Comprendere l'autenticazione dell'email e lo spoofing del dominio: SPF, DKIM e DMARC

La tua azienda è un bersaglio per gli attacchi di phishing e spoofing. Se la tua email non è autenticata, i malintenzionati possono facilmente impersonare il tuo dominio. Senza autenticazione, chiunque su Internet può inviare un'email fingendo di essere te.

Prova Proton Mail gratis per 14 giorni Richiedi una demo

Cosa significa autenticazione dell'email?

L'autenticazione dell'email è un insieme di standard tecnici che verificano che il mittente di un'email sia chi dichiara di essere. È stato sviluppato perché il protocollo e-mail originale (Simple Mail Transfer Protocol, o SMTP) non dispone di una funzionalità integrata per impedire la falsificazione dell'indirizzo del mittente.

Per comprendere l'autenticazione, è utile sapere che un'email ha due indirizzi del mittente:

1. Il mittente della busta (RFC 5321)

Noto anche come indirizzo MAIL FROM, mittente P1 o return-path, questo è l'indirizzo tecnico utilizzato dai server di posta dietro le quinte per il routing e la consegna.

Scopo: indica al server di ricezione dove inviare messaggi automatici, come le notifiche di mancata consegna o i rapporti di mancato recapito (NDR).
Visibilità: i destinatari in genere non vedono mai questo indirizzo nel proprio client di posta; fa parte della "busta" nascosta del messaggio.
Ruolo di sicurezza: questo è l'indirizzo verificato da SPF.

2. Il mittente dell'intestazione (RFC 5322)

Noto anche come indirizzo Da: o mittente P2, questo è l'indirizzo visibile nella tua posta in arrivo (ad es. Da: your-bank@example.com).

Scopo: questo è l'indirizzo "amichevole" pensato per l'interazione umana, che informa il destinatario da chi sembra provenire il messaggio.
Visibilità: questo è l'unico indirizzo che la maggior parte degli utenti vede quando apre la propria posta in arrivo.
Ruolo di sicurezza: questo indirizzo è quello più comunemente falsificato dai malintenzionati ed è l'obiettivo principale dei controlli di allineamento DMARC.

Questa struttura rende semplice lo spoofing dell'email (la falsificazione dell'indirizzo Da:). Un malintenzionato può utilizzare un mittente della busta valido sotto il suo controllo per superare i controlli di base del server, mentre utilizza un mittente dell'intestazione fraudolento per ingannare il destinatario. I protocolli di autenticazione dell'email come DMARC risolvono questo problema richiedendo l'allineamento dei domini di questi due mittenti.

Perché l'autenticazione dell'email è essenziale per le aziende?

Per le aziende, implementare l'autenticazione dell'email è una difesa imprescindibile. Ti permette di:

Bloccare lo spoofing e il phishing: impedisce ai malintenzionati di inviare email fraudolente dal tuo dominio.

Proteggere la reputazione del tuo brand: evita che il tuo brand venga associato a spam e truffe di phishing.

Migliorare la recapitabilità delle email: segnala agli altri provider di posta che sei un mittente legittimo, evitando che le tue email finiscano nella cartella dello spam.

I 3 metodi principali di autenticazione dell'email

Una solida difesa si basa su tre standard che lavorano insieme: SPF, DKIM e DMARC. Ciascuno di essi si basa sul precedente per creare una difesa multilivello.

1. Sender Policy Framework (SPF)

Il Sender Policy Framework (SPF) è un elenco pubblico di tutti i server (tramite indirizzo IP) autorizzati a inviare email per il tuo dominio.

Come funziona

Pubblichi questo elenco come record TXT DNS per il tuo dominio. Quando un server di posta ricevente ottiene un messaggio, confronta l'IP del server di invio con quell'elenco. Se l'IP è presente nell'elenco, il messaggio supera il controllo SPF; in caso contrario, non lo supera.

Il punto debole

L'SPF verifica solo l'indirizzo di invio tecnico utilizzato dai server di posta, non l'indirizzo Da: visibile che le persone vedono nella loro posta in arrivo. Questa lacuna consente a chi pratica lo spoofing di superare i controlli SPF. Poiché l'SPF è un protocollo basato sul percorso, spesso fallisce anche quando un'email viene inoltrata tramite una mailing list o un server partner. Poiché il server di inoltro non è presente nel tuo elenco autorizzato, il controllo fallisce.

2. DomainKeys Identified Mail (DKIM)

Il DomainKeys Identified Mail (DKIM) aggiunge una firma digitale univoca e a prova di manomissione al contenuto del messaggio, inclusa l'intestazione Da:.

