La guida definitiva di Red Sift alla sicurezza delle email

DMARC significa Domain-based Message Authentication, Reporting, and Conformance. È un protocollo di sicurezza delle email in uscita che consente ai proprietari di domini di riprendere il controllo della propria identità email, istruendo le caselle di posta dei destinatari a rifiutare le email di spoofing. Funziona insieme a SPF e DKIM per verificare che una email sia inviata da una fonte autorizzata e che l'indirizzo “From” visibile sia allineato con il dominio autenticato.

DMARC impedisce l'impersonificazione esatta del dominio comunicando ai server destinatari di non accettare alcuna email che non sia autenticata come proveniente da voi. Pertanto, i malintenzionati non possono usare il vostro dominio per inviare email di phishing e per compiere Business Email Compromise (BEC). Nel 2026, DMARC è diventato un requisito standard per le organizzazioni che inviano grandi volumi di email.

DMARC è anche fondamentale per implementare BIMI (Brand Indicators for Message Identification), che richiede almeno una policy di p=quarantine o, idealmente, p=reject. Scopri se il tuo brand è pronto per BIMI con il nostro verificatore gratuito.

DMARC funziona utilizzando i protocolli di sicurezza esistenti SPF e DKIM. Il tuo record SPF è una lista bianca di indirizzi IP autorizzati a inviare email usando il tuo dominio. DKIM agisce come una firma digitale, consentendo al destinatario di sapere che sei veramente tu il mittente. Quando configuri DMARC per la prima volta, dovrai classificare quali mittenti sono autorizzati a inviare email usando il tuo dominio e quali no.

Sia SPF che DKIM sono essenziali per la sicurezza delle tue email, ma nessuno dei due previene l'impersonificazione esatta. Mentre i protocolli comunicano al destinatario chi sia il mittente, il destinatario non riceve istruzioni su come agire di conseguenza, ovvero non sa cosa fare con la tua email. 

Quindi, DMARC funziona combinando i risultati di SPF e DKIM per determinare se la tua email è autentica e autorizzata. In seguito, la policy DMARC che hai impostato comunica ai server destinatari cosa fare con quel messaggio. 

Una policy DMARC è l’insieme di regole pubblicate nel record DNS DMARC — definite dal tag “p=” — che indica ai server di posta destinatari come gestire i messaggi che non superano l’autenticazione DMARC.

La tua policy DMARC è sostanzialmente l’istruzione che dai ai server destinatari, comunicando loro cosa fare con le email che provengono dal tuo dominio. Esistono tre policy tra cui scegliere:

• p=none: questa policy indica al server destinatario di accettare tutte le email dal tuo dominio, indipendentemente dal fatto che superino o meno l’autenticazione.
• p=quarantine: questa policy indica al server destinatario di inviare nella posta indesiderata tutte le email dal tuo dominio che non superano l’autenticazione.
• p=reject: questa policy indica al server destinatario di rifiutare tutte le email provenienti dal tuo dominio che non superano l’autenticazione.

Adottare DMARC è un processo graduale. Iniziare con "p=none" ti consente di monitorare i flussi delle email senza interrompere le comunicazioni legittime. È importante notare che, sebbene "p=none" fornisca preziosi dati di monitoraggio, non impedisce che email malevole vengano recapitate. Pertanto, rimanere su "p=none" lascia il tuo dominio vulnerabile ad abusi. Dal momento che i principali fornitori di caselle email ora impongono requisiti di autenticazione, le organizzazioni nel 2026 riconoscono che p=reject è lo standard di sicurezza e non un miglioramento opzionale.

Durante questa fase, analizza i report DMARC per configurare correttamente i record SPF e DKIM per tutte le fonti email legittime. Quando sei sicuro della configurazione dell’autenticazione delle tue email, puoi passare a policy di enforcement come "p=quarantine" (che indirizza le email fallite nella cartella spam/posta indesiderata) e infine a "p=reject" per una protezione completa.

