Mail Transfer Agent-Strict Transport Security (MTA-STS) è un nuovo standard che permette ai fornitori di servizi di posta di applicare Transport Layer Security (TLS) per proteggere le connessioni SMTP, e di specificare se i server SMTP di invio devono rifiutarsi di consegnare le email agli host MX che non offrono TLS con un certificato server affidabile. È stato dimostrato che mitiga con successo gli attacchi di downgrade TLS e gli attacchi Man-In-The-Middle (MITM).

In termini più semplici, MTA-STS è uno standard internet che protegge le connessioni tra i server di posta SMTP. Il problema più evidente di SMTP è che la crittografia è completamente opzionale e non viene applicata durante il trasferimento della posta. Questo è il motivo per cui SMTP ha adottato il comando STARTTLS per passare dal testo in chiaro alla crittografia. Questo è stato un passo prezioso per mitigare gli attacchi passivi, tuttavia, affrontare gli attacchi tramite reti attive e gli attacchi MITM è rimasto ancora senza risposta.

Quindi, il problema che MTA-STS sta risolvendo è che SMTP utilizza la crittografia opportunistica, cioè se un canale di comunicazione criptato non può essere stabilito, la connessione ricade in chiaro, tenendo così a bada gli attacchi MITM e downgrade.

Cos'è un attacco TLS Downgrade?

Come già sappiamo, SMTP non è arrivato con un protocollo di crittografia e la crittografia ha dovuto essere adattata in seguito per migliorare la sicurezza del protocollo esistente aggiungendo il comando STARTTLS. Se il client supporta la crittografia (TLS), capirà il verbo STARTTLS e inizierà uno scambio TLS prima di inviare l'email per assicurarsi che sia criptata. Se il client non conosce TLS, semplicemente ignorerà il comando STARTTLS e invierà l'email in chiaro.

Pertanto, poiché la crittografia doveva essere inserita nel protocollo SMTP, l'aggiornamento per la consegna crittografata deve basarsi su un comando STARTTLS che viene inviato in chiaro. Un attaccante MITM può facilmente sfruttare questa caratteristica eseguendo un attacco di downgrade sulla connessione SMTP manomettendo il comando di aggiornamento. L'attaccante ha semplicemente sostituito lo STARTTLS con una stringa spazzatura che il client non riesce a identificare. Pertanto, il client ricade prontamente nell'invio dell'e-mail in chiaro.

L'attaccante di solito sostituisce il comando con la stringa spazzatura contenente lo stesso numero di caratteri, piuttosto che buttarla via, perché questo preserva la dimensione del pacchetto e quindi lo rende più facile. Le otto lettere della stringa spazzatura nel comando dell'opzione ci permettono di rilevare e identificare che un attacco TLS downgrade è stato eseguito da un criminale informatico, e possiamo misurarne la prevalenza.

In breve, un attacco di downgrade è spesso lanciato come parte di un attacco MITM, in modo da creare un percorso per abilitare un attacco crittografico che non sarebbe possibile nel caso di una connessione criptata sull'ultima versione del protocollo TLS, sostituendo o eliminando il comando STARTTLS e facendo tornare la comunicazione in chiaro.

Mentre è possibile imporre TLS per le comunicazioni client-to-server, poiché per quelle connessioni sappiamo che le applicazioni e il server lo supportano. Tuttavia, per le comunicazioni da server a server, dobbiamo fallire open per permettere ai server legacy di inviare email. Il nocciolo del problema è che non abbiamo idea se il server dall'altra parte supporti TLS o meno. MTA-STS permette ai server di indicare che supportano TLS, il che permetterà loro di fallire in chiusura (cioè di non inviare l'email) se la negoziazione di aggiornamento non avviene, rendendo così impossibile un attacco di downgrade TLS.

segnalazione tls

Come fa MTA-STS a venire in soccorso?

