Come leggere un rapporto DMARC (guida passo dopo passo per i mittenti B2B)

Un rapporto aggregato DMARC è un riepilogo inviato dai provider di caselle di posta elettronica che illustra i risultati ottenuti dalle e-mail che dichiarano di provenire dal proprio dominio in seguito ai controlli di autenticazione quali SPF e DKIM.

Questi rapporti sono fondamentali per capire chi invia e-mail a tuo nome, il volume delle e-mail inviate e se tali e-mail superano l'autenticazione. Rappresentano la fonte primaria di informazioni affidabili per identificare i mittenti legittimi, gli errori di configurazione e i potenziali abusi.

Tuttavia, anche gli amministratori IT più esperti spesso hanno difficoltà a interpretare i rapporti DMARC. I dati sono complessi, altamente tecnici e difficili da tradurre in misure chiare e concrete volte a migliorare la deliverability e la sicurezza delle e-mail.

Per i team non tecnici, la sfida è ancora più ardua. I report vengono forniti in formato XML e offrono poche indicazioni su ciò che conta davvero o su cosa risolvere per primo.

In questa guida analizziamo i report aggregati DMARC suddividendoli in elementi concreti, spieghiamo su cosa concentrarsi e mostriamo come trasformare i dati in azioni concrete per migliorare le prestazioni delle e-mail.

Tipi di rapporti DMARC

Lo standard DMARC definisce due tipi di report. Tuttavia, solo uno dei due è costantemente disponibile e utile per la maggior parte dei team B2B responsabili della deliverability delle e-mail.

Rapporti aggregati DMARC (RUA)

I rapporti aggregati DMARC (RUA) sono i rapporti principali con cui lavorerai.

Vengono inviati quotidianamente dai provider di posta elettronica e forniscono un riepilogo a livello di dominio di tutta l'attività di posta elettronica rilevata in un determinato intervallo di tempo. Ogni rapporto raggruppa i messaggi in base alla fonte di invio e mostra i risultati dell'autenticazione per SPF, DKIM e DMARC.

I provider di caselle di posta elettronica come Google e Microsoft forniscono regolarmente rapporti aggregati. Di conseguenza, costituiscono la base del monitoraggio DMARC e sono l'argomento principale di questa guida.

Rapporti forensi DMARC (RUF)

I rapporti forensi DMARC (RUF) sono pensati per fornire dettagli a livello di singolo messaggio in caso di autenticazione fallita.

In realtà, sono raramente disponibili. Molti provider di caselle di posta elettronica non li inviano più oppure oscurano gran parte dei dati a causa dei vincoli di privacy. Il supporto varia notevolmente e la maggior parte dei domini B2B non riceve mai rapporti forensi, anche quando vengono richiesti.

Di conseguenza, la maggior parte dei team si affida quasi esclusivamente ai report aggregati per il monitoraggio continuo e il processo decisionale.

Cosa contiene un rapporto aggregato DMARC?

Un rapporto aggregato DMARC è una sintesi strutturata dell'attività di posta elettronica associata al proprio dominio in un determinato periodo. Questi rapporti hanno un ambito di applicazione volutamente limitato: non riportano singoli messaggi, contenuti o destinatari, ma si concentrano sui segnali di autenticazione di alto livello che i provider di caselle di posta elettronica sono disposti a condividere su larga scala.

Poiché i report vengono forniti in formato XML, non sono pensati per essere consultati manualmente. La maggior parte dei team ricorre a strumenti di analisi o piattaforme DMARC per rendere i dati leggibili. Questa limitazione è anche il motivo per cui i provider di caselle di posta elettronica preferiscono i report aggregati: questi garantiscono un equilibrio tra visibilità e privacy e sono supportati in modo coerente dai principali provider.

A livello strutturale, ogni rapporto aggregato DMARC contiene gli stessi elementi fondamentali.

Organizzazione responsabile

Questo dato indica il provider di posta elettronica che ha generato il rapporto. Tra i provider più comuni figurano Google e Microsoft. Ciascun provider invia il proprio rapporto in base al traffico rilevato per il tuo dominio.

