Configurare DMARC

Utenti di Gmail: se ricevi messaggi di spam o phishing in Gmail, visita questa pagina. Se hai difficoltà a inviare o ricevere email in Gmail, visita questa pagina.

In qualità di amministratore, dopo aver configurato SPF e DKIM, puoi configurare DMARC (Domain-based Message Authentication, Reporting and Conformance). Il protocollo DMARC consente di indicare ai server di posta di destinazione che cosa fare quando ricevono un messaggio che non supera i controlli di autenticazione SPF o DKIM. Puoi anche ricevere report che ti aiutano a identificare possibili problemi di autenticazione e attività dannose nei messaggi inviati dal tuo dominio.

What is DMARC?

DMARC aiuta a proteggere gli utenti da messaggi email contraffatti
e ti permette di gestire i messaggi che non superano i controlli SPF o DKIM.

In questa pagina

Passaggio 1: attiva SPF e DKIM

Per poter utilizzare DMARC, devi attivare SPF e DKIM per il tuo dominio. Se non hai configurato SPF e DKIM, vedi Prevenire lo spoofing, il phishing e lo spam.

SPF, DKIM e DMARC vengono applicati per un dominio. Se gestisci più di un dominio, devi abilitare SPF, DKIM e DMARC separatamente per ognuno.

Importante:

  • Se non configuri SPF e DKIM prima di attivare DMARC, è probabile che si verifichino problemi di recapito dei messaggi inviati dal tuo dominio.
  • Prima di configurare DMARC, attendi 48 ore dopo la configurazione di SPF e DKIM.

Passaggio 2: controlla se DMARC è già configurato

Se utilizzi Google Workspace, utilizza gli Strumenti amministrativi Google per verificare se DMARC è configurato. In caso contrario, segui i passaggi per eseguire il controllo presso il tuo provider di dominio.

Esegui la verifica utilizzando gli Strumenti amministrativi Google:

  1. Vai a Strumenti amministrativi Google.
  2. Vai a Verifica problemi DNSe poiVerifica MX.
  3. Inserisci il nome di dominio nel campo Nome di dominio, quindi fai clic su Esegui i controlli.
  4. I risultati indicano se il dominio ha un record DMARC:
    • DMARC non è configurato: il tuo dominio non ha ancora un record DMARC.
    • Formattazione dei criteri DMARC in corso: nel tuo dominio è già presente un record DMARC.

Controlla presso il tuo provider del dominio:

  1. Accedi alla console di gestione del provider del tuo dominio.
  2. Vai alla pagina in cui aggiorni i record TXT DNS del tuo dominio.
  3. Se hai un record DMARC, nel sottodominio _dmarc.example.com (dove example è il tuo nome di dominio), vedrai una voce di record TXT che inizia con v=DMARC.

Procedi in base ai risultati:

  • Se DMARC è già configurato, devi esaminare i report DMARC per assicurarti che il protocollo stia autenticando in modo efficace i messaggi e che questi vengano recapitati come previsto.
  • Se DMARC non è configurato, vai a Configurare un gruppo o una casella di posta per i report (in questa pagina).

Passaggio 3: configura un gruppo o una casella di posta per i report

Il numero di report DMARC che ricevi via email può variare e dipende dalla quantità di email che invia il dominio e dal numero di domini a cui invii email. Puoi ricevere molti rapporti ogni giorno. Le organizzazioni di grandi dimensioni possono ricevere ogni giorno centinaia o persino migliaia di report.

I report DMARC indicano quali messaggi inviati dal tuo dominio vengono autenticati da SPF e DKIM e se alcuni messaggi non superano regolarmente l'autenticazione. Puoi anche utilizzare i report per esaminare chi invia la posta per il tuo dominio e ricevere avvisi su potenziali spammer. Il monitoraggio dei report DMARC è particolarmente utile durante la fase di implementazione. Consulta Implementazione DMARC consigliata.

Google consiglia di creare un gruppo o una casella di posta dedicata per ricevere e gestire i report DMARC.