Come funziona

Questa firma viene creata utilizzando una chiave privata che solo il tuo server conosce. La chiave pubblica corrispondente viene pubblicata nel tuo DNS. I server riceventi utilizzano questa chiave pubblica per verificare la firma. Se è valida, dimostra che l'email proviene dal tuo dominio e che il suo contenuto non è stato modificato durante il transito.

Il punto debole

Come l'SPF, il DKIM non impedisce intrinsecamente lo spoofing. La firma dimostra che il messaggio è autentico per il dominio che l'ha inviato, non necessariamente per il dominio mostrato nell'indirizzo Da:.

3. Domain-based Message Authentication, Reporting, and Conformance (DMARC)

Il Domain-based Message Authentication, Reporting, and Conformance (DMARC) è la policy che unisce SPF e DKIM. Il DMARC è la regola che indica ai server di posta di considerare attendibili le email solo se l'indirizzo Da: che vedi corrisponde ai controlli di autenticazione che avvengono dietro le quinte. Elimina la scappatoia che i malintenzionati sfruttano usando solo l'SPF o il DKIM.

Come funziona

Il DMARC richiede che il dominio nell'indirizzo Da: visibile corrisponda al dominio utilizzato nel controllo SPF o DKIM superato. Questo passaggio fondamentale collega l'indirizzo del mittente visibile alla verifica tecnica.

Indica anche ai server cosa fare: la tua policy DMARC (p) istruisce i server riceventi su come gestire i controlli falliti:

p=none (Monitor): Nessuna azione. Invia solo report per farti sapere chi sta inviando email dal tuo dominio.
p=quarantine (Quarantine): invia le email che non superano i controlli nella cartella spam.
p=reject (Reject): blocca completamente le email che non superano i controlli.

Proteggi la tua azienda dal phishing e dallo spoofing del dominio

Oltre il 90% di tutte le violazioni dei dati inizia con un attacco di phishing o spoofing. Implementare SPF, DKIM e DMARC è la tua prima linea di difesa, ma deve essere abbinata a un provider di posta sicuro per impostazione predefinita.

Proton Mail for Business è progettato per bloccare queste minacce ancora prima che raggiungano il tuo team. Il nostro rilevamento anti-spoofing avanzato, la tecnologia PhishGuard e la crittografia end-to-end offrono una difesa completa e semplice da gestire.

Prova Proton Mail gratis per 14 giorni Richiedi una demo

Come configurare l'autenticazione delle email (passo dopo passo)

Proteggere il tuo dominio comporta l'aggiunta di alcuni record alle impostazioni del Domain Name System (DNS), che viene gestito dal tuo registrar di domini (come GoDaddy, Namecheap o Cloudflare).

Fase 1

Crea il tuo record SPF

Per prima cosa, identifica tutti i servizi che usi per inviare email (ad esempio, il tuo provider di posta, un servizio di newsletter come Mailchimp o un CRM). Il tuo record SPF deve includerli tutti. Ad esempio, il record SPF di Proton Mail è v=spf1 include:_spf.proton.me mx ~all. Dovrai aggiungere questo record come record TXT nelle tue impostazioni DNS.

Fase 2

Configura la tua firma DKIM

Nel pannello di amministrazione del tuo account Proton Mail (o di un altro provider), vai alle impostazioni del dominio. Il sistema genererà una chiave DKIM univoca per te. Il processo di configurazione del DKIM in Microsoft 365, Google Workspace o Proton è simile: copi la chiave generata e crei un nuovo record TXT nel tuo DNS come indicato.

Fase 3

Implementa la tua policy DMARC

L'aggiunta della policy DMARC (p) è l'ultimo passaggio. Dovrebbe essere implementata gradualmente per evitare di bloccare le tue stesse email legittime:

Inizia con p=none: crea un record DMARC con una policy impostata su p=none. Questa modalità di monitoraggio ti consente di ricevere report sui fallimenti delle email senza influire sulla consegna della posta.
Analizza i report: usa i report DMARC per individuare eventuali servizi legittimi che non superano i controlli e aggiungili ai tuoi record SPF e DKIM.
Passa a p=quarantine: una volta che sarai sicuro, modifica la tua policy in p=quarantine. In questo modo, le email che non superano i controlli verranno inviate alla cartella spam.
Passa a p=reject: dopo un ulteriore monitoraggio, passa a p=reject per bloccare la consegna di tutte le email fraudolente.

Per istruzioni dettagliate sulla configurazione, inclusi screenshot e valori dei record, consulta la guida di supporto.

