Come prezzare e confezionare i servizi DMARC per il tuo MSP

TL;DR:

Questa guida aiuta gli MSP a trasformare DMARC in una fonte di reddito ricorrente e profittevole. Copre quattro modelli di prezzo (per dominio, per utente, pacchetti a livelli e tariffa fissa), con il modello per dominio e i pacchetti a livelli che risultano i più naturali.

La struttura raccomandata dei pacchetti segue il percorso DMARC: Monitoraggio (punto d’ingresso a p=none), Enforcement (motore centrale di ricavi, passaggio a p=reject) e Premium (BIMI, MTA-STS, reportistica forense). Per la strategia di go-to-market, punta su rischio e compliance invece che sulle caratteristiche tecniche, utilizza valutazioni gratuite dei domini per aprire la conversazione e giustifica le tariffe continue tramite reportistica automatica. La scelta della piattaforma è fondamentale: gestione multi-tenant, SPF dinamico e prezzi scalabili sono essenziali per mantenere margini mentre il portfolio clienti cresce oltre una piccola manciata.

---

DMARC sta rapidamente diventando una delle linee di servizio più interessanti che un MSP possa aggiungere allo stack sicurezza. La domanda c’è: le aziende di ogni settore hanno bisogno di autenticazione email, la maggior parte però non possiede le competenze interne per implementarla, e le scadenze di compliance fissate dai principali provider di mailbox rendono ogni ritardo sempre più costoso. 

Per gli MSP che azzeccano prezzo e packaging, DMARC rappresenta una fonte di ricavi ricorrenti e ad alto margine, con potenziale di upsell già integrato. Provider come Red Sift OnDMARC offrono l’infrastruttura multi-tenant per erogare servizi DMARC su larga scala, ma saranno le scelte di business model (come tariffare e cosa includere per ogni livello) a determinare se la linea di servizio genererà effettivamente profitto.

Questa guida analizza i modelli di prezzo efficaci per i servizi DMARC, mostra come strutturare pacchetti a livelli e copre le basi go-to-market che distinguono le offerte MSP profittevoli da quelle che si fermano dopo pochi clienti.

Indice dei contenuti

• L’opportunità DMARC per gli MSP
• Modelli di prezzo comuni per i servizi DMARC
• Come confezionare DMARC in diversi livelli di servizio
• Costruire la tua strategia di go-to-market
• Scegliere la piattaforma DMARC giusta per il tuo MSP
• Scalare i servizi DMARC all’interno della base clienti
• FAQ

La motivazione commerciale per offrire servizi DMARC parte da un fatto semplice: l’email resta il vettore di attacco principale per i cybercriminali e la maggior parte delle aziende non dispone ancora dei protocolli di autenticazione necessari a fermare lo spoofing del dominio. Il Centro Reclami per i Crimini Internet dell’FBI ha documentato 2,9 miliardi di dollari di perdite per compromissione della posta aziendale nel solo 2023 [1], cifra che riflette aziende prive di enforcement DMARC o con implementazioni incomplete aggirate dagli attaccanti.

Il contesto normativo ha accelerato ulteriormente la domanda. Google ora richiede DMARC per chi invia oltre 5.000 email al giorno, con messaggi non conformi che rischiano progressiva esclusione dalla consegna [2]. Yahoo e Microsoft hanno introdotto requisiti simili. Per la grandissima parte delle aziende mid-market, rispettare questi requisiti internamente significa affrontare configurazioni DNS, gestione SPF e implementazione DKIM senza esperti in sicurezza email dedicati.

Questo crea uno spazio naturale per gli MSP. Molte aziende trovano troppo complessa l’implementazione DMARC per i team interni e cresce la tendenza ad esternalizzare l’autenticazione email a un provider gestito. Il mercato della cybersecurity gestita cresce del 18% annuo, superando quello MSP in generale (14%) [3]. DMARC si posiziona all’incrocio tra sicurezza e deliverability, quindi la conversazione commerciale parte dalla protezione ma si estende anche alla necessità operativa.

Cosa rende DMARC particolarmente interessante come linea di servizio MSP:

• Reddito ricorrente: DMARC richiede monitoraggio continuo, analisi report e mantenimento policy, non solo configurazione iniziale
• Bassi costi di delivery su larga scala: Le piattaforme multi-tenant permettono a un solo tecnico di gestire decine di domini clienti
• Percorsi di upsell integrati: Enforcement apre la porta a BIMI (logo brand in mailbox), MTA-STS e servizi di sicurezza dominio più estesi
• Domanda trainata dalla compliance: I grandi provider inbox richiedono DMARC, agevolando le vendite
• Servizio difficile da dismettere: Dopo l’enforcement DMARC, cambiare provider è complesso

Gli MSP possono trovare ispirazione tra i modelli di pricing consolidati nel mondo dei servizi gestiti, adattandoli però alla natura domain-centrica dell’autenticazione email. Il mercato MSP in generale predilige modelli per utente, con pacchetti standard tra 110 e 175 dollari per utente/mese, e livelli avanzati che arrivano a 175-400 [4]. I servizi DMARC operano però in modo diverso perché l’unità di lavoro è il dominio, non l’utente.