Raggiungere una policy "p=reject" è l’obiettivo finale per mettere in sicurezza il tuo dominio, poiché blocca attivamente le email non autorizzate. Tuttavia, questa transizione deve essere gestita con attenzione per garantire che tutte le fonti email legittime siano correttamente autenticate, riducendo al minimo il rischio di interrompere comunicazioni valide e passando attraverso lo stadio “p=quarantine”.

Per mettere totalmente al sicuro le tue email, "p=reject" fornisce una protezione rigorosa contro minacce in costante crescita. Iniziare da “p=none” è un ottimo primo passo e, con un piano di implementazione strutturato da Red Sift, puoi rafforzare la tua posizione di sicurezza email del dominio.

SPF (Sender Policy Framework) è un protocollo di autenticazione delle email che valida gli indirizzi IP dei server mittenti in base alla policy SPF di un dominio. DMARC (Domain-based Message Authentication, Reporting, and Conformance) utilizza SPF e/o DKIM per far rispettare l’allineamento dei domini, applicare regole di reject o quarantine, e fornire report per monitorare spoofing e phishing via email.

DKIM (DomainKeys Identified Mail) aggiunge una firma digitale ai messaggi in uscita, verificata tramite una chiave pubblica sul DNS, per confermare l’integrità e l’autorizzazione del dominio. DMARC (Domain-based Message Authentication, Reporting, and Conformance) combina i risultati di DKIM e SPF per far rispettare l’allineamento, bloccare o mettere in quarantena le email non autenticate e fornire report dettagliati.

SPF, DKIM e DMARC lavorano insieme per proteggere i domini email: SPF verifica gli IP autorizzati all’invio, DKIM assicura l’integrità del messaggio con firme crittografiche e DMARC fa rispettare l’allineamento tra i risultati di autenticazione e il dominio “From” visibile, fornendo controllo sulle policy e reportistica.

Oltre a garantire una robusta postura di sicurezza email, DMARC offre anche veri benefici di business. Di seguito alcuni dei principali vantaggi dell’implementazione di DMARC.

DMARC fornisce report che mostrano la maggior parte, se non tutte, le email inviate dal dominio della tua organizzazione. Questo si contrappone alle soluzioni tradizionali di cybersecurity, che rilevano solo le email phishing in ingresso. Senza DMARC, le organizzazioni non hanno una visione completa del numero e della portata degli attacchi ai loro danni.  

Gli attacchi di phishing che utilizzano impersonificazione esatta possono causare danni significativi alla reputazione. Le truffe di phishing attirano stampa negativa e spesso la responsabilità ricade sull’organizzazione impersonata. 

Pagare fatture false o effettuare bonifici da email che impersonano il CEO di un’azienda è un fenomeno comune. 

BIMI (Brand Indicators for Message Identification) è uno standard che consente di visualizzare il logo registrato nello slot avatar di qualsiasi email autenticata DMARC inviata, utilizzando Verified Mark Certificates. BIMI aumenta le impressioni del marchio e le ricerche mostrano che ha un impatto molto positivo sulla fiducia dei consumatori, sull’interazione e sulle decisioni di acquisto. Essere conformi a DMARC ti consente di sfruttare questa grande opportunità di valorizzazione del brand.  

Quando DMARC è configurato correttamente con una policy di p=reject, chi invia comunica agli ISP che sta adottando misure per autenticare le email e migliorare la sicurezza del dominio. Questo costruisce fiducia con gli ISP e riduce la probabilità che email legittime vengano contrassegnate erroneamente come spam o tentativi di phishing.

Le organizzazioni che non adottano le precauzioni necessarie per prevenire lo spoofing email saranno probabilmente considerate meno affidabili. I clienti potrebbero non fidarsi delle email che apparentemente arrivano da queste aziende e potrebbero essere scoraggiati dall’usare questo canale per comunicare, il che può influire negativamente sulla capacità di comunicazione dell’organizzazione stessa. Implementare DMARC significa inserire una misura solida che conferma l’identità della tua organizzazione. 

