Dati e statistiche8 min di lettura

Quante aziende italiane hanno DMARC configurato correttamente?

DMARC è il tassello finale dell'autenticazione email — ma averlo presente nel DNS basta? Scopri il divario tra le aziende che lo utilizzano e quelle che lo configurano in modo efficace.

Quando i marketer e gli amministratori IT italiani parlano di DMARC, spesso danno per scontato che "averlo" sia sufficiente. Ma un record DMARC nel DNS non basta: ciò che conta davvero è la politica che comunica ai server riceventi cosa fare se un'email non supera i controlli SPF o DKIM.

Molte aziende, anche grandi, hanno DMARC impostato su p=none — una modalità di monitoraggio che non blocca gli attacchi, solo li registra. Il risultato? Una falsa sensazione di protezione. In questo articolo vediamo il divario reale tra la configurazione presente e quella davvero efficace, usando i dati raccolti da email-stats, il nostro scanner settimanale dei migliori domini italiani.

Che cosa significa "DMARC configurato correttamente"

Un record DMARC configurato correttamente non è solo presente nel DNS — è anche coerente con i record SPF e DKIM del dominio, e comunica una politica chiara:

  • SPF e DKIM devono funzionare. DMARC è il validatore che controlla se il mittente dichiara il valore DKIM e se il dominio From corrisponde alla politica di alignment.
  • La politica (p=) deve essere significativa. p=none monitora, p=quarantine isola in spam, p=reject rifiuta direttamente. Senza uno scopo, DMARC è inutile.
  • La RUA deve puntare a un indirizzo reale. Il rapporto di monitoraggio deve arrivare a una casella in cui qualcuno lo legge. Altrimenti non sei consapevole degli attacchi contro il tuo dominio.
  • Deve allinearsi alla strategia di SPF/DKIM. Se usi provider email (MailUp, Brevo, Shopify, PrestaShop con SMTP esterno), gli record devono includere i loro IP e domini.
SPFAutorizza gli IP che possono mandare email dal dominioDKIMFirma crittografica; il server ricevente verifica con la chiave pubblicaDMARCPolitica: cosa fare se SPF/DKIM falliscono. p=none (monitora), p=quarantine (spam), p=reject (rifiuta)
Come SPF, DKIM e DMARC lavorano insieme per autenticare il tuo dominio

p=none, p=quarantine o p=reject? Le tre strade

Ogni politica DMARC racconta una storia diversa:

  • p=none — «Mandami i report, ma non fare nulla se fallisce». È il punto di partenza di molte aziende: monitori gli attacchi, ma continui a lasciare passare email fasulle dal tuo dominio.
  • p=quarantine — «Se fallisce, mettilo in spam». Uno step intermedio: proteggi il dominio senza bloccare email legittime che per qualche motivo falliscono i controlli.
  • p=reject — «Se fallisce, rifiutalo completamente». È la politica più forte: il server ricevente scarta l'email all'ingresso. Elimina il phishing dal tuo dominio, ma richiede che SPF e DKIM siano perfetti.

Secondo le linee guida di Google e Yahoo (obbligatorie dal febbraio 2024 per chi spedisce in massa), almeno DMARC deve essere presente — meglio ancora con p=reject o p=quarantine se sei serio sulla protezione del dominio.

Il rischio nascosto di p=none
Un record DMARC con p=none è come un sensore antifurto che manda SMS ma non chiude la porta. I tuoi dipendenti (e gli attaccanti) vedono email falsificate dal tuo dominio ogni giorno, ma tu dormi tranquillo perché "hai DMARC". Fai il test: se vedi report di fallimenti SPF/DKIM frequenti e non sei tu che spedisci, probabilmente hai subito un attacco silenzioso.

I dati reali sulle aziende italiane

Tramite email-stats, scanniamo i migliori domini italiani alla ricerca di SPF, DKIM, DMARC e altri standard di autenticazione. I dati settimanali mostrano chiaramente il divario:

  • Adozione di DMARC: Una quota crescente di aziende italiane ha un record DMARC nel DNS. Il numero cresce ogni trimestre grazie alle spinte di Google/Yahoo e alle guide sulla conformità GDPR.
  • Il divario p=none vs p=reject: Tra coloro che hanno DMARC, però, la stragrande maggioranza rimane bloccata su p=none. Solo una minoranza ha il coraggio di usare p=reject.
  • SPF/DKIM incompleti: Molti domini hanno DMARC, ma SPF o DKIM sono configurati male — il che rende DMARC inefficace.
Nessun DMARC100%DMARC con p=none65%DMARC con p=quarantine25%DMARC con p=reject + SPF/DKIM corretti10%
Stadi di adozione DMARC tra le aziende italiane: dalla totale assenza alla configurazione corretta

