---
title: "Migliora la sicurezza delle email con un record DMARC"
description: "Questa guida ti mostra come funziona DMARC e come configurarlo per il tuo servizio di posta"
url: https://docs.ovhcloud.com/it/guides/web-cloud/domains/dns-zone-dmarc
lang: it
lastUpdated: 2026-02-10
---
# Migliora la sicurezza delle email con un record DMARC
## Obiettivo
Il record **D**omain-based **M**essage **A**uthentication, **R**eporting, and **C**onformance (DMARC) è un meccanismo di sicurezza e-mail. Si basa sui risultati delle verifiche [SPF](/it/guides/web-cloud/domains/dns-zone-spf.md) e [DKIM](/it/guides/web-cloud/domains/dns-zone-dkim.md).
**Come funziona DMARC e come configurarlo per il tuo servizio di posta elettronica.**
:::warning
OVHcloud propone servizi di cui l’utente è responsabile per la configurazione e la gestione. Garantirne quotidianamente il corretto funzionamento è quindi responsabilità dell’utente.
Questa guida ti aiuta a realizzare le operazioni più ricorrenti. Tuttavia, in caso di difficoltà o dubbi, ti consigliamo di contattare un [fornitore specializzato](https://partner.ovhcloud.com/it/directory/). OVHcloud non potrà fornirti alcuna assistenza. Per maggiori informazioni consulta la sezione ["Per saperne di più"](#go-further) di questa guida.
:::
## Prerequisiti
- Uno dei meccanismi di autenticazione, [SPF](/it/guides/web-cloud/domains/dns-zone-spf.md) e/o [DKIM](/it/guides/web-cloud/domains/dns-zone-dkim.md) deve essere configurato nella zona DNS del nome di dominio del servizio di posta.
***
### Accesso allo Spazio Cliente OVHcloud
- **Link diretto:** Zone DNS
- **Percorso di navigazione:** Web Cloud > Zone DNS > Seleziona il tuo nome di dominio
***
## Procedura
Il DMARC permette all'intestatario di un nome di dominio di gestire la sicurezza delle email emesse con il suo nome di dominio. Il suo obiettivo è:
- Dichiarare al server ricevente le azioni da effettuare in caso di malfunzionamento dei meccanismi di autenticazione SPF e/o DKIM.
- Controllare meglio l'utilizzo del nome di dominio e rilevare i tentativi di furto tramite i report inviati in caso di mancata autenticazione delle email. Inoltre, migliora la sicurezza creando un collegamento tra i protocolli SPF e DKIM.
Il record DMARC contiene informazioni sulle policy per le email dannose che tentano di falsificare il tuo nome di dominio.
DMARC interroga i meccanismi di autenticazione [SPF](/it/guides/web-cloud/domains/dns-zone-spf.md)
e [DKIM](/it/guides/web-cloud/domains/dns-zone-dkim.md)
per verificare le email in arrivo.
Il risultato di questi controlli SPF e/o DKIM viene tradotto da DMARC in "elementi di azione" quando un'e-mail non supera i controlli. Queste misure possono includere la messa in quarantena o il rifiuto delle e-mail interessate.
### Come agisce il DMARC? [](#)
Ecco un esempio per comprendere meglio come funziona il DMARC.
Quando l'indirizzo **[contact@mydomain.ovh](mailto:contact@mydomain.ovh)** invia una email verso l'indirizzo di destinazione **[recipient@otherdomain.ovh](mailto:recipient@otherdomain.ovh)**, il server ricevente interroga la zona DNS del nome di dominio emittente **mydomain.ovh** per leggere le istruzioni del record DMARC.
Il record DMARC comunica la politica da adottare in funzione dei risultati dei test SPF e DKIM. Può inoltre indicare uno o più indirizzi email (rappresentati nel nostro esempio dall’indirizzo **[report@mydomain.ovh](mailto:report@mydomain.ovh)**) che servono a ricevere le notifiche di errori inviati dal nome di dominio **mydomain.ovh**.
Una volta lette le istruzioni del record DMARC del nome di dominio **mydomain.ovh** dal server di posta in arrivo di **"otherdomain.ovh"**, le email saranno consegnate verso l'indirizzo **[recipient@otherdomain.ovh](mailto:recipient@otherdomain.ovh)**, contrassegnate come "SPAM" o rifiutate.
### Configura il DMARC
Esistono due modi per configurare il DMARC nella zona DNS di OVHcloud:
- Tramite [lo strumento di configurazione DMARC](#dmarc-record). Questo record permette una configurazione semplificata del DMARC. Completa i campi con i parametri DMARC necessari alla tua configurazione. Questo record viene letto come un record TXT dai server DNS.