Lo shadow IT si riferisce a sistemi legacy o tecnologie impostate da vari reparti di un’azienda per colmare lacune nell’infrastruttura esistente, spesso difficili da identificare o rimuovere. DMARC ti offre la visibilità necessaria per scoprire e risolvere software o sistemi fuori standard, impedendo che questi inviino accidentalmente comunicazioni. Implementare DMARC consente di individuare tutti i servizi di posta che inviano email dal tuo dominio, anche se non ne eri ufficialmente a conoscenza.

DMARC aiuta le organizzazioni a rispettare le raccomandazioni per la sicurezza delle email fornite da enti governativi globali come NIST, NCSC e la Commissione Europea.

La Direttiva UE rivista sulla sicurezza delle reti e dei sistemi informativi (Direttiva NIS2) ha notevolmente aumentato la pressione normativa sulle organizzazioni affinché adottino misure proattive contro il phishing tramite una policy DMARC di "reject".

La Direttiva NIS2 è un regolamento UE che stabilisce un elevato livello comune di cybersecurity in tutta l'Unione. Per le 'Entità Essenziali e Importanti', la conformità a questa direttiva è obbligatoria.

Sebbene il testo della Direttiva NIS2 non menzioni esplicitamente DMARC o una policy di "reject", molti suoi requisiti si riferiscono ai principi sostenuti da DMARC e l’assenza di una policy DMARC di "reject" potrebbe essere considerata come una riduzione della conformità fino a cinque requisiti o principi della direttiva NIS2. 

1. Security by Design e by Default: La Direttiva NIS2 richiede ai ‘fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica disponibili al pubblico’ di implementare sicurezza by design e by default. Essendo uno standard internet globale e riconosciuto per la prevenzione dell’impersonificazione email, una policy DMARC di “reject” rappresenta una parte fondamentale di una strategia di sicurezza by design e by default. 
2. Misure di gestione del rischio: La NIS2 richiede alle 'Entità Essenziali e Importanti' di adottare misure tecniche e organizzative appropriate e proporzionate per gestire i rischi per la sicurezza delle reti e dei sistemi informativi. Una policy DMARC "reject" è in linea con questo requisito, in quanto è una misura chiave per gestire il rischio derivante da attacchi di phishing e spoofing, che possono generare i rischi indicati in questo documento.
3. Sicurezza della catena di fornitura: La NIS2 richiede alle entità di assicurare la sicurezza delle proprie reti e sistemi informativi, inclusi quelli della catena di fornitura. Una policy DMARC "reject" può aiutare garantendo che solo fornitori terzi autorizzati possano inviare email per conto dell’entità, prevenendo attacchi di phishing provenienti da vendor compromessi e tutelando anche gli stessi vendor da attacchi di impersonificazione.
4. Incident Reporting: Le entità devono segnalare incidenti che abbiano un impatto significativo sulla continuità dei servizi essenziali. Pur non essendo un meccanismo di reporting di incidenti di sicurezza tout court, DMARC genera report aggregati e forensi dettagliati che aiutano le organizzazioni a identificare e rispondere a incidenti di spoofing email.
5. Resilienza: Le entità sono chiamate ad adottare misure per garantire la resilienza dei propri sistemi e reti. Una policy DMARC "reject" contribuisce a questo obiettivo proteggendo il sistema di comunicazione email dell’organizzazione, una componente critica della rete, dagli abusi di mittenti non autorizzati.

Da febbraio 2024, Microsoft, Google e Yahoo hanno introdotto nuovi requisiti per chi invia grandi volumi di email, aprendo una nuova era della compliance sulla posta elettronica che include l’implementazione di DMARC. Ora, Microsoft, Google e Yahoo richiedono che i bulk sender – cioè chi invia più o circa 5.000 email al giorno – rispettino una serie di misure di autenticazione per assicurare la consegna sicura delle email a indirizzi gmail.com o yahoo.com.

