La posta elettronica aziendale rimane uno dei principali vettori di comunicazione e, allo stesso tempo, uno dei canali più sfruttati dagli attaccanti per impersonificare domini affidabili.
Phishing, spoofing e BEC continuano a rappresentare tecniche estremamente efficaci nel compromettere utenti, processi aziendali e flussi operativi.
Per rispondere a queste minacce, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito delle linee guida nazionali per l’autenticazione della posta elettronica, basate sull’adozione combinata di SPF, DKIM e DMARC.
Le aziende possono migliorare in modo sensibile la resilienza adottando un approccio di Cyber Threat Intelligence integrato orientato al monitoraggio dei domini e degli asset di posta elettronica.
Phishing, spoofing, BEC: il cuore della minaccia email
Gli attacchi più diffusi e pericolosi sono:
Invio di email fraudolente che imitano comunicazioni legittime per indurre l’utente a compiere azioni dannose: cliccare link contraffatti, aprire allegati infetti, fornire credenziali o autorizzare operazioni finanziarie. Le varianti includono spear phishing, orientato a target specifici, e whaling, focalizzato su figure di alto profilo.
Manipolazione dell’identità del mittente tramite falsificazione del dominio. Tale tecnica permette a un aggressore di inviare email che appaiono originate da un indirizzo affidabile pur provenendo da infrastrutture esterne e malevole.
Business Email Compromise (BEC)
Forma avanzata di impersonificazione in cui l’attaccante compromette o imita account aziendali legittimi, spesso appartenenti a dirigenti o responsabili finanziari, per indurre vittime interne o partner a eseguire pagamenti fraudolenti o condividere informazioni riservate. La forza della BEC risiede nella sua natura altamente mirata e nella capacità di sfruttare dinamiche operative e relazionali dell’organizzazione.
SPF, DKIM e DMARC come triplo strato minimo
La protezione del dominio email deve basarsi su tre protocolli standard che operano in modo complementare.
SPF – Controllo dei server autorizzati
SPF verifica che il server che invia un messaggio sia autorizzato dal dominio. Il controllo avviene tramite record DNS TXT contenente l’elenco degli IP o host abilitati. La complessità operativa è limitata, ma errori nella definizione dei record possono ridurre l’efficacia del protocollo.
DKIM – Firma crittografica dei messaggi
DKIM utilizza firme digitali basate su crittografia asimmetrica per garantire l’integrità del contenuto. Il destinatario può verificare la firma recuperando la chiave pubblica dal DNS del dominio mittente. L’implementazione richiede la generazione della coppia di chiavi e la configurazione del server per la firma.
DMARC – Policy di conformità e reporting
DMARC unifica SPF e DKIM, consentendo di definire il trattamento dei messaggi che falliscono i controlli.
Le policy includono:
• p=none – monitoraggio
• p=quarantine – isolamento dello spam
• p=reject – blocco dei messaggi non conformi
Il meccanismo di reporting (rua/ruf) è fondamentale per analizzare eventuali abusi del dominio e ottimizzare le configurazioni.
Roadmap operativa
Per garantire un’implementazione solida e conforme alle best practice ACN, si raccomanda un set essenziale e ridotto di azioni operative:
- Catalogare i domini
Mappare tutti i domini principali e secondari, inclusi subdomini, alias e qualunque servizio che invii posta per conto dell’organizzazione. - Verifica e ottimizzazione SPF
- assicurare un numero di lookup ≤10;
- evitare record “all” troppo permissivi;
- includere solo i sistemi realmente autorizzati all’invio.
- Implementazione corretta di DKIM
- utilizzare chiavi ≥2048 bit;
- adottare politiche di rotazione periodica;
- verificare la corretta pubblicazione dei selector nel DNS.
- Adozione progressiva di DMARC
- attivare reporting rua/ruf;
- partire da p=none per stabilizzare la configurazione;
- avanzare gradualmente verso p=reject.
- Abilitazione MTA-STS
- pubblicare il record DNS _mta-sts.domain.tld con policy=enforce;
- mantenere aggiornato il file /.well-known/mta-sts.txt;
- verificare il corretto funzionamento TLS tra i server.
MTA-STS introduce inoltre un ulteriore livello di protezione garantendo che i server mittenti utilizzino TLS valido e non accettino downgrade non autorizzati durante la consegna SMTP.
Formazione come elemento imprescindibile
La tecnologia non basta: la componente umana resta uno dei principali vettori di rischio. Una formazione regolare sul riconoscimento delle email sospette e sulle procedure di segnalazione riduce sensibilmente l’efficacia delle campagne di phishing, spoofing e BEC.
Ne ha parlato meglio in questo articolo il mio collega Luca Bonora.
Considerazioni finali
Per le organizzazioni moderne, la protezione del canale email passa inevitabilmente attraverso l’implementazione rigorosa di SPF, DKIM e DMARC. L’implementazione corretta di questi protocolli, accompagnata dal monitoraggio dei report e dal rafforzamento della consapevolezza del personale, permette di ridurre in modo sostanziale la superficie d’attacco del canale email e di rafforzare la resilienza dell’organizzazione.
L’integrazione di capacità di Cyber Threat Intelligence consente inoltre di identificare tempestivamente pattern di abuso, infrastrutture malevole e campagne mirate, elevando ulteriormente il livello di protezione complessivo.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