La tariffazione per dominio è la più naturale per i servizi DMARC perché il lavoro cresce in funzione del numero dei domini, non del numero degli utenti. Un’organizzazione con 500 dipendenti e due domini richiede meno gestione DMARC rispetto a chi ha 50 dipendenti e 15 domini suddivisi su più business unit. Il modello per dominio riflette questa realtà.

Il compromesso è la pressione sul margine per clienti con un solo dominio. Gli MSP dovrebbero prevedere soglie minime di ingaggio o integrare l’offerta DMARC single-domain in pacchetti di sicurezza più ampi, evitando la vendita stand-alone.

Per chi già fattura pacchetti di sicurezza gestita su base per utente, integrare DMARC nella tariffa semplifica la trattativa col cliente. Il rischio è che DMARC diventi invisibile all’interno di un pacchetto più ampio, complicando la dimostrazione del valore specifico o l’aumento di prezzo se vengono aggiunte capacità avanzate.

La tariffazione per livelli offre la massima flessibilità e la migliore via per l’upsell. Ogni livello corrisponde a una fase distinta di maturità DMARC: semplice monitoraggio, enforcement completo e funzionalità avanzate. Questo modello è particolarmente adatto se si utilizza una piattaforma il cui pricing MSP è scalabile in base al volume domini.

Una progettazione efficace dei livelli deve seguire il percorso tipico di implementazione DMARC. Ogni pacchetto deve rappresentare un passo concreto di protezione, con una chiara motivazione al passaggio al livello successivo.

Principi chiave di packaging:

• Monitoring è l’apripista, non l’obiettivo finale: Prezzo competitivo per avviare la conversazione, ma progettato affinché i clienti lo superino naturalmente in 60-90 giorni, man mano che i report mostrano la differenza tra monitoraggio e protezione reale.
• Enforcement come motore di revenue: Questo livello offre il valore più concreto: il cliente passa dal vedere le minacce all’arrestarle. Il percorso verso l’enforcement DMARC richiede tipicamente 6-8 settimane con la giusta piattaforma, consentendo all’MSP un chiaro piano da preventivare.
• Premium per il valore continuo: Una volta ottenuto l’enforcement, BIMI aggiunge visibilità di brand nelle mailbox compatibili e la reportistica forense offre intelligence costante. Questo livello giustifica tariffe elevate anche dopo il progetto iniziale di enforcement.

DMARC si inserisce facilmente accanto ad altre offerte di sicurezza MSP. Chi già acquista protezione endpoint, filtri email o gestione identità è il target di upsell ideale. Presenta DMARC come il complemento outbound dell’email security inbound: i filtri bloccano le minacce in ingresso, DMARC previene che attaccanti si spaccino per il cliente in uscita.

La maggior parte dei decisori che valuta servizi DMARC non è esperta di DNS. La conversazione deve concentrarsi sui benefici business: protezione della reputazione del brand, conformità ai requisiti dei mailbox provider, prevenzione di perdite per spoofing del dominio. I dettagli tecnici (gestione SPF, rotazione chiavi DKIM) interessano solo al team tecnico, non a chi decide.

Trigger di vendita efficaci:

• Scadenze di compliance: "Google sta respingendo le email bulk non autenticate. I tuoi clienti sono a rischio?"
• Incident response: Un attacco phishing che spoofa il dominio del cliente crea urgenza immediata
• Valutazioni di sicurezza da fornitori: Molte grandi aziende ora controllano lo stato DMARC durante la due diligence
• Requisiti assicurativi: Sempre più provider di polizze cyber valutano l’autenticazione email nel rischio assicurativo

Le assessment gratuite del dominio trasformano prospect in opportunità reali. Strumenti come Red Sift Investigate permettono all’MSP di controllare DMARC, SPF e DKIM di un dominio in pochi secondi. Effettuare una verifica durante il meeting di vendita rende subito evidenti i gap, visibili direttamente al prospect.

Questa strategia funziona perché sposta la conversazione dal rischio astratto a evidenze concrete. Un prospect che vede in tempo reale il proprio dominio fallire un controllo di autenticazione sarà molto più ricettivo di uno che sente solo statistiche di settore.

I report rivolti al cliente sono il principale strumento per giustificare la tariffa periodica di DMARC. I report più efficaci mostrano:

1. Volume delle minacce: Quanti tentativi di invio non autorizzati sono stati bloccati
2. Status di compliance: Livello attuale delle policy e percorso verso enforcement
3. Inventario dei mittenti: Tutti i servizi che spediscono email per conto del dominio
4. Impatto sulla deliverability: Tassi di autenticazione e problemi di configurazione

La reportistica mensile trasforma DMARC da servizio invisibile a risultato di sicurezza tangibile e misurabile. Automatizzando i report tramite la piattaforma DMARC, gli MSP riducono i costi interni ma mantengono coinvolgimento e valore percepito.

La piattaforma scelta incide direttamente su costi di delivery, tempistiche di enforcement e scalabilità. Una scelta sbagliata genera overhead manuale che erode i margini più il portfolio cresce.

Funzionalità essenziali per un MSP:

• Gestione multi-tenant: Un’unica console per monitorare tutti i domini dei clienti mantenendo l’isolamento tra i dati
• SPF dinamico: Gestione automatica dei record SPF che previene i limiti di lookup DNS e fallimenti di autenticazione
• Architettura API-first: Integrazione con PSA e RMM per automatizzare i flussi clienti
• Piani tariffari scalabili: Economie di scala che migliorano il margine con l’aumentare dei domini gestiti
• Supporto all’implementazione: Un team dedicato di partner enablement, non solo documentazione self-service

Red Sift OnDMARC soddisfa questi requisiti tramite un programma MSP dedicato con dashboard multi-tenant, accesso API completo e prezzo flat pensato per le logiche dei service provider. La piattaforma consente di raggiungere enforcement DMARC in 6-8 settimane in media, traducendosi in un time-to-revenue più veloce per ogni nuova attivazione.

SPF dinamico elimina il principale ostacolo tecnico al vero enforcement: quando il cliente aggiunge nuovi servizi email, i record SPF si aggiornano in automatico senza interventi manuali DNS né superamento dei limiti di lookup. Per un MSP che gestisce decine di domini, questa automazione riduce notevolmente la necessità di intervento tecnico.

Processi ripetibili permettono di mantenere i costi di delivery sotto controllo mentre il portfolio cresce. Un workflow DMARC standardizzato dovrebbe prevedere:

1. Audit del dominio: Valutazione di DMARC, SPF e DKIM attuali
2. Rilevamento dei mittenti: Identificazione di tutti i servizi legittimi che inviano email per ogni dominio
3. Implementazione del record: Pubblicazione DMARC a p=none e raccolta dei report aggregati
4. Remediation delle autenticazioni: Configurazione SPF e DKIM per ogni mittente individuato
5. Progressione delle policy: Transizione da quarantine a reject sulla base dei report
6. Monitoraggio continuo: Alert automatizzati su nuovi mittenti, cambi di configurazione, tentativi di spoofing

Ogni step ha criteri chiari di ingresso/uscita e stima delle ore necessarie. Questo consente di preventivare correttamente e allocare risorse in modo scalabile dai 10 a 100 domini cliente.

Una volta ottenuto l’enforcement, è possibile ampliare la relazione con servizi adiacenti: implementazione BIMI per visibilità logo, DNS monitoring e rilevamento impersonificazione dominio. Si ottiene così maggior valore per il cliente e ricavi aggiuntivi, senza avviare un ciclo di vendita totalmente nuovo.

La combinazione tra enforcement DMARC, protezione DNS avanzata e monitoring brand posiziona l’MSP come partner completo per la sicurezza del dominio, non solo come fornitore di un protocollo.

[1] FBI IC3. “FBI Internet Crime Complaint Center 2023 Annual Report.” FBI.gov, 2023. https://www.ic3.gov/AnnualReport/Reports/2023_IC3Report.pdf 

[2] Google. “Linee guida per mittenti email.” Google Workspace Admin Help, 2024. https://support.google.com/a/answer/81126 

[3] Channel Partners. “MSP Market Trends 2026.” channelpartners.net, 2026. https://channelpartners.net/market-trends-msps-2026/ 

[4] Solution Builders. “Ultimate 2026 Guide to Managed IT Services Pricing.” solutionbuilders.com, 2026. https://solutionbuilders.com/technology/2026-guide-to-managed-it-services-pricing/

I servizi DMARC hanno margini elevati perché i costi di erogazione diminuiscono con l’aumento del portfolio. Le piattaforme multi-tenant permettono a un tecnico di gestire molti domini simultaneamente e la reportistica automatizzata riduce il carico di lavoro continuo. Il progetto di enforcement in sé genera ricavi una tantum, mentre il monitoraggio continuo crea entrate ricorrenti.

Dipende dal livello di servizio e dalla complessità del cliente. I pacchetti solo monitoring sono la fascia bassa; enforcement completo e premium (con BIMI) valgono di più. Il modello più naturale resta la tariffa per dominio, anche se molti MSP inseriscono DMARC in pacchetti di sicurezza per utente più ampi.

Con la piattaforma giusta, la piena enforcement (p=reject) si ottiene in 6-8 settimane nella maggior parte dei casi. La tempistica dipende da quanti servizi inviano email per il dominio e da quanto velocemente il cliente approva le modifiche. Ambienti complessi possono richiedere più tempo.

Piattaforme guidate e riconoscimento automatico dei mittenti abbassano di molto la barriera. Capire le basi del DNS e dell’autenticazione email è utile, ma le piattaforme DMARC specializzate si occupano delle analisi complesse e suggeriscono step di remediation per ogni anomalia.

I driver principali sono: gestione multi-tenant, gestione SPF dinamica, capacità di integrazione API, prezzi scalabili e supporto partner veloce e dedicato. Bisogna valutare come si gestiscono 50-100+ domini, non solo l’usabilità per una singola organizzazione.