Vai al contenuto principale

Strumento gratuito di monitoring DMARC

Riceva, analizzi e agisca sui Suoi report DMARC aggregati

Pubblica un record DMARC, ma sa davvero cosa sta succedendo? Servizi legittimi falliscono l'allineamento SPF o DKIM. Terze parti inviano posta a nome del Suo dominio senza il Suo consenso. Senza monitoring DMARC, naviga alla cieca. CaptainDNS riceve i Suoi report DMARC aggregati automaticamente, analizza i risultati di autenticazione SPF e DKIM e Le mostra esattamente chi invia posta per il Suo dominio, e se dovrebbe farlo.

Accedi per gestire i tuoi domini di monitoraggio DMARC

Accedi per gestire i tuoi domini di monitoraggio DMARC
Assistente di configurazione intelligente

L'assistente rileva il Suo record DMARC attuale: assente, esistente con rua= o esistente senza. Genera il record TXT esatto da creare o aggiornare, preservando la Sua politica (reject, quarantine, none).

Verifica del dominio condivisa

Un unico record TXT dimostra la proprietà del dominio per tutti i servizi CaptainDNS: monitoring DMARC, hosting MTA-STS, monitoring TLS-RPT e hosting BIMI.

Monitoraggio della conformità SPF/DKIM

Segua i punteggi di conformità DMARC, le percentuali di successo SPF e DKIM, l'allineamento degli identificatori e le disposizioni applicate per fonte. Identifichi istantaneamente i mittenti legittimi mal configurati.

Ingestione di report multi-provider

Riceva report DMARC aggregati da Google, Microsoft, Yahoo, Apple e da qualsiasi provider di posta conforme a DMARC tramite HTTPS ed email. Nessuna restrizione sulle fonti di reporting.

Gestione multidominio

Monitori i report DMARC di fino a 5 domini da un'unica dashboard. Ogni dominio dispone del proprio collettore di report verificato e delle proprie metriche di conformità.

Perché monitorare i report DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) è lo standard di autenticazione email che unifica SPF e DKIM per proteggere il Suo dominio dallo spoofing e dal phishing. Ma pubblicare un record DMARC è solo il primo passo. Senza un monitoraggio continuo, non sa:

  • Quali fonti inviano posta a nome del Suo dominio
  • Se i Suoi flussi di posta legittimi superano i controlli SPF e DKIM con il corretto allineamento
  • Se terze parti non autorizzate sfruttano il Suo dominio per phishing o spam

Problemi comuni rilevati tramite il monitoring DMARC:

  • Mittenti di terze parti mal configurati: un CRM, una piattaforma di newsletter o un sistema di fatturazione invia posta per il Suo dominio senza il corretto allineamento SPF o DKIM. Le Sue email finiscono nello spam o vengono rifiutate.
  • Spoofing del dominio e phishing: attori malintenzionati falsificano il Suo indirizzo From per inviare email di phishing. Senza monitoring, non ha alcuna visibilità su questi attacchi.
  • Migrazioni email incomplete: dopo un cambio di provider di posta, il vecchio servizio continua a inviare posta non allineata, facendo calare il Suo tasso di conformità DMARC.
  • Servizi email Shadow IT: alcuni reparti utilizzano servizi di posta non autorizzati. I report DMARC rivelano questi mittenti sconosciuti.

Come funziona l'autenticazione DMARC

DMARC si basa su due protocolli sottostanti: SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Ciascuno autentica un aspetto diverso dell'email:

ProtocolloCosa verificaCome funziona
SPFIP del mittente della bustaIl server di ricezione verifica se l'IP del mittente è presente nel record DNS SPF del dominio
DKIMIntegrità del messaggioUna firma crittografica nell'intestazione dell'email viene verificata rispetto a una chiave pubblica nel DNS
DMARCAllineamento degli identificatoriVerifica che almeno uno tra SPF o DKIM passi e sia allineato al dominio dell'intestazione From

Il concetto chiave è l'allineamento. SPF e DKIM possono entrambi passare, ma se nessuno dei due è allineato al dominio nell'intestazione From, DMARC fallisce comunque. Questa è la causa più comune di fallimenti di autenticazione, e il motivo principale per cui il monitoring è importante.

DMARC definisce inoltre cosa devono fare i server di ricezione quando l'autenticazione fallisce: nulla (p=none), mettere in quarantena il messaggio (p=quarantine) o rifiutarlo (p=reject).

Come configurare il monitoraggio DMARC in 3 passaggi

Passaggio 1: Aggiunga il Suo dominio e verifichi la proprietà

Acceda e registri il dominio che desidera monitorare. Aggiunga il record TXT di verifica CaptainDNS al Suo DNS. Questo sistema di verifica è condiviso tra tutti i servizi CaptainDNS (hosting MTA-STS, monitoring TLS-RPT, hosting BIMI).

