Perché ispezionare il tuo record DMARC?
Un record DMARC mal configurato nel DNS può:
- Essere ignorato dai server destinatari (Gmail, Outlook, Yahoo)
- Bloccare le tue email legittime se la policy è troppo rigorosa troppo presto
- Lasciare il tuo dominio vulnerabile a spoofing e phishing se la policy è assente
L'ispettore DMARC (DMARC record checker, DMARC lookup) interroga il DNS in tempo reale per mostrare esattamente ciò che vedono i server destinatari. Rilevi errori di pubblicazione prima che impattino la tua deliverability.
Casi d'uso comuni:
- Dopo la pubblicazione → Verificare che il record sia correttamente propagato
- Problemi di deliverability → Diagnosticare una configurazione DMARC difettosa
- Audit di sicurezza → Validare la protezione contro lo spoofing di un dominio
Come usare l'ispettore DMARC in 3 passi
Passo 1: Inserire il dominio da analizzare
Inserisci il dominio esattamente come appare nei tuoi indirizzi email:
captaindns.com(dominio principale)marketing.captaindns.com(sottodominio se invii da un sottodominio)
Lo strumento interroga automaticamente _dmarc.dominio e recupera il record TXT pubblicato.
Passo 2: Analizzare i risultati
L'ispettore mostra:
| Elemento | Descrizione |
|---|---|
| Policy (p=) | none, quarantine o reject - gestione delle email non autenticate |
| Policy sottodomini (sp=) | Policy specifica per sottodomini se diversa |
| Allineamento DKIM (adkim=) | strict (s) o relaxed (r) - corrispondenza dominio DKIM/From |
| Allineamento SPF (aspf=) | strict (s) o relaxed (r) - corrispondenza dominio SPF/From |
| Percentuale (pct=) | Quota di traffico soggetta alla policy |
| Report aggregati (rua=) | Destinazioni dei report XML giornalieri |
| Report forensi (ruf=) | Destinazioni dei report per messaggio |
Passo 3: Correggere le segnalazioni
I risultati sono classificati per livello di gravità:
- ❌ Errore → Problema bloccante, il record viene ignorato
- ⚠️ Avviso → Funzionale ma miglioramento consigliato
- ✅ Valido → Configurazione corretta
Correggi gli errori nel tuo DNS, attendi la propagazione, poi esegui nuovamente l'ispezione.
Cos'è DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) è un protocollo che:
- Collega SPF e DKIM al dominio visibile nell'indirizzo From
- Definisce una policy di gestione delle email non autenticate
- Genera report per tracciare l'autenticazione delle tue email
Il record DMARC viene pubblicato come record TXT su _dmarc.tuodominio.com.
Esempio di record DMARC:
v=DMARC1; p=quarantine; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r; pct=100
Questo record indica:
- Mettere in quarantena (spam) le email non autenticate
- Inviare i report a dmarc@captaindns.com
- Usare allineamento relaxed per DKIM e SPF
- Applicare la policy al 100% dei messaggi
Cosa verifica l'ispettore DMARC
Risoluzione DNS
| Verifica | Errore se... |
|---|---|
| Record TXT esiste | Nessun TXT su _dmarc.dominio |
| Record DMARC presente | TXT esiste ma non inizia con v=DMARC1 |
| Record unico | Record DMARC multipli (conflitto) |
| Nessun CNAME | _dmarc punta a un CNAME (vietato da RFC) |
Tag obbligatori
| Tag | Verifica |
|---|---|
| v= | Deve essere DMARC1 in prima posizione |
| p= | Deve essere none, quarantine o reject |
Policy e allineamento
| Tag | Valori accettati | Verifica |
|---|---|---|
| p | none, quarantine, reject | Policy coerente con il livello di maturità |
| sp | none, quarantine, reject | Se presente, policy sottodomini valida |
| adkim | r (relaxed), s (strict) | Modalità allineamento DKIM valida |
| aspf | r (relaxed), s (strict) | Modalità allineamento SPF valida |
| pct | 1-100 | Percentuale entro i limiti |
Destinazioni report
| Tag | Verifica |
|---|---|
| rua | Formato mailto: valido, dominio esterno autorizzato |
| ruf | Formato mailto: valido, dominio esterno autorizzato |
Autorizzazione esterna: Se rua o ruf punta a un dominio diverso (es: rua=mailto:reports@altrodominio.com), il dominio destinatario deve pubblicare _report._dmarc.tuodominio.com per autorizzare la ricezione.
