Vai al contenuto principale
CaptainDNS
NUOVO·Monitoraggio della sicurezza e della recapitabilità email. Ricevi un avviso non appena una variazione di punteggio o di record DNS mette a rischio il tuo dominio.Scopri di più

DMARC Generator

Crea un record DMARC e ferma lo spoofing email in 30 secondi

Vuoi fermare lo spoofing email sul tuo dominio? Crea un record DMARC in 30 secondi. Configura policy, allineamento, report - copia il record e pubblica. Nessuna sintassi da memorizzare.

1Il vostro dominio

Il record sarà pubblicato su _dmarc.vostrodominio. Verifichiamo se ne esiste già uno.

Questo dominio invia email?
2Dove volete arrivare?

Scegliete il vostro obiettivo. Lo strumento vi indicherà da dove iniziare per raggiungerlo senza compromettere le vostre email.

Senza report, DMARC è cieco: non potete sapere se potete irrigidire la politica. È il carburante della transizione.

3Opzioni avanzateFacoltativo
Sottodomini, allineamento, report forensi, modalità di prova

Senza sp, i sottodomini ereditano la politica principale. Forzate sp=reject sui sottodomini che non inviano.

np (DMARCbis) protegge i sottodomini che non esistono. np=reject è un guadagno rapido contro l'usurpazione senza rischi: nessun messaggio legittimo parte mai da un sottodominio inesistente.

Modalità di prova (t)

Monitoraggio DMARC automatico

Ricevi automaticamente i report DMARC e monitora la conformità dell'autenticazione email dei tuoi domini in tempo reale.

Configura il monitoraggio DMARC

Policy configurabile

Scegli none (osserva), quarantine (spam) o reject (blocca). Imposta una policy diversa per i sottodomini se necessario.

Allineamento SPF e DKIM

Configura allineamento relaxed o strict per SPF e DKIM. L'allineamento strict rafforza la protezione una volta stabilizzati i tuoi flussi.

Report aggregati (RUA)

Ricevi report giornalieri su sorgenti di invio, tassi di successo/fallimento e errori. Essenziale per mappare i tuoi flussi prima di irrigidire la policy.

Report forensi (RUF)

Ottieni dettagli su ogni singolo fallimento. Utile per diagnosticare problemi specifici (pochi provider li inviano).

Rollout graduale

Sali per tappe DMARCbis: none per osservare, quarantine in modalità test (t=y), quarantine applicato (t=n), poi reject. Minimizza i falsi positivi.

Perché generare un record DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) è il protocollo che completa SPF e DKIM per proteggere il tuo dominio dallo spoofing email e dal phishing. Senza una policy DMARC, chiunque può inviare email fingendo di essere il tuo dominio.

Tre motivi per avere DMARC:

  • Protezione del brand → Impedisci ai truffatori di usare il tuo dominio per phishing (verifica con il Phishing URL Checker)
  • Visibilità completa → Ricevi report su chi invia email dal tuo dominio
  • Migliore deliverability → I provider (Gmail, Microsoft) favoriscono i domini con DMARC

Come usare il generatore in 3 passaggi

Passaggio 1: Inserisci il tuo dominio

Inserisci il tuo dominio organizzativo esattamente come appare nei tuoi indirizzi email (es. captaindns.com). Lo strumento genera automaticamente il nome DNS completo: _dmarc.captaindns.com. Se rileva già un record DMARC, ti indica se aggiungerlo, sostituirlo o lasciarlo invariato.

Passaggio 2: Configura le opzioni

Policy principale (p): Cosa fare con le email che falliscono?

  • none: Osserva senza bloccare (consigliato per iniziare)
  • quarantine: Invia allo spam
  • reject: Blocca completamente

Allineamento (adkim, aspf): Come verificare la corrispondenza del dominio?

  • relaxed (r): Sottodomini accettati (consigliato)
  • strict (s): Corrispondenza esatta richiesta

Report (rua, ruf): Dove ricevere statistiche?