Intervallo di date

Il rapporto copre un intervallo di tempo specifico, solitamente un periodo di 24 ore. Ciò consente di monitorare il comportamento di autenticazione giorno per giorno e di individuare i cambiamenti nel tempo, piuttosto che singoli eventi isolati.

Invio delle fonti

Le origini di invio sono elencate in base all'indirizzo IP. Ciascuna origine rappresenta un server che ha inviato e-mail utilizzando il tuo dominio durante il periodo di riferimento.

Volume dei messaggi per fonte

Per ogni origine di invio, il report riporta il numero di messaggi rilevati, fornendo così una panoramica del volume di e-mail inviate da ciascun indirizzo IP per conto del tuo dominio nell'intervallo di tempo specificato.

Risultati dell'autenticazione

Ogni origine di invio include i risultati dell'autenticazione basati su tre meccanismi.

o I risultati SPF indicano se il server mittente era autorizzato a inviare e-mail per conto del dominio.

o I risultati DKIM indicano se i messaggi sono stati firmati crittograficamente e se il dominio di firma corrisponde al dominio visibile nel campo "Da".

o La sezione "DMARC disposition" mostra come il provider di posta elettronica ha gestito i messaggi in base alla politica DMARC pubblicata.

Guida dettagliata alla lettura di un rapporto DMARC 

I rapporti aggregati DMARC vengono forniti sotto forma di file XML. Sebbene possano sembrare di natura tecnica, non è necessario comprenderne ogni singolo tag per ricavarne informazioni significative.

Ecco un esempio semplificato di un rapporto aggregato DMARC per example.com.

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <date_range>
      <begin>1705968000</begin>
      <end>1706054399</end>
    </date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>none</p>
    <adkim>r</adkim>
    <aspf>r</aspf>
  </policy_published>

  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>120</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>198.51.100.23</source_ip>
      <count>450</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>203.0.113.77</source_ip>
      <count>6</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

Non è necessario leggere questo testo riga per riga. È invece consigliabile seguire ogni volta questa procedura in quattro fasi.

Passaggio 1: Chi ha inviato l'e-mail

Look for the <source_ip> field in each record.

In questo esempio, tre indirizzi IP hanno inviato e-mail tramite example.com. Ciascun IP rappresenta un sistema di invio rilevato dal provider di posta elettronica. In questa fase, il tuo unico compito è l'identificazione. Verifica se l'IP appartiene a una fonte nota, come Google Workspace, Microsoft 365, uno strumento di outreach commerciale o una piattaforma di marketing.

Fase 2: Volume delle e-mail inviate

Next, look at the <count> value for each source.

Il volume aiuta a stabilire le priorità. Le fonti con un volume elevato sono più rilevanti di quelle con un volume ridotto. Un singolo indirizzo IP sconosciuto che invia migliaia di e-mail merita un'indagine immediata. Pochi messaggi potrebbero semplicemente indicare tentativi di spoofing in sottofondo.

Fase 3: L'autenticazione è andata a buon fine?

Quando si esamina un rapporto aggregato DMARC, si risponde a tre domande fondamentali per ciascuna fonte di invio. Ciascuna di esse corrisponde direttamente a un tag XML specifico nel rapporto.

Now look at the authentication outcomes inside <policy_evaluated>.

Non stai ancora individuando le cause alla radice. Ti limiti semplicemente a osservare i risultati:

• L'SPF ha superato il test?

SPF results appear in the <policy_evaluated> block under the <spf> tag. If the report shows <spf>fail</spf>, SPF validation failed. The sending IP was not authorized by your domain’s SPF record at the time the message was evaluated.

If it shows <spf>pass</spf>, the sending server was authorized to send email on behalf of the domain.

• Il controllo DKIM è andato a buon fine?

DKIM results appear under the <dkim> tag in the same block. A value of <dkim>pass</dkim> means the message was correctly signed and the signature aligned with the visible From domain.

A value of <dkim>fail</dkim> means the message was not properly signed, the signature was invalid, or domain alignment failed.

• DMARC lo ha ritenuto conforme?

DMARC’s final decision appears in the <disposition> tag. A value of <disposition>none</disposition> means no enforcement was applied, which is typical when a domain is in monitoring mode.

Valori quali "quarantena" o "rifiuto" indicano che il messaggio non ha superato la valutazione DMARC e che è stata applicata la politica prevista in base alle linee guida pubblicate.

