Configurare DMARC

DMARC indica ai server email di ricezione quali azioni intraprendere sui messaggi che non superano l'autenticazione SPF o DKIM. Le opzioni di azione sono: rifiutare, mettere in quarantena o consegnare il messaggio. Puoi anche ricevere report che ti aiutano a identificare possibili problemi di autenticazione e attività dannose nei messaggi inviati dal tuo dominio. Configura il protocollo DMARC aggiungendo un record TXT DNS DMARC (record DMARC) al tuo dominio.

Un record DMARC è una riga di testo che aggiungi al tuo dominio seguendo le istruzioni del provider di dominio. Ecco un esempio di record DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Quando i server di ricezione ricevono messaggi email dal tuo dominio che non superano l'autenticazione SPF o DKIM, controllano il tuo record DMARC per determinare quale azione intraprendere sui messaggi: rifiutare, mettere in quarantena o consegnare normalmente.

DMARC aiuta a proteggere gli utenti da messaggi email contraffatti
e ti permette di gestire i messaggi che non superano i controlli SPF o DKIM.

In questa pagina

Prima di iniziare
Passaggio 1: configura un gruppo o una casella di posta per i report
Passaggio 2: assicurati che l'email di terze parti sia autenticata
Passaggio 3: determina il record DMARC
Passaggio 4: aggiungi il record DMARC al tuo dominio
Argomenti correlati

Prima di iniziare

Per poter utilizzare DMARC, devi attivare SPF e/o DKIM per il tuo dominio. Se non hai configurato SPF e/o DKIM, vedi Prevenire lo spoofing, il phishing e lo spam.
- Se non configuri SPF e/o DKIM prima di attivare DMARC, è probabile che si verifichino problemi di recapito dei messaggi inviati dal tuo dominio.
- Prima di configurare DMARC, attendi 48 ore dopo la configurazione di SPF e/o DKIM.
Per verificare se DMARC è già configurato per il tuo dominio, utilizza uno dei numerosi strumenti disponibili senza costi su internet. Se DMARC è già configurato, devi esaminare i report DMARC per controllare che il protocollo stia autenticando in modo efficace i messaggi e che questi vengano recapitati come previsto.
Non devi fare nulla nella Console di amministrazione Google per configurare DMARC. Determina invece il tuo record DMARC seguendo le istruzioni riportate in questa pagina. Poi, accedi all'host del dominio e aggiungi il record DMARC, seguendo le istruzioni DMARC dell'host del dominio.

Passaggio 1: configura un gruppo o una casella di posta per i report

Il numero di report DMARC che ricevi via email può variare e dipende dalla quantità di email che invia il dominio e dal numero di domini a cui invii email. Puoi ricevere molti rapporti ogni giorno. Le organizzazioni di grandi dimensioni possono ricevere ogni giorno centinaia o persino migliaia di report. Google consiglia di creare un gruppo o una casella di posta dedicata per ricevere e gestire i report DMARC.

Importante: in genere, l'indirizzo email per i report si trova nello stesso dominio che ospita il tuo record DMARC. Se l'indirizzo email ha un dominio diverso, devi aggiungere un record DNS nell'altro dominio. Vedi Inviare report a un indirizzo email in un dominio diverso nella pagina dei report DMARC.

Passaggio 2: assicurati che l'email di terze parti sia autenticata

Se utilizzi un servizio di terze parti per inviare la posta per la tua organizzazione, devi assicurarti che i messaggi inviati dai servizi di terze parti siano autenticati e superino i controlli SPF e DKIM:

Contatta il tuo fornitore di terze parti per assicurarti che SPF e DKIM siano configurati correttamente.
Accertati che il dominio del mittente della busta del provider corrisponda al tuo dominio. Aggiungi l'indirizzo IP dei server di invio della posta del provider al record SPF del tuo dominio.
Indirizza la posta in uscita del provider tramite Google utilizzando l'impostazione Servizio di inoltro SMTP.

Passaggio 3: determina il record DMARC

Il criterio DMARC viene definito in una riga di valori di testo, denominata record DMARC. Questo record definisce:

Il grado di severità che DMARC deve applicare al controllo dei messaggi
Le azioni consigliate per il server di destinazione quando riceve messaggi che non superano i controlli di autenticazione

Esempio di record DMARC (sostituisci example.com con il tuo dominio):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

I tag v e p devono essere indicati per primi, mentre gli altri tag possono essere inseriti in qualsiasi ordine:

Quando inizi a utilizzare DMARC, ti consigliamo di impostare l'opzione della policy (p) su none. Aggiorna il criterio man mano che acquisisci familiarità con le modalità con cui i server di destinazione autenticano i messaggi provenienti dal tuo dominio. Nel tempo, modifica il criterio per il server di destinazione in quarantine (or reject). Vedi Implementazione DMARC consigliata.