  • Aggiungi mailto:dmarc@tuodominio.com per report aggregati

Passaggio 3: Copia e pubblica

Il generatore produce il record DNS completo. Copialo nella tua interfaccia di gestione DNS:

  • Nome: _dmarc.tuodominio.com
  • Tipo: TXT
  • Valore: Il record generato

Cos'è esattamente DMARC?

DMARC è una policy DNS che indica ai server di posta:

  1. Cosa verificare: SPF o DKIM passano E sono allineati con il dominio visibile?
  2. Cosa fare in caso di fallimento: Osserva (none), spam (quarantine), o blocca (reject)
  3. Dove reportare: Indirizzi email per ricevere statistiche

L'idea: prima vedere, poi bloccare. Osservi le tue sorgenti di invio tramite i report RUA prima di attivare una policy che applica restrizioni.

Esempio di record DMARC:

_dmarc.captaindns.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r"

Decodificato:

  • v=DMARC1: Versione del protocollo (obbligatorio)
  • p=none: Policy = osserva senza bloccare
  • rua=mailto:...: Indirizzo per report aggregati
  • adkim=r: Allineamento DKIM relaxed
  • aspf=r: Allineamento SPF relaxed

Tutti i tag DMARC spiegati

Tag obbligatori

TagValoriDescrizione
vDMARC1Versione del protocollo. Sempre DMARC1.
pnone / quarantine / rejectPolicy per il dominio principale.

Tag opzionali comuni

TagValoriDescrizione
spnone / quarantine / rejectPolicy per sottodomini. Eredita da p se assente.
npnone / quarantine / rejectPolicy per sottodomini inesistenti (DMARCbis).
ruamailto:indirizzoIndirizzi per report aggregati (giornalieri).
rufmailto:indirizzoIndirizzi per report forensi (per fallimento).
adkimr (relaxed) / s (strict)Modalità allineamento DKIM.
aspfr (relaxed) / s (strict)Modalità allineamento SPF.
fo0 / 1 / d / sOpzioni di generazione report forensi.
ty / nModalità test (DMARCbis): t=y non applica la policy ma raccoglie i report.

Rimossi o deprecati in DMARCbis

TagStatoNota
pctRimossoAbolito in DMARCbis. Usa t=y per la modalità test al suo posto.
riRimossoIntervallo dei report abolito in DMARCbis.
rfRimossoFormato dei report forensi abolito in DMARCbis.

Casi d'uso pratici

Caso 1: Nuovo dominio senza storico

Obiettivo: Proteggere un dominio che inizia a inviare email.

Configurazione consigliata:

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Prossimi passi:

  1. Monitora i report per 2-4 settimane
  2. Identifica tutte le sorgenti legittime
  3. Passa a p=quarantine; t=y (modalità test)
  4. Aumenta gradualmente fino a p=reject

Caso 2: un dominio con più servizi di invio (CRM, newsletter, transazionale)

Obiettivo: Proteggere senza interrompere i flussi esistenti.

Configurazione iniziale:

v=DMARC1; p=none; sp=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Diagnosi tramite report RUA:

  • Elenca tutti gli IP/domini che inviano
  • Verifica che ogni sorgente abbia SPF e DKIM configurati
  • Identifica sorgenti non autorizzate (potenziale spoofing)

Rollout graduale:

v=DMARC1; p=quarantine; t=y; rua=mailto:dmarc@captaindns.com

Quando i report non segnalano più sorgenti legittime, rimuovi t=y, poi passa a p=reject.

Caso 3: Dominio che non invia email

Obiettivo: Prevenire qualsiasi uso fraudolento di un dominio "parcheggiato".

Configurazione strict diretta:

v=DMARC1; p=reject; sp=reject; np=reject; adkim=s; aspf=s

Nessuna fase di osservazione necessaria se il dominio non dovrebbe mai inviare email legittime.