I requisiti sono in vigore dal 1° febbraio 2024 e prevedono: 

• Configurare SPF e DKIM per ciascun dominio che invia posta 
• Usare un dominio ‘From’ allineato con uno dei domini SPF o DKIM 
• Pubblicare una policy DMARC per ogni dominio mittente, con una policy almeno “p=none”
• Assicurarsi che i domini o gli IP mittenti abbiano FcrDNS configurato
• Utilizzare TLS per la trasmissione delle email 
• Abilitare la disiscrizione con un solo clic per le email promozionali
• Mantenere i tassi di spam sotto lo 0,10% secondo Google Postmaster Tools

Il Digital Operational Resilience Act (DORA) è un quadro normativo dell’Unione Europea che mira a garantire la resilienza operativa digitale del settore finanziario. Stabilisce regole rigorose e armonizzate per la resilienza digitale, incluso l’ICT risk management, il reporting degli incidenti, testing operativo e altro. 

Anche se un’organizzazione non è classificata come istituzione finanziaria, DORA definisce soglie di criticità per i servizi forniti a tali istituzioni. Se un’organizzazione è un fornitore diretto di servizi ad un istituto finanziario e i suoi servizi raggiungono queste soglie, ricade sotto DORA. Inoltre, è probabile che, in virtù di DORA, queste istituzioni chiedano controlli di sicurezza maggiori ai loro fornitori, tra cui DMARC con una policy di “reject”.

Sebbene DORA non entri nel dettaglio tecnico, sottolinea tre aspetti rilevanti per DMARC impostato a “reject”:

1. ICT Risk Management: Uno degli aspetti chiave di DORA è garantire un’efficace gestione del rischio ICT. Implementare una policy DMARC "reject" contribuisce direttamente a questo obiettivo, prevenendo attacchi di phishing, spoofing email e altre minacce digitali. Questo rafforza la sicurezza dell’ecosistema ICT, in linea con gli obiettivi di DORA.
2. Third-Party Risk: DORA impone alle istituzioni finanziarie di identificare e mitigare i rischi derivanti dai fornitori terzi di servizi, inclusi quelli di comunicazione. Implementare una DMARC "reject" aiuta a ridurre il rischio di attacchi via email, rafforzando così la sicurezza e riducendo l’esposizione per i clienti finanziari.
3. Operational Resilience: DORA pone forte enfasi sulla resilienza operativa dei fornitori di servizi finanziari. Una policy DMARC "reject" aiuta a garantire tale resilienza assicurando l’integrità e l’autenticità delle comunicazioni email, riducendo il rischio di incidenti causati da phishing o altri attacchi basati su email.

Il Payment Card Industry Data Security Standard (PCI DSS) è un framework riconosciuto a livello mondiale che garantisce che tutte le aziende che accettano, elaborano, archiviano o trasmettono dati di carte di credito lo facciano in un ambiente sicuro. L’implementazione di DMARC è considerata parte essenziale per soddisfare questi requisiti. Garantendo che le email dal dominio siano autenticate tramite SPF e DKIM e fornendo visibilità agli amministratori sugli abusi del dominio, DMARC supporta l’obiettivo della PCI DSS 4.0.1 di proteggere i dati delle carte e delle relative infrastrutture. Riduce il rischio di phishing che potrebbe causare violazioni, migliora la fiducia e la postura di sicurezza.

PCI DSS 4.0.1 richiede alle organizzazioni un approccio proattivo e basato sul rischio alla cybersecurity e DMARC si integra perfettamente in questo quadro. Consentendo ai proprietari di domini di applicare una policy di "reject" alle email non autenticate, DMARC previene attivamente che messaggi malevoli giungano a destinazione, rispondendo ai requisiti di compliance relativi alla mitigazione dei rischi. Le capacità di reporting forniscono inoltre visibilità preziosa sull’ecosistema email, aiutando a identificare vulnerabilità e assicurare il miglioramento continuo. DMARC, come livello critico della sicurezza mail, rafforza la compliance alla PCI DSS 4.0 e migliora la resilienza organizzativa contro le minacce cyber in evoluzione.