Diagnosi comuni e soluzioni
DMARC_NOT_FOUND - Record assente
Causa: Non esiste alcun record TXT su _dmarc.tuodominio.com
Soluzione:
- Crea un record TXT su
_dmarc.tuodominio.com - Contenuto minimo:
v=DMARC1; p=none; rua=mailto:dmarc@tuodominio.com - Pubblica e attendi la propagazione DNS
DMARC_MULTIPLE_RECORDS - Record multipli
Causa: Esiste più di un record TXT DMARC su _dmarc.tuodominio.com
Soluzione:
- Identifica tutti i record DMARC nel tuo DNS
- Conserva solo quello che desideri applicare
- Elimina i duplicati
MISSING_POLICY - Tag p= assente
Causa: Il record contiene v=DMARC1 ma non ha il tag p=
Soluzione: Aggiungi una policy: v=DMARC1; p=none; ...
Progressione verso una policy DMARC rigorosa
Fase 1: Osservazione (p=none)
v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com
- Nessun impatto sulla deliverability
- Raccogli report per 2-4 settimane
- Identifica tutte le fonti di invio legittime
- Configura SPF e DKIM per ogni fonte
Fase 2: Quarantena progressiva
v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@captaindns.com
- Inizia con il 10% del traffico
- Monitora i report per rilevare falsi positivi
- Aumenta gradualmente: 10% → 25% → 50% → 100%
Fase 3: Rifiuto (protezione massima)
v=DMARC1; p=reject; rua=mailto:dmarc@captaindns.com
- Le email non autenticate vengono rifiutate
- Protezione completa contro lo spoofing
- Mantieni il monitoraggio dei report
FAQ - Domande frequenti
D: Qual è la differenza tra ispettore DMARC e validatore di sintassi?
R: L'ispettore DMARC interroga il DNS per verificare il record pubblicato sul tuo dominio. Il validatore di sintassi analizza un record che incolli prima di pubblicarlo. Workflow consigliato: validatore → pubblicazione → ispettore.
D: Cosa significa "record DMARC non trovato"?
R: Non esiste alcun record TXT su _dmarc.tuodominio.com. Crea un record TXT con almeno:
v=DMARC1; p=none; rua=mailto:reports@tuodominio.com
D: Perché l'ispettore rileva più record DMARC?
R: La specifica RFC 7489 richiede un solo record DMARC per dominio. Record multipli creano un conflitto: i server destinatari ignorano tutti i record. Elimina i duplicati immediatamente.
D: Quale policy DMARC scegliere?
R: Progressione consigliata:
- p=none → Osservare senza impatto (minimo 2-4 settimane)
- p=quarantine → Contrassegnare come spam (aumentare pct gradualmente)
- p=reject → Rifiutare email non autenticate
Non passare mai direttamente a p=reject senza analisi dei report.
D: Quanto tempo per vedere le modifiche DMARC?
R: La propagazione DNS dipende dal TTL (Time To Live) del record:
- TTL 3600 (1h) → 1-4 ore
- TTL 86400 (24h) → 24-48 ore
Riduci il TTL prima della modifica per accelerare le propagazioni future.
D: L'ispettore verifica anche SPF e DKIM?
R: No, l'ispettore DMARC si concentra sul record _dmarc. Per una verifica completa dell'autenticazione email:
- Ispettore SPF → Record SPF
- Ispettore DKIM → Chiave pubblica DKIM
- Tester email → Test completo in condizioni reali
Strumenti complementari
| Strumento | Utilità |
|---|---|
| Validatore sintassi DMARC | Validare la sintassi PRIMA della pubblicazione DNS |
| Generatore DMARC | Creare un record DMARC conforme alle specifiche |
| Ispettore SPF | Verificare il record SPF del dominio |
| Ispettore DKIM | Verificare la chiave pubblica DKIM |
| Tester email | Testare l'autenticazione completa con un'email reale |
| Propagazione DNS | Verificare la propagazione mondiale del record |
Risorse utili
- RFC 7489 - Domain-based Message Authentication, Reporting and Conformance (DMARC) (specifica ufficiale)
- Google - Configurare DMARC (guida Gmail/Workspace)
- Microsoft - DMARC in Microsoft 365 (guida Outlook/M365)
- dmarc.org - Overview (documentazione del consorzio DMARC)