- Tramite un [record TXT](#txt-record). Questo record standard può essere utilizzato nell’ambito della configurazione del DMARC dallo Spazio Cliente OVHcloud. Ti permette di integrare tutti i tag di configurazione DMARC, compresi quelli mancanti tramite il record DMARC OVHcloud. È tuttavia necessario rispettare le regole di sintassi del protocollo DMARC.
#### Record DMARC [](#)
Il record DMARC può essere aggiunto alla zona DNS dallo Spazio Cliente OVHcloud. Per farlo, accedi allo Spazio Cliente OVHcloud
e seleziona la sezione `Web Cloud
`. Nella colonna di sinistra, seleziona il nome di dominio nella sezione `Domini
` e clicca sulla scheda `Zona DNS
` per accedere alla zona DNS.
Una volta visualizzata la zona DNS, clicca sul pulsante `Aggiungi un record
` e poi su "Record email" `DMARC
`.
- **Sottodominio**: questa voce deve **obbligatoriamente iniziare con** `_dmarc`. Se si applica il DMARC a tutto il nome di dominio, non inserire altro che `_dmarc` in questa casella. Se definisci il tuo DMARC in un sottodominio del tuo nome di dominio principale, aggiungi il tuo sottodominio dopo `_dmarc`. Ad esempio, se vuoi applicare il DMARC a un sottodominio _subdomain.mydomain.ovh_, è necessario inserire `_dmarc.subdomain` nella casella "sottodominio" per il nome di dominio _mydomain.ovh_.
Di seguito trovi la descrizione completa dei tag utilizzati per **la registrazione DMARC** OVHcloud:
- **Versione (v=)**: campo obbligatorio che determina la versione del protocollo DMARC.
- **Regola per il nome di dominio (p=)**: policy che deve essere adottata dal destinatario su richiesta dell'intestatario del nome di dominio del mittente. Il criterio viene applicato al nome di dominio richiesto e ai sottodomini, a meno che il tag sottodominio **sp=** non indichi istruzioni diverse. I valori possibili sono:
- _none_ : l'intestatario del nome di dominio non richiede alcuna azione specifica riguardante la consegna dei messaggi.
- _quarantine_: in caso di fallimento della verifica del meccanismo DMARC, le email devono essere considerate sospette dai destinatari. In base alla capacità del server ricevente, ciò può significare "inserire nella cartella spam" e/o "segnalare come sospetto".
- _reject_: rifiuto delle email che non superano la verifica del meccanismo DMARC.
:::warning
L’impostazione del parametro `p=` può avere un impatto importante sull’evasione delle email del nome di dominio. È consigliabile configurare `p=none` ed eseguire un'analisi dei rapporti di errore per diverse settimane, per correggere eventuali anomalie. L’upgrade a `p=quarantine` o `p=reject` richiede il pieno controllo delle impostazioni di sicurezza email relative a [SPF](/it/guides/web-cloud/domains/dns-zone-spf.md) e [DKIM](/it/guides/web-cloud/domains/dns-zone-dkim.md). L’uso del fattore `pct=`, presentato di seguito, consente una transizione graduale.
:::
- **Percentuale di messaggi filtrati (pct=)** (valore compreso tra 0 e 100, valore predefinito 100): percentuale del flusso di messaggi a cui applicare la politica DMARC. Lo scopo del tag pct è consentire ai proprietari di nomi di dominio di adottare un'implementazione lenta del meccanismo DMARC.
- **URI rapporto globale (rua=)**: indirizzi a cui inviare i rapporti (elenco in testo normale separato da virgole). È possibile specificare qualsiasi URI valido. La dicitura "mailto:" deve precedere il destinatario email (esempio: `mailto:address@example.com`).
- **Regola per i sottodomini (sp=)**: criterio che deve essere adottato dal destinatario per tutti i sottodomini. Si applica solo ai sottodomini del nome di dominio richiesto e non al nome di dominio stesso. La sua sintassi è identica a quella del tag "p" definito sopra. Se il tag non è presente, per i sottodomini viene applicato il criterio specificato dal tag "p".
- **Modalità di allineamento SPF (aspf=)** (il valore predefinito è `r`): indica la modalità di allineamento SPF. I valori sono i seguenti:
- `r`(relaxed) per la modalità flessibile: le email possono essere, ad esempio, inviate da un sottodominio del nome di dominio dichiarato. Parliamo di allineamento parziale.
- `s`(strict) per la modalità strict: le email devono essere inviate dal nome di dominio dichiarato e solo da questo. Il risultato è quindi "allineato".
:::info
Per i meccanismi di autenticazione SPF e DKIM, l'**allineamento** fa riferimento alla corrispondenza tra il nome di dominio (e/o la firma del nome di dominio) utilizzato durante l'invio **e** il nome di dominio registrato in questi meccanismi.
