Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Brand Protection

    Requisiti DMARC di Google, Yahoo! e Microsoft - Aggiornamento 2026

    Guida su come proteggere la sua organizzazione dallo spoofing impostando DMARC in Google Workspace e soddisfare i requisiti PCI DSS per le carte di credito DMARC.

    by Andrew Williams

    Key Points

    • A partire da febbraio 2024, i mittenti con oltre 5.000 email giornaliere verso gli account Google e Yahoo! dovevano avere una politicaDMARCattiva. Nel 2026, questo requisito sarà applicato in modo rigoroso e i messaggi non conformi saranno respinti a livello SMTP.
    • I mittenti devono anche impostare i record SPF e DKIM per dominio e garantire l'allineamento, nonché utilizzare l'autenticazione ARC per i messaggi inoltrati.
    • Le politiche DMARC possono essere impostate per rifiutare, mettere in quarantena o semplicemente consegnare i messaggi e-mail che non superano l'autenticazione; le politiche possono essere impostate separatamente per tutti i nomi di dominio dell'organizzazione; i rapporti forniscono un feedback sull'uso - e sul potenziale abuso - dei domini.
    • I requisiti PCI DSS v4.0 DMARC saranno attivi nel 2026 e interesseranno tutte le organizzazioni che gestiscono i dati delle carte di credito.

    Requisiti per l'invio di e-mail

    Nel febbraio 2024, Google e Yahoo! hanno introdotto nuovi standard di autenticazione obbligatori per i mittenti di e-mail di massa, richiedendo loro di avere una politicaattiva diautenticazione, segnalazione e conformità dei messaggi basata sul dominio (DMARC). All'inizio del 2025, Microsoft ha seguito l'esempio. Poi, alla fine del 2025, Gmail ha iniziato a imporre un'applicazione rigorosa a livello SMTP per i messaggi non conformi, compresi i rifiuti e i rinvii di consegna.

    Ciò significa che oggi, nel 2026, il mancato rispetto dei requisiti DMARC influisce in modo significativo:

    • Consegnabilità delle campagne di marketing
    • Affidabilità delle e-mail transazionali
    • CRM e flussi di automazione e-mail
    • Strumenti di invio di terze parti (HubSpot, Salesforce, Mailchimp, ecc.)

    Inoltre, i mittenti devono impostare i record SPF e DKIM per dominio e utilizzare l'autenticazione ARC per i messaggi inoltrati.

    Le e-mail che non superano l'autenticazione vengono rifiutate o contrassegnate come spam, compromettendo la consegna delle e-mail per le comunicazioni dei clienti inviate da organizzazioni che non soddisfano le regole di Google, Yahoo! e Microsoft. 

    Da cosa sono nati questi requisiti?

    Questi provider di e-mail hanno cercato di ridurre la possibilità per gli aggressori di nascondersi tra i mittenti di massa che spesso non proteggono i loro sistemi e-mail. Erano determinati a raggiungere questo obiettivo concentrandosi sulla convalida delle e-mail per ridurre i potenziali malintenzionati a raggiungere le caselle di posta dei loro clienti.

    Ci sono anche altri vantaggi. I domini che dispongono di DMARC migliorano il posizionamento nella casella di posta, il che significa che è meno probabile che le e-mail vengano contrassegnate come spam o rifiutate del tutto.

    Informazioni tecniche da conoscere su DMARC e sulle politiche DMARC

    Che cos'è un record DMARC?

    Un record DMARC indica al server e-mail ricevente cosa fare se un messaggio Gmail proveniente dal dominio di un'organizzazione non supera l'autenticazione.

    Il DMARC funziona con due metodi di autenticazione delle e-mail: Sender Policy Framework (SPF) e Domain Keys Identified Mail (DKIM). SPF consente di specificare quali indirizzi IP nel dominio di un'organizzazione sono autorizzati a inviare e-mail. DKIM aggiunge una firma digitale ai messaggi in uscita. Il server ricevente utilizza SPF per autenticare la provenienza del messaggio da una fonte affidabile e DKIM per verificare che il messaggio non sia stato alterato durante il percorso.

