SPF, DKIM e DMARC: Proteggi la Tua Azienda dallo Spoofing Email

Spoofing Email: Il Problema di Cui Nessuno Parla

Ecco qualcosa che la maggior parte degli imprenditori non sa: chiunque puo inviare un'email che sembra provenire dal vostro dominio. Proprio ora, senza alcuna competenza tecnica, un attaccante puo inviare un'email che sembra provenire da ceo@vostraazienda.ch. Il client email del destinatario mostrera il nome della vostra azienda, il vostro dominio e nulla che indichi che il messaggio e falso.

Questo non e un bug. E' cosi che l'email e stata progettata. Il Simple Mail Transfer Protocol (SMTP), creato nel 1982, non include alcun meccanismo integrato per verificare l'identita del mittente. Quando inviate una lettera tramite il sistema postale, potete scrivere qualsiasi indirizzo di ritorno. SMTP funziona allo stesso modo.

Le conseguenze sono gravi. L'FBI IC3 ha riportato che il Business Email Compromise (BEC) ha causato perdite per oltre 2,9 miliardi di dollari solo nel 2023. Quel numero conta solo gli incidenti segnalati negli Stati Uniti. La cifra globale e molto piu alta.

Tre protocolli sono stati sviluppati per colmare questa lacuna: SPF, DKIM e DMARC. Insieme formano un sistema di autenticazione a strati che permette ai server di posta riceventi di verificare che un'email provenga genuinamente da un mittente autorizzato. Se gestite un'azienda a Lugano o ovunque in Svizzera e non avete configurato questi tre record, il vostro dominio e un bersaglio aperto.

Come Funziona Realmente la Consegna Email

Prima di entrare nei protocolli, dovete capire la catena di consegna email:

1. Composizione: Il mittente scrive l'email nel suo client di posta.
2. Invio: Il client si connette al server di posta in uscita (server SMTP) e invia il messaggio.
3. Routing: Il server mittente cerca i record MX del dominio destinatario nel DNS.
4. Consegna: Il server mittente si connette al server ricevente e trasferisce il messaggio via SMTP.
5. Ricezione: Il server ricevente archivia il messaggio nella casella del destinatario.

Il punto critico e il passaggio 4. Durante la conversazione SMTP, il server mittente annuncia un indirizzo "MAIL FROM" (il mittente della busta) e il messaggio stesso contiene un header "From:". Questi due valori possono essere completamente diversi, e nessuno dei due viene verificato per default.

SPF: Sender Policy Framework

Cosa Fa SPF

SPF risponde a una domanda: "Questo server e autorizzato a inviare email per questo dominio?" Pubblicate un record DNS TXT che elenca ogni indirizzo IP e server di posta autorizzato a inviare per conto del vostro dominio.

Configurazione SPF

v=spf1 ip4:203.0.113.0/24 include:_spf.google.com include:sendgrid.net -all

• v=spf1 - Dichiara che questo e un record SPF.
• ip4:203.0.113.0/24 - Autorizza tutti gli IP in questo range.
• include:_spf.google.com - Autorizza i server di Google Workspace.
• include:sendgrid.net - Autorizza i server di SendGrid.
• -all - Rifiuta qualsiasi email da server non elencati sopra.

Il meccanismo -all e fondamentale. Molte configurazioni usano ~all (soft fail) che dice ai server riceventi di accettare l'email ma segnarla come sospetta. Questo e piu debole e dovrebbe essere usato solo durante i test iniziali.

Limiti di SPF

• Valida solo il mittente della busta (MAIL FROM), non l'header From:. Un attaccante puo impostare il mittente della busta al proprio dominio mentre mostra il vostro dominio nell'header From:.
• Si rompe con l'inoltro email. Il server di inoltro invia l'email dal proprio IP, che non sara nel vostro record SPF.
• Limite di 10 ricerche DNS. Ogni meccanismo include: attiva una ricerca DNS. Superare questo limite causa il fallimento della validazione SPF.

DKIM: DomainKeys Identified Mail

Cosa Fa DKIM

DKIM aggiunge una firma crittografica a ogni email in uscita. Il server mittente firma il messaggio con una chiave privata. La chiave pubblica corrispondente e pubblicata come record DNS TXT. Il server ricevente recupera la chiave pubblica, verifica la firma e conferma che l'email non e stata manomessa in transito.

Come Funziona DKIM Tecnicamente

Un header di firma DKIM appare cosi:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=vostraazienda.ch; s=selector1;
  h=from:to:subject:date:message-id;
  bh=base64encodedBodyHash;
  b=base64encodedSignature

Il server ricevente cerca la chiave pubblica su selector1._domainkey.vostraazienda.ch nel DNS. Se la firma e valida, l'email passa DKIM.

Vantaggi di DKIM su SPF

DKIM sopravvive all'inoltro email perche la firma viaggia con il messaggio. Valida anche il contenuto dell'email, non solo il server mittente.