Questi tre tag rispondono alla terza fase del modello che avete visto in precedenza. Una volta appurato chi ha inviato l'e-mail e quante ne ha inviate, SPF, DKIM e disposition indicano se tale attività è stata autenticata e come è stata gestita dai provider di posta elettronica.

Fase 4: Valutare se il modello è quello previsto

Infine, unisci i risultati relativi all'identità, al volume e all'autenticazione.

• È necessario che l'indirizzo IP di Google Workspace superi i controlli SPF e DKIM.
• È possibile che uno strumento noto che non supera il controllo SPF ma supera quello DKIM sia nella norma.
• È inaspettato che un indirizzo IP sconosciuto non superi entrambi i controlli, anche se in numero limitato.

È qui che il codice XML grezzo si trasforma in un segnale utilizzabile.

Come interpretare i segnali di autenticazione?

Una volta individuato il mittente dell'e-mail e il volume dei messaggi inviati, il passo successivo consiste nell'interpretare i risultati dell'autenticazione. È qui che i report DMARC si rivelano utili per prendere decisioni.

I risultati dell'autenticazione aiutano i provider di caselle di posta elettronica a stabilire se un'e-mail è affidabile. Il tuo compito è capire cosa significano questi segnali e come interpretarli.

Fonti di invio e andamenti del volume
Ogni riga di un rapporto DMARC rappresenta un gruppo di messaggi provenienti da un indirizzo IP specifico. Gli andamenti del volume sono importanti perché i provider di caselle di posta elettronica costruiscono la reputazione in modo graduale. I picchi improvvisi spesso indicano configurazioni errate, nuovi strumenti o abusi.

Un volume di traffico ridotto ma ricorrente proveniente da indirizzi IP sconosciuti è solitamente indice di tentativi di spoofing del dominio.

Risultati SPF
SPF verifica se un indirizzo IP mittente è autorizzato a inviare e-mail per conto del tuo dominio.

I fallimenti dell'SPF sono comuni e non sempre rappresentano un problema. Spesso si verificano a causa dell'inoltro, di record incompleti o di strumenti che si basano invece sul DKIM.

Un errore SPF diventa motivo di preoccupazione quando si verifica su larga scala o si combina con errori DKIM.

Risultati DKIM
Il DKIM verifica l'integrità dei messaggi e l'allineamento dei domini. Si tratta del segnale di autenticazione più affidabile per la deliverability B2B, poiché resiste all'inoltro ed è ampiamente considerato attendibile da Google e Microsoft.
Per la maggior parte dei mittenti B2B, l'esecuzione costante dei controlli DKIM e l'allineamento tra tutti gli strumenti sono requisiti imprescindibili.

Comprendere i risultati delle politiche DMARC

Le politiche DMARC definiscono il modo in cui i provider di caselle di posta elettronica devono gestire le e-mail che non superano i controlli di autenticazione. Questi risultati vengono riportati nei rapporti aggregati come esito finale per ciascuna fonte di invio.

Queste politiche gestiscono l'esposizione al rischio, non l'invio nella posta in arrivo. Esse determinano cosa succede alle e-mail non autenticate, non se quelle autenticate arrivino nella posta in arrivo.

Le politiche DMARC riducono il rischio di spoofing e di uso non autorizzato del tuo dominio. Di per sé, però, non migliorano il coinvolgimento, la reputazione del mittente né la consegna nella posta in arrivo.

L'autenticazione garantisce la legittimità. La recapitabilità dipende dalla reputazione e dal comportamento nel tempo.

Come distinguere i mittenti legittimi dagli abusi

Una volta compresi i risultati dell'autenticazione, il passo successivo consiste nel decidere quali fonti di invio sono affidabili e quali richiedono invece maggiore attenzione.

Questa valutazione raramente si basa su un singolo segnale. Gli indirizzi IP sconosciuti o i singoli errori di autenticazione non costituiscono, di per sé, un indicatore di abuso. L'affidabilità si determina attraverso modelli osservati nel tempo, in particolare quando si riscontrano volume e ripetizione.

Come classificare ciascuna fonte di invio

Un buon metodo per analizzare i rapporti DMARC consiste nell'assegnare a ogni riga una delle tre categorie.