Errori comuni da evitare

ErroreProblemaSoluzione
Due record DMARCConflitto, policy ignorataSolo un record per dominio
Dimenticare mailto:Report non inviatirua=mailto:indirizzo@dominio.com
Saltare direttamente a rejectBlocco email legittimeInizia con p=none, poi quarantine
Ignorare i reportNessuna visibilità sui problemiAnalizza RUA settimanalmente
Allineamento strict troppo prestoFallimenti se sottodomini o servizi terziMantieni r (relaxed) fino a inventario completo

Best practice per il deployment (DMARCbis)

Fase 1: Osservazione (2-4 settimane)

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r
  • Raccogli report
  • Identifica tutte le sorgenti legittime
  • Correggi SPF/DKIM per sorgenti non allineate

Fase 2: Quarantena in modalità test

v=DMARC1; p=quarantine; t=y; rua=mailto:dmarc@captaindns.com
  • t=y raccoglie i report senza applicare la policy
  • Quando i report RUA non segnalano più sorgenti legittime, passa alla fase successiva

Fase 3: Quarantena applicata

v=DMARC1; p=quarantine; t=n; rua=mailto:dmarc@captaindns.com
  • Rimuovi la modalità test, la policy viene applicata
  • Monitora i reclami degli utenti

Fase 4: Rifiuto totale (reject)

v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r
  • Protezione massima
  • Opzionalmente passa ad allineamento strict (adkim=s; aspf=s)

FAQ - Domande frequenti

D: Cos'è un record DMARC?

R: DMARC (Domain-based Message Authentication, Reporting and Conformance) è un record DNS TXT che indica ai server di posta come gestire le email che falliscono i controlli SPF e DKIM. Protegge il tuo dominio dallo spoofing e dal phishing.

D: Quale policy DMARC dovrei usare per iniziare?

R: Inizia sempre con p=none. Questa policy non impatta la consegna ma ti invia report. Analizza questi report per 2-4 settimane per identificare tutti i flussi legittimi prima di passare a quarantine poi reject.

D: Qual è la differenza tra RUA e RUF?

R:

  • RUA (Reporting URI for Aggregate): Report aggregati giornalieri con statistiche globali
  • RUF (Reporting URI for Forensic): Report dettagliati per singolo fallimento

RUA è essenziale e supportato da tutti. RUF è opzionale e raramente supportato dai provider.

D: Come funziona l'allineamento DMARC?

R: L'allineamento verifica che il dominio visibile (From:) corrisponda al dominio autenticato da SPF o DKIM:

  • Relaxed (r): mail.captaindns.com si allinea con captaindns.com
  • Strict (s): Corrispondenza esatta richiesta

D: Posso avere più record DMARC?

R: No. È permesso solo un record DMARC per dominio. Record multipli causano errori. Modifica quello esistente invece di aggiungerne uno nuovo.

D: Quanto tempo prima che DMARC sia attivo?

R: Il record è attivo una volta che il DNS si propaga (minuti a 48h). I primi report RUA arrivano entro 24-48h dopo che le email vengono inviate dal tuo dominio.

D: Come ricevo report per un dominio esterno?

R: Se il tuo indirizzo RUA è su un altro dominio, quel dominio deve autorizzarti con:

tuodominio._report._dmarc.dominio-report.com TXT "v=DMARC1"

Preparati per DMARCbis

DMARCbis è il prossimo Proposed Standard IETF che sostituisce il RFC 7489. Introduce nuovi tag (np, t, psd), rimuove i tag obsoleti (pct, rf, ri) e sostituisce la Public Suffix List con un algoritmo tree walk DNS. Verifica la compatibilità del tuo dominio con il DMARCbis Checker o genera un record conforme con lo strumento di migrazione DMARCbis.

Strumenti complementari

StrumentoScopo
DMARC Record CheckVerifica il tuo record DMARC esistente
DMARC ValidatorValidare la sintassi di un record DMARC prima della pubblicazione
DMARCbis CheckerVerifica la compatibilità DMARCbis del tuo record
Migrazione DMARCbisGenera un record conforme a DMARCbis
SPF GeneratorCrea un record SPF valido
DKIM GeneratorCrea le tue chiavi DKIM (RSA/Ed25519)
DKIM Record CheckVerifica la tua firma DKIM
Mail TesterTesta la deliverability delle tue email
Phishing URL CheckerVerifica se un URL è usato in campagne di phishing

Risorse utili