Puoi definire il protocollo DMARC (Domain-based Message Authentication, Reporting, and Conformance) inserendo un record DMARC nelle impostazioni DNS del tuo dominio.
Dopo aver preparato il testo del record DMARC, aggiungi o aggiorna il record TXT DNS del provider di dominio. Per aggiornare un record TXT DNS, inserisci la riga di testo che definisce il record del criterio DMARC nella console di gestione del provider di dominio.
Ogni volta che modifichi il criterio DMARC e aggiorni il record, devi aggiornare il record TXT DNS del provider di dominio.
Sottodomini e domini aggiuntivi
Se hai più di un dominio, segui i passaggi riportati di seguito per ogni dominio. Ogni dominio può avere un criterio diverso e varie opzioni per i rapporti (definiti nel record).
Se non crei criteri DMARC per i sottodomini, questi erediteranno il criterio DMARC del dominio principale. Per definire un criterio DMARC per i sottodomini, utilizza il sp tag di criteri nel record DMARC per il dominio principale.
Aggiungere o aggiornare il record
Importante:
- Configura DKIM (DomainKeys Identified Mail) e SPF (Sender Policy Framework) prima di configurare DMARC. DKIM e SPF devono eseguire l'autenticazione dei messaggi per almeno 48 ore prima di attivare DMARC.
- I domini utilizzati nei passaggi riportati di seguito sono solo esempi. Sostituisci questi domini di esempio con i tuoi.
Esegui questi passaggi nella console di gestione dell'host del tuo dominio, non nella Console di amministrazione. Qual è l'host del mio dominio?
- Tieni a portata di mano il file di testo o la riga che rappresenta il record del criterio.
- Accedi alla console di gestione dell'host del tuo dominio.
- Individua la pagina in cui vuoi aggiornare i record DNS.
- Aggiungi un record TXT DNS o modificane uno esistente inserendo il tuo nel record TXT per _dmarc:
- Nome del record TXT: nel primo campo, sotto il nome dell'host DNS, inserisci _dmarc.solarmora.com
Importante: alcuni host di dominio aggiungono automaticamente il nome di dominio dopo _dmarc. Dopo aver aggiunto il record TXT, puoi verificare il nome del record TXT DMARC per assicurarti che sia formattato correttamente.
- Valore del record TXT: nel secondo campo, inserisci il testo per il record DMARC, ad esempio:
v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com
I nomi dei campi potrebbero essere diversi per il tuo provider. I nomi dei campi dei record TXT DNS possono variare leggermente da provider a provider. Il dominio utilizzato qui è un dominio di esempio. Sostituisci solarmora.com con il tuo dominio.
- Nome del record TXT: nel primo campo, sotto il nome dell'host DNS, inserisci _dmarc.solarmora.com
- Salva le modifiche.
Disattivazione di DMARC
Non è consigliabile disattivare il protocollo DMARC per un'organizzazione o un dominio. Senza DMARC, gli hacker e altri utenti malintenzionati possono falsificare i messaggi in modo che sembrino provenire dalla tua organizzazione o dal tuo dominio. Se disattivi DMARC, i tuoi utenti e i tuoi contatti rischiano di essere vittime di spam, spoofing e phishing. Se devi disattivare DMARC, segui questi passaggi.
(Facoltativo) Verificare il nome del record TXT DMARC
Importante: i domini utilizzati nei passaggi riportati di seguito sono solo esempi. Sostituisci questi domini di esempio con i tuoi.
Alcuni host di dominio aggiungono automaticamente il nome del dominio alla fine del nome del record TXT che è stato inserito nel passaggio 4a della sezione Aggiungere o aggiornare il record. Con questa prassi si rischia tuttavia che il nome del record TXT DMARC non sia formattato correttamente.
Ad esempio, se inserisci _dmarc.solarmora.com e l'host del dominio aggiunge automaticamente il nome del tuo dominio, il nome del record TXT sarà erroneamente formattato come _dmarc.solarmora.com.solarmora.com.
Dopo aver aggiunto il record TXT DMARC seguendo i passaggi descritti nella sezione Aggiungere o aggiornare il record, controlla il nome del record TXT per verificare che sia formattato correttamente.
Puoi utilizzare la funzionalità Dig degli strumenti di amministrazione Google per visualizzare e verificare il record TXT DMARC:
- Accedi a Strumenti amministrativi Google e seleziona la funzionalità Dig.