Importante: in genere l'indirizzo email per i report si trova nello stesso dominio del dominio che ospita il tuo record DMARC. Se l'indirizzo email ha un dominio diverso, devi aggiungere un record DNS all'altro dominio. Per maggiori dettagli, vedi Inviare i report a un indirizzo email in un dominio diverso nella pagina Report DMARC.

Passaggio 4: assicurati che tutti i servizi di terze parti siano autenticati

Se utilizzi un servizio di terze parti per inviare la posta per la tua organizzazione, devi assicurarti che i messaggi inviati dai servizi di terze parti siano autenticati e superino i controlli SPF e DKIM:

  • Contatta il tuo fornitore di terze parti per assicurarti che DKIM sia configurato correttamente.
  • Accertati che il dominio del mittente della busta del provider corrisponda al tuo dominio. Aggiungi l'indirizzo IP dei server di invio della posta del provider al record SPF del tuo dominio.
  • Indirizza la posta in uscita del provider tramite Google utilizzando l'impostazione Servizio di inoltro SMTP.

Passaggio 5: prepara il record DMARC

Il criterio DMARC viene definito in una riga di valori di testo, denominata record DMARC. Il record definisce:

  • Il grado di severità che DMARC deve applicare al controllo dei messaggi
  • Le azioni consigliate per il server di destinazione quando riceve messaggi che non superano i controlli di autenticazione

Esempio di record del criterio DMARC (sostituire example.com con il tuo dominio):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

I tag v e p devono essere indicati per primi, mentre gli altri tag possono essere inseriti in qualsiasi ordine:

Quando inizi a utilizzare DMARC, ti consigliamo di impostare l'opzione del criterio (p) su none. Aggiorna il criterio man mano che acquisisci familiarità con le modalità con cui i server di destinazione autenticano i messaggi provenienti dal tuo dominio. Nel tempo, modifica il criterio per il server di destinazione in quarantine (or reject). Consulta Implementazione DMARC consigliata.

Definizioni e valori dei tag del record DMARC

Tag Descrizione e valori
v

(Obbligatorio) Versione DMARC. Deve essere DMARC1.

p (Obbligatorio) Indica al server di posta di destinazione che cosa fare con i messaggi che non superano l'autenticazione.
  • none— non intraprendere alcuna azione sul messaggio e consegnalo al destinatario previsto. Registra i messaggi in un report giornaliero. Il rapporto viene inviato all'indirizzo email specificato con l'opzione rua nel record.
  • quarantine— contrassegna i messaggi come spam e inviali alla cartella Spam del destinatario. I destinatari possono esaminare i messaggi di spam per identificare eventuali messaggi legittimi.
  • reject— rifiuta il messaggio. Con questa opzione, il server di destinazione in genere invia un avviso di mancato recapito al server mittente.

Nota sullo standard BIMI: se il tuo dominio utilizza BIMI, l'opzione p di DMARC deve essere impostata su quarantine (quarantena) o su reject (rifiuta). BIMI non supporta i criteri DMARC con l'opzione p impostata su none (nessuno).

pct

Il tag pct è facoltativo, ma Google consiglia di includerlo nel record DMARC durante l'implementazione di DMARC per poter gestire la percentuale di email a cui si applica il criterio DMARC.

Specifica la percentuale di messaggi non autenticati soggetti al criterio DMARC. Quando implementi gradualmente DMARC, potresti iniziare con una piccola percentuale dei tuoi messaggi. Man mano che i messaggi provenienti dal tuo dominio superano l'autenticazione presso i server di destinazione, aggiorna il record con una percentuale maggiore fino a raggiungere il 100%.

Deve essere un numero intero compreso tra 1100. Se non utilizzi questa opzione nel record, il criterio DMARC viene applicato al 100% dei messaggi inviati dal tuo dominio.

Nota sullo standard BIMI: se il tuo dominio utilizza BIMI, il valore pct del criterio DMARC deve essere impostato su 100. BIMI non supporta i criteri DMARC con un'impostazione del valore pct inferiore a 100.

rua

Il tag rua è facoltativo, ma Google consiglia di includerlo sempre nel record DMARC.

