Phishing, spoofing e altre tecniche malevole sono all’ordine del giorno, per questo motivo è fondamentale implementare misure di sicurezza per proteggere le comunicazioni aziendali via e-mail. Tra le soluzioni più efficaci per garantire che le e-mail che riceviamo siano autentiche e non compromesse troviamo tre protocolli fondamentali: SPF, DKIM e DMARC. In questo articolo, cercheremo di fare chiarezza su questi tre acronimi.

Cosa sono SPF, DKIM e DMARC?

Per difendere le e-mail aziendali da attacchi che sfruttano la fiducia che gli utenti ripongono nei messaggi apparentemente legittimi, non basta affidarsi ai filtri antispam: servono protocolli di autenticazione efficaci. SPF, DKIM e DMARC lavorano insieme come un sistema di controllo a più livelli, verificando l’identità del mittente, garantendo l’integrità del messaggio e impedendo che i cybercriminali utilizzino il tuo dominio per scopi fraudolenti. Ma come funzionano esattamente?

• SPF (Sender Policy Framework)

SPF è il primo passo per proteggere il proprio dominio e-mail. Si tratta di un sistema che consente al dominio di dichiarare quali server di posta elettronica sono autorizzati a inviare e-mail per conto suo. Quando un’e-mail viene inviata, il server di ricezione può controllare il record SPF del dominio mittente per verificare se l’IP del server che ha inviato il messaggio è autorizzato.

Immagina che tu sia un’azienda chiamata “Esempio Srl” e che usi un provider come Google o Microsoft per inviare le tue comunicazioni. Con il record SPF, puoi indicare quali server sono autorizzati a inviare e-mail a nome di “Esempio Srl”. Se un attaccante tenta di usare il tuo dominio con un server non autorizzato, la verifica SPF fallisce e il messaggio viene considerato sospetto.

• DKIM (DomainKeys Identified Mail)

DKIM è un altro strumento che aiuta a garantire che un’e-mail non sia stata alterata durante il transito. Funziona attraverso la firma digitale delle e-mail. In pratica, il server di invio aggiunge una firma crittografica a ciascun messaggio, che viene poi verificata dal server di ricezione. Se la firma non corrisponde, significa che il messaggio è stato modificato o falsificato.

La firma DKIM viene creata utilizzando una chiave privata, che solo il dominio mittente possiede. Quando il messaggio arriva al destinatario, il server di ricezione può confrontare la firma digitale con la chiave pubblica registrata nel DNS (Domain Name System) del dominio. Se le due firme coincidono, il messaggio è autentico. Se no, c’è il rischio che l’e-mail sia stata alterata o che provenga da un mittente non autorizzato.

• DMARC (Domain-based Message Authentication, Reporting & Conformance)

Infine, DMARC è il protocollo che unisce SPF e DKIM per creare un sistema di autenticazione completo e robusto. DMARC consente al proprietario di un dominio di definire una politica su come gestire le e-mail che non superano i controlli SPF o DKIM. Ad esempio, se un’e-mail non passa la verifica SPF o DKIM, DMARC permette di decidere se rifiutarla, metterla in quarantena o semplicemente monitorarla.

DMARC fornisce anche un sistema di reportistica che si divide in due categorie principali:

Report Aggregati (RUA):

• Vengono inviati periodicamente (solitamente ogni 24 ore)
• Forniscono statistiche generali sull’utilizzo del dominio
• Includono informazioni come il numero totale di e-mail inviate, quante hanno passato o fallito l’autenticazione
• Aiutano a identificare pattern di abuso e problemi di configurazione
• Sono essenziali per il monitoraggio a lungo termine

Report Forensi (RUF):

• Vengono generati in tempo reale quando si verificano fallimenti nell’autenticazione
• Contengono dettagli specifici su ogni e-mail che non ha superato i controlli
• Includono informazioni come gli header dell’e-mail e gli indirizzi IP coinvolti
• Sono cruciali per investigare tentativi di phishing o spoofing
• Permettono di reagire rapidamente a potenziali minacce

L’analisi combinata di entrambi i tipi di report permette di avere un quadro completo della salute del proprio sistema e di identificare rapidamente eventuali tentativi di compromissione.

Perché DMARC, SPF e DKIM sono importanti?

Combinando questi tre protocolli, è possibile:

1. Verificare l’identità del mittente: SPF controlla che l’e-mail provenga da un server autorizzato, mentre DKIM assicura che il messaggio non sia stato modificato durante il suo percorso.
2. Aumentare la fiducia nei messaggi e-mail: i destinatari possono essere più sicuri che le e-mail provengano davvero da chi dicono di essere.
3. Ridurre il rischio di attacchi di phishing e spoofing: un sistema di autenticazione solido rende più difficile per gli attaccanti impersonare il tuo dominio.

 Come implementarli efficacemente?

 Ecco una roadmap pratica:

• Inizia con un audit della tua infrastruttura e-mail, identificando tutti i server e servizi che inviano e-mail per conto dell’azienda
• Implementa SPF come primo passo, assicurandoti di includere tutti i server legittimi
• Aggiungi DKIM, generando e configurando correttamente le chiavi di crittografia
• Attiva DMARC in modalità monitoraggio (p=none) inizialmente, per poi passare gradualmente a politiche più restrittive
• Analizza regolarmente i report DMARC per identificare e risolvere eventuali problemi

Il vero valore di questi protocolli emerge nel tempo: più organizzazioni li adottano correttamente, più diminuisce l’efficacia degli attacchi e-mail.

La loro implementazione richiede competenza tecnica e pianificazione, ma i risultati sono misurabili e concreti: meno tentativi di frode, più e-mail legittime consegnate, minor tempo speso nella gestione delle minacce.

SPF, DKIM e DMARC non sono solo strumenti tecnici, ma veri e propri guardiani della tua reputazione online.