Autenticazione email
Analizzatore DMARC
Ispeziona record DMARC, policy, allineamento, report e avvisi.
Come usare lo strumento
- Inserisci il dominio mittente visibile nell’intestazione From, ad esempio example.com, senza protocollo, percorso o prefisso di casella. DN01 normalizza il nome, rifiuta host malformati o ristretti e usa il dominio registrabile come obiettivo della query. Se un sottodominio invia con infrastruttura propria, esegui un controllo separato: la policy DMARC si pubblica sul dominio organizzativo visibile ai destinatari.
- DN01 esegue un lookup DNS TXT live su `_dmarc.<dominio>` con timeout resolver di cinque secondi e registra la durata. Il backend seleziona la prima stringa TXT che inizia con `v=DMARC1`, divide i tag separati da punto e virgola e mappa `p`, `sp`, `pct`, `rua`, `ruf`, `adkim` e `aspf` in campi strutturati. Record assente o errore DNS viene restituito come diagnostica, non come errore HTTP, così ottieni sempre un report leggibile.
- Rivedi la policy analizzata (`none`, `quarantine` o `reject`), policy dei sottodomini, percentuale `pct`, URI dei report aggregati `rua`, report forensi `ruf`, modalità di allineamento DKIM e SPF, inventario tag e il TXT grezzo come lo vedono i resolver. Osserva `found` e `valid`: un record può esistere ma essere invalido se mancano tag obbligatori, la policy è sconosciuta, `pct` è fuori range o ci sono nomi tag duplicati.
- Usa errori, avvisi e raccomandazioni per decidere la prossima modifica DNS. DN01 avvisa su `p=none` solo monitoraggio, applicazione parziale con `pct` sotto 100, `rua` assente e allineamento relaxed di default. Se il report sembra incompleto, apri DKIM Validator e DNS Checker sullo stesso dominio prima di passare a `quarantine` o `reject`.
Cosa mostra il risultato
Il risultato separa i segnali importanti per questo controllo.
| Campo | Scopo | Esempio |
|---|---|---|
| Dominio | Dominio registrabile normalizzato inviato all’analizzatore. | example.com |
| Nome query | Nome DNS TXT esatto interrogato dal resolver. | _dmarc.example.com |
| Found | Se è stato restituito un TXT che inizia con v=DMARC1. | true |
| Valid | Se il record è stato analizzato senza errori di sintassi bloccanti. | false |
| p= | Policy organizzativa per posta che fallisce DMARC. | quarantine |
| sp= | Policy per sottodomini se diversa da p=. | reject |
| pct= | Percentuale di messaggi falliti coperta dalla policy. | 100 |
| rua= | Destinazioni report aggregati separate da virgola. | mailto:[email protected] |
| ruf= | Destinazioni report forensi se pubblicate. | mailto:[email protected] |
| adkim= / aspf= | Allineamento strict (s) o relaxed (r) per DKIM e SPF. | adkim=r; aspf=s |
| Record grezzo | Stringa TXT restituita da DNS senza modifiche. | v=DMARC1; p=none; rua=mailto:[email protected] |
| Errors / Warnings / Recommendations | Diagnostica azionabile generata dai tag. | rua mancante; passa a quarantine dopo i report |
Quando questo controllo è utile
Ti prepari al passaggio da monitoraggio a enforcement e devi capire se il record pubblicato regge la valutazione dei riceventi. Marketing invia via CRM, prodotto via provider transazionale e finanza via relay locale. Prima di alzare `p` da `none` a `quarantine`, DN01 mostra se il TXT su `_dmarc.example.com` è sintatticamente valido, se tag duplicati invalidano il record e se `pct` limita già l’enforcement. Quella singola pubblicazione DNS è ciò che miliardi di caselle valutano; un errore in `p=` o un secondo TXT DMARC può indebolire la protezione su tutti i canali.
I ticket di deliverability incolpano DMARC anche quando SPF passa da solo. Un messaggio può avere SPF valido e fallire DMARC quando envelope From, header From e dominio firmante DKIM non si allineano secondo `aspf` e `adkim`. DN01 mostra i modi di allineamento: senza tag assume relaxed (`r`) e avvisa che i riceventi possono accettare corrispondenze di dominio più ampie. Combina il risultato con DKIM Validator e DNS Checker.
