Vai al contenuto
D1
IT

Autenticazione email

Analizzatore DMARC

Ispeziona record DMARC, policy, allineamento, report e avvisi.

Questo modulo chiama l'endpoint relativo: /site-api/tools/dmarc

Come usare lo strumento

  1. Inserisci il dominio mittente visibile nell’intestazione From, ad esempio example.com, senza protocollo, percorso o prefisso di casella. DN01 normalizza il nome, rifiuta host malformati o ristretti e usa il dominio registrabile come obiettivo della query. Se un sottodominio invia con infrastruttura propria, esegui un controllo separato: la policy DMARC si pubblica sul dominio organizzativo visibile ai destinatari.
  2. DN01 esegue un lookup DNS TXT live su `_dmarc.<dominio>` con timeout resolver di cinque secondi e registra la durata. Il backend seleziona la prima stringa TXT che inizia con `v=DMARC1`, divide i tag separati da punto e virgola e mappa `p`, `sp`, `pct`, `rua`, `ruf`, `adkim` e `aspf` in campi strutturati. Record assente o errore DNS viene restituito come diagnostica, non come errore HTTP, così ottieni sempre un report leggibile.
  3. Rivedi la policy analizzata (`none`, `quarantine` o `reject`), policy dei sottodomini, percentuale `pct`, URI dei report aggregati `rua`, report forensi `ruf`, modalità di allineamento DKIM e SPF, inventario tag e il TXT grezzo come lo vedono i resolver. Osserva `found` e `valid`: un record può esistere ma essere invalido se mancano tag obbligatori, la policy è sconosciuta, `pct` è fuori range o ci sono nomi tag duplicati.
  4. Usa errori, avvisi e raccomandazioni per decidere la prossima modifica DNS. DN01 avvisa su `p=none` solo monitoraggio, applicazione parziale con `pct` sotto 100, `rua` assente e allineamento relaxed di default. Se il report sembra incompleto, apri DKIM Validator e DNS Checker sullo stesso dominio prima di passare a `quarantine` o `reject`.

Cosa mostra il risultato

Il risultato separa i segnali importanti per questo controllo.

CampoScopoEsempio
DominioDominio registrabile normalizzato inviato all’analizzatore.example.com
Nome queryNome DNS TXT esatto interrogato dal resolver._dmarc.example.com
FoundSe è stato restituito un TXT che inizia con v=DMARC1.true
ValidSe il record è stato analizzato senza errori di sintassi bloccanti.false
p=Policy organizzativa per posta che fallisce DMARC.quarantine
sp=Policy per sottodomini se diversa da p=.reject
pct=Percentuale di messaggi falliti coperta dalla policy.100
rua=Destinazioni report aggregati separate da virgola.mailto:[email protected]
ruf=Destinazioni report forensi se pubblicate.mailto:[email protected]
adkim= / aspf=Allineamento strict (s) o relaxed (r) per DKIM e SPF.adkim=r; aspf=s
Record grezzoStringa TXT restituita da DNS senza modifiche.v=DMARC1; p=none; rua=mailto:[email protected]
Errors / Warnings / RecommendationsDiagnostica azionabile generata dai tag.rua mancante; passa a quarantine dopo i report

Quando questo controllo è utile

Ti prepari al passaggio da monitoraggio a enforcement e devi capire se il record pubblicato regge la valutazione dei riceventi. Marketing invia via CRM, prodotto via provider transazionale e finanza via relay locale. Prima di alzare `p` da `none` a `quarantine`, DN01 mostra se il TXT su `_dmarc.example.com` è sintatticamente valido, se tag duplicati invalidano il record e se `pct` limita già l’enforcement. Quella singola pubblicazione DNS è ciò che miliardi di caselle valutano; un errore in `p=` o un secondo TXT DMARC può indebolire la protezione su tutti i canali.

I ticket di deliverability incolpano DMARC anche quando SPF passa da solo. Un messaggio può avere SPF valido e fallire DMARC quando envelope From, header From e dominio firmante DKIM non si allineano secondo `aspf` e `adkim`. DN01 mostra i modi di allineamento: senza tag assume relaxed (`r`) e avvisa che i riceventi possono accettare corrispondenze di dominio più ampie. Combina il risultato con DKIM Validator e DNS Checker.

I team sicurezza usano DMARC come controllo anti-spoofing per domini executive, portali partner e brand simili. Se `_dmarc` manca, DN01 restituisce diagnostica chiara — `no DMARC record found at _dmarc.<domain>` — e raccomanda di pubblicare `v=DMARC1` con policy iniziale. Non è un guasto dello strumento; è lo stato che i riceventi vedono quando il phishing può riusare il tuo dominio senza policy di reject pubblicata.

