Parliamo di posta elettronica ed, in particolare, della posta elettronica ordinaria e della sua affidabilità. Oggi parliamo dell’attendibilità di un servizio che ogni giorno permette di scambiare miliardi di messaggi in tutto il mondo ed in particolare di tre tecniche di sicurezza basate sui sistemi SPF, DKIM e DMARC.
Ringraziamenti
Da una chiacchierata con l’amica e collega Arianna Crepaldi è nata la voglia di pubblicare un articolo scritto qualche tempo fa in merito alla corretta configurazione dei sistemi di posta elettronica. Con lei ed il collega Gianluca Bilato avevamo avuto modo di constatare la frequente configurazione sbagliata dei servizi di posta elettronica. È quindi giusto precisare alcuni concetti chiave, senza i quali non si riescono a capire i rischi a cui si va incontro. Ringrazio Arianna per avermi spinto a scrivere questo breve articolo.
Introduzione
La posta elettronica rappresenta uno degli strumenti di comunicazione più utilizzati sia in ambito personale che professionale. Tuttavia, la sua popolarità ne ha fatto anche uno dei principali bersagli per attacchi informatici, tra cui lo spoofing, il phishing e altre frodi digitali. Per contrastare tali minacce, sono stati sviluppati protocolli e meccanismi di autenticazione come SPF, DKIM e DMARC. In questo documento vengono spiegati in modo semplice gli scopi e il funzionamento di questi sistemi, nonché i rischi derivanti da una loro mancata o errata configurazione. Prima di cominciare è bene chiarire un concetto chiave: che cosa è lo spoofing in posta elettronica.
Che cosa è lo spoofing in posta elettronica
Lo spoofing, nella posta elettronica, è una tecnica fraudolenta mediante la quale un attaccante invia e-mail facendo apparire che provengano da un indirizzo legittimo, mentre in realtà sono state inviate da una fonte non autorizzata. Questo consente ai malintenzionati di ingannare i destinatari, favorendo la diffusione di malware, il furto di dati sensibili o l’avvio di campagne di phishing. La prevenzione dello spoofing è quindi fondamentale per la sicurezza informatica. Un mezzo per contrastare questa tecnica fraudolenta è, per l’appunto, ricorrere a sistemi come SPF, DKIM e DMARC.
Che cosa è il sistema Sender Policy Framework (SPF)
SPF, acronimo di Sender Policy Framework, è un protocollo di autenticazione delle e-mail che permette al proprietario di un dominio di specificare quali server sono autorizzati a inviare e-mail per conto di quel dominio. Lo scopo è impedire che mittenti non autorizzati possano inviare messaggi che sembrano provenire da un dominio legittimo.
Il suo funzionamento è piuttosto semplice: il proprietario del dominio pubblica, tramite un record TXT nel DNS, una lista di server autorizzati. Quando un server riceve una e-mail, controlla il record SPF del dominio mittente per verificare se l’IP del server di invio è incluso tra quelli autorizzati. È importante precisare però che SPF non protegge il contenuto dell’e-mail né impedisce la modifica dell’indirizzo “Da:” visualizzato dall’utente, ma è un primo fondamentale filtro contro lo spoofing.
Che cosa è il sistema DomainKey Idetified Mail (DKIM)
DKIM, cioè DomainKeys Identified Mail, è un sistema di autenticazione che utilizza la crittografia a chiave pubblica per firmare digitalmente i messaggi di posta elettronica. In sostanza garantisce che il contenuto dell’e-mail non sia stato alterato durante il transito e che provenga effettivamente dal dominio dichiarato. Il suo funzionamento si basa su una firma digitale che viene apposta al messaggio dal server del mittente, utilizzando una chiave privata. Il destinatario, tramite una chiave pubblica pubblicata nel DNS del dominio mittente, può verificare l’autenticità della firma e l’integrità del messaggio. Oltre a contrastare lo spoofing, DKIM protegge dalla manipolazione dei messaggi e favorisce ad incrementare la reputazione del dominio.
Che cosa è il sistema Domain-based Message Authentication, Reporting & Conformance (DMARC)
DMARC, ovvero Domain-based Message Authentication, Reporting & Conformance, è un protocollo che integra e potenzia SPF e DKIM, offrendo un approccio unificato all’autenticazione delle e-mail. Il sistema fornisce ai proprietari dei domini un modo per indicare ai server destinatari come gestire i messaggi che falliscono i controlli SPF e/o DKIM.
Il funzionamento del DMARC è leggermente più complesso: attraverso un record DNS, il dominio mittente specifica la politica (nell’immagine “p”) da applicare (es. quarantena, rifiuto o nessuna azione) e richiede report sui tentativi di invio non autorizzati. DMARC richiede che l’indirizzo nel campo “Da:” corrisponda al dominio autenticato da SPF e/o DKIM (allineamento). In questo modo DMARC permette di bloccare in modo efficace le e-mail fraudolente, migliorando la sicurezza e permettendo ai domini di ricevere feedback sulle attività sospette.
Cosa succede se questi sistemi non sono configurati correttamente
In assenza di una corretta configurazione di SPF, DKIM e DMARC, il dominio di posta elettronica risulta estremamente vulnerabile a diversi tipi di attacchi, tra cui:
- Spoofing diretto: un attaccante può inviare e-mail falsificando l’indirizzo mittente, facendo credere al destinatario che provengano da una fonte affidabile.
- Phishing avanzato: Le e-mail possono contenere link malevoli o richieste fraudolente, sfruttando la fiducia che il destinatario ripone nel dominio mittente.
- Diffusione di malware: e-mail apparentemente legittime possono veicolare allegati pericolosi, facilitando infezioni e furti di dati.
Senza SPF, i server di ricezione non sono in grado di distinguere tra mittenti autorizzati e non autorizzati. Senza DKIM, è possibile modificare il contenuto delle e-mail senza che il destinatario se ne accorga. Senza DMARC, non esiste una politica chiara su come gestire i messaggi sospetti, e i proprietari dei domini non ricevono segnalazioni sugli abusi. In altre parole, la mancata implementazione di questi protocolli equivale a lasciare la porta aperta ai malintenzionati.
Conclusioni
La configurazione corretta di SPF, DKIM e DMARC rappresenta una best practice imprescindibile per qualsiasi organizzazione che voglia proteggere la propria reputazione digitale e la sicurezza delle proprie comunicazioni. L’adozione di questi strumenti riduce drasticamente il rischio di attacchi e rafforza la fiducia dei destinatari nelle e-mail ricevute.
