La sicurezza delle e-mail rappresenta un tema cruciale per le aziende: ogni giorno, infatti, vengono inviati e ricevuti miliardi di messaggi di posta elettronica, spesso contenenti informazioni riservate. Gli attacchi di phishing e spoofing non rappresentano una minaccia solo per la sicurezza dei dati, ma anche per l’affidabilità del dominio mittente. Ed è proprio qui che entrano in gioco i protocolli di sicurezza per le e-mail DKIM e DMARC, strumenti capaci di garantire l’autenticazione delle e-mail, la verifica dei mittenti e la protezione del traffico e-mail dalle manipolazioni.
Per funzionare in modo efficace, DKIM e DMARC hanno tuttavia bisogno anche del “Sender Policy Framework”, in breve SPF. Questo metodo di autenticazione stabilisce quali server sono autorizzati a inviare e-mail per conto di un dominio. SPF, DKIM e DMARC costituiscono insieme un sistema di protezione solido che rende molto più difficile la manipolazione delle e-mail da parte degli aggressori. In questo articolo spiegheremo perché i titolari di domini dovrebbero assolutamente attivare queste misure di protezione.
SPF: protezione dai mittenti fraudolenti
L’SPF (“Sender Policy Framework”) è un componente importante dell’autenticazione delle e-mail che, associato a DKIM e DMARC, fornisce una soluzione di sicurezza completa. L’SPF consente di verificare se il server di invio è autorizzato a spedire e-mail per conto di un dominio specifico.
Il titolare di un dominio registra un record SPF nella zona DNS del proprio dominio. Questa voce (“record”) contiene un elenco di indirizzi IP e server autorizzati a inviare e-mail per conto del dominio in questione. Quando un server di posta elettronica di destinazione riceve un’e-mail, il sistema controlla il record SPF del dominio del mittente e confronta l’indirizzo IP del server di invio con gli indirizzi consentiti nel record SPF. Se la verifica ha esito positivo, significa che l’e-mail è legittima. In caso contrario, il messaggio potrebbe essere rifiutato o contrassegnato come spam.
Un record SPF impedisce quindi agli aggressori di inviare e-mail da server non autorizzati simulandone la provenienza da un dominio legittimo. Per garantire una consegna affidabile delle e-mail, è necessario utilizzare il server di posta in uscita valido fornito da provider di web hosting come Hostpoint. In questo modo si riduce il rischio che le e-mail vengano rifiutate dal destinatario a seguito di una verifica SPF con esito negativo.
DKIM: protezione dalla manipolazione delle e-mail
DKIM (“DomainKeys Identified Mail”) è un metodo per l’autenticazione delle e-mail che prevede l’inserimento di una firma digitale nelle e-mail. Questa firma consente al destinatario di verificare se l’e-mail proviene effettivamente dal server del dominio del mittente e se il contenuto del messaggio è rimasto invariato. A tale scopo, DKIM utilizza una procedura di cifratura asimmetrica, composta da due chiavi. Quando un’e-mail viene inviata da un dominio, il server di posta elettronica del mittente crea una firma digitale che viene archiviata in un’intestazione specifica dell’e-mail. Questa firma viene creata utilizzando una chiave privata nota solo al mittente.
Il server di posta elettronica ricevente può a sua volta utilizzare la chiave pubblica memorizzata nella zona DNS del dominio del mittente per verificare la firma. Se il valore di hash calcolato corrisponde a quello contenuto nell’e-mail, significa che il messaggio è autentico e invariato.
DKIM facilita l’individuazione delle e-mail manipolate. Protegge sia il mittente che il destinatario da attacchi di phishing e spoofing di e-mail. Nel caso delle aziende, DKIM riduce anche la probabilità che le e-mail finiscano per errore nella cartella dello spam. L’utilizzo di DKIM è già obbligatorio per alcuni provider (ad es. Google, Yahoo) per l’invio di massa di e-mail.
Da maggio 2024 Hostpoint attiva DKIM in automatico per tutti i domini assegnati a un web hosting o a un gruppo Cloud Office. Per i domini meno recenti questa operazione deve essere eseguita manualmente, come spiegato in maniera dettagliata in questa guida. Per impostazione predefinita, Hostpoint crea tre record DKIM per dominio con diversi tipi di chiave (rsa1024, rsa2048, ed25519), in modo che il maggior numero possibile di destinatari possa convalidare la firma. Affinché una verifica con DKIM abbia esito positivo è sufficiente che almeno una delle firme possa essere verificata.