Perché molti restano fermi a p=none

Tre motivi principali:

  1. Paura del blocco. Passare da p=none a p=reject significa rischiare di bloccare email legittime se SPF/DKIM falliscono. Molte aziende hanno infrastrutture email disordinate (provider multipli, migrazioni in corso, server legacy) e non sanno se tutto è allineato. Quindi rimangono su p=none per evitare disastri.
  2. Mancanza di consapevolezza. I proprietari di PMI e startup italiane non sempre sanno che p=none non protegge; credono semplicemente che "avere DMARC" sia sufficiente per stare al passo con la conformità normativa e le best practice.
  3. Transizione graduale richiesta. Il passaggio "corretto" da p=none a p=reject è graduale: monitora per settimane con p=quarantine, poi passa a p=reject solo quando sei sicuro di non fallire. Poche aziende hanno il tempo o la pazienza per questo esercizio.

Impatto sulla consegna

Che differenza fa? Parecchia. Un DMARC corretto migliora:

  • Spam rate più basso. Le email fake dal tuo dominio non entrano nella casella ricevente, quindi non inquinano i tuoi report di consegna e non dañan la reputazione del brand.
  • Fiducia dei provider. Gmail, Yahoo, Outlook danno un punteggio di reputazione più alto ai domini che usano p=reject. Le tue email legittime arrivano meglio in inbox.
  • Protezione del brand. Se qualcuno invia phishing dal tuo dominio, con p=reject il dominio è protetto. Con p=none, il tuo brand subisce danni ogni giorno.
  • Conformità normativa. In Italia, il Codice Privacy e il GDPR spingono le aziende a proteggere i propri asset digitali (incluso il dominio email) da abusi. p=none non conta come "protezione".

Come verificare la tua configurazione DMARC

Il modo più veloce e trasparente è usare un test di inbox placement. Manda un'email di prova ai nostri seed-address e ricevi:

  • Lo stato di SPF, DKIM e DMARC (passa/fallisce).
  • La politica DMARC che abbiamo trovato nel tuo DNS.
  • Dove finisce l'email (Inbox, Spam, Promotions) su 20+ provider italiani e internazionali (Gmail, Libero, Virgilio, TIM/Alice, Outlook, Yahoo, etc.).
  • Screenshot reali del rendering nel riguardarsi: light mode, dark mode, desktop, mobile.

Tutto gratis, senza registrazione. Prova check.live-direct-marketing.online adesso.

Prossimi step per la tua azienda

Se scopri che hai DMARC con p=none:

  1. Esamina i report DMARC (RUA) per una o due settimane. Vedi fallimenti SPF/DKIM frequenti? Se no, sei pronto per il prossimo step.
  2. Configura DMARC con p=quarantine e monitora per un mese. Controlla se gli utenti segnalano email mancanti.
  3. Se tutto è stabile, passa a p=reject. Da quel momento, il tuo dominio è davvero protetto da chi tenta di impersonarti.

Qual è la differenza tra DMARC e DKIM?

DKIM firma l'email con una chiave crittografica; il ricevente verifica la firma usando la chiave pubblica nel DNS. DMARC non firma nulla: è una politica che dice al ricevente cosa fare se la firma (DKIM) o l'SPF falliscono. Entrambi sono necessari; DMARC senza DKIM/SPF è inutile.

Se uso un ESP (MailUp, Brevo, Shopify, etc.), chi configura DMARC?

Tu configuri DMARC nel tuo DNS. L'ESP ti dice quali record SPF e DKIM aggiungere (spesso CNAME per DKIM, che punta a un dominio dell'ESP). DMARC monitora il tutto: se l'ESP è incluso correttamente in SPF e se usi DKIM dell'ESP, DMARC passerà. Se l'ESP non è nel record SPF, fallirà e DMARC lo registrerà nei report.

Posso testare DMARC senza passare subito a p=reject?

Sì, è il modo consigliato. Usa p=none per settimane, poi p=quarantine per un mese, infine p=reject. O ancora più veloce: usa il nostro strumento di test gratuito per un'istantanea immediata dello stato reale, senza modificare il DNS.

Letture correlate
Found this useful? Share it
AB
Sull'autore
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifica la tua deliverability su oltre 20 provider

Gmail, Outlook, Yahoo, Libero, GMX, ProtonMail e altri. Screenshot reali della posta in arrivo, SPF/DKIM/DMARC, verdetti dei filtri antispam. Gratis, senza registrazione.

Avvia il test gratuito →

Test illimitati · Oltre 20 caselle · Risultati in tempo reale · Nessun account