statistics/

[4] Mailgun. “Email Authentication Requirements in 2025.” https://www.mailgun.com/state-of-email-deliverability/chapter/email-authentication-requirements/

[5] Red Sift. BIMI Radar. https://bimiradar.com/glob