Oltre le basi: ARC e BIMI

Una volta configurati SPF, DKIM e DMARC, ci sono due standard opzionali che possono offrire un valore aggiunto:

Authenticated Received Chain (ARC)

Mantiene intatti i risultati dell'autenticazione quando le email vengono inoltrate (ad esempio tramite mailing list), un'operazione che spesso compromette l'SPF o il DKIM.

Brand Indicators for Message Identification (BIMI)

Consente di mostrare il logo ufficiale della tua azienda accanto alle tue email nelle caselle di posta in arrivo supportate. Puoi pensarlo come una "spunta di verifica" per le email. Per poterne usufruire, è necessaria una policy DMARC rigorosa (quarantine o reject).

In che modo Proton Mail protegge le tue email aziendali

Configurare l'autenticazione delle email è fondamentale, ma è solo una parte di una strategia di sicurezza completa. Proton Mail aggiunge ulteriori livelli di protezione per proteggere la tua azienda dalle minacce avanzate.

Rilevamento anti-spoofing avanzato

Proton Mail controlla automaticamente SPF, DKIM e DMARC su tutti i messaggi in arrivo. Le email che non superano questi controlli sono chiaramente contrassegnate, riducendo il rischio di impersonificazione.

PhishGuard

PhishGuard identifica link sospetti, pattern e altri segnali di avviso che i filtri di base spesso non rilevano, aiutando a bloccare i tentativi di phishing prima che raggiungano i dipendenti.

Crittografia end-to-end e zero-access

Le email tra gli utenti di Proton sono automaticamente crittografate end-to-end. Tutti i tuoi dati sono archiviati con crittografia zero-access, il che significa che nemmeno noi possiamo leggere le tue email.

Conferma del link

Quando gli utenti cliccano su un link in un'email, Proton Mail mostra un'anteprima completa dell'URL di destinazione, aiutando a prevenire clic accidentali su siti dannosi.

Prova Proton Mail gratis per 14 giorni Richiedi una demo

Proteggi le tue comunicazioni aziendali

Proteggi la tua azienda da phishing, spoofing e violazioni dei dati con il servizio email che mette al primo posto la sicurezza e la privacy. Implementa una solida autenticazione delle email e usufruisci della crittografia end-to-end e di una protezione avanzata dal phishing, il tutto in un'unica soluzione semplice e sicura.

Prova Proton Mail for Business Richiedi una demo

Domande frequenti

Qual è la differenza tra SPF e DKIM?: L'SPF controlla a chi è consentito inviare email per il tuo dominio verificando il server di invio.
Il DKIM verifica che il messaggio stesso non sia stato manomesso utilizzando una firma digitale.
Risolvono problemi diversi, quindi ti servono entrambi (e il DMARC) in aggiunta per una difesa completa.
In che modo i server di posta controllano l'autenticazione?: Quando un server di posta riceve un messaggio, cerca i record SPF, DKIM e DMARC del mittente. Registra i risultati (come spf=pass o dkim=fail) in un'intestazione nascosta chiamata Authentication-Results. Il tuo provider di posta utilizza quindi queste informazioni, insieme a molti altri segnali, per decidere se recapitare il messaggio nella tua posta in arrivo, contrassegnarlo come spam o bloccarlo.
Quanto tempo ci vuole perché il DMARC funzioni?: Il record DNS è solitamente attivo entro poche ore. Ma implementare il DMARC in sicurezza richiede tempo: inizi con una policy di solo monitoraggio (p=none), analizzi i report, correggi eventuali mittenti legittimi che non superano i controlli, quindi passi gradualmente a policy più severe (p=quarantine o p=reject). Questo processo richiede spesso diverse settimane o mesi.
E se i truffatori fanno spoofing della mia email?: Il DMARC include una funzionalità di reportistica che ti dice se qualcuno sta cercando di impersonare il tuo dominio. Se lo scopri, dovresti avvisare il tuo personale, informare i tuoi clienti e segnalare la truffa alle forze dell'ordine e alle organizzazioni anti-phishing come la FTC o l'Anti-Phishing Working Group.
Questo può fermare tutti gli attacchi di phishing?: Nessun singolo strumento ferma tutto. SPF, DKIM e DMARC sono eccellenti per bloccare lo spoofing diretto del dominio. Ma i malintenzionati usano anche trucchi come domini simili o account compromessi. Ecco perché l'autenticazione dovrebbe far parte di una difesa a più livelli, insieme alla formazione degli utenti e a funzionalità di protezione avanzate come PhishGuard di Proton.