MTA-STS funziona aumentando la sicurezza delle e-mail EXO o Exchange Online ed è la soluzione definitiva a una vasta gamma di problemi e svantaggi della sicurezza SMTP. Risolve i problemi di sicurezza SMTP come la mancanza di supporto per i protocolli sicuri, i certificati TLS scaduti e i certificati che non sono emessi da terze parti affidabili.

Mentre i server di posta procedono all'invio di e-mail, la connessione SMTP è vulnerabile agli attacchi crittografici come gli attacchi di downgrade e MITM. Gli attacchi di downgrade possono essere lanciati cancellando la risposta STARTTLS, consegnando così il messaggio in chiaro. Allo stesso modo, gli attacchi MITM possono essere lanciati reindirizzando il messaggio a un intruso del server su una connessione insicura. MTA-STS permette al vostro dominio di pubblicare una policy che rende obbligatorio l'invio di una mail con TLS criptato. Se per qualche motivo il server ricevente non supporta STARTTLS, l'email non sarà inviata affatto. Questo rende impossibile istigare un attacco di downgrade TLS.

Negli ultimi tempi, la maggior parte dei fornitori di servizi di posta ha adottato MTA-STS rendendo così le connessioni tra i server più sicure e criptate sul protocollo TLS di una versione aggiornata, mitigando così con successo gli attacchi TLS downgrade e annullando le falle nella comunicazione tra i server.

PowerDMARC vi offre servizi MTA-STS in hosting facili e veloci che rendono la vostra vita molto più facile, poiché ci prendiamo cura di tutte le specifiche richieste da MTA-STS durante e dopo l'implementazione, come un server web abilitato HTTPS con un certificato valido, record DNS e manutenzione costante. PowerDMARC gestisce tutto questo completamente in background in modo che dopo avervi aiutato a configurarlo, non dovrete mai più pensarci!

Con l'aiuto di PowerDMARC, è possibile implementare Hosted MTA-STS nella vostra organizzazione senza problemi e ad un ritmo molto veloce, con l'aiuto del quale è possibile imporre l'invio di e-mail al vostro dominio su una connessione criptata TLS, rendendo così la connessione sicura e tenendo a bada gli attacchi TLS downgrade.

 

Uno standard internet molto conosciuto che facilita migliorando la sicurezza delle connessioni tra i server SMTP (Simple Mail Transfer Protocol) è l'SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).

Nell'anno 1982, SMTP è stato specificato per la prima volta e non conteneva alcun meccanismo per fornire sicurezza a livello di trasporto per proteggere le comunicazioni tra gli agenti di trasferimento della posta. Tuttavia, nel 1999, il comando STARTTLS è stato aggiunto a SMTP che a sua volta supportava la crittografia delle e-mail tra i server, fornendo la possibilità di convertire una connessione non sicura in una sicura che è criptata utilizzando il protocollo TLS.

In questo caso, vi starete chiedendo: se SMTP ha adottato STARTTLS per proteggere le connessioni tra server, perché è stato necessario il passaggio a MTA-STS? Approfondiamo la questione nella seguente sezione di questo blog!

La necessità di passare a MTA-STS

STARTTLS non era perfetto, e non è riuscito a risolvere due problemi principali: il primo è che è una misura opzionale, quindi STARTTLS non riesce a prevenire gli attacchi man-in-the-middle (MITM). Questo perché un attaccante MITM può facilmente modificare una connessione e impedire l'aggiornamento della crittografia. Il secondo problema è che anche se STARTTLS è implementato, non c'è modo di autenticare l'identità del server di invio perché i server di posta SMTP non convalidano i certificati.