Passaggio 2: Configurare il record DNS DMARC

L'assistente di configurazione analizza lo stato DNS attuale e propone il record esatto da pubblicare:

  • Nessun record DMARC esistente: viene generato un record completo con p=none e il nostro indirizzo rua=
  • Record DMARC esistente: la Sua politica, le impostazioni di allineamento e gli indirizzi rua= esistenti vengono preservati; il nostro indirizzo viene aggiunto automaticamente
  • Record esistente non valido: il problema viene segnalato e viene proposta una sostituzione pulita

Basta copiare l'host (_dmarc.yourdomain.com) e il valore, poi incollarli nel Suo provider DNS.

Passaggio 3: I report vengono ricevuti e analizzati automaticamente

I provider di posta iniziano a inviare i report aggregati entro 24-48 ore. CaptainDNS li riceve, decomprime i file XML, analizza i risultati di autenticazione e mostra i risultati nella Sua dashboard: punteggi di conformità, IP sorgente, percentuali di successo/fallimento e disposizioni applicate.

Comprendere i report aggregati DMARC

I report aggregati DMARC (rua) sono file XML inviati periodicamente (generalmente ogni 24 ore) dai provider di posta come Google, Microsoft, Yahoo e Apple. Descrivono i risultati di autenticazione per ogni fonte che ha inviato posta utilizzando il Suo dominio durante il periodo di reporting.

RUA vs RUF: report aggregati vs report di errore

DMARC definisce due tipi di report:

Tipo di reportTagFrequenzaContenutoSupporto dei provider
Aggregato (RUA)rua=Giornaliero (generalmente ogni 24h)Dati di autenticazione sintetizzati per IP sorgenteAmpiamente supportato da tutti i principali provider
Forense (RUF)ruf=Per ogni erroreDettagli dei singoli messaggi incluse le intestazioniMolto limitato (la maggior parte dei provider non invia report RUF per motivi di privacy)

CaptainDNS si concentra sui report aggregati (RUA), che forniscono i dati necessari per il monitoraggio della conformità e l'identificazione delle fonti. I report forensi sono raramente disponibili nella pratica.

Cosa contiene un report aggregato DMARC?

CampoDescrizione
Organizzazione mittenteIl provider di posta che ha generato il report (Google, Microsoft, Yahoo, ecc.)
Intervallo di dateTimestamp di inizio e fine della finestra di reporting
Politica pubblicataLa Sua politica DMARC (none, quarantine, reject) e le percentuali applicate
Risultati per IP sorgentePer ogni IP mittente: numero di messaggi, risultato SPF, risultato DKIM, stato dell'allineamento, disposizione applicata
Identificatori di intestazioneDominio dell'intestazione From e domini utilizzati per la valutazione SPF e DKIM

Esempio di report aggregato DMARC

Ecco un estratto semplificato di un report aggregato DMARC in formato XML:

<?xml version="1.0" encoding="UTF-8"?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>
      <begin>1710201600</begin>
      <end>1710288000</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>example.com</domain>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>203.0.113.1</source_ip>
      <count>1547</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <row>
      <source_ip>198.51.100.42</source_ip>
      <count>23</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

La prima riga mostra 1.547 messaggi da una fonte legittima che superano entrambi i controlli. La seconda riga rivela 23 messaggi da un IP sconosciuto che falliscono sia SPF che DKIM, un potenziale tentativo di spoofing. CaptainDNS analizza automaticamente questi report e presenta i dati nella Sua dashboard.

Riferimento dei tag del record DMARC

Un record TXT DMARC viene pubblicato su _dmarc.yourdomain.com. Ecco i tag disponibili:

TagObbligatorioEsempioDescrizione
vv=DMARC1Versione del protocollo (sempre DMARC1)
pp=nonePolitica per il dominio: none, quarantine o reject
spNosp=rejectPolitica per i sottodomini (eredita da p se non impostato)
ruaNorua=mailto:reports@example.comDove inviare i report aggregati
rufNoruf=mailto:forensics@example.comDove inviare i report di errore
adkimNoadkim=sModalità di allineamento DKIM: r (rilassato, predefinito) o s (rigoroso)
aspfNoaspf=rModalità di allineamento SPF: r (rilassato, predefinito) o s (rigoroso)
pctNopct=50Percentuale di messaggi soggetti alla politica (predefinito 100)
foNofo=1Opzioni dei report forensi: 0 (predefinito), 1, d, s
riNori=86400Intervallo di reporting in secondi (predefinito 86400 = 24h)

Utilizzi il nostro Generatore DMARC per creare un record valido, o il Verificatore di sintassi DMARC per validare un record esistente.

