La guida per MSP a DMARC

In questa guida spieghiamo cos’è DMARC, perché è importante per gli MSP, come dovrebbero implementarlo per i loro clienti e come proporlo come servizio gestito. Inoltre analizziamo i fattori chiave da considerare nella scelta dei provider DMARC per MSP, incluse le funzionalità delle migliori piattaforme DMARC per MSP e i modelli di prezzo comuni per i servizi DMARC gestiti. 

L’email rimane uno dei principali bersagli della criminalità informatica: secondo i dati, oltre il 91% di tutti gli attacchi informatici parte da una email di phishing. Ecco perché l’autenticazione dell’email è fondamentale per organizzazioni di tutte le dimensioni. Domain-based Message Authentication, Reporting, and Conformance (DMARC) è un protocollo di sicurezza email in uscita che permette al proprietario di un dominio di indicare alle caselle di posta destinatario di rifiutare le email falsificate. 

Per un Managed Service Provider (MSP), implementare DMARC per i clienti è tanto una necessità di sicurezza quanto un’opportunità di business.

• I maggiori provider email spingono per l’adozione massiva di DMARC: Microsoft, Google e Yahoo ora obbligano i bulk mailer all’utilizzo di DMARC.
• Le aziende che non rispettano queste regole rischiano che i loro messaggi vengano respinti o finiscano in spam.

Tuttavia molte organizzazioni hanno ancora difficoltà con l’autenticazione delle email:

• Secondo un sondaggio del 2024, il 40% dei direttori IT ha ritenuto l’implementazione di DMARC troppo complessa.
• Solo il 37% aveva implementato i nuovi requisiti di autenticazione.
• Il 54% ha dichiarato di voler esternalizzare DMARC a un provider IT o uno specialista.

Questo apre grandi opportunità agli MSP:

• Colmate un gap essenziale tra sicurezza e deliverability.
• Proponete DMARC e l’autenticazione email come servizio gestito.
• Con i partner DMARC giusti, potrete garantire autenticazione email semplice e costante.

DMARC è un protocollo di autenticazione dell’email basato su Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) per garantire che le email provengano effettivamente dai domini che dichiarano. In pratica, il proprietario di un dominio (come i vostri clienti) pubblica un record DNS che dà istruzioni ai server di posta destinatari sul da farsi con le email che falliscono DKIM o SPF: respingerle (Enforcement), metterle in quarantena (segnalarle come spam) oppure solo tracciarle per reportistica. Inoltre vengono indicati indirizzi per la ricezione dei report diagnostici.

Per gli MSP che gestiscono più domini dei clienti, DMARC è cruciale per prevenire spoofing e attacchi di phishing. Implementando DMARC, un MSP fa sì che solo i mittenti autorizzati (abilitati tramite DKIM o SPF) possano inviare email come dominio del cliente; i tentativi fraudolenti vengono bloccati o contrassegnati. Così vengono tutelati i clienti del vostro cliente, i partner e la reputazione del brand, impedendo ai cybercriminali di sfruttare i domini dei clienti nelle email. 

DMARC migliora anche la deliverability: i provider di posta richiedono sempre più autenticazione, e una policy DMARC configurata in modo corretto garantisce che le email legittime arrivino in inbox invece che in spam. Google ha riportato che i bulk sender senza DMARC registrano un tasso di inbox su Gmail fino al 65% più basso. 

Allineamento DMARC significa che almeno un metodo di autenticazione (SPF o DKIM) deve corrispondere al dominio nel From-header. Quando viene abilitato l’enforcement (quarantine o reject), DMARC blocca tutte le email che falliscono autenticazione e allineamento.

Per gli MSP, DMARC genera report aggregati quotidiani (file XML da Gmail, Microsoft, Yahoo ecc.) con l’elenco dei server che inviano email per conto dei domini clienti e se hanno superato SPF/DKIM. I report rendono visibile ogni uso del dominio – legittimo o meno – e permettono di individuare mittenti non autorizzati, ottimizzare la configurazione e assicurare che solo messaggi attendibili arrivino a destinazione.

In sintesi: DMARC è sia un meccanismo di sicurezza sia uno strumento per migliorare la deliverability. La policy pubblica invia un chiaro segnale: “Rifiutate le email falsificate che sembrano provenire da noi.” Gli MSP che padroneggiano DMARC sanno come configurare DNS e sistemi di posta perché le email in uscita dei clienti siano affidabili – e controllano periodicamente per mantenere questo livello di fiducia.