Mentre la maggior parte delle e-mail in uscita oggi sono protette con la crittografia Transport Layer Security (TLS), uno standard industriale adottato anche dalle e-mail dei consumatori, gli aggressori possono ancora ostacolare e manomettere le tue e-mail anche prima che vengano crittografate. Se le e-mail vengono trasportate su una connessione sicura, i dati potrebbero essere compromessi o addirittura modificati e manomessi da un cyber attaccante. Qui è dove MTA-STS interviene e risolve questo problema, garantendo un transito sicuro per le vostre e-mail e mitigando con successo gli attacchi MITM. Inoltre, gli MTA memorizzano i file di policy MTA-STS, rendendo più difficile per gli attaccanti lanciare un attacco di spoofing DNS.

MTA-STS offre una protezione contro :

  • Attacchi al ribasso
  • Attacchi Man-In-The-Middle (MITM)
  • Risolve diversi problemi di sicurezza SMTP, compresi i certificati TLS scaduti e la mancanza di supporto per i protocolli sicuri.

Come funziona MTA-STS?

Il protocollo MTA-STS è distribuito avendo un record DNS che specifica che un server di posta può recuperare un file di policy da un sottodominio specifico. Questo file di policy viene recuperato via HTTPS e autenticato con certificati, insieme alla lista dei nomi dei server di posta dei destinatari. L'implementazione di MTA-STS è più facile dal lato del destinatario rispetto al lato dell'invio, poiché richiede di essere supportato dal software del server di posta. Mentre alcuni server di posta supportano MTA-STS, come PostFix, non tutti lo fanno.

ospitato MTA STS

I principali fornitori di servizi di posta come Microsoft, Oath e Google supportano MTA-STS. Gmail di Google ha già adottato le politiche MTA-STS in tempi recenti. MTA-STS ha rimosso gli inconvenienti nella sicurezza delle connessioni e-mail, rendendo il processo di protezione delle connessioni facile e accessibile per i server di posta supportati.

Le connessioni dagli utenti ai server di posta sono solitamente protette e criptate con il protocollo TLS, tuttavia, nonostante ciò, c'era una mancanza di sicurezza nelle connessioni tra i server di posta prima dell'implementazione di MTA-STS. Con un aumento della consapevolezza sulla sicurezza della posta elettronica negli ultimi tempi e il supporto da parte dei principali fornitori di posta in tutto il mondo, la maggior parte delle connessioni dei server dovrebbe essere criptata nel recente futuro. Inoltre, MTA-STS assicura efficacemente che i criminali informatici sulle reti non siano in grado di leggere il contenuto delle e-mail.

Distribuzione facile e veloce dei servizi MTA-STS ospitati da PowerDMARC

MTA-STS richiede un server web abilitato HTTPS con un certificato valido, record DNS e manutenzione costante. PowerDMARC rende la vostra vita molto più facile gestendo tutto questo per voi, completamente in background. Una volta che vi aiutiamo a configurarlo, non dovrete mai più pensarci.

Con l'aiuto di PowerDMARC, è possibile implementare Hosted MTA-STS nella vostra organizzazione senza problemi e ad un ritmo molto veloce, con l'aiuto del quale è possibile imporre l'invio di e-mail al vostro dominio su una connessione criptata TLS, rendendo così la vostra connessione sicura e tenendo a bada gli attacchi MITM.

 

 

Con il continuo aumento di attacchi di phishing, attacchi di spoofing di email e domini, BEC, e altre attività fraudolente da parte dei criminali informatici, uno strato extra di sicurezza e protezione delle email è sempre una buona idea! I destinatari delle e-mail sono sempre più sospettosi dei messaggi che arrivano nelle loro caselle di posta elettronica a causa dell'aumento degli attacchi informatici. La soluzione? Una suite di sicurezza e-mail a tutto tondo che includa l'implementazione di BIMI.

Un recente sondaggio condotto da professionisti della sicurezza negli Stati Uniti ha rivelato che il 60% dei cittadini statunitensi afferma di essere caduto preda di una truffa informatica o di conoscere qualcuno che è stato colpito dalla stessa, nella loro cerchia stretta, post-pandemia. Pertanto, al fine di fornire alle loro e-mail un ulteriore livello di protezione, le aziende devono implementare un nuovo standard come i Brand Indicators for Message Identification (BIMI), in quanto promette di portare la fiducia dei consumatori a un livello superiore.