    Politiche DMARC di Google Workspace

    Un record DMARC deve specificare una politica per l'azione che il server ricevente deve intraprendere se l'e-mail in arrivo non supera l'autenticazione SPF o DKIM. Ci sono tre opzioni di criteri DMARC di Gmail:

    • Nessuno: Consegnare il messaggio normalmente.
    • Quarantena: Invia il messaggio alla cartella spam del destinatario o alla quarantena se è configurata un'opzione di quarantena.
    • Rifiuta: Non consegnare il messaggio. Spesso il server ricevente informa il mittente del fallimento del messaggio.

    Google Workspace consiglia di iniziare con p=nessuno, di esaminare i rapporti e di passare gradualmente alla quarantena e al rifiuto, man mano che vengono identificati i mittenti legittimi e illegittimi. I report forniscono visibilità su quali server inviano per suo conto e sulla percentuale di messaggi che passano o non passano.

    Passaggi per impostare unrecordDMARC di Google Workspace1

    Il DMARC viene impostato come un record DNS TXT sull'host del dominio di un'organizzazione. Il record contiene dei flag che specificano i parametri per il server ricevente. Ogni parametro è una coppia tag-valore. Ad esempio, per impostare la politica di rifiuto, la coppia tag-valore sarà "p=rifiuto". Seguendo questi passaggi, il record DMARC dell'organizzazione sarà impostato e pubblicato:

    1. Configuri sia SPF che DKIM, quindi attenda 48 ore prima di pubblicare il record DMARC.

    2. Crea il record DMARC come una riga di testo con le coppie tag-valore separate da punto e virgola. La tabella allegata elenca i tag campione e i valori possibili. Tenga presente che questi tag e valori possono variare da host a host. I tag v e p sono necessari e devono essere inseriti per primi. I tag rimanenti sono opzionali.

    TAG

    VALORI

    vVersione. Questo deve essere DMARC1.
    pPolitica per i messaggi che falliscono l'autenticazione. I valori possibili sono rifiutare, mettere in quarantena o nessuno.
    spPolitica per i sottodomini. I valori possibili sono rifiutare, mettere in quarantena o nessuno. L'impostazione predefinita è di applicare la stessa politica del dominio.
    pctLa percentuale di messaggi non validi su cui agire. Il valore deve essere 1-100, con 100 come valore predefinito.
    aspfLa politica di allineamento per SPF. Può essere s (rigoroso) o r (rilassato). Rilassato è l'impostazione predefinita.
    adkimLa politica di allineamento per DKIM. Può essere s (rigoroso) o r (rilassato). Rilassato è l'impostazione predefinita.
    ruaL'indirizzo e-mail (preceduto da mailto:) a cui inviare i rapporti DMARC.

    3. Dalla console di gestione dell'host di dominio, individui il luogo in cui è possibile aggiornare il record DNS. Inserisca il nome del record DMARC TXT dell'organizzazione come "dmarc" seguito da un punto e dal nome di dominio dell'organizzazione. Alcuni host aggiungono automaticamente il nome di dominio. Carichi il record e salvi le modifiche. Ripeta questo processo per ogni dominio.

    Applicazione più forte dell'allineamento

    Con l'adozione da parte delle organizzazioni di un maggior numero di servizi e-mail SaaS e di terze parti, i problemi di allineamento sono diventati uno dei problemi DMARC più comuni. Nel 2026, i provider di cassette postali segnalano più frequentemente:

    • Domini "Da" non allineati
    • Mittenti terzi senza SPF/DKIM autorizzato
    • Messaggi inoltrati senza autenticazione ARC

    Garantire un allineamento corretto tra tutti i canali e-mail, comprese le piattaforme di marketing, i sistemi di ticketing, l'automazione CRM e le applicazioni cloud, è ora essenziale per mantenere la deliverability.

    Requisiti aggiuntivi in arrivo per i pagamenti con carta di credito

    Il settore delle carte di credito ha implementato i propri requisiti DMARC. A partire dal 2025, il Payment Card Industry Security Standards Council (PCI SSC) impone l'uso del DMARC a tutte le aziende che gestiscono carte di credito e altri pagamenti, nonché ai fornitori di servizi finanziari. Il DMARC fa ufficialmente parte del più recente PCI Data Security Standard, versione 4 (PCI DSS v4.0).