I team sicurezza usano DMARC come controllo anti-spoofing per domini executive, portali partner e brand simili. Se `_dmarc` manca, DN01 restituisce diagnostica chiara — `no DMARC record found at _dmarc.<domain>` — e raccomanda di pubblicare `v=DMARC1` con policy iniziale. Non è un guasto dello strumento; è lo stato che i riceventi vedono quando il phishing può riusare il tuo dominio senza policy di reject pubblicata.
Gli MSP revisionano DMARC su decine di zone clienti in onboarding o rinnovi. I `dig` manuali non scalano quando devi confrontare `sp` con `p`, verificare caselle report e trovare `pct` invalido. DN01 restituisce report coerenti con durata, inventario tag e raccomandazioni per i ticket.
Architetture con molti sottodomini — `news.example.com`, `billing.example.com`, `eu.example.com` — dipendono da `sp=` quando le zone figlie inviano con SPF e DKIM propri. Senza `sp`, i riceventi applicano `p` ai sottodomini, sorprendendo team che credevano la zona isolata. DN01 mostra entrambi i valori e segnala policy sottodominio invalide.
I questionari compliance chiedono prove di maturità nell’autenticazione email. Gli auditori vogliono sapere se il reporting aggregato (`rua`) è configurato, se l’enforcement è parziale (`pct` sotto 100) e se il record è valido oggi. DN01 risponde dal DNS live, conserva TXT grezzo e separa errori duri da avvisi.
Dopo un’ondata di spoofing, l’incident response inizia spesso con «DMARC mancante o rotto?». Quando più TXT su `_dmarc` includono più di un frammento `v=DMARC1`, i riceventi possono trattare la configurazione come invalida. I team marketing cambiano spesso ESP e dimenticano `rua` o `pct=100` dopo i test — DN01 rende visibili questi stati intermedi. Ricontrolla dopo TTL, valida firme con DKIM Validator e confronta la riga grezza con il pannello DNS del cliente.
Cosa controllare se il risultato sembra errato
Se DN01 segnala assenza di DMARC, interroga `_dmarc.tuodominio.tld` specificamente, non il TXT root dove vive SPF. Molti team pubblicano SPF all’apex e assumono ereditarietà DMARC. Conferma su tutti i NS autoritativi dopo migrazione DNS. La raccomandazione di pubblicare `v=DMARC1` su `_dmarc` nel risultato è la stessa istruzione operativa restituita dal backend quando il record manca.
Quando `valid` è falso con `found` true, leggi prima l’array errori. Tag `p=` duplicati, policy sconosciute, `pct` non intero o fuori 0–100 invalidano il record. Rimuovi duplicati, mantieni un solo TXT con punto e virgola e attendi TTL prima di rieseguire.
Avvisi su `p=none`, `rua` assente o allineamento relaxed descrivono esposizione. `p=none` monitora senza chiedere quarantena o reject. Senza `rua` non riceverai report XML aggregati. Decidi se servono `adkim=s` o `aspf=s` prima di `reject`.
Se il DNS live differisce dal pannello registrar, confronta il record grezzo con `dig +short TXT _dmarc.dominio`. Cache e import parziali ingannano dashboard. DN01 interroga al momento della richiesta.
Se la posta legittima fallisce dopo inasprimento policy, DMARC può essere corretto mentre SPF o DKIM no. DNS Checker per include SPF, DKIM Validator per selettori e scadenza chiavi. `pct` sotto 100 rende i fallimenti apparentemente casuali. Documenta il report DN01 prima e dopo la modifica così le decisioni di rollback usano lo stesso parser dell’API di produzione.
Come interpretare il risultato
DMARC si appoggia a SPF e DKIM. SPF valida il percorso envelope; DKIM la firma crittografica; DMARC chiede se uno si allinea al dominio visibile in From e cosa fare se entrambi falliscono. DN01 non invia posta né valuta singoli messaggi: ispeziona la policy DNS per i riceventi. Abbinalo a DKIM Validator e DNS Checker.