Dal monitoring all'applicazione: il percorso verso p=reject

DMARC è più efficace con p=reject, dove i messaggi falsificati vengono scartati completamente. Ma passare direttamente a reject senza monitoring è pericoloso: i mittenti legittimi con autenticazione mal configurata vedranno la loro posta bloccata.

Progressione consigliata:

  1. p=none (solo monitoring): raccolga report per 2-4 settimane. Identifichi tutte le fonti legittime e corregga eventuali problemi di allineamento SPF/DKIM. Obiettivo: tasso di conformità superiore al 95%.

  2. p=quarantine (applicazione parziale): i messaggi che falliscono vengono inviati allo spam invece che alla casella di posta. Utilizzi pct=25 inizialmente, poi aumenti al 50% e al 100% nell'arco di 2-4 settimane. Monitori eventuali messaggi legittimi messi in quarantena.

  3. p=reject (applicazione completa): i messaggi che falliscono vengono scartati. Lo spoofing del dominio è completamente bloccato. Inizi con pct=25, poi aumenti al 100%.

Tempistiche: La maggior parte delle organizzazioni completa questo percorso in 4-8 settimane. Non abbia fretta. Ogni fase deve confermare che nessun flusso di posta legittimo è impattato.

Raggiungere p=reject sblocca anche BIMI (Brand Indicators for Message Identification), che mostra il logo del Suo marchio accanto alle Sue email nelle caselle di posta compatibili.

Requisiti DMARC di Google e Yahoo

Da febbraio 2024, Google e Yahoo applicano requisiti di autenticazione email più rigorosi per i mittenti di massa (5.000+ messaggi al giorno verso indirizzi Gmail o Yahoo):

  • Record DMARC obbligatorio: i mittenti di massa devono pubblicare un record DMARC con almeno p=none
  • SPF e DKIM obbligatori: entrambi i protocolli devono essere configurati, non solo uno
  • Allineamento obbligatorio: il dominio dell'intestazione From deve essere allineato con SPF o DKIM
  • Cancellazione con un clic: le email di marketing devono supportare la cancellazione con un clic secondo la RFC 8058

Il monitoring DMARC è essenziale per soddisfare questi requisiti. Senza di esso, non è possibile verificare che le fonti di posta superino i controlli di autenticazione o mantenere il tasso di conformità richiesto. I mittenti non conformi rischiano di vedere la propria posta rallentata o rifiutata da Google e Yahoo.

Fallimenti DMARC comuni e come risolverli

FallimentoCausaSoluzione
L'allineamento SPF fallisceIl dominio del mittente della busta differisce dal dominio dell'intestazione FromConfiguri il servizio di terze parti per utilizzare il Suo dominio come mittente della busta, oppure aggiunga i suoi IP di invio al Suo record SPF
L'allineamento DKIM fallisceLa firma DKIM utilizza un dominio diverso dall'intestazione FromConfiguri la firma DKIM con il Suo dominio (non il dominio predefinito del provider)
SPF supera il limite di lookup DNSIl record SPF ha più di 10 lookup DNSSemplifichi il Suo record SPF o rimuova gli include inutilizzati. Utilizzi il nostro Verificatore di sintassi SPF
Il mittente di terze parti fallisce entrambiIl servizio invia a Suo nome senza SPF né DKIMAggiunga gli IP del servizio al Suo record SPF e configuri la firma DKIM
Spoofing dei sottodominiGli attaccanti utilizzano sottodomini non protettiAggiunga sp=reject al Suo record DMARC per applicare la politica reject a tutti i sottodomini
La posta inoltrata fallisceL'inoltro della posta rompe SPF; DKIM sopravvive se il corpo non è modificatoSi assicuri che DKIM sia configurato, sopravvive all'inoltro. Consideri il supporto ARC (Authenticated Received Chain)

Casi d'uso concreti

Caso 1: Identificare un servizio di terze parti mal configurato

Sintomo: Il tasso di conformità DMARC scende dal 98% al 72% in una settimana.

Diagnosi: La dashboard mostra una nuova IP sorgente che invia un volume significativo senza allineamento DKIM. Si tratta del nuovo CRM marketing, configurato senza firma DKIM per il Suo dominio.

Azione: Configurare la firma DKIM nel CRM. Il tasso di conformità si riprende nei report successivi.

Caso 2: Rilevare lo spoofing del dominio

Sintomo: IP sorgenti sconosciute appaiono nei report, inviando posta a nome del Suo dominio con fallimento totale di SPF e DKIM.

Diagnosi: I report DMARC rivelano tentativi di phishing da server in giurisdizioni sospette. La Sua politica p=none lascia passare questi messaggi.

Azione: Passare progressivamente la politica da p=none a p=quarantine poi a p=reject. I report successivi confermano che i messaggi fraudolenti vengono rifiutati.