**Esempi**
- **Allineato**: quando l’indirizzo _[john.smith@mydomain.ovh](mailto:john.smith@mydomain.ovh)_ trasmette un messaggio dal servizio email associato al nome di dominio _mydomain.ovh_ e i meccanismi di autenticazione SPF e DKIM sono stati configurati, si ottiene un risultato allineato.
- **Allineamento parziale**: quando l’indirizzo _[john.smith@subdomain.mydomain.ovh](mailto:john.smith@subdomain.mydomain.ovh)_ trasmette un messaggio dal servizio email associato al nome di dominio _mydomain.ovh_, ma i meccanismi di autenticazione SPF e DKIM sono stati configurati esclusivamente sul nome di dominio principale (ad esempio _mydomain.ovh_), si ottiene un risultato parzialmente allineato.
- **Meccanismi di autenticazione** non riusciti: il mittente tenta di inviare un’email come _[john.smith@mydomain.ovh](mailto:john.smith@mydomain.ovh)_ passando per un altro indirizzo (come _[robert@example.com](mailto:robert@example.com)_) o utilizzando un servizio di invio email non elencato nel record SPF. In questo caso, i meccanismi di autenticazione SPF e DKIM restituiscono un errore come risultato.
:::
#### Record TXT [](#)
È possibile aggiungere il record TXT alla zona DNS dallo Spazio Cliente OVHcloud
, sezione `Web Cloud
`. Clicca su `Domini
` e poi seleziona il nome di dominio interessato. e clicca sulla scheda `Zona DNS
`.
Una volta visualizzata la zona DNS, clicca sul pulsante `Aggiungi un record
` e poi su "Record estesi" `TXT
`.
- **Sottodominio**: questa voce deve **obbligatoriamente iniziare con** `_dmarc`. Se si applica il DMARC a tutto il nome di dominio, non inserire altro che `_dmarc` in questa casella. Se definisci il tuo DMARC in un sottodominio del tuo nome di dominio principale, aggiungi il tuo sottodominio dopo `_dmarc`. Ad esempio, se vuoi applicare il DMARC a un sottodominio _subdomain.mydomain.ovh_, è necessario inserire `_dmarc.subdomain` nella casella "sottodominio" per il nome di dominio _mydomain.ovh_
Di seguito è riportato un elenco dei tag utilizzati per creare un **record TXT** con le impostazioni DMARC. Questo elenco è complementare ai tag menzionati nella sezione precedente "[Record DMARC](#dmarc-record)".
- **adkim** (il valore predefinito è `r`) : Specifica la modalità di allineamento DKIM. I valori sono i seguenti:
- `r`(relaxed) per la modalità flessibile: le email che non superano l’autenticazione DKIM vengono contrassegnate come "indesiderate" dal server ricevente.
- `s`(strict) per la modalità strict: le email che non superano l'autenticazione DKIM vengono rifiutate dal server di destinazione.
- **ruf** (elenco in testo normale separato da virgole): indirizzi a cui devono essere segnalate le informazioni specifiche sull'errore del messaggio. Se questo tag è presente, l'intestatario del nome di dominio di invio richiede ai destinatari di inviare rapporti dettagliati sugli errori dei messaggi di posta elettronica che non superano la valutazione DMARC in modo specifico (vedere il tag `fo` di seguito). Il formato del messaggio da generare deve essere il formato specificato per il tag `rf`. La dicitura "mailto:" deve precedere il destinatario email (esempio: `mailto:address@example.com`).
- **fo** (testo normale; il valore di default è `0`) - Opzioni rapporto errori dettagliato. I compilatori di rapporti possono scegliere di rispettare le opzioni richieste. Il contenuto di questo tag deve essere ignorato se non si specifica anche un tag `ruf` (sopra). Il valore di questo tag è un elenco di caratteri separati da due punti (`:`) che indicano le seguenti opzioni di relazione di errore:
- **0**: genera un rapporto di errore DMARC se tutti i meccanismi di autenticazione (DKIM **ET** SPF) non riescono a produrre un risultato "pass" allineato.
- **1**: genera un rapporto di errore DMARC se un meccanismo di autenticazione (DKIM **O** SPF) produce qualcosa di diverso da un risultato allineato di successo.
- **d** - Genera un rapporto di errore DKIM se il meccanismo di autenticazione DKIM ha esito negativo, indipendentemente dall'allineamento.
- **s** - Genera un rapporto di errore SPF se il meccanismo di autenticazione SPF ha esito negativo, indipendentemente dall'allineamento.
- **rf** (valori di testo normale separati da virgole; il valore predefinito è `afrf`): questo tag indica il tipo di formato previsto per i report che forniscono dettagli specifici sugli errori di autenticazione dei messaggi. Al momento è supportato solo `afrf` (Auth Failure Reporting Format).