Gli MSP revisionano DMARC su decine di zone clienti in onboarding o rinnovi. I `dig` manuali non scalano quando devi confrontare `sp` con `p`, verificare caselle report e trovare `pct` invalido. DN01 restituisce report coerenti con durata, inventario tag e raccomandazioni per i ticket.

Architetture con molti sottodomini — `news.example.com`, `billing.example.com`, `eu.example.com` — dipendono da `sp=` quando le zone figlie inviano con SPF e DKIM propri. Senza `sp`, i riceventi applicano `p` ai sottodomini, sorprendendo team che credevano la zona isolata. DN01 mostra entrambi i valori e segnala policy sottodominio invalide.

I questionari compliance chiedono prove di maturità nell’autenticazione email. Gli auditori vogliono sapere se il reporting aggregato (`rua`) è configurato, se l’enforcement è parziale (`pct` sotto 100) e se il record è valido oggi. DN01 risponde dal DNS live, conserva TXT grezzo e separa errori duri da avvisi.

Dopo un’ondata di spoofing, l’incident response inizia spesso con «DMARC mancante o rotto?». Quando più TXT su `_dmarc` includono più di un frammento `v=DMARC1`, i riceventi possono trattare la configurazione come invalida. I team marketing cambiano spesso ESP e dimenticano `rua` o `pct=100` dopo i test — DN01 rende visibili questi stati intermedi. Ricontrolla dopo TTL, valida firme con DKIM Validator e confronta la riga grezza con il pannello DNS del cliente.

Cosa controllare se il risultato sembra errato

Se DN01 segnala assenza di DMARC, interroga `_dmarc.tuodominio.tld` specificamente, non il TXT root dove vive SPF. Molti team pubblicano SPF all’apex e assumono ereditarietà DMARC. Conferma su tutti i NS autoritativi dopo migrazione DNS. La raccomandazione di pubblicare `v=DMARC1` su `_dmarc` nel risultato è la stessa istruzione operativa restituita dal backend quando il record manca.

Quando `valid` è falso con `found` true, leggi prima l’array errori. Tag `p=` duplicati, policy sconosciute, `pct` non intero o fuori 0–100 invalidano il record. Rimuovi duplicati, mantieni un solo TXT con punto e virgola e attendi TTL prima di rieseguire.

Avvisi su `p=none`, `rua` assente o allineamento relaxed descrivono esposizione. `p=none` monitora senza chiedere quarantena o reject. Senza `rua` non riceverai report XML aggregati. Decidi se servono `adkim=s` o `aspf=s` prima di `reject`.

Se il DNS live differisce dal pannello registrar, confronta il record grezzo con `dig +short TXT _dmarc.dominio`. Cache e import parziali ingannano dashboard. DN01 interroga al momento della richiesta.

Se la posta legittima fallisce dopo inasprimento policy, DMARC può essere corretto mentre SPF o DKIM no. DNS Checker per include SPF, DKIM Validator per selettori e scadenza chiavi. `pct` sotto 100 rende i fallimenti apparentemente casuali. Documenta il report DN01 prima e dopo la modifica così le decisioni di rollback usano lo stesso parser dell’API di produzione.

Come interpretare il risultato

DMARC si appoggia a SPF e DKIM. SPF valida il percorso envelope; DKIM la firma crittografica; DMARC chiede se uno si allinea al dominio visibile in From e cosa fare se entrambi falliscono. DN01 non invia posta né valuta singoli messaggi: ispeziona la policy DNS per i riceventi. Abbinalo a DKIM Validator e DNS Checker.

Il tag `p=` è obbligatorio. Le policy devono essere `none`, `quarantine` o `reject`; ogni altro valore è invalido. `none` va bene per monitoraggio iniziale, ma DN01 avvisa che non blocca i fallimenti. `quarantine` manda in spam; `reject` chiede scarto. L’escalation deve basarsi sui report `rua`.

`pct` limita la frazione di messaggi falliti coperta. Valori sotto 100 significano enforcement parziale. DN01 interpreta `pct` come intero ed errore se fuori 0–100. Le marche in produzione finiscono spesso a `pct=100`.

I report aggregati vanno a URI `rua`, di solito `mailto:` registrati nel processore. DN01 elenca destinazioni separate da virgola e avvisa se manca `rua`. I report forensi `ruf` sono opzionali e sensibili.