Cos'è il BIMI?

BIMI è l'acronimo di Brand Indicators for Message Identification, che è un nuovo standard di autenticazione e-mail che appone il logo del vostro marchio a tutte le e-mail autorizzate da voi. Questo può sembrare un passo molto piccolo, ma la verifica visiva può infatti aumentare la credibilità del vostro marchio, consentendo ai destinatari di riconoscere e fidarsi delle e-mail che inviate dal vostro dominio e-mail aziendale.

Potreste chiedervi, se avete già DMARC implementato nella vostra organizzazione, che fa uso degli standard di autenticazione SPF e DKIM, avete bisogno di BIMI? Discutiamo in breve come ciascuno di questi standard funziona per autenticare le email in entrata:

  • SPF autentica le tue e-mail per identificare i server di posta che sono autorizzati a inviare e-mail dal tuo dominio di posta elettronica, elencato nel record SPF.
  • DKIM autentica le email aggiungendovi una firma digitale, permettendo al destinatario di controllare se un'email che dichiara di provenire da un dominio specifico è stata effettivamente autorizzata dal proprietario di quel dominio.
  • DMARC specifica ai fornitori di posta elettronica come rispondere alle email che falliscono l'autenticazione SPF e DKIM.
  •  BIMI appone il logo del vostro marchio alle e-mail che inviate ai vostri dipendenti, partner e clienti in modo che possano identificare immediatamente che si tratta di una fonte autorizzata.

Quindi è abbastanza evidente dalla discussione di cui sopra che tra tutti i protocolli di autenticazione e-mail, BIMI è l'unico standard che fornisce uno spazio per l'identificazione visiva, offrendo ai ricevitori di e-mail un indizio visivo per identificare la fonte di e-mail e riconoscere la sua autenticità.

Logo PowerDMARC Mobile

Attuazione di BIMI - Una breve guida

Mentre BIMI è uno standard di autenticazione emergente e ancora in evoluzione, è ancora relativamente nuovo. Per ora, solo Yahoo! Mail ha adottato ufficialmente la tecnologia. Per questo motivo, BIMI non garantisce la visualizzazione del logo del vostro marchio in quanto funziona solo con i client di posta elettronica supportati. Ci sono alcuni passi essenziali da seguire, prima dell'implementazione di BIMI, che sono:

  • Per implementare BIMI nella vostra organizzazione, il vostro dominio deve essere autenticato con DMARC ad un livello di applicazione di policy, cioè rifiutare o mettere in quarantena.
  • È necessario creare e caricare un SVG del logo del vostro marchio secondo i requisiti BIMI su un server in modo che sia accessibile da qualsiasi luogo.
  • Dovete creare un record BIMI, che, simile a un record DMARC è essenzialmente una stringa che consiste di più tag, separati da punti e virgola.
  • Dovete avere accesso al DNS del vostro dominio per pubblicare questo nuovo record BIMI.
  • È una pratica piuttosto utile per controllare la validità del vostro record BIMI dopo che è stato pubblicato nel vostro DNS.

In che modo l'implementazione di BIMI può rivelarsi vantaggiosa per il vostro business?

BIMI è un protocollo di autenticazione e-mail che esercita l'identificazione visiva per aiutare i ricevitori di e-mail a riconoscere e fidarsi del vostro marchio nella posta in arrivo. Questa fiducia impedisce ai clienti e ai partner di disdire i vostri servizi e tiene a bada anche le denunce di spam, il che può successivamente portare a un aumento della deliverability delle email.

Senza BIMI, un generico logo segnaposto con le iniziali del marchio viene visualizzato dai client di posta elettronica. A causa di questo motivo, il destinatario potrebbe avere difficoltà a riconoscere il vostro marchio senza ricorrere al nome del marchio. Tuttavia, con BIMI implementato, il logo del marchio viene visualizzato accanto al tuo messaggio e-mail, aumentando la consapevolezza del marchio.

