DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) è un protocollo di autenticazione email che si basa su due standard precedenti: SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Mentre SPF verifica il server di invio e DKIM verifica l'integrità del messaggio, DMARC li unisce consentendo ai proprietari di dominio di pubblicare un record DNS che istruisce i server di posta riceventi su cosa fare quando un messaggio non supera uno o entrambi i controlli. DMARC introduce anche un meccanismo di reportistica, inviando report XML ai proprietari di dominio per monitorare l'uso non autorizzato del loro dominio nelle intestazioni email.

L'email rimane il canale principale per condividere link a pubblicazioni, inviare notifiche sui lead e messaggi transazionali. Senza DMARC, gli aggressori possono falsificare il nome del vostro dominio nel campo "Da" delle email di phishing, facendo sembrare che i messaggi fraudolenti provengano dalla vostra organizzazione. Ciò danneggia la fiducia nel marchio e mette a rischio i vostri contatti. Una policy DMARC correttamente configurata indica ai server riceventi di mettere in quarantena o rifiutare i messaggi non autenticati, bloccando le email falsificate prima che raggiungano le caselle di posta. Per gli editori che distribuiscono link ai [flipbook](/glossary/flipbook) via email, DMARC migliora anche la deliverability — i provider di posta come Gmail e Outlook danno un trattamento preferenziale ai domini con record DMARC validi.

L'infrastruttura email di FlipLink è progettata per superare la validazione DMARC fin dall'inizio. Quando FlipLink invia notifiche sui lead, link di condivisione delle pubblicazioni o messaggi tramite [template email](/features/email-templates), quelle email sono allineate con i requisiti SPF e DKIM. Se utilizzate un dominio di invio personalizzato, pubblicate un record DMARC nel vostro DNS che definisce la vostra policy e un indirizzo di reportistica. Le pratiche di invio di FlipLink sono conformi alla vostra policy DMARC, così le email legittime superano la validazione mentre quelle fraudolente vengono intercettate dai server riceventi. Questo significa che le email di condivisione dei flipbook, gli avvisi sui lead e le notifiche automatizzate raggiungono i destinatari in modo affidabile senza essere contrassegnate come spam o rifiutate.

Un record DMARC è una voce TXT nel DNS del vostro dominio. I tag principali includono: `v=DMARC1` (versione), `p=` (policy: none, quarantine o reject), `rua=` (indirizzo report aggregati), `ruf=` (indirizzo report forensi), `pct=` (percentuale di messaggi a cui si applica la policy) e `adkim=`/`aspf=` (modalità di allineamento, strict o relaxed). L'allineamento è il concetto critico — DMARC verifica se il dominio nell'intestazione "Da" corrisponde al dominio autenticato da SPF (il mittente dell'envelope) e DKIM (il dominio di firma). L'allineamento relaxed consente ai sottodomini di corrispondere al dominio organizzativo, mentre l'allineamento strict richiede una corrispondenza esatta. La maggior parte degli editori inizia con l'allineamento relaxed per evitare di bloccare email legittime da sottodomini o mittenti terzi come FlipLink.

1. **Verificare prima SPF** — confermare di avere un record SPF valido che includa tutti i server di invio autorizzati (il vostro provider di posta, FlipLink, qualsiasi strumento di marketing). 2. **Configurare la firma DKIM** — configurare le chiavi DKIM nel DNS e assicurarsi che il provider di posta firmi i messaggi in uscita. 3. **Iniziare con p=none** — pubblicare un record DMARC con `p=none` per iniziare a raccogliere report senza influire sulla consegna: `v=DMARC1; p=none; rua=mailto:dmarc-reports@vostrodominio.com` 4. **Analizzare i report per due-quattro settimane** — usare i report aggregati per identificare tutti i mittenti legittimi e qualsiasi uso non autorizzato del dominio. 5. **Passare a p=quarantine** — una volta certi che tutti i mittenti legittimi superano l'autenticazione, cambiare la policy a quarantine per instradare i messaggi non conformi nello spam. 6. **Avanzare a p=reject** — dopo aver confermato che nessuna email legittima viene messa in quarantena, impostare la policy su reject per la massima protezione. 7. **Monitorare costantemente** — continuare a esaminare periodicamente i report DMARC per individuare nuovi mittenti o variazioni nella configurazione.

**Si può configurare DMARC senza SPF e DKIM?** Tecnicamente è possibile pubblicare un record DMARC senza di essi, ma non avrà alcun effetto pratico. DMARC si basa sui risultati di SPF e DKIM per determinare il superamento o il fallimento. Senza almeno uno dei due, ogni messaggio fallirà i controlli DMARC. **DMARC interromperà la consegna delle mie email?** Non se seguite l'approccio graduale. Iniziare con `p=none` vi permette di osservare quali email superano e falliscono senza bloccare nulla. Passate a quarantine o reject solo dopo aver confermato che tutte le fonti email legittime sono correttamente autenticate. **Quanto tempo impiega DMARC per diventare effettivo?** Le modifiche DNS si propagano tipicamente entro poche ore, anche se alcuni provider possono richiedere fino a 48 ore. Una volta propagati, i server riceventi inizieranno ad applicare la vostra policy immediatamente e i report aggregati arriveranno entro 24 ore.

DMARC completa lo stack di autenticazione email dando ai proprietari di dominio il controllo su cosa succede quando i controlli SPF o DKIM falliscono — proteggendo il vostro marchio dallo spoofing, migliorando la deliverability delle email e fornendo visibilità su chi invia email per conto vostro.