Il tag `p=` è obbligatorio. Le policy devono essere `none`, `quarantine` o `reject`; ogni altro valore è invalido. `none` va bene per monitoraggio iniziale, ma DN01 avvisa che non blocca i fallimenti. `quarantine` manda in spam; `reject` chiede scarto. L’escalation deve basarsi sui report `rua`.
`pct` limita la frazione di messaggi falliti coperta. Valori sotto 100 significano enforcement parziale. DN01 interpreta `pct` come intero ed errore se fuori 0–100. Le marche in produzione finiscono spesso a `pct=100`.
I report aggregati vanno a URI `rua`, di solito `mailto:` registrati nel processore. DN01 elenca destinazioni separate da virgola e avvisa se manca `rua`. I report forensi `ruf` sono opzionali e sensibili.
`adkim` e `aspf` controllano corrispondenza strict (`s`) o relaxed (`r`). Se assenti, DN01 assume relaxed e avvisa su combinazioni apex/sottodominio indesiderate. Modalità strict sono comuni prima di `reject`.
Valido in DN01 significa assenza di errori di parse bloccanti al momento del controllo. `valid=false` va trattato come difetto DNS critico fino alla correzione.
Flusso consigliato
- Esegui DMARC Analyzer sul dominio apex visibile negli indirizzi From dei clienti.
- In caso di errori, correggi sintassi TXT, rimuovi tag duplicati e mantieni una sola pubblicazione su `_dmarc`.
- Apri DKIM Validator per selettori attivi e DNS Checker per include SPF che devono allinearsi con From.
- Pubblica o aggiorna `rua`, raccogli report aggregati e alza la policy da `none` a `quarantine` e `reject` con `pct=100`.
- Riesegui DN01 dopo TTL e allega la pagina risultato a ticket o evidenze compliance.
Strumento vs controlli manuali
`dig TXT _dmarc.example.com` mostra stringhe grezze velocemente, ma l’interpretazione resta manuale. DN01 codifica regole su duplicati, `sp` e `rua` e restituisce raccomandazioni in un passaggio.
DNS Checker su DN01 mostra tutti i TXT della zona; DMARC Analyzer si concentra sulla policy su `_dmarc` e sui rischi di `pct` parziale.
I report XML aggregati in casella mostrano storico, ma non provano la pubblicazione DNS attuale dopo cambio urgente. DN01 risponde in secondi.
Le console DMARC dei vendor offrono dashboard; gli auditor esterni servono lookup neutro del TXT visibile su internet.
Validator TXT generici non sempre applicano regole DMARC. DN01 usa lo stesso parser Go dell’API di produzione.
Inventari foglio calcolo invecchiano dopo edit DNS. URL risultato DN01 dà snapshot attuale con query name, record grezzo e timing. Per clienti con più domini brand puoi mostrare rapidamente quale zona è ancora su `p=none` senza `rua` e quale applica già `reject` con alignment strict.
Perché usare DN01
- Lookup TXT live su `_dmarc.<dominio>` con dominio normalizzato e tempo resolver.
- Analizza p, sp, pct, rua, ruf, adkim e aspf con validazione duplicati e policy.
- Errori, avvisi e raccomandazioni; record assente = diagnostica, non errore HTTP.
- Pensato per DKIM Validator e DNS Checker nelle revisioni SPF/DKIM/DMARC.
FAQ
FAQ sull'analizzatore DMARC
TXT su _dmarc, policy, alignment, indirizzi report e irrigidimento sicuro.
Cos'è un record DNS DMARC?
DMARC è pubblicato come TXT su _dmarc.example.com. Dice ai receiver come trattare mail con fallimento SPF o DKIM alignment e dove inviare report aggregate (rua) o forensic (ruf).
Cosa significano p=none, quarantine e reject?
p=none monitora solo: i fallimenti sono riportati ma non bloccati. quarantine manda mail fallita in spam. reject chiede di rifiutare messaggi non autenticati. Di solito si parte da none, si analizza rua, poi si irrigidisce.
Come trova e valida DN01 il mio record DMARC?
