Technical Reference · 2026 Edition

Come Configurare DMARC: Da p=none a p=reject (Guida 2026)

La guida completa e dettagliata per configurare DMARC nel 2026. Passa dal monitoraggio p=none attraverso p=quarantine fino all'applicazione p=reject — il prerequisito essenziale per la visualizzazione del logo BIMI in Gmail e Apple Mail.

Last updated min read

DMARC. Passo dopo passo.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) è il prerequisito imprescindibile per BIMI. Un dominio con p=none non visualizzerà mai un logo in Gmail o Apple Mail, indipendentemente da quanto perfettamente sia configurato il file SVG. Questa guida copre il percorso completo dalla distribuzione iniziale alla piena applicazione.

Prerequisiti

Prima di creare un record DMARC, verifica che i seguenti elementi siano già configurati:

  1. Record SPF — Un record TXT sul dominio apex che specifica quali server di posta sono autorizzati a inviare per conto tuo. Esempio: v=spf1 include:_spf.google.com -all
  2. Record DKIM — Una chiave pubblica pubblicata nel DNS che i server di ricezione utilizzano per verificare le firme delle tue email. Il tuo provider email la genera.
  3. Accesso DNS — Accesso in scrittura alla zona DNS del tuo dominio (Cloudflare, Route 53, GoDaddy o il pannello di controllo del tuo registrar).

DMARC richiede che almeno uno tra SPF o DKIM sia correttamente configurato e allineato con il dominio From: per funzionare.

Passaggio 1: Creare un Record di Monitoraggio (p=none)

Inizia con una policy di solo monitoraggio. Questa registra i fallimenti di autenticazione senza influire sulla consegna delle email.

text
_dmarc.tuodominio.com  IN  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"

Riferimento tag:

| Tag | Obbligatorio | Descrizione | |---|---|---| | v=DMARC1 | Sì | Versione del protocollo. Deve essere il primo. | | p=none | Sì | Policy: solo monitoraggio, nessuna azione intrapresa. | | rua=mailto: | Raccomandato | Indirizzo email per i report aggregati. | | pct=100 | Opzionale | Percentuale di posta soggetta alla policy (predefinito: 100). |

Pubblica questo record e attendi 48-72 ore per la propagazione DNS.

Passaggio 2: Leggere i Report Aggregati

I report aggregati (RUA) arrivano come allegati XML, tipicamente una volta al giorno per ogni sorgente di invio. Mostrano:

  • Quali indirizzi IP hanno inviato email dichiarando il tuo dominio
  • Se SPF e DKIM sono passati o falliti
  • Quanti messaggi sono stati inviati da ciascuna sorgente

Cosa cercare: Qualsiasi servizio di invio legittimo (il tuo ESP, CRM, sistema di ticketing, piattaforma marketing) che stia fallendo l'allineamento SPF o DKIM deve essere corretto prima di passare all'applicazione. Passare a p=reject con fallimenti di allineamento non risolti causerà il blocco delle email legittime.

Sorgenti comuni che richiedono configurazione separata DKIM/SPF: Mailchimp, Salesforce, HubSpot, Zendesk, SendGrid, Google Workspace, Microsoft 365.

Passaggio 3: Passare a p=quarantine

Una volta che tutte le sorgenti di invio legittime superano l'autenticazione, aggiorna la policy per mettere in quarantena i messaggi falliti:

text
_dmarc.tuodominio.com  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"

Inizia con pct=25 per applicare la policy di quarantena solo al 25% dei messaggi falliti. Monitora per una o due settimane. Se nessuna email legittima viene messa in quarantena, aumenta a pct=100.

Passaggio 4: Passare a p=reject

Applicazione completa. I messaggi non autenticati vengono rifiutati immediatamente e non vengono mai recapitati.

text
_dmarc.tuodominio.com  IN  TXT  "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"

Questo è il requisito minimo per BIMI. Gmail e Apple Mail non elaboreranno il tuo record BIMI a meno che il tuo dominio non abbia p=quarantine o p=reject con pct=100. Una policy p=none è invisibile a BIMI — il logo non apparirà mai, indipendentemente da quanto correttamente sia configurato il resto.

Perché p=none Blocca BIMI

La specifica BIMI richiede che i provider di caselle di posta verifichino che il dominio mittente abbia una policy DMARC applicata prima di visualizzare il logo. La motivazione: un logo è un segnale di fiducia. Visualizzare un logo per un dominio che non ha applicato controlli anti-spoofing permetterebbe agli attaccanti di mostrare loghi verificati su email di phishing. p=none non fornisce alcuna applicazione, quindi i provider rifiutano di onorare il record BIMI.

Allineamento: Il Dettaglio che la Maggior Parte delle Guide Trascura

DMARC passa solo quando il dominio autenticato è allineato con il dominio dell'intestazione From:. Esistono due modalità di allineamento:

  • Relaxed (predefinito): Il dominio organizzativo deve corrispondere. mail.esempio.com si allinea con esempio.com.
  • Strict: Il dominio esatto deve corrispondere. mail.esempio.com non si allinea con esempio.com.

Per BIMI, utilizza l'allineamento relaxed (adkim=r; aspf=r) a meno che tu non abbia una ragione specifica per lo strict. L'allineamento strict causa fallimenti per i sottodomini e i servizi di invio di terze parti.

Riferimento Completo del Record

text
_dmarc.tuodominio.com  IN  TXT  "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; pct=100"

| Tag | Valore | Significato | |---|---|---| | p=reject | Reject | Blocca email non autenticate | | sp=reject | Reject | Applica la stessa policy ai sottodomini | | adkim=s | Strict | L'allineamento DKIM deve essere esatto | | aspf=s | Strict | L'allineamento SPF deve essere esatto | | rua= | Email | Destinazione report aggregati | | pct=100 | 100% | Applica a tutta la posta |

Prossimi Passaggi

Una volta che il tuo dominio raggiunge p=reject:

  1. Genera il tuo SVG BIMI — Utilizza makeBIMI™ per produrre un file logo conforme a W3C SVG Tiny P/S. Gratuito, nessuna registrazione richiesta.
  2. Esegui un audit DMARC — Lo strumento makeBIMI Domain Audit verifica in tempo reale lo stato dei tuoi record DMARC, SPF e BIMI.
  3. Ottieni un certificato — Per la visualizzazione del logo in Gmail, è richiesto un VMC o CMC. veriBIMI℠ gestisce l'intero processo di certificazione, inclusa la gestione dell'applicazione DMARC, la preparazione dell'SVG e la richiesta alla CA.