Invia i report DMARC a un indirizzo email. L'indirizzo email deve includere mailto:.
Ad esempio: mailto:dmarc-reports@example.com (sostituire example.com con il tuo dominio).

  • Per inviare report DMARC a più indirizzi email, separa ciascun indirizzo email con una virgola e aggiungi il prefisso mailto: prima di ciascun indirizzo. Ad esempio: mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (sostituire example.com con il tuo dominio).
  • Questa opzione potrebbe causare l'invio di un numero elevato di email di rapporti. Non è consigliabile utilizzare il tuo indirizzo email. Considera invece la possibilità di utilizzare una casella di posta dedicata, un gruppo o un servizio di terze parti specializzato nei report DMARC.
  • Per inviare i report DMARC a un indirizzo email che si trova in un dominio diverso da quello che ospita il tuo record DMARC, aggiungi un record TXT al DNS del dominio email. Per maggiori dettagli, vedi Inviare i report a un indirizzo email in un dominio diverso nella pagina Report DMARC.
ruf

(Non supportato) Gmail non supporta il tag ruf, utilizzato per inviare report sulle operazioni non riuscite. I report sulle operazioni non riuscite sono chiamati anche report forensi.

sp (Facoltativo) Imposta il criterio per i messaggi provenienti dai sottodomini del tuo dominio principale. Scegli questa opzione se vuoi utilizzare un criterio DMARC diverso per i tuoi sottodomini.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantinecontrassegna i messaggi come spam e inviali alla cartella Spam del destinatario. I destinatari possono esaminare i messaggi di spam per identificare eventuali messaggi legittimi.
  • rejectRifiutare il messaggio. Con questa opzione, il server di destinazione dovrebbe inviare un avviso di mancato recapito al server mittente.

Se non utilizzi questa opzione nel record, i sottodomini ereditano il criterio DMARC impostato per il dominio principale.

adkim (Facoltativo) Imposta il criterio di allineamento per DKIM, che definisce in che misura le informazioni del messaggio devono corrispondere esattamente alle firme DKIM. Scopri come funziona l'allineamento (più avanti in questa pagina).
  • sAllineamento esatto. Il nome del dominio del mittente deve coincidere esattamente con il valore d=domainname  nelle intestazioni DKIM dei messaggi.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Facoltativo) Imposta il criterio di allineamento per SPF, che specifica in che misura le informazioni del messaggio devono corrispondere esattamente alle firme SPF. Scopri come funziona l'allineamento (più avanti in questa pagina).
  • sallineamento esatto. L'intestazione From: (Da:) del messaggio deve corrispondere esattamente al valore domain.name nel comando SMTP MAIL FROM.
  • rAllineamento non rigido (impostazione predefinita). Consente corrispondenze parziali. Viene accettato qualsiasi sottodominio valido del dominio.

Allineamento DMARC

DMARC autorizza o rifiuta un messaggio in base al livello di corrispondenza tra il dominio nell'intestazione Da: e il dominio mittente specificato tramite SPF o DKIM. Questa operazione viene definita allineamento.

Puoi scegliere tra due modalità di allineamento: esatta o flessibile. La modalità di allineamento per SPF e DKIM nel record DMARC viene impostata utilizzando i tag del record DMARC aspf e adkim.

Metodo di autenticazione Allineamento esatto Allineamento flessibile
SPF Corrispondenza esatta tra il dominio nell'indirizzo del mittente della busta (chiamato anche indirizzo Return-Path o di restituzione al mittente) e il dominio nell'indirizzo dell'intestazione Da:. Il dominio nell'indirizzo dell'intestazione Da: deve corrispondere o essere un sottodominio del dominio nell'indirizzo del mittente della busta (chiamato anche indirizzo Return-Path o di restituzione al mittente).
DKIM Corrispondenza esatta tra il dominio DKIM pertinente e il dominio nell'indirizzo dell'intestazione Da: .

