Lo spoofing email — l'invio di email che sembrano provenire dal dominio della tua azienda senza che tu ne sia l'autore — è una delle tecniche di phishing più efficaci e più facili da eseguire. Senza le corrette configurazioni DNS, chiunque può inviare email che mostrano come mittente info@tuaazienda.it, usandole per frodare i tuoi clienti, fornitori o dipendenti.
Tre standard tecnici — SPF, DKIM e DMARC — lavorano insieme per risolvere questo problema. Sono tutti basati su record DNS e la loro corretta configurazione è diventata un requisito obbligatorio da febbraio 2024 per chi vuole che le proprie email arrivino nelle caselle di Gmail e Yahoo senza essere bloccate o classificate come spam.
SPF: Sender Policy Framework
SPF è un record DNS di tipo TXT che dichiara quali server sono autorizzati a inviare email per conto del dominio. Quando il server del destinatario riceve un'email che dichiara di provenire da tuaazienda.it, interroga il DNS per verificare se il server mittente è nell'elenco autorizzato di SPF.
Esempio di record SPF:
v=spf1 include:_spf.google.com include:spf.brevo.com ip4:185.12.34.56 ~allPunti critici della configurazione SPF:
- Includere tutti i servizi che inviano email per conto del dominio: provider di hosting, piattaforme di email marketing, CRM, sistemi di fatturazione, tool di supporto
- Il limite di 10 lookup DNS in un record SPF: superarlo causa fallimenti di autenticazione silenziosi
- La differenza tra
~all(softfail, email accettata ma marcata) e-all(hardfail, email rifiutata) e quando usare ciascuno
DKIM: DomainKeys Identified Mail
DKIM aggiunge una firma crittografica a ogni email inviata. Il server mittente firma il messaggio con una chiave privata; il server del destinatario verifica la firma usando la chiave pubblica pubblicata nel DNS del dominio mittente. La firma garantisce che:
- L'email è stata inviata da un server autorizzato che possiede la chiave privata
- Il contenuto del messaggio non è stato alterato durante il transito
Ogni servizio di invio email (Google Workspace, Microsoft 365, piattaforme di email marketing) ha le sue istruzioni per generare e pubblicare il record DKIM. La lunghezza minima raccomandata della chiave è 2048 bit.
DMARC: Domain-based Message Authentication, Reporting and Conformance
DMARC è il livello di policy che si costruisce sopra SPF e DKIM. Risponde alla domanda: "cosa deve fare il server del destinatario con un'email che fallisce i controlli SPF e/o DKIM?"
Le tre policy DMARC disponibili sono:
| Policy | Azione | Quando usarla |
|---|---|---|
p=none |
Nessuna azione, solo reporting | Fase iniziale di monitoraggio |
p=quarantine |
Email in spam/quarantena | Fase intermedia dopo aver verificato i legittimi mittenti |
p=reject |
Email rifiutata definitivamente | Configurazione finale e sicura |
DMARC include anche un meccanismo di reporting: i server che ricevono email per il tuo dominio possono inviare report periodici (RUA per report aggregati, RUF per report forensi) che mostrano chi sta inviando email usando il tuo dominio — sia i tuoi sistemi legittimi sia eventuali tentativi di spoofing.
Il percorso corretto di implementazione
- Configurare SPF includendo tutti i mittenti legittimi
- Abilitare DKIM su tutti i servizi di invio email
- Pubblicare un record DMARC con policy
nonee indirizzo email per i report - Analizzare i report DMARC per 2-4 settimane, identificando tutti i flussi di posta legittimi
- Passare a policy
quarantine, poi areject
NEO WEB configura SPF, DKIM e DMARC per tutti i domini gestiti nell'ambito dei servizi di posta elettronica professionale e di hosting. Se hai dubbi sulla corretta configurazione del tuo dominio, contattaci per una verifica gratuita.