Questa semplice classificazione garantisce l'efficienza del controllo DMARC ed evita modifiche superflue che potrebbero compromettere il flusso di posta elettronica legittima.

Modelli comuni di errore DMARC

I rapporti aggregati DMARC tendono a mostrare le stesse combinazioni di risultati di autenticazione nel corso del tempo. Queste combinazioni sono utili perché indicano cause probabili, non certe.

I provider di caselle di posta valutano l'autenticazione in modi leggermente diversi e i percorsi di invio possono variare a seconda degli inoltri, dei gateway e degli strumenti utilizzati. Gli schemi riportati di seguito vanno considerati come indicazioni diagnostiche, non come conclusioni definitive.

• SPF superato, DKIM fallito
  Spesso il DKIM è mancante o non allineato.
  
  
• DKIM superato, SPF fallito
  Situazione comune in caso di inoltro o infrastrutture condivise. Di solito è accettabile.
  
  
• SPF non superato, DKIM non superato
  Modello ad alto rischio. Indica spoofing o configurazione errata.
  
• 
  Un passaggio, ma errore DMARC
  Problema di allineamento tra l'autenticazione e il dominio "Da".

Come risolvere i problemi segnalati dai rapporti DMARC

I rapporti DMARC indicano con precisione i problemi di configurazione della posta elettronica. Risolvi prima i problemi più gravi, poi affronta gli altri passo dopo passo.

• Autorizza gli strumenti di posta elettronica legittimi: aggiungi tutti gli strumenti che utilizzi (Outlook, piattaforme di marketing) all'elenco dei mittenti autorizzati. In questo modo eviterai gli errori relativi ai "mittenti non autorizzati".
• Attiva DKIM per tutte le e-mail: DKIM aggiunge una firma digitale per dimostrare che le e-mail provengono da te e non sono state modificate. Attivalo su tutti i dispositivi da cui invii e-mail.
• Semplifica i tuoi record SPF: mantieni l'elenco dei mittenti approvati breve e aggiornato. Troppe voci creano confusione nei sistemi di posta elettronica. Elimina gli strumenti obsoleti o inutilizzati.
• Blocca le fonti di posta indesiderata: blocca i mittenti fraudolenti che si spacciano per la tua azienda. Concentrati sugli indirizzi IP sconosciuti che inviano molti messaggi.
• Verifica i risultati dopo le modifiche: monitora i report per 7-14 giorni. Una volta risolti i problemi, si noterà una diminuzione del numero di errori e un aumento della percentuale di operazioni andate a buon fine.

Inizia dai problemi più grandi

Come stabilire le priorità dei problemi?

I rapporti DMARC arrivano ogni giorno. Non tutti i problemi richiedono un intervento immediato. Osserva l'andamento nel corso di diversi giorni per distinguere le variazioni normali dai problemi più gravi.

Dall'autenticazione al posizionamento nella posta in arrivo

Il DMARC attesta la legittimità. Non garantisce la fiducia.

I provider di caselle di posta elettronica, in definitiva, premiano comportamenti quali un coinvolgimento positivo degli utenti, la costanza e la reputazione nel tempo. È proprio qui che molti team si bloccano: risolvono i problemi di autenticazione, vedono che tutto funziona correttamente, eppure continuano a ricevere spam.

C'era da aspettarselo.

L'autenticazione elimina gli ostacoli. La reputazione determina i risultati.

MailReach integra DMARC occupandosi degli aspetti su cui DMARC non può intervenire. email warmup graduale email warmup segnali di coinvolgimento che insegnano a Google e Microsoft a fidarsi del tuo comportamento di invio. I test antispam individuano i rischi legati ai contenuti e alla formattazione prima che possano danneggiare la reputazione. Il monitoraggio continuo garantisce che eventuali problemi tecnici non compromettano silenziosamente la deliverability.

DMARC spiana la strada. MailReach crea quel clima di fiducia che fa sì che le e-mail vengano lette e ricevano una risposta.

Inizia a costruirti una reputazione come mittente che ispiri fiducia nelle caselle di posta. Usa MailReach per preparare i tuoi account e-mail, verificare l'arrivo dei messaggi nella casella di posta e garantire la consegna.