In alcuni casi, Google consiglia di valutare il passaggio alla modalità di allineamento esatto per una maggiore protezione dallo spoofing:

  • La posta inviata per il tuo dominio proviene da un sottodominio su cui non hai controllo.
  • Utilizzi sottodomini che sono gestiti da un'altra entità.
Importante: l'allineamento flessibile in genere offre sufficiente protezione dallo spoofing. Con l'allineamento esatto è possibile che i messaggi provenienti dai sottodomini associati vengano rifiutati o finiscano nello spam.

Per essere autorizzato da DMARC, un messaggio deve superare almeno uno dei seguenti controlli:

  • Autenticazione SPF e allineamento SPF 
  • Autenticazione DKIM e allineamento DKIM

Un messaggio non viene autorizzato da DMARC se non supera entrambi i controlli seguenti:

  • SPF (o allineamento SPF)
  • DKIM (o allineamento DKIM)

Passaggio 6: aggiungi il record DMARC

Dopo aver preparato il testo del record DMARC, aggiungi o aggiorna il record TXT DNS DMARC del provider di dominio. Ogni volta che modifichi il criterio DMARC e aggiorni il record, devi aggiornare anche il record TXT DMARC del provider di dominio.

Aggiungere o aggiornare il record

Importante: assicurati di configurare DKIM e SPF prima di configurare DMARC. DKIM e SPF devono eseguire l'autenticazione dei messaggi per almeno 48 ore prima di attivare DMARC.

  1. Tieni a portata di mano il file di testo o la riga per il record DMARC.
  2. Accedi all'host del tuo dominio, in genere si tratta dell'host presso il quale hai acquistato il nome di dominio. Se non sai con certezza quale sia l'host del tuo dominio, vedi Identificare il registrar del dominio.
  3. Vai alla pagina in cui aggiornare i record TXT DNS per il tuo dominio. Se hai bisogno di assistenza per individuare la pagina, consulta la documentazione del tuo dominio.
  4. Aggiungi o aggiorna il record TXT con queste informazioni (fai riferimento alla documentazione del tuo dominio): 

    Nome campo Valore da inserire
    Tipo Il tipo di record è TXT.
    Host (nome, nome host, alias) Questo valore deve essere _dmarc.example.com (sostituire example.com con il nome di dominio).
    Valore La stringa che compone il record TXT. Ad esempio: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Per maggiori dettagli, vedi Preparare il record DMARC (all'inizio di questa pagina).
    Nota: alcuni host di dominio aggiungono automaticamente il nome del dominio. Dopo aver aggiunto o aggiornato il record TXT, verifica il nome di dominio nel record DMARC per assicurarti che sia formattato correttamente.
  5. Salva le modifiche.
  6. Se configuri DMARC per più di un dominio, completa questi passaggi per ciascun dominio. Ogni dominio può avere un criterio diverso e varie opzioni per i rapporti (definiti nel record).

Passaggio 7: verifica il record DMARC

Importante: i domini utilizzati nei passaggi riportati di seguito sono solo esempi. Sostituisci questi domini di esempio con i tuoi domini.

Alcuni host di dominio aggiungono automaticamente il nome del dominio alla fine del nome del record TXT. Con questa prassi si rischia tuttavia che il nome del record TXT DMARC non sia formattato correttamente. Ad esempio, se inserisci _dmarc.example.com e l'host del dominio aggiunge automaticamente il nome del tuo dominio, il nome del record TXT sarà erroneamente formattato come _dmarc.example.com.example.com.

Dopo aver aggiunto il record TXT DMARC seguendo i passaggi descritti nella sezione Aggiungere o aggiornare il record, controlla il nome del record TXT per verificare che sia formattato correttamente.

Negli Strumenti amministrativi Google, puoi utilizzare la funzionalità Dig per visualizzare e verificare il record TXT DMARC:

  1. Accedi a Strumenti amministrativi Google e seleziona la funzionalità Dig.
  2. Nel campo Name (Nome), inserisci _dmarc. seguito dal nome di dominio completo. Ad esempio, se il nome di dominio è example.com, inserisci _dmarc.example.com.
  3. Sotto il campo Nome, fai clic su TXT.
  4. Controlla il nome del record TXT DMARC nei risultati. Cerca la riga di testo che inizia con _dmarc.

Argomenti correlati


Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?

Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
12103035472713305122
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false