Se si utilizza Hostpoint per il traffico e-mail e si deve attivare DKIM per i domini gestiti esternamente, è necessario attivare DKIM in Hostpoint e quindi archiviare i dati DKIM presso il provider DNS esterno. Per istruzioni dettagliate Le consigliamo di consultare il relativo articolo disponibile nel nostro Support Center.
Consiglio:
su Internet sono disponibili diversi strumenti (ad es. denominati “DKIM Test” o “DKIM Record Checker”) con i quali può verificare se DKIM è adeguatamente configurato e se le Sue e-mail vengono firmate in modo corretto.
DMARC: regole per le e-mail non autenticate
DMARC (“Domain-based Message Authentication, Reporting and Conformance”) fornisce un ulteriore livello di protezione e si basa su DKIM e SPF per renderli pienamente efficaci.
DMARC consente ai titolari di domini di stabilire la modalità di gestione delle e-mail che non superano la verifica con SPF o DKIM, decidendo se spostare le e-mail di questo tipo nella cartella dello spam o rifiutarle direttamente. I criteri DMARC in merito sono tre:
-
None (nessuno): le e-mail vengono recapitate e visualizzate nella posta in arrivo del destinatario indipendentemente dal risultato del controllo di autenticazione. In Hostpoint questa opzione non è disponibile.
-
Quarantine (quarantena): le e-mail vengono accettate dal server di posta elettronica del destinatario, ma spostate nella cartella dello spam o della posta indesiderata.
-
Reject (rifiuto): le e-mail vengono rifiutate dal server di posta elettronica e non consegnate; di norma il mittente viene informato della mancata consegna.
In Hostpoint il criterio predefinito è “Quarantine”, modificabile nel Pannello di controllo Hostpoint.
Si consiglia di utilizzare inizialmente il criterio DMARC “Quarantine”, che sposta le e-mail sospette nella cartella dello spam per testarne la recapitabilità, prima di introdurre misure più rigorose come il rifiuto totale.
Con DMARC le aziende possono ridurre significativamente l’abuso dei domini di loro proprietà causato da attacchi di phishing e spoofing delle e-mail. DMARC protegge non solo il destinatario dell’e-mail, ma anche la reputazione del mittente, garantendo il recapito ai destinatari dei soli messaggi legittimi.
Nota:
Da agosto 2024 Hostpoint attiva DMARC in automatico per tutti i domini assegnati a un web hosting o a un gruppo Cloud Office. In tutti gli altri casi è possibile eseguire un’attivazione manuale. Qui è disponibile una guida all’attivazione di DMARC.
Perché i titolari di domini dovrebbero utilizzare DKIM e DMARC
Per i titolari di domini e le aziende l’implementazione di DKIM e DMARC rappresenta uno strumento importante per rendere più sicure le comunicazioni tramite e-mail. Queste tecnologie proteggono da phishing, spoofing e altre minacce che possono derivare da e-mail manipolate o fraudolente.
Uno scenario comune è quello degli attacchi di phishing, in cui gli aggressori inviano e-mail fraudolente che simulano la provenienza da un’azienda legittima. Negli attacchi di spoofing, i truffatori cercano di falsificare l’indirizzo del mittente per inviare e-mail con contenuti nocivi.
Con DKIM e DMARC, a seconda della configurazione, questi tentativi di manipolazione delle e-mail non vanno a buon fine: i messaggi vengono spostati nella cartella dello spam o direttamente bloccati prima ancora di raggiungere il destinatario. Al contempo, le e-mail legittime protette da queste tecnologie corrono meno il rischio di essere bloccate dai filtri antispam, aumentando così la probabilità che i messaggi in questione arrivino in modo sicuro nella casella di posta del destinatario. Tuttavia, è sempre consigliabile una certa cautela nei confronti del phishing, in quanto anche i metodi più sicuri non offrono una protezione totale.
In caso di domande su DKIM, DMARC o altri argomenti relativi alla sicurezza delle e-mail, il Customer Care di Hostpoint è a Sua completa disposizione. Il nostro team La aiuterà a impostare e configurare queste misure di protezione affinché le Sue comunicazioni via e-mail restino sicure.
Può contattarci tramite posta elettronica all’indirizzo support@hostpoint.ch o telefonicamente al numero 0844 04 04 04. Siamo a Sua disposizione nella Sua lingua sette giorni su sette, dalle 8 alle 18!