- Nel campo Name (Nome), inserisci _dmarc. seguito dal nome di dominio completo. Ad esempio, se il tuo nome di dominio è solarmora.com, inserisci _dmarc.solarmora.com
- Sotto il campo Nome, fai clic su TXT.
- Controlla il nome del record TXT DMARC nei risultati. Cerca la riga di testo che inizia con _dmarc.
Formato del record DMARC
Importante: il criterio DMARC riportato come esempio in questa sezione utilizza domini di esempio. Sostituisci i domini di esempio con i tuoi.
Il formato del record DMARC è una riga di testo normale. Il testo è un elenco di tag e valori DMARC, separati da punti e virgola. Alcuni tag sono obbligatori, mentre altri sono facoltativi.
Un criterio DMARC indica ai server di destinazione quale azione eseguire per i messaggi non autenticati che ricevono dal tuo dominio. L'azione da intraprendere è specificata con il tag di criteri (p) quando definisci il record DMARC.
Ecco un esempio di record del criterio DMARC. I tag sono separati da punto e virgola (;). I tag v e p devono essere indicati per primi, mentre gli altri tag possono essere inseriti in qualsiasi ordine. Se utilizzi il tag rua per inviare i report DMARC via email, devi utilizzare il prefisso mailto: prima di ogni indirizzo email, come mostrato in questo esempio:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Tag del record DMARC
Tag | Descrizione e valori |
v |
Versione di DMARC. Deve essere DMARC1. Questo tag è obbligatorio. |
p | Indica al server di posta di destinazione che cosa fare con i messaggi che non superano l'autenticazione.
Questo tag è obbligatorio. Nota sullo standard BIMI: se il tuo dominio utilizza BIMI, l'opzione p di DMARC deve essere impostata su quarantine (quarantena) o su reject (rifiuta). BIMI non supporta i criteri DMARC con l'opzione p impostata su none (nessuno). |
pct |
Specifica la percentuale di messaggi non autenticati soggetti al criterio DMARC. Quando implementi gradualmente DMARC, potresti iniziare con una piccola percentuale dei tuoi messaggi. Man mano che i messaggi provenienti dal tuo dominio superano l'autenticazione presso i server di destinazione, aggiorna il record con una percentuale maggiore fino a raggiungere il 100%. Deve essere un numero intero compreso tra 1 e 100. Se non utilizzi questa opzione nel record, il criterio DMARC viene applicato al 100% dei messaggi inviati dal tuo dominio. Questo tag è facoltativo. Nota sullo standard BIMI: se il tuo dominio utilizza BIMI, il valore pct del criterio DMARC deve essere impostato su 100. BIMI non supporta i criteri DMARC con un'impostazione del valore pct inferiore a 100. |
rua |
Indirizzo email per ricevere i report sull'attività di DMARC per il tuo dominio. L'indirizzo email deve includere mailto: Per inviare report DMARC a più indirizzi email, separa ciascun indirizzo email con una virgola e aggiungi il prefisso mailto: prima di ciascun indirizzo. Ad esempio: Questa opzione potrebbe causare l'invio di un numero elevato di email di rapporti. Non è consigliabile utilizzare il tuo indirizzo email. Considera invece la possibilità di utilizzare una casella di posta dedicata, un gruppo o un servizio di terze parti specializzato nei report DMARC. Questo tag è facoltativo. |
ruf |
Non supportati. Gmail non supporta il tag ruf, utilizzato per inviare rapporti sulle operazioni non riuscite. I report sulle operazioni non riuscite sono chiamati anche report forensi. |
sp | Imposta il criterio per i messaggi provenienti dai sottodomini del tuo dominio principale. Scegli questa opzione se vuoi utilizzare un criterio DMARC diverso per i tuoi sottodomini.
Se non utilizzi questa opzione nel record, i sottodomini ereditano il criterio DMARC impostato per il dominio principale. Questo tag è facoltativo. |
adkim | Imposta il criterio di allineamento per DKIM, che definisce in che misura le informazioni del messaggio devono corrispondere esattamente alle firme DKIM. Scopri come funziona l'allineamento.
Questo tag è facoltativo. |
aspf | Imposta il criterio di allineamento per SPF, che specifica in che misura le informazioni del messaggio devono corrispondere esattamente alle firme SPF. Scopri come funziona l'allineamento.
Questo tag è facoltativo. |