Caso 3: Soddisfare i requisiti di Google per i mittenti di massa

Sintomo: Gmail inizia a differire le Sue email di marketing con errori temporanei 4xx. I tassi di consegna calano.

Diagnosi: Il monitoring DMARC mostra che la Sua piattaforma di newsletter invia posta senza allineamento DKIM al dominio dell'intestazione From. La politica di Google per i mittenti di massa richiede la conformità dell'autenticazione.

Azione: Configurare la firma DKIM per il Suo dominio nella piattaforma di newsletter e verificare l'allineamento tramite i report DMARC. I tassi di consegna tornano alla normalità in pochi giorni.

FAQ - Domande frequenti

D: Cos'è il monitoring DMARC?

R: Il monitoring DMARC consiste nel ricevere e analizzare i report aggregati (rua) inviati dai provider di posta. Questi report mostrano quali fonti inviano posta a nome del Suo dominio e se superano i controlli SPF e DKIM con il corretto allineamento.

D: Qual è la differenza tra report aggregati DMARC (RUA) e report di errore (RUF)?

R: I report aggregati (rua) vengono inviati quotidianamente e contengono dati di autenticazione sintetizzati per IP sorgente. I report di errore (ruf) vengono inviati per singoli fallimenti e contengono maggiori dettagli, incluse le intestazioni dei messaggi. La maggior parte dei provider invia solo report aggregati. CaptainDNS si concentra sull'analisi dei report aggregati.

D: Come funziona DMARC con SPF e DKIM?

R: DMARC si basa su SPF e DKIM aggiungendo l'allineamento degli identificatori. SPF valida l'IP del mittente della busta, DKIM valida una firma crittografica e DMARC verifica che almeno uno dei due passi con allineamento al dominio dell'intestazione From. Il monitoring rivela quando l'allineamento fallisce.

D: Con quale politica DMARC dovrei iniziare?

R: Inizi con p=none per monitorare senza influire sulla consegna della posta. Una volta che il Suo tasso di conformità DMARC è costantemente superiore al 95%, passi a p=quarantine. Dopo aver confermato che nessuna posta legittima è impattata, imposti p=reject per una protezione completa dallo spoofing.

D: Come configuro il monitoring DMARC?

R: Aggiunga il Suo dominio in CaptainDNS, verifichi la proprietà tramite il record TXT, quindi segua l'assistente di configurazione che rileva il Suo record DMARC attuale e propone l'aggiornamento esatto necessario. I report iniziano ad arrivare entro 24-48 ore.

D: Il monitoring DMARC è gratuito con CaptainDNS?

R: Sì, completamente gratuito per un massimo di 5 domini. Nessun costo nascosto, nessun periodo di prova. Ogni dominio dovrebbe poter monitorare i propri report DMARC aggregati indipendentemente dal budget.

D: Google e Yahoo richiedono DMARC?

R: Sì. Da febbraio 2024, Google e Yahoo richiedono ai mittenti di massa (5.000+ messaggi al giorno) di pubblicare un record DMARC. Il monitoring aiuta a soddisfare e mantenere questi requisiti monitorando la conformità dell'autenticazione.

D: Cosa succede se imposto la mia politica DMARC su reject?

R: Con p=reject, i server di ricezione scartano i messaggi che falliscono sia l'allineamento SPF che DKIM. Questo previene completamente lo spoofing del dominio, ma può bloccare la posta legittima se i mittenti di terze parti non sono configurati correttamente. Monitori sempre prima con p=none.

D: Quanto tempo ci vuole per ricevere i report DMARC?

R: La maggior parte dei provider di posta invia report aggregati ogni 24 ore. Dopo aver pubblicato il Suo indirizzo rua=, si aspetti i primi report entro 24-48 ore a seconda del Suo volume di posta.

D: Qual è il rapporto tra monitoring DMARC e record DMARC?

R: Il record DMARC definisce la Sua politica di autenticazione (none, quarantine, reject) e il tag rua= specifica dove inviare i report. Il monitoring DMARC analizza quei report per mostrarLe chi utilizza il Suo dominio e se l'autenticazione funziona correttamente.

Strumenti complementari

StrumentoUtilità
Verifica del record DMARCVerificare il record DMARC DNS del Suo dominio
Generatore DMARCGenerare un record DNS DMARC
Verifica della sintassi DMARCValidare la sintassi di un record DMARC
Verifica del record SPFVerificare il Suo record DNS SPF
Verifica del record DKIMVerificare il Suo record DNS DKIM
Hosting MTA-STSOspitare gratuitamente la Sua politica MTA-STS
Monitoring TLS-RPTMonitorare i report SMTP TLS
Hosting BIMIOspitare gratuitamente il Suo logo e certificato BIMI

Risorse utili