`adkim` e `aspf` controllano corrispondenza strict (`s`) o relaxed (`r`). Se assenti, DN01 assume relaxed e avvisa su combinazioni apex/sottodominio indesiderate. Modalità strict sono comuni prima di `reject`.

Valido in DN01 significa assenza di errori di parse bloccanti al momento del controllo. `valid=false` va trattato come difetto DNS critico fino alla correzione.

Flusso consigliato

  1. Esegui DMARC Analyzer sul dominio apex visibile negli indirizzi From dei clienti.
  2. In caso di errori, correggi sintassi TXT, rimuovi tag duplicati e mantieni una sola pubblicazione su `_dmarc`.
  3. Apri DKIM Validator per selettori attivi e DNS Checker per include SPF che devono allinearsi con From.
  4. Pubblica o aggiorna `rua`, raccogli report aggregati e alza la policy da `none` a `quarantine` e `reject` con `pct=100`.
  5. Riesegui DN01 dopo TTL e allega la pagina risultato a ticket o evidenze compliance.

Strumento vs controlli manuali

`dig TXT _dmarc.example.com` mostra stringhe grezze velocemente, ma l’interpretazione resta manuale. DN01 codifica regole su duplicati, `sp` e `rua` e restituisce raccomandazioni in un passaggio.

DNS Checker su DN01 mostra tutti i TXT della zona; DMARC Analyzer si concentra sulla policy su `_dmarc` e sui rischi di `pct` parziale.

I report XML aggregati in casella mostrano storico, ma non provano la pubblicazione DNS attuale dopo cambio urgente. DN01 risponde in secondi.

Le console DMARC dei vendor offrono dashboard; gli auditor esterni servono lookup neutro del TXT visibile su internet.

Validator TXT generici non sempre applicano regole DMARC. DN01 usa lo stesso parser Go dell’API di produzione.

Inventari foglio calcolo invecchiano dopo edit DNS. URL risultato DN01 dà snapshot attuale con query name, record grezzo e timing. Per clienti con più domini brand puoi mostrare rapidamente quale zona è ancora su `p=none` senza `rua` e quale applica già `reject` con alignment strict.

Perché usare DN01

  • Lookup TXT live su `_dmarc.<dominio>` con dominio normalizzato e tempo resolver.
  • Analizza p, sp, pct, rua, ruf, adkim e aspf con validazione duplicati e policy.
  • Errori, avvisi e raccomandazioni; record assente = diagnostica, non errore HTTP.
  • Pensato per DKIM Validator e DNS Checker nelle revisioni SPF/DKIM/DMARC.

FAQ

FAQ sull'analizzatore DMARC

TXT su _dmarc, policy, alignment, indirizzi report e irrigidimento sicuro.

Cos'è un record DNS DMARC?

DMARC è pubblicato come TXT su _dmarc.example.com. Dice ai receiver come trattare mail con fallimento SPF o DKIM alignment e dove inviare report aggregate (rua) o forensic (ruf).

Cosa significano p=none, quarantine e reject?

p=none monitora solo: i fallimenti sono riportati ma non bloccati. quarantine manda mail fallita in spam. reject chiede di rifiutare messaggi non autenticati. Di solito si parte da none, si analizza rua, poi si irrigidisce.

Come trova e valida DN01 il mio record DMARC?

Interroga _dmarc.tuodominio.com via DNS live, analizza tag v=DMARC1, valida sintassi e segnala errori comuni come pct invalido o indirizzi rua malformati.

Come si collegano DMARC, SPF e DKIM?

SPF e DKIM provano meccanismi individuali. DMARC definisce se quei risultati sono allineati col dominio From e cosa fare altrimenti. Conferma TXT SPF/DKIM nel DNS Checker e valida selettori nel validatore DKIM.

Cosa sono i tag rua e ruf?

rua elenca indirizzi per report XML aggregate giornalieri con volumi pass/fail. ruf richiede campioni forensic di singoli fallimenti. Usa casella dedicata o parser; rua è essenziale prima di irrigidire.

DMARC basta a fermare lo spoofing?

DMARC con p=reject e SPF/DKIM allineati blocca gran parte dello spoofing diretto del dominio, ma domini simili e account compromessi richiedono monitoraggio a parte. È validazione DNS, non sicurezza completa della casella.

Cambio strumento

Scegli il passo successivo nel tuo flusso di lavoro su dominio o sicurezza.

Catalogo completo strumenti

Guide

Guide pratiche per le attività più comuni con Analizzatore DMARC: record DNS, passaggi di risoluzione problemi e link ai nostri strumenti gratuiti.

Torna a Analizzatore DMARC