Definizioni e valori dei tag del record DMARC

Tag	Descrizione e valori
v	(Obbligatorio) Versione DMARC. Deve essere DMARC1.
p	(Obbligatorio) Indica al server di posta di destinazione che cosa fare con i messaggi che non superano l'autenticazione. none— non intraprendere alcuna azione sul messaggio e consegnalo al destinatario previsto. Registra i messaggi in un report giornaliero. Il rapporto viene inviato all'indirizzo email specificato con l'opzione rua nel record. quarantine— contrassegna i messaggi come spam e inviali alla cartella Spam del destinatario. I destinatari possono esaminare i messaggi di spam per identificare eventuali messaggi legittimi. reject— rifiuta il messaggio. Con questa opzione, il server di destinazione in genere invia un avviso di mancato recapito al server mittente. Nota sullo standard BIMI: se il tuo dominio utilizza BIMI, l'opzione p di DMARC deve essere impostata su quarantine (quarantena) o su reject (rifiuta). BIMI non supporta i criteri DMARC con l'opzione p impostata su none (nessuno).
pct	Il tag pct è facoltativo, ma Google consiglia di includerlo nel record DMARC durante l'implementazione di DMARC per poter gestire la percentuale di email a cui si applica il criterio DMARC. Specifica la percentuale di messaggi non autenticati soggetti al criterio DMARC. Quando implementi gradualmente DMARC, potresti iniziare con una piccola percentuale dei tuoi messaggi. Man mano che i messaggi provenienti dal tuo dominio superano l'autenticazione presso i server di destinazione, aggiorna il record con una percentuale maggiore fino a raggiungere il 100%. Deve essere un numero intero compreso tra 1 e 100. Se non utilizzi questa opzione nel record, il criterio DMARC viene applicato al 100% dei messaggi inviati dal tuo dominio. Nota sullo standard BIMI: se il tuo dominio utilizza BIMI, il valore pct del criterio DMARC deve essere impostato su 100. BIMI non supporta i criteri DMARC con un'impostazione del valore pct inferiore a 100.
rua	Il tag rua è facoltativo, ma Google consiglia di includerlo sempre nel record DMARC. Invia i report DMARC a un indirizzo email. L'indirizzo email deve includere mailto:. Ad esempio: mailto:dmarc-reports@example.com (sostituire example.com con il tuo dominio). Per inviare report DMARC a più indirizzi email, separa ciascun indirizzo email con una virgola e aggiungi il prefisso mailto: prima di ciascun indirizzo. Ad esempio: mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (sostituire example.com con il tuo dominio). Questa opzione potrebbe causare l'invio di un numero elevato di email di rapporti. Non è consigliabile utilizzare il tuo indirizzo email. Considera invece la possibilità di utilizzare una casella di posta dedicata, un gruppo o un servizio di terze parti specializzato nei report DMARC. Per inviare i report DMARC a un indirizzo email che si trova in un dominio diverso da quello che ospita il tuo record DMARC, aggiungi un record TXT al DNS del dominio email. Per maggiori dettagli, vedi Inviare i report a un indirizzo email in un dominio diverso nella pagina Report DMARC.
ruf	(Non supportato) Gmail non supporta il tag ruf, utilizzato per inviare report sulle operazioni non riuscite. I report sulle operazioni non riuscite sono chiamati anche report forensi.
sp	(Facoltativo) Imposta il criterio per i messaggi provenienti dai sottodomini del tuo dominio principale. Scegli questa opzione se vuoi utilizzare un criterio DMARC diverso per i tuoi sottodomini. none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine—contrassegna i messaggi come spam e inviali alla cartella Spam del destinatario. I destinatari possono esaminare i messaggi di spam per identificare eventuali messaggi legittimi. reject—Rifiutare il messaggio. Con questa opzione, il server di destinazione dovrebbe inviare un avviso di mancato recapito al server mittente. Se non utilizzi questa opzione nel record, i sottodomini ereditano il criterio DMARC impostato per il dominio principale.
adkim	(Facoltativo) Imposta il criterio di allineamento per DKIM, che definisce in che misura le informazioni del messaggio devono corrispondere esattamente alle firme DKIM. Scopri come funziona l'allineamento (più avanti in questa pagina). s—Allineamento esatto. Il nome del dominio del mittente deve coincidere esattamente con il valore d=domainname nelle intestazioni DKIM dei messaggi. r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf	(Facoltativo) Imposta il criterio di allineamento per SPF, che specifica in che misura le informazioni del messaggio devono corrispondere esattamente alle firme SPF. Scopri come funziona l'allineamento (più avanti in questa pagina). s—allineamento esatto. L'intestazione From: (Da:) del messaggio deve corrispondere esattamente al valore domain.name nel comando SMTP MAIL FROM. r—Allineamento non rigido (impostazione predefinita). Consente corrispondenze parziali. Viene accettato qualsiasi sottodominio valido del dominio.