Implementare DMARC per i vostri clienti è fondamentale per diversi motivi:

• Gli MSP che si posizionano come esperti DMARC possono promuovere attivamente questa competenza.
• Ad esempio ci sono oltre 73 milioni di domini nel mondo, ma solo meno del 5% è realmente protetto con DMARC (policy enforcement attiva).
• Chi si attiva subito può cogliere clienti che cercano autenticazione email.
• Vi posizionate come fornitori avanzati in grado di chiudere un gap di sicurezza critico.
• I servizi DMARC possono essere la chiave d’entrata per nuovi clienti con problemi di phishing, oppure una vendita addizionale per rafforzare la difesa dei clienti esistenti.

• Implementare e gestire DMARC sono servizi di alto valore che spesso i clienti non riescono a gestire da soli – per via della complessità.
• Studi dimostrano che il 40% dei decisori fatica a districarsi tra informazioni duplicate, incoerenti o irrilevanti.
• Troppi dati causano confusione invece che chiarezza e ostacolano la definizione delle priorità.
• Anche nella sfera dell’autenticazione email, qui nasce un’opportunità per gli MSP come specialisti.

• Con DMARC potete ampliare la gamma dei vostri servizi MSP e introdurre ricavi ricorrenti grazie al monitoraggio continuo.
• Per chi già gestisce sistemi email, è una naturale estensione di offerta.
• Gestite già Office 365 o la sicurezza email dei clienti? Allora dovreste garantire che anche le email da questi sistemi siano autentiche e affidabili.

• DMARC impedisce ai criminali di usare i domini dei clienti per attacchi di phishing.
• Senza DMARC, i criminali possono ad esempio falsificare il CEO o il dominio dell’azienda per ingannare dipendenti, clienti o partner.
• Con DMARC a enforcement (policy su reject), le email fraudolente vengono bloccate prima di raggiungere l’inbox.
• In questo modo viene protetta l’identità di marca del cliente e ridotto il rischio di phishing o attacchi BEC contro i suoi stakeholder.

• Con controlli di autenticazione più stringenti da parte dei provider, DMARC (insieme a SPF e DKIM) aumenta la percentuale di email legittime recapitate in inbox.
• Le policy DMARC di Google e Yahoo (2024) e Microsoft (2025) rendono obbligatoria l’autenticazione per i mittenti massivi.
• Anche per chi non invia grandi volumi, l’autenticazione email riduce notevolmente il rischio di finire in spam.
• Con DMARC sale la inbox rate per le comunicazioni importanti verso i clienti.

• La tendenza è chiara: l’autenticazione email diventerà la norma.
• Oltre alle policy degli ISP, anche industrie regolamentate e autorità impongono DMARC nei propri requisiti.
• Negli USA le agenzie federali devono già usare DMARC, così come le entità soggette a DORA nei pagamenti digitali.
• Chi è avanti nei requisiti resta compliant e non subisce interruzioni per mancata conformità.

In sintesi: gli MSP dovrebbero adottare DMARC perché rafforza la sicurezza dei clienti e rappresenta un valore strategico per il business MSP. Chi lavora con un provider DMARC abbatte i rischi di phishing, migliora la deliverability e si adegua ai nuovi standard email, ottenendo più ricavi e reputazione. 

Come evidenziato in una case study di un MSP: "OnDMARC dovrebbe essere parte integrante di ogni stack di sicurezza MSP che si rispetti"OnDMARC dovrebbe essere parte integrante di ogni stack di sicurezza MSP che si rispetti", a testimonianza di quanto DMARC sia essenziale per una difesa email completa. La domanda successiva è: come può un MSP implementare DMARC con successo per i clienti?

Portare più clienti contemporaneamente a DMARC è impegnativo: serve un approccio strutturato. Di seguito una panoramica delle fasi chiave per implementare DMARC lato MSP. Per una guida dettagliata, consultare la guida Red Sift al raggiungimento dell’enforcement DMARC.

1. Discovery: impostazione di base

Si parte con una policy DMARC p=none per raccogliere i report aggregati senza rischi. Questo permette di vedere quali sistemi inviano email a nome del dominio del cliente. Obiettivo: inventariare tutte le fonti legittime (cloud app, ticketing, piattaforme marketing) e segnalare fonti sospette – la base per l’enforcement successivo.

1. Alignment: autenticazione di tutte le fonti legittime

Una volta note tutte le origini, si configurano DKIM e SPF perché tutte superino l’autenticazione e corrispondano al dominio del cliente. Questo può richiedere l’aggiornamento dei record DNS, la pubblicazione di nuove chiavi DKIM o la modifica degli indirizzi mittenti. L’obiettivo è che nessun mittente legittimo fallisca nell’autenticazione.