Oltre a questo, è un ulteriore livello di sicurezza e-mail contro gli attacchi di spoofing del dominio, attacchi di phishing e altri tentativi di impersonificazione, poiché i ricevitori sarebbero più diffidenti nei confronti dei criminali informatici che si spacciano per voi.

Inoltre, BIMI vi permette di commercializzare il vostro marchio. Sì, avete sentito bene! A volte i destinatari non hanno molto tempo a disposizione, e il vostro oggetto potrebbe non essere abbastanza convincente per cliccare sul momento. Indipendentemente da ciò, i vostri destinatari collegheranno il vostro indirizzo del mittente, l'oggetto e il testo dell'intestazione con il vostro logo, aiutandovi a costruire ulteriormente il vostro marchio.

Infine, l'implementazione di BIMI ha anche un impatto molto positivo sul tasso di consegnabilità delle vostre email! Per i fornitori di caselle di posta elettronica che supportano BIMI, aggiungerà un altro livello di autenticazione ai tuoi messaggi, aumentando così la possibilità che essi consegnino le tue e-mail più rapidamente. Oltre a questo, i tuoi destinatari di email possono identificare visivamente e riconoscere il tuo marchio, attraverso il logo visualizzato, diminuendo le possibilità che lo marchino come spam.

Facilita il tuo processo di implementazione BIMI con PowerBIMI

Con PowerBIMI rendiamo la pubblicazione dei record BIMI molto veloce e semplice per voi! Tutto quello che dovete fare è semplicemente caricare la vostra immagine SVG, noi la ospiteremo in modo sicuro e vi forniremo un record DNS istantaneamente, in modo che possiate pubblicarla nei vostri DNS. Ti togliamo dalla spalla il dolore di ospitare l'immagine e di metterla al sicuro.

Con PowerBIMI potete aggiornare, cancellare o fare qualsiasi modifica alla vostra immagine, in qualsiasi momento, senza la necessità di aggiornare nuovamente i vostri record DNS. PowerBIMI vi fornisce una procedura di implementazione molto veloce e facile con un solo clic per caricare il vostro logo e passare all'autenticazione BIMI con successo, aggiungendolo come parte della vostra suite di sicurezza e-mail dopo la sottoscrizione del record BIMI gratuito.

Gli acquirenti di tutto il mondo aspettano intensamente i giorni successivi al Ringraziamento, specialmente negli Stati Uniti, per afferrare le migliori offerte del Black Friday. I principali negozi al dettaglio e le piattaforme di e-commerce di tutto il mondo che si occupano di una vasta gamma di prodotti lanciano le loro ambite vendite del Black Friday, distribuendo prodotti a tassi di sconto impressionanti alla loro base di clienti scalabile.

Tuttavia, mentre per queste organizzazioni è un momento per fare un sacco di soldi, è anche un momento in cui i criminali informatici sono i più attivi! I ricercatori di tutto il mondo hanno concluso che c'è una forte impennata nel numero di attacchi di spoofing e phishing, che portano al Black Friday. Per proteggere i vostri acquirenti online dal cadere preda di questi tentativi di spoofing, è imperativo implementare DMARC come parte integrante della vostra politica di sicurezza sul posto di lavoro.

Attacchi di spoofing - Esplorare il panorama delle minacce durante il Black Friday

Lospoofing è essenzialmente un attacco di impersonificazione che è un tentativo più sofisticato di coinvolgere un marchio o un'organizzazione rinomata. Gli attacchi di spoofing possono essere lanciati impiegando vari metodi. I criminali informatici possono prendere di mira elementi più tecnici della rete di un'organizzazione, come un indirizzo IP, un server DNS (Domain Name System) o un servizio ARP (Address Resolution Protocol), come parte di un attacco di spoofing.

