Definizione
DMARC (Domain-based Message Authentication, Reporting, and Conformance) è un meccanismo scalabile di autenticazione email che permette al proprietario di un dominio di pubblicare una policy leggibile dalle macchine nel DNS, dichiarando come i server di posta riceventi devono comportarsi quando un messaggio in arrivo fallisce i controlli di allineamento SPF o DKIM, e abilitando quei server a inviare report strutturati al proprietario. I tre valori di policy DMARC — none, quarantine e reject — danno ai proprietari un controllo graduale su come l’infrastruttura ricevente globale tratti la posta non autenticata che pretende di provenire dal loro dominio.
DMARC è stato sviluppato in modo collaborativo da un gruppo di partecipanti del settore tra cui PayPal, Google, Microsoft, Yahoo, ReturnPath e altri stakeholder dell’ecosistema email, e pubblicato per la prima volta come IETF RFC 7489 a marzo 2015. La specifica è mantenuta dal gruppo di lavoro DMARC.org. Estende e coordina due standard di autenticazione precedenti: SPF (RFC 7208) e DKIM (RFC 6376), che usa come segnali in input senza sostituirli.
Come funziona
Una policy DMARC si pubblica come record DNS TXT in _dmarc.<dominio>. Un record rappresentativo è: v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s. I tag chiave sono:
v=DMARC1— identificatore di versionep=— policy:none(solo monitoraggio),quarantine(consegna in spam/junk) oreject(scarta del tutto il messaggio)rua=— URI di destinazione per i report aggregati; riceve riassunti XML giornalieri dei risultati di autenticazione dai mailbox provider partecipantiruf=— URI di destinazione per i report forensi; riceve report a livello di messaggio per i singoli fallimentipct=— percentuale di messaggi a cui si applica la policy (consente un rollout graduale)adkim=easpf=— modalità di allineamento:s(strict, richiede match esatto del dominio) or(relaxed, consente match di sottodominio)
L’innovazione critica introdotta da DMARC è l’allineamento dell’identificatore. Un pass SPF o DKIM è considerato conforme a DMARC solo se il dominio autenticato si allinea con il dominio dell’intestazione RFC5322.From — l’indirizzo “From:” che gli utenti email vedono. Questo chiude la falla che SPF e DKIM, operando in modo indipendente, lasciavano: un messaggio può superare SPF su un dominio diverso (il mittente di busta) e DKIM per un dominio firmatario di terze parti, ed essere comunque fraudolento se l’intestazione From mostra un altro dominio. DMARC richiede che almeno uno tra SPF e DKIM produca un pass allineato.
I report aggregati (RUA) vengono consegnati come file XML compressi, di solito entro 24 ore dalla fine del periodo di reporting, dai mailbox provider tra cui Google (Gmail), Microsoft (Outlook/Exchange Online Protection), Yahoo Mail, Apple iCloud Mail, Comcast e altri. Contengono conteggi per IP sorgente di messaggi, risultati SPF, risultati DKIM e disposizione DMARC. Strumenti come DMARCIAN, Valimail, Postmark DMARC Digests e Google Postmaster Tools forniscono dashboard che parsano e visualizzano questi report.
Dove lo incontri
DMARC si incontra dove avvengono invii email ad alto volume o ad alto rischio. Da febbraio 2024, sia Google che Yahoo richiedono ai mittenti di più di 5.000 messaggi al giorno verso Gmail o Yahoo Mail di avere un record DMARC pubblicato con almeno p=none — un cambio di policy di settore significativo che ha reso DMARC di fatto obbligatorio per i bulk sender. Microsoft ha annunciato requisiti simili per le caselle consumer Outlook.com nel 2025.
Per le piattaforme di concorsi che inviano email di conferma su larga scala, DMARC svolge due ruoli. Primo, protegge la reputazione del dominio dichiarando ai server riceventi di rifiutare i messaggi falsificati — impedendo a terzi di spoofare l’indirizzo From della piattaforma in campagne di phishing, cosa che danneggerebbe la deliverability del dominio. Secondo, i report aggregati DMARC forniscono un canale di monitoraggio operativo: il proprietario può vedere, su tutti i mailbox provider partecipanti, quale percentuale dei messaggi in uscita supera SPF e DKIM, e individuare configurazioni errate dell’infrastruttura prima che causino fallimenti di massa nelle email di conferma.
I provider email tra cui SendGrid, Mailgun, Amazon SES, Postmark e SparkPost pubblicano linee guida per configurare DMARC insieme alla propria infrastruttura di invio. Strumenti diagnostici DNS come MXToolbox DMARC Lookup, DMARC Inspector di DMARCIAN e il record checker di EasyDMARC permettono di validare le policy pubblicate.
Esempi pratici
Una società di concorsi inizia a inviare email di conferma usando un nuovo sottodominio confirm.votes.example.com. Il dominio padre votes.example.com ha p=reject nel record DMARC. Poiché i record SPF e DKIM del nuovo sottodominio non sono ancora configurati, le email di conferma falliscono l’allineamento DMARC e vengono rifiutate da Gmail. L’amministratore diagnostica il problema dai report aggregati che mostrano il 100% di fallimento DMARC sul sottodominio, aggiunge i record DNS appropriati di SPF include e selettore DKIM, e durante il rollout reimposta temporaneamente la policy di sottodominio (sp=none).
Un brand gestisce un concorso fotografico con premi totali da 50.000 dollari. Un truffatore tenta di inviare email di phishing usando il dominio del concorso come indirizzo From, indirizzando i votanti a una pagina di conferma fasulla per rubare le credenziali. Poiché la policy DMARC del dominio è p=reject, Gmail, Outlook e Yahoo Mail scartano i messaggi fraudolenti prima della consegna, proteggendo sia i partecipanti sia la reputazione del brand.
Concetti correlati
DMARC dipende sia da SPF Record sia da DKIM come input di autenticazione — un pass DMARC richiede che almeno uno dei due si allinei al dominio dell’intestazione From. Per le operazioni di concorsi, l’effetto combinato di SPF, DKIM e DMARC sull’inbox placement è il principale fattore tecnico che determina se i messaggi di Email Confirmation Vote raggiungeranno l’inbox dei votanti. Lo standard BIMI, che permette di mostrare il logo del brand nei client di posta come indicatore di fiducia, richiede una policy DMARC p=quarantine o p=reject come prerequisito.