DMARC: Domain-based Message Authentication, Reporting & Conformance

Cosa Fa DMARC

DMARC lega insieme SPF e DKIM e aggiunge un livello di policy. Dice ai server riceventi cosa fare quando un'email fallisce sia i controlli SPF che DKIM. Introduce anche il concetto di "allineamento": il dominio nell'header From: deve corrispondere al dominio validato da SPF o DKIM.

Configurazione del Record DMARC

v=DMARC1; p=reject; rua=mailto:dmarc-reports@vostraazienda.ch; ruf=mailto:dmarc-forensics@vostraazienda.ch; adkim=s; aspf=s; pct=100

• p=reject - Policy: rifiuta le email che falliscono DMARC.
• rua= - Indirizzo per i report aggregati.
• ruf= - Indirizzo per i report forensi.
• adkim=s - Allineamento DKIM rigoroso.
• aspf=s - Allineamento SPF rigoroso.

Il Percorso di Deploy DMARC

1. Monitoraggio (p=none): Iniziate qui. Raccogliete report aggregati per 2-4 settimane.
2. Audit: Revisionate i report. Aggiungete SPF includes e firme DKIM per ogni sorgente legittima.
3. Quarantena (p=quarantine): Le email fallite vanno nella cartella spam.
4. Rifiuto (p=reject): Le email fallite vengono scartate completamente.

Business Email Compromise: Scenari Reali

Lo Schema della Frode CEO

Un dipendente della finanza in un'azienda di medie dimensioni in Ticino riceve un'email che sembra provenire dal CEO. L'email dice: "Ho bisogno che tu processi un bonifico urgente a un nuovo fornitore. E' confidenziale, gestiscilo direttamente." L'indirizzo email mostra il nome del CEO e il dominio aziendale. Il dipendente processa il bonifico. Il denaro va a un conto controllato dall'attaccante.

Questo scenario esatto si verifica centinaia di volte al mese in Europa. Senza DMARC impostato su reject, nulla impedisce a un attaccante di inviare quell'email.

La Truffa del Cambio Coordinate Bancarie

Un attaccante monitora informazioni pubbliche sui fornitori di un'azienda. Invia un'email falsificando il dominio del fornitore: "Le nostre coordinate bancarie sono cambiate. Aggiornate le informazioni di pagamento." Se il fornitore non ha configurato DMARC, l'azienda ricevente non ha modo di rilevare lo spoofing.

Per maggiori informazioni sugli attacchi phishing mirati alle aziende, consultate il nostro articolo sul phishing via email aziendale.

Errori Comuni di Configurazione

Errore 1: SPF con ~all Invece di -all

Usare soft fail invece di hard fail non fornisce protezione reale. La maggior parte dei provider email moderni ignora il soft fail.

Errore 2: Superare il Limite di 10 Ricerche SPF

Ogni include: attiva una ricerca DNS. Se usate Google Workspace, SendGrid, Mailchimp, HubSpot e Salesforce, potreste gia essere al limite.

Errore 3: DMARC a p=none Permanentemente

Questo fornisce zero protezione contro lo spoofing. Genera solo report.

Errore 4: Dimenticare i Mittenti di Terze Parti

La vostra azienda probabilmente invia email da piu posti di quanto pensiate: provider email principale, piattaforma marketing, CRM, sistema ticketing, servizio email transazionale, server web.

Errore 5: Non Monitorare i Report DMARC

Usate un servizio di reporting DMARC per analizzare e visualizzare i dati. Senza monitoraggio, non saprete se email legittime vengono bloccate.

Guida alla Configurazione Passo-Passo

Passo 1: Inventario di Tutti i Mittenti Email

Elencate ogni sistema che invia email usando il vostro dominio.

Passo 2: Configurate SPF

v=spf1 include:_spf.google.com include:sendgrid.net ip4:VOSTRO.SERVER.IP -all

Passo 3: Configurate DKIM per Ogni Mittente

Ogni servizio fornira una chiave pubblica da pubblicare nel DNS.

Passo 4: Deploy DMARC in Modalita Monitor

v=DMARC1; p=none; rua=mailto:dmarc@vostraazienda.ch; pct=100

Passo 5: Correggete i Fallimenti di Autenticazione

I report riveleranno i mittenti legittimi che falliscono SPF o DKIM.

Passo 6: Passate a Quarantena, poi Reject

v=DMARC1; p=reject; rua=mailto:dmarc@vostraazienda.ch; adkim=s; aspf=s; pct=100

Conclusione

L'autenticazione email non e opzionale nel 2025. Se il vostro dominio non ha SPF, DKIM e DMARC configurati con una policy di enforcement, state attivamente permettendo agli attaccanti di impersonare la vostra azienda. La configurazione richiede poche ore e non costa nulla oltre al tempo investito.

Se non siete sicuri dello stato attuale della vostra autenticazione email o avete bisogno di aiuto per configurare questi protocolli, contattate il nostro team. Possiamo verificare i vostri record DNS, identificare le lacune e implementare una catena di autenticazione completa.