La ricerca rivela che c'è un forte aumento dei tentativi di impersonificazione e spoofing nei giorni che precedono il Black Friday ogni anno, eppure il 65% dei principali negozi al dettaglio online e delle piattaforme di e-commerce al 2020 non hanno alcun record DMARC pubblicato!

Vi state chiedendo quali potrebbero essere le conseguenze?

L'agenda principale dei criminali informatici durante lo spoofing del vostro nome di dominio è quella di inviare email fraudolente integrate con link di phishing. L'aggressore cerca di attirare la stimata base di clienti del vostro marchio con promesse vuote di fornire offerte incredibili e coupon di sconto per il Black Friday, spacciandosi per il vostro supporto clienti. I clienti vulnerabili che hanno fatto acquisti sulla vostra piattaforma per anni e si fidano della vostra azienda, non ci penserebbero due volte prima di aprire l'email e provare ad avvalersi delle offerte.

Usando questa tattica, gli aggressori diffondono ransomware e malware, istigano trasferimenti di denaro o cercano di rubare informazioni riservate dai consumatori.

In definitiva, la vostra azienda potrebbe finire per affrontare ripercussioni legali, subire un colpo alla sua reputazione e perdere la fiducia dei suoi clienti. Per queste ragioni, è saggio informarsi su come proteggere il proprio marchio dall'ondata di attacchi di spoofing di questo Black Friday.

Proteggi il tuo business dagli attacchi di spoofing con DMARC

È innaturale aspettarsi che i vostri consumatori siano consapevoli delle tendenze e delle tattiche mutevoli dei criminali informatici, ed è per questo che dovreste essere proattivi e prendere le misure necessarie per impedire agli aggressori di utilizzare il vostro nome di dominio per svolgere attività dannose in questo Black Friday.

Il modo migliore e più semplice per garantirlo? Implementare subito nella vostra organizzazione uno strumento di autenticazione e-mail basato su DMARC all'avanguardia! Contiamo i vantaggi che ne derivano:

Autenticazione e-mail guidata dall'intelligenza artificiale

Potete impedire agli aggressori di falsificare l'intestazione delle vostre e-mail e inviare e-mail di phishing ai vostri clienti con lo strumento di analisi DMARC che fa uso delle tecnologie di autenticazione e-mail SPF e DKIM per bloccare le e-mail contraffatte prima che possano arrivare nella casella di posta del destinatario.

La pubblicazione di un record DMARC vi permette di avere il controllo totale dei vostri canali di posta elettronica, verificando ogni fonte di invio e godendo della libertà di ottimizzare la vostra politica DMARC (nessuno, quarantena o rifiuto) secondo le vostre esigenze.

Segnalazione e monitoraggio DMARC

Uno strumento di autenticazione e reporting basato su DMARC come PowerDMARC estende le strutture fornite da DMARC includendo disposizioni per segnalare e monitorare le attività di spoofing e phishing in tempo reale, senza influenzare il vostro tasso di recapitabilità delle e-mail. Attraverso la mappatura delle minacce, è possibile scoprire la geo-localizzazione degli abusatori del vostro indirizzo IP, compresi i rapporti sulla loro storia di abuso di dominio, e metterli in lista nera con un semplice clic!

Questo non solo vi fornisce un'adeguata visibilità del dominio e-mail del vostro marchio, ma vi permette anche di monitorare qualsiasi tentativo di impersonificazione e di rimanere aggiornati sulle mutevoli tattiche dei criminali informatici. Monitorando i rapporti sulle e-mail, è possibile vedere quali sono passate, fallite o non si sono allineate con DMARC e in quale fase, per arrivare alla radice del problema in modo da poter prendere provvedimenti contro di esso. Rapporti completi e leggibili sullo stesso vi portano attraverso ogni dettaglio, dalla verifica SPF ai record DKIM, evidenziando tutti gli IP che hanno fallito l'autenticazione DMARC.

Rimanere sotto il limite di ricerca del DNS