- **ri** (valore predefinito: 86400, numero intero senza segno a 32 bit in testo normale): intervallo richiesto, in secondi, tra i rapporti aggregati. Questo tag specifica la frequenza con cui i destinatari di posta elettronica devono generare rapporti aggregati sui risultati di valutazione DMARC per il nome di dominio in questione.
#### Esempi di record [](#)
:::warning
Nei nostri 2 esempi, il parametro `p=`viene utilizzato nella sua forma restrittiva per illustrare il comportamento di un servizio di posta elettronica in questo caso.
L’impostazione del parametro `p=` può avere un impatto importante sull’evasione delle email del nome di dominio. Si consiglia di configurare `p=none` ed eseguire un'analisi dei rapporti di errore per diverse settimane, per correggere eventuali anomalie. L’upgrade a `p=quarantine` o `p=reject` richiede il pieno controllo delle impostazioni di sicurezza email relative a [SPF](/it/guides/web-cloud/domains/dns-zone-spf.md) e [DKIM](/it/guides/web-cloud/domains/dns-zone-dkim.md). L’uso del fattore `pct=`, presentato di seguito, consente una transizione graduale.
:::
##### Primo esempio
Per illustrare questo primo esempio, abbiamo utilizzato il [record DMARC](#dmarc-record) nella zona DNS e gli abbiamo applicato le seguenti impostazioni:
Otteniamo il seguente risultato:
```
"v=DMARC1;p=quarantine;pct=100;rua=mailto:report@mydomain.ovh;aspf=s;"
```
Tutte le email inviate (**pct=100**) vengono gestite dai meccanismi di autenticazione SPF e/o DKIM. Le email che non superano il test SPF vengono automaticamente rifiutate perché "**aspf=s**" (meccanismo SPF in modalità strict). Una segnalazione degli errori relativi all’esito negativo dei meccanismi di autenticazione SPF e/o DKIM viene inviata all’indirizzo `report@mydomain.ovh` (**rua=mailto:[report@mydomain.ovh](mailto:report@mydomain.ovh)**).
##### Secondo esempio
In questo secondo esempio, è stato utilizzato un [record TXT](#txt-record) per utilizzare tag non disponibili nel [record DMARC](#dmarc-record) semplificato.
Otteniamo il seguente risultato:
```
"v=DMARC1; p=quarantine; pct=100; ruf=mailto:report@mydomain.ovh; fo=0; adkim=r; aspf=s; adkim=r; ri=86400"
```
- **p=quarantine**: le email che non superano i test DMARC vengono trattate come "sospette".
- **pct=100**: la politica DMARC si applica al 50% dei messaggi provenienti dal flusso di posta elettronica dell'intestatario del nome di dominio.
- **ruf=mailto:[report@mydomain.ovh](mailto:report@mydomain.ovh)**: indirizzo e-mail al quale devono essere inviate le notifiche di errore dettagliate utilizzando l'argomento "mailto".
- **fo=0**: opzioni per la generazione di rapporti di errore. Il valore "0" indica che i rapporti di errore DMARC devono essere generati solo se i meccanismi di autenticazione SPF e DKIM non riescono a produrre un risultato allineato "pass".
- **adkim=r**: la modalità di allineamento dell'identificativo DKIM richiesta dall'intestatario del dominio è "relaxed" (modalità flessibile). In questa modalità, DKIM deve fornire una firma valida e l'identificativo dell'intestazione "From" può essere parzialmente allineato.
- **aspf=s** - La modalità di allineamento dell'identificativo SPF richiesto è "strict". L'identificativo SPF del nome di dominio allineato deve corrispondere esattamente all'indirizzo IP che invia il messaggio.
- **adkim=r**: la modalità di allineamento dell’identificativo DKIM richiesta dall'intestatario del nome di dominio è "relaxed" (modalità flessibile). In questa modalità DKIM deve fornire una firma valida e l'identificativo dell'intestazione "From" può essere parzialmente allineato.
- **ri=86400** - Imposta l'intervallo richiesto tra i rapporti aggregati, in secondi. In questo caso, il report aggregato deve essere generato almeno una volta ogni 86400 secondi (cioè una volta al giorno).
## Per saperne di più [](#)
Per prestazioni specializzate (referenziazione, sviluppo, ecc...), contatta i [partner OVHcloud](https://partner.ovhcloud.com/it/directory/).
Per usufruire di un'assistenza per l'utilizzo e la configurazione delle soluzioni OVHcloud, consulta le nostre [offerte di supporto](https://www.ovhcloud.com/it/support-levels/).
Contatta la nostra [Community di utenti](https://community.ovhcloud.com/).