    Il requisito DMARC è destinato ad aiutare le organizzazioni ad operare in modo più sicuro in un panorama economico che ha visto le violazioni dei dati e i furti di carte di credito continuare a crescere in numero e costi, secondo recenti statistiche sulla cybersecurity. Ci si aspetta anche che acceleri l'adozione del DMARC, dal momento che la mancata conformità agli standard PCI DSS potrebbe portare a multe e sanzioni, fino alla perdita del diritto di gestire i pagamenti da parte dell'azienda. D'altra parte, la maggior parte delle aziende - soprattutto le piccole e medie imprese (SMB) - hanno difficoltà ad adottare lo standard di autenticazione e-mail, perché gli strumenti DMARC si sono rivelati complicati da implementare. Per rispondere a questa esigenza, Mimecast ha creato una soluzione di sicurezza all-in-one per Google Workspace. 

    Governance DMARC multidominio

    Per rendere le cose ancora più complicate, le organizzazioni gestiscono sempre più spesso decine - a volte centinaia - di domini registrati. Di conseguenza, la governance DMARC si estende oltre la configurazione:

    • Monitoraggio continuo
    • Gestione del ciclo di vita dei domini inattivi o non utilizzati
    • Rilevare i mittenti non autorizzati
    • Standardizzare l'allineamento tra i team distribuiti

    Lo spostamento verso la supervisione multidominio ha reso il tooling centralizzato essenziale per mantenere il controllo.

    Ottenere assistenza da Mimecast

    Se il processo DMARC di Google Workspace o l'implementazione di DMARC per soddisfare i prossimi requisiti PCI DSS sembra un po' scoraggiante, la buona notizia è che i fornitori di servizi di sicurezza come Mimecast offrono strumenti DMARC basati sul cloud. Tali strumenti semplificano l'implementazione del DMARC, ad esempio fornendo procedure guidate per la creazione di record DMARC per tutti i domini. Altri strumenti convalidano i record DMARC e creano rapporti e grafici facili da usare per analizzare i messaggi che non hanno superato l'autenticazione, nonché rapporti forensi per trovare la fonte dei messaggi e-mail dannosi.

    Poiché l'impersonificazione dei marchi online continua a crescere, siti come Google, Yahoo! e Microsoft continueranno a implementare standard più severi per i mittenti, soprattutto quelli che inviano migliaia di e-mail al giorno. Mimecast è pronta ad aiutarla con DMARC Analyzer e l'esperienza necessaria per soddisfare le linee guida DMARC esistenti e nuove.

    Soluzione SaaS, DMARC Analyzer di Mimecast consente ai clienti di gestire facilmente progetti di implementazione complessi e fornisce visibilità e governance a 360°. Offre un'applicazione rapida e semplice grazie a strumenti self-service intuitivi, compresa la gestione integrata dei progetti, garantendo un'applicazione a basso rischio.

    La soluzione DMARC Analyzer di Mimecast protegge i marchi fornendo gli strumenti necessari per bloccare lo spoofing e l'uso improprio dei domini di proprietà. Progettata per aiutare a ridurre il tempo e le risorse necessarie per diventare conformi al DMARC, la soluzione self-service di Mimecast fornisce i report e le analisi necessarie per ottenere una visibilità completa di tutti i canali e-mail. L'utilizzo del DMARC per bloccare lo spoofing diretto del dominio protegge dall'abuso del marchio e dalle truffe che offuscano la reputazione e causano perdite dirette per un'organizzazione e per i suoi clienti e partner. 

    Oltre alla funzionalità self-service di DMARC Analyzer, Mimecast offre servizi gestiti per guidare proattivamente le organizzazioni in ogni fase dell'implementazione e della manutenzione di DMARC, assicurando forti benefici dall'intera gamma di funzionalità DMARC. Molte organizzazioni incontrano difficoltà nell'implementare il DMARC da sole, il che è comprensibile a causa della complessità della soluzione, quindi Mimecast ha sviluppato una soluzione completa di servizi gestiti per aiutare queste organizzazioni.

    Ottenga una prova gratuita del DMARC Analyzer di Mimecast qui.

     

     

    **Questo blog è stato aggiornato da una versione precedente.

    1 Vedere le istruzioni di Google DMARC

    Related Articles

    Brand Protection
    DMARC Basics: What It Is and How It Works  

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top