Le organizzazioni che si preparano a PCI DSS 4.0.1 dovrebbero iniziare conducendo un’analisi dei gap per individuare le aree di miglioramento. Dare priorità all’implementazione di strumenti automatizzati per la gestione dei certificati permette di gestire meglio la complessità di validazione e rinnovo, come Red Sift Certificates. Inoltre, le aziende dovrebbero collaborare con Qualified Security Assessors (QSA) per assicurare la solidità delle strategie di compliance.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è entrato in vigore a maggio 2018, richiedendo di avere Data Processing Agreements (DPA) con ogni provider cloud che gestisce dati europei per vostro conto. Grazie a DMARC, se un fornitore cloud invia email utilizzando il nome dominio della tua azienda nel campo ‘From’, DMARC ti permette di scoprirlo. Sebbene una policy DMARC "reject" non sia espressamente richiesta dal GDPR.

Sì. DMARC è essenziale per le grandi organizzazioni per fermare lo spoofing del dominio su larga scala. Per le imprese globali che operano in UK, UE e USA, è fondamentale per la prevenzione di phishing e BEC, per la protezione del marchio, la compliance e la consegna affidabile in Microsoft 365 e Google Workspace.

Ambienti di grandi dimensioni raramente hanno un solo mittente. Gestisci più brand, regioni e filiali, oltre a piattaforme di marketing, CRM e sistemi di ticketing. Fusioni e acquisizioni aggiungono domini legacy. Senza un inventario chiaro e controlli a fasi, l’implementazione di DMARC si blocca e la posta valida rischia di fallire l’allineamento.

1. Scopri ogni mittente su domini primari e secondari. Separa i flussi critici da quelli marketing o regionali.
2. Stabilizza su p=none, rivedi i report aggregati e correggi eventuali problemi di allineamento SPF o DKIM. La delega dei sottodomini aiuta a ridurre i rischi.
3. Passa a p=quarantine prima sui flussi meno rischiosi, quindi estendi a quelli di maggior valore una volta che l’allineamento è stabile.
4. Raggiungi p=reject quando i tassi di fallimento sono bassi e noti. Mantieni allarmi per nuove o impreviste sorgenti.
5. Gestione e audit con rotazione delle chiavi, tracciamento dei cambiamenti e reporting executive coerente con gli standard UK, UE e US.

Una piattaforma enterprise DMARC, come Red Sift OnDMARC, accelera questo percorso grazie a individuazione automatica dei mittenti, correzioni prescritte, rilevamento delle anomalie e gestione dei ruoli per i team globali. Evidenzia le azioni rapide che fanno la differenza, trasforma i dati XML in informazioni chiare e gestisce policy multi-dominio su larga scala. Entro il 2026, le migliori piattaforme consentono di arrivare a p=reject in 6-8 settimane invece delle tempistiche di sei mesi che erano la norma. Il risultato è un enforcement più rapido, meno punti ciechi e governance coerente tra le business unit.

Sì. Le PMI sono spesso bersaglio di spoofing e truffe sulle fatture. Implementando DMARC puoi bloccare tentativi di phishing che sembrano provenire da te, rafforzare la fiducia dei clienti, ridurre i rischi informatici e rispettare i nuovi requisiti di Google, Yahoo e Microsoft per chi invia molte email.

Ti affidi a pochi strumenti e spesso non hai un team di sicurezza dedicato. Gli ostacoli comuni sono il timore di rompere la posta elettronica, poco tempo e report XML poco comprensibili. Serve un percorso guidato, passaggi chiari e alert su cosa cambiare.

1. Configura SPF, DKIM e DMARC per il dominio principale e qualsiasi altro strumento di invio, poi parti con p=none.
2. Monitora per qualche settimana, correggi i problemi di allineamento per newsletter, fatture e mail dal CRM.
3. Passa a p=quarantine quando i tassi di fallimento sono bassi. Controlla eventuali bouncebacks o mancati allineamenti.
4. Avanza a p=reject quando vedi risultati stabili.
5. Tieni sotto controllo con alert semplici, verifiche trimestrali e rotazione delle chiavi DKIM.

Una piattaforma DMARC guidata, come Red Sift OnDMARC, scopre chi invia a tuo nome, ti fornisce modifiche precise per SPF e DKIM e ti consiglia quando cambiare policy. Dashboard semplici segnalano subito l’inizio di nuovi invii o l’allineamento non riuscito, così puoi risolvere rapidamente senza essere esperto di email.