Allineamento DMARC

DMARC autorizza o rifiuta un messaggio in base al livello di corrispondenza tra il dominio nell'intestazione Da: e il dominio mittente specificato tramite SPF o DKIM. Questa operazione viene definita allineamento.

Puoi scegliere tra due modalità di allineamento: esatta o flessibile. La modalità di allineamento per SPF e DKIM nel record DMARC viene impostata utilizzando i tag del record DMARC aspf e adkim.

Metodo di autenticazione	Allineamento esatto	Allineamento flessibile
SPF	Corrispondenza esatta tra il dominio nell'indirizzo del mittente della busta (chiamato anche indirizzo Return-Path o di restituzione al mittente) e il dominio nell'indirizzo dell'intestazione Da:.	Il dominio nell'indirizzo dell'intestazione Da: deve corrispondere o essere un sottodominio del dominio nell'indirizzo del mittente della busta (chiamato anche indirizzo Return-Path o di restituzione al mittente).
DKIM	Corrispondenza esatta tra il dominio DKIM pertinente e il dominio nell'indirizzo dell'intestazione Da: .	Il dominio nell'indirizzo dell'intestazione From: (Da:) deve corrispondere o essere un sottodominio del dominio specificato nel tag d= della firma DKIM.

In alcuni casi, Google consiglia di valutare il passaggio alla modalità di allineamento esatto per una maggiore protezione dallo spoofing:

La posta inviata per il tuo dominio proviene da un sottodominio su cui non hai controllo.
Utilizzi sottodomini che sono gestiti da un'altra entità.

Importante: l'allineamento flessibile in genere offre sufficiente protezione dallo spoofing. Con l'allineamento esatto è possibile che i messaggi provenienti dai sottodomini associati vengano rifiutati o finiscano nello spam.

Per essere autorizzato da DMARC, un messaggio deve superare almeno uno dei seguenti controlli:

Autenticazione SPF e allineamento SPF
Autenticazione DKIM e allineamento DKIM

Un messaggio non viene autorizzato da DMARC se non supera entrambi i controlli seguenti:

SPF (o allineamento SPF)
DKIM (o allineamento DKIM)

Passaggio 4: aggiungi il record DMARC al tuo dominio

Importante: per questo passaggio, utilizza la documentazione di assistenza DMARC dell'host del tuo dominio. I passaggi per aggiungere un record DMARC variano a seconda dell'host del dominio.

Aggiungere o aggiornare il record

Importante: assicurati di configurare DKIM e SPF prima di DMARC. DKIM e SPF devono eseguire l'autenticazione dei messaggi per almeno 48 ore prima di attivare DMARC.

Tieni a portata di mano il file di testo o la riga per il record DMARC.
Accedi all'host del tuo dominio, in genere si tratta dell'host presso il quale hai acquistato il nome di dominio. Se non sai con certezza quale sia l'host del tuo dominio, vedi Identificare il registrar del dominio.
Vai alla pagina in cui aggiornare i record TXT DNS per il tuo dominio. Se hai bisogno di assistenza per individuare la pagina, consulta la documentazione del tuo dominio.

Aggiungi o aggiorna il record TXT con queste informazioni (fai riferimento alla documentazione del tuo dominio):

Nome campo	Valore da inserire
Tipo	Il tipo di record è TXT.
Host (nome, nome host, alias)	Questo valore deve essere _dmarc.example.com (sostituisci example.com con il tuo nome di dominio).
Valore	La stringa che compone il record TXT. Ad esempio: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Per maggiori dettagli, vedi Determina il record DMARC (in precedenza in questa pagina).

Nota: alcuni host di dominio aggiungono automaticamente il nome del dominio. Dopo aver aggiunto o aggiornato il record TXT, verifica il nome di dominio nel record DMARC per assicurarti che sia formattato correttamente.

Salva le modifiche.
Se configuri DMARC per più di un dominio, completa questi passaggi per ciascun dominio. Ogni dominio può avere un criterio diverso e varie opzioni per i rapporti (definiti nel record).
Per verificare che DMARC sia configurato per il tuo dominio, utilizza uno dei numerosi strumenti disponibili senza costi su internet.

Argomenti correlati

_{Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.}

Scegli una sezione sulla quale fornire un feedback.

È stato utile?

Come possiamo migliorare l'articolo?