Quando i marketer e gli amministratori IT italiani parlano di DMARC, spesso danno per scontato che "averlo" sia sufficiente. Ma un record DMARC nel DNS non basta: ciò che conta davvero è la politica che comunica ai server riceventi cosa fare se un'email non supera i controlli SPF o DKIM.
Molte aziende, anche grandi, hanno DMARC impostato su p=none — una modalità di monitoraggio che non blocca gli attacchi, solo li registra. Il risultato? Una falsa sensazione di protezione. In questo articolo vediamo il divario reale tra la configurazione presente e quella davvero efficace, usando i dati raccolti da email-stats, il nostro scanner settimanale dei migliori domini italiani.
Che cosa significa "DMARC configurato correttamente"
Un record DMARC configurato correttamente non è solo presente nel DNS — è anche coerente con i record SPF e DKIM del dominio, e comunica una politica chiara:
- SPF e DKIM devono funzionare. DMARC è il validatore che controlla se il mittente dichiara il valore DKIM e se il dominio From corrisponde alla politica di alignment.
- La politica (p=) deve essere significativa. p=none monitora, p=quarantine isola in spam, p=reject rifiuta direttamente. Senza uno scopo, DMARC è inutile.
- La RUA deve puntare a un indirizzo reale. Il rapporto di monitoraggio deve arrivare a una casella in cui qualcuno lo legge. Altrimenti non sei consapevole degli attacchi contro il tuo dominio.
- Deve allinearsi alla strategia di SPF/DKIM. Se usi provider email (MailUp, Brevo, Shopify, PrestaShop con SMTP esterno), gli record devono includere i loro IP e domini.
p=none, p=quarantine o p=reject? Le tre strade
Ogni politica DMARC racconta una storia diversa:
- p=none — «Mandami i report, ma non fare nulla se fallisce». È il punto di partenza di molte aziende: monitori gli attacchi, ma continui a lasciare passare email fasulle dal tuo dominio.
- p=quarantine — «Se fallisce, mettilo in spam». Uno step intermedio: proteggi il dominio senza bloccare email legittime che per qualche motivo falliscono i controlli.
- p=reject — «Se fallisce, rifiutalo completamente». È la politica più forte: il server ricevente scarta l'email all'ingresso. Elimina il phishing dal tuo dominio, ma richiede che SPF e DKIM siano perfetti.
Secondo le linee guida di Google e Yahoo (obbligatorie dal febbraio 2024 per chi spedisce in massa), almeno DMARC deve essere presente — meglio ancora con p=reject o p=quarantine se sei serio sulla protezione del dominio.
I dati reali sulle aziende italiane
Tramite email-stats, scanniamo i migliori domini italiani alla ricerca di SPF, DKIM, DMARC e altri standard di autenticazione. I dati settimanali mostrano chiaramente il divario:
- Adozione di DMARC: Una quota crescente di aziende italiane ha un record DMARC nel DNS. Il numero cresce ogni trimestre grazie alle spinte di Google/Yahoo e alle guide sulla conformità GDPR.
- Il divario p=none vs p=reject: Tra coloro che hanno DMARC, però, la stragrande maggioranza rimane bloccata su
p=none. Solo una minoranza ha il coraggio di usarep=reject. - SPF/DKIM incompleti: Molti domini hanno DMARC, ma SPF o DKIM sono configurati male — il che rende DMARC inefficace.
Perché molti restano fermi a p=none
Tre motivi principali:
- Paura del blocco. Passare da p=none a p=reject significa rischiare di bloccare email legittime se SPF/DKIM falliscono. Molte aziende hanno infrastrutture email disordinate (provider multipli, migrazioni in corso, server legacy) e non sanno se tutto è allineato. Quindi rimangono su p=none per evitare disastri.
- Mancanza di consapevolezza. I proprietari di PMI e startup italiane non sempre sanno che p=none non protegge; credono semplicemente che "avere DMARC" sia sufficiente per stare al passo con la conformità normativa e le best practice.
- Transizione graduale richiesta. Il passaggio "corretto" da p=none a p=reject è graduale: monitora per settimane con p=quarantine, poi passa a p=reject solo quando sei sicuro di non fallire. Poche aziende hanno il tempo o la pazienza per questo esercizio.
Impatto sulla consegna
Che differenza fa? Parecchia. Un DMARC corretto migliora:
- Spam rate più basso. Le email fake dal tuo dominio non entrano nella casella ricevente, quindi non inquinano i tuoi report di consegna e non dañan la reputazione del brand.
- Fiducia dei provider. Gmail, Yahoo, Outlook danno un punteggio di reputazione più alto ai domini che usano p=reject. Le tue email legittime arrivano meglio in inbox.
- Protezione del brand. Se qualcuno invia phishing dal tuo dominio, con p=reject il dominio è protetto. Con p=none, il tuo brand subisce danni ogni giorno.
- Conformità normativa. In Italia, il Codice Privacy e il GDPR spingono le aziende a proteggere i propri asset digitali (incluso il dominio email) da abusi. p=none non conta come "protezione".
Come verificare la tua configurazione DMARC
Il modo più veloce e trasparente è usare un test di inbox placement. Manda un'email di prova ai nostri seed-address e ricevi:
- Lo stato di SPF, DKIM e DMARC (passa/fallisce).
- La politica DMARC che abbiamo trovato nel tuo DNS.
- Dove finisce l'email (Inbox, Spam, Promotions) su 20+ provider italiani e internazionali (Gmail, Libero, Virgilio, TIM/Alice, Outlook, Yahoo, etc.).
- Screenshot reali del rendering nel riguardarsi: light mode, dark mode, desktop, mobile.
Tutto gratis, senza registrazione. Prova check.live-direct-marketing.online adesso.
Prossimi step per la tua azienda
Se scopri che hai DMARC con p=none:
- Esamina i report DMARC (RUA) per una o due settimane. Vedi fallimenti SPF/DKIM frequenti? Se no, sei pronto per il prossimo step.
- Configura DMARC con
p=quarantinee monitora per un mese. Controlla se gli utenti segnalano email mancanti. - Se tutto è stabile, passa a
p=reject. Da quel momento, il tuo dominio è davvero protetto da chi tenta di impersonarti.
Qual è la differenza tra DMARC e DKIM?
DKIM firma l'email con una chiave crittografica; il ricevente verifica la firma usando la chiave pubblica nel DNS. DMARC non firma nulla: è una politica che dice al ricevente cosa fare se la firma (DKIM) o l'SPF falliscono. Entrambi sono necessari; DMARC senza DKIM/SPF è inutile.
Se uso un ESP (MailUp, Brevo, Shopify, etc.), chi configura DMARC?
Tu configuri DMARC nel tuo DNS. L'ESP ti dice quali record SPF e DKIM aggiungere (spesso CNAME per DKIM, che punta a un dominio dell'ESP). DMARC monitora il tutto: se l'ESP è incluso correttamente in SPF e se usi DKIM dell'ESP, DMARC passerà. Se l'ESP non è nel record SPF, fallirà e DMARC lo registrerà nei report.
Posso testare DMARC senza passare subito a p=reject?
Sì, è il modo consigliato. Usa p=none per settimane, poi p=quarantine per un mese, infine p=reject. O ancora più veloce: usa il nostro strumento di test gratuito per un'istantanea immediata dello stato reale, senza modificare il DNS.