Interroga _dmarc.tuodominio.com via DNS live, analizza tag v=DMARC1, valida sintassi e segnala errori comuni come pct invalido o indirizzi rua malformati.
Come si collegano DMARC, SPF e DKIM?
SPF e DKIM provano meccanismi individuali. DMARC definisce se quei risultati sono allineati col dominio From e cosa fare altrimenti. Conferma TXT SPF/DKIM nel DNS Checker e valida selettori nel validatore DKIM.
Cosa sono i tag rua e ruf?
rua elenca indirizzi per report XML aggregate giornalieri con volumi pass/fail. ruf richiede campioni forensic di singoli fallimenti. Usa casella dedicata o parser; rua è essenziale prima di irrigidire.
DMARC basta a fermare lo spoofing?
DMARC con p=reject e SPF/DKIM allineati blocca gran parte dello spoofing diretto del dominio, ma domini simili e account compromessi richiedono monitoraggio a parte. È validazione DNS, non sicurezza completa della casella.
Cambio strumento
Continua con un altro controllo
Scegli il passo successivo nel tuo flusso di lavoro su dominio o sicurezza.
- Validatore DKIMRicerca del selettore DKIM e validazione del recordApri
- Controllo DNSTutti i principali tipi di record in un solo passaggioApri
- DIGUn tipo di record, risposta stile resolverApri
- Trova IP dominioIP A e AAAA di un dominioApri
- Controllo età dominioCreazione, età, registrar e scadenzaApri
- WHOISRegistrar, scadenza e stato del dominioApri
- Controllo intestazioni HTTPIntestazioni di risposta, redirect e cachingApri
- Tester HTTP/2Supporto HTTP/2, ALPN e TLSApri
- Controllo certificato SSLCatena certificati, SAN e versione TLSApri
- Controllo lista neraReputazione DNSBL per IP e dominioApri
- Convertitore PunycodeUnicode ↔ Punycode per domini IDNApri
- Separatore URLDivide URL in parti e parametriApri
- Codec Base64Codifica e decodifica testo Base64Apri
- Generatore passwordPassword casuali sicure per il lavoro operativoApri
- Controllo robustezza passwordEntropia, tempo di cracking e consigliApri
- Generatore di passphraseFrasi casuali memorabili per test sicuriApri
- BIN CheckerBrand, banca e paese della carta dal BIN/IINApri
- Calcolatore IPCalcolo subnet per CIDR IPv4 e IPv6Apri
- Controllo aggiornamento browserVersione browser, aggiornamento e Client HintsApri
Articoli correlati
Guide pratiche per le attività più comuni con Analizzatore DMARC: record DNS, passaggi di risoluzione problemi e link ai nostri strumenti gratuiti.
dmarc policy, p=reject, email authentication
DMARC Policy Explained: none, quarantine, reject
Understand p=, sp=, pct=, and how policy changes affect spoofed mail before you move from monitoring to enforcement.
Leggi articolo →dmarc alignment, spf dkim dmarc, email deliverability
DMARC Alignment with SPF and DKIM
Why valid SPF or DKIM can still fail DMARC when envelope, header From, and signing domains do not align.
Leggi articolo →dmarc record tags, dmarc syntax, v=DMARC1
DMARC Record Tags and Syntax Operators Should Know
Decode v=DMARC1, p=, sp=, pct=, rua, ruf, fo, aspf, adkim, and common formatting mistakes in TXT records.
Leggi articolo →dmarc rua, dmarc ruf, aggregate reports
DMARC Aggregate and Forensic Reports: rua and ruf
How to publish rua and ruf mailto targets, what reports contain, and why forensic reports are often disabled.
Leggi articolo →dmarc sp tag, subdomain dmarc policy, sp=reject
DMARC Subdomain Policy sp= for Marketing and Product Hosts
When sp= matters for mail.example.com, how it inherits from p=, and why separate subdomain senders need explicit alignment.
Leggi articolo →dmarc reject migration, dmarc enforcement, dmarc rollout
Moving DMARC from p=none to quarantine or reject Safely
A staged rollout using reports, pct= sampling, and alignment fixes before full spoofing protection.
Leggi articolo →