1. Automation: scalabilità con gli strumenti giusti

Configurare DMARC a mano non è scalabile. Occorre usare piattaforme multi-tenant per monitorare domini, generare avvisi e gestire record Hosted DKIM/SPF. L’automazione riduce errori e scarica i tecnici: DMARC si amministra così centralmente su decine o centinaia di domini clienti.

1. Monitoring: mantenere visibilità

Anche dopo l’allineamento è fondamentale monitorare regolarmente. Analizzate i report per individuare nuove fonti, errori o tentativi di spoofing. I report già in stato di quarantena possono segnalare problemi prima ancora di enforcement. Impostate alert per cambiamenti critici – ad es. calo improvviso del pass rate o IP sconosciute – e aggiornate i record di conseguenza. In questo modo il setup DMARC resta stabile anche quando i clienti si evolvono.

1. Enforcement: protezione definitiva

Una volta raggiunta la stabilità, si passa prima a p=quarantine, poi a p=reject. A questo punto DMARC protegge davvero, bloccando le email non autorizzate prima dell’inbox. I clienti ne beneficiano con meno phishing, maggiore protezione del marchio e recapito ottimale. Extra: enforcement abilita anche funzioni come BIMI, che richiedono policy DMARC rigorose.

Con questi step gli MSP implementano DMARC in modo strutturato e minimizzano i rischi per i clienti. I fattori chiave sono pianificazione curata, strumenti giusti per DNS e report, e un rafforzamento graduale delle policy. Nel prossimo paragrafo vediamo come offrire DMARC come servizio continuativo per i vostri clienti.

Una volta che DMARC è stato implementato per il cliente, parte il servizio continuativo, che molti MSP propongono nel security portfolio o come extra. Ecco come trasformare DMARC in un servizio di autenticazione email:

• DMARC gestito con monitoraggio e alert: Settimanalmente o mensilmente l’MSP monitora i report e segnala alert al cliente. Nuovi tentativi di spoofing o mittenti errati vengono rapidamente individuati e corretti. Con provider automatizzati come Red Sift OnDMARC il monitoraggio e gli alert sono in background.
• Gestione DMARC, DKIM & SPF: L’MSP si occupa dell’aggiornamento record DNS per l’autenticazione email. Se il cliente aggiunge un dominio o un software, SPF, DKIM e DMARC vengono aggiornati di conseguenza. Con l’automazione, le modifiche avvengono direttamente in piattaforma invece che in modo complesso su DNS.
• Reporting al cliente: I clienti ricevono report chiari che dimostrano il valore di DMARC. Esempio: “12.000 email inviate, 11.950 passate, 50 rifiutate (IP non autorizzate in Russia)”. Questi report rendono trasparenti i tentativi di spoofing e mostrano miglioramenti nella sicurezza della posta.
• Integrazione nella sicurezza generale: DMARC è parte naturale di una “suite di sicurezza email”. In combinazione con filtri in entrata, anti-malware o soluzioni di identità/awareness protegge la posta sia in entrata che in uscita. Così MSP si posiziona come partner di sicurezza, non semplice supporto IT.
• Consulenza e supporto alle policy: L’MSP consiglia quando attivare enforcement sulle domain, introdurre TLS-Reporting o adottare nuovi standard. Review regolari dello stato di sicurezza rafforzano il ruolo di consulente strategico e affidabile.
• Scalabilità su tanti clienti: La gestione di molti domini avviene da dashboard multi-client semplici e veloci. Qui vengono segnalati i casi critici, proposti update SPF e rese più semplici le ottimizzazioni (es. da Quarantine a Reject): così il DMARC management diventa efficiente e profittevole.

Per realizzare e scalare un’offerta DMARC incontrerete vari provider e soluzioni che aiutano gli MSP nell’implementazione e nel monitoraggio. Scegliere il giusto vendor (o tool) è cruciale per efficienza e affidabilità. Da valutare:

• Provider DMARC specializzati: Alcune aziende si concentrano principalmente su DMARC e la gestione dell’autenticazione email, tra cui Red Sift OnDMARC. Offrono piattaforme cloud per aggiungere domini multipli, analizzare report in dashboard, ricevere supporto su DMARC, DKIM & SPF e seguire il percorso di enforcement. Esistono programmi partner e funzioni speciali per gli MSP. Valutate prima queste soluzioni, spesso progettate specificatamente per DMARC e con funzioni avanzate di reporting e gestione policy.
• Piattaforme enterprise di sicurezza email: Alcuni grandi vendor (ad es. Cisco) offrono DMARC come parte delle loro suite. Se il vostro MSP è già partner di una soluzione security maggiore, verificate se è incluso un modulo DMARC. Può essere efficace, ma la copertura multi-tenant e le funzioni MSP variano tra i provider.
• Strumenti fai-da-te e open-source: DMARC può essere implementato anche senza provider terzi, ma con molti domini diventa rapidamente ingestibile e soggetto a errori. Vale la pena investire in una piattaforma DMARC: ciò che risparmiate in analisi e mantenimento compensa ampiamente i costi.

DMARC, pur essenziale, non basta da solo a salvaguardare il dominio di un cliente. I criminali sfruttano falle anche fuori dall’autenticazione email e usano metodi che bypassano completamente DMARC. Per offrire protezione a 360° e preparare il cliente al futuro, gli MSP dovrebbero estendere il servizio di autenticazione email con soluzioni di sicurezza basate sul dominio più ampie.

Qui intervengono DNS Guardian e Brand Trust di Red Sift, che aiutano gli MSP ad ampliare DMARC colmando in modo integrato le lacune più spesso mirate dagli attaccanti.

DMARC protegge solo le email in uscita. Non copre errori DNS o falle sulle subdomain che consentono agli attaccanti di imitare i marchi – senza che DMARC intervenga. DNS Guardian colma questo gap offrendo agli MSP visibilità completa sullo stato DNS di tutte le domain e subdomain dei clienti. Così puoi:

• Scoprire automaticamente le subdomain, incluse quelle dimenticate o non gestite
• Individuare record DNS orfani sfruttabili per SubdoMailing o altri attacchi
• Scovare errori e vulnerabilità (CNAME, MX, A/AAAA, TXT) prima che vengano sfruttati
• Imporre la DNS hygiene su tutte le domain gestite in modo strutturato

In questo modo l’MSP offre una protezione completa del perimetro DNS – non solo l’autenticazione email – da una singola piattaforma, senza aumento della complessità operativa.

Anche con DMARC e DNS impeccabile, i criminali registrano nuove domain simili (lookalike) per attacchi di phishing, truffe, furto di credenziali e supply chain. Brand Trust permette agli MSP la difesa proattiva contro queste minacce esterne con:

• Individuazione immediata delle lookalike domain quando emergono
• Valutazione della somiglianza con IA per identificare le imitazioni più insidiose
• Analisi di hosting, contenuti, loghi, keyword ed email infrastructure
• Workflows e intelligence per azioni di contrasto e takedown

In questo modo offrite una protezione che va oltre il DMARC: monitoraggio attivo dei tentativi di abuso brand online.

Gli attacchi multi-vettore sono una realtà, e anche gli MSP dovrebbero adottare una difesa multilivello. Combinando DMARC + DNS Guardian + Brand Trust, gli MSP offrono un servizio di sicurezza stratificata e completa, che:

• Blocca lo spoofing e le email non autorizzate in uscita
• Previene takeover DNS e attacchi SubdoMailing
• Scova le domain di imitazione prima che raggiungano utenti o clienti
• Alza il livello di sicurezza sull’intero ecosistema di dominio dei clienti

Così l’MSP aumenta il proprio valore e si distingue dalla concorrenza, ampliando l’offerta di sicurezza gestita – senza complicazioni operative aggiuntive.

Cercando il miglior prodotto DMARC per MSP, non esiste un “best” assoluto: la scelta dipende dalle vostre esigenze. Occorre valutare i criteri che determinano affidabilità ed efficacia per chi lavora in ambito MSP. I seguenti fattori vi aiuteranno a valutare la soluzione DMARC ideale:

• Gestione multi-client o multi-tenant: Come detto, la multi-tenancy è indispensabile. La piattaforma dovrebbe consentire di separare e gestire ogni dominio cliente tramite gruppi, tag o cartelle. Alcuni strumenti permettono anche report dedicati per cliente o consentono l’accesso limitato alla propria domain. La possibilità di operare in "modalità cliente" o programmare report direttamente agli stakeholder distingue le migliori soluzioni MSP da quelle mediocri.
• Gestione centralizzata in un’unica console: Chi gestisce DMARC per molti clienti deve poter controllare anche DKIM, SPF, BIMI e MTA-STS da un unico pannello (ad es. Red Sift OnDMARC). Tutto dovrebbe essere editabile dallo stesso punto, senza ticket o attese per modifiche DNS – per rapidità, affidabilità e risparmio di risorse.
• Visione completa e semplice da consultare: I clienti vogliono chiarezza in caso di problemi; il vostro team ha bisogno di dati approfonditi e trasparenti per rispondere rapidamente. Scegliete piattaforme con report dettagliati su tutte le (sub)domain, per individuare problemi di recapito, controllare l’applicazione delle policy e generare dashboard efficaci. Le migliori aggregano i dati di tutti i clienti (incluso traffico Yahoo ecc) in unica vista – nessun flusso di posta nascosto.
• Protezione da minacce che eludono DMARC: Solo DMARC non basta: pensate agli attacchi SubdoMailing. Subdomain orfane o record DNS errati sono facilmente abusabili. Le soluzioni leader individuano e censiscono in automatico le subdomain, rilevano record DNS pericolosi e guidano il team nell’ottenere la massima sicurezza senza necessità di altri strumenti esterni.
• Difesa da domain lookalike: Preferite piattaforme che prevedano protezione anche verso domain attaccanti esterni. I criminali registrano le domain per aggirare DMARC. Le soluzioni top sfruttano IA, scansione del logo e analisi di hosting per identificare e bloccare le imitazioni, facilitando i takedown e la tutela del brand.
• Risoluzione rapida dei problemi grazie all’IA: La velocità è cruciale nella gestione di più clienti. Piattaforme IA individuano anomalie (mittenti sconosciuti, errori DNS ecc) velocemente e guidano il team passo dopo passo – anche con spiegazioni chiare. In Red Sift, abbiamo sviluppato Red Sift Radar, un LLM avanzato integrato come modulo in Red Sift OnDMARC.
• Scalabilità e performance: Se il servizio DMARC cresce, la piattaforma deve gestire senza intoppi decine o centinaia di domain e grandi volumi di report. Fate attenzione a eventuali limiti. Le piattaforme enterprise per MSP devono sostenere carichi elevati senza rallentamenti. Cambiare prodotto per problemi di capacità va evitato: scegliete piattaforme realmente pronte per la crescita.
• Supporto continuo e accompagnamento al successo: “Il meglio” non è solo il software, ma anche il servizio intorno. Valutate la reputazione del vendor: il prodotto viene aggiornato costantemente (es. per nuovi requisiti DMARC)? Il supporto è rapido? Cercate referenze di altri MSP soddisfatti (case study, testimonianze). I vendor che investono in formazione e supporto utenti vi facilitano il successo duraturo.

Per valutare i prodotti secondo questi parametri, sono utili recensioni e analisi indipendenti. Expert Insights ad esempio pubblica guide comparative DMARC + MSP, analizzando sforzo di implementazione, reporting, supporto e compatibilità MSP. Il miglior prodotto DMARC per il vostro MSP sarà quello che si integra al meglio con il vostro workflow, rende DMARC facile e lascia l’onere della complessità alla piattaforma, non all’MSP.

Red Sift OnDMARC offre una soluzione completa e automatizzata per le organizzazioni che desiderano aumentare la sicurezza email tramite DMARC, DKIM e SPF. Il prodotto è facile da usare, permette una rapida configurazione, dà una panoramica completa di tutte le fonti email e fornisce insight concreti dalla dashboard. 

L’automazione di OnDMARC monitora costantemente le domain, invia avvisi e fornisce istruzioni passo-passo per eventuali cambiamenti richiesti. Così le organizzazioni possono raggiungere la policy DMARC completa in 6-8 settimane. Il monitoraggio continuo e gli alert in tempo reale garantiscono l’identificazione tempestiva dei problemi; il team Customer Success di Red Sift fornisce supporto esperto dall’onboarding alle operazioni quotidiane.

Red Sift offre numerosi vantaggi tra cui servizi dinamici per una gestione DNS semplificata. Con il tool Investigate di Red Sift potete eseguire check DMARC in tempo reale, beneficiare di BIMI per la brand visibility in ogni inbox. La robusta strategia DMARC ha reso Red Sift leader G2 per il mercato EMEA ed europeo. 

Altre funzioni quali Hosted MTA-STS e TLS-Reporting (TLS-RPT), report forensi e potenti integrazioni API fanno di OnDMARC la soluzione best-in-class scalabile scelta dai brand più rinomati. Red Sift è sinonimo di qualità, certificazioni di sicurezza elevate e partnership solidi – ideale per chi vuole proteggere la comunicazione email e affrontare nuove minacce.

Red Sift OnDMARC è pensato ad hoc per MSP che vogliono offrire servizi DMARC affidabili, scalabili ed efficaci. L’automazione, il rilevamento avanzato dei problemi e le integrazioni rendono semplice l’onboarding dei clienti, la gestione del ciclo di compliance e il monitoraggio del valore generato. Grazie al supporto partner dedicato e ad un track record di successo nell’enterprise e nella PA, Red Sift consente la crescita degli MSP nella sicurezza e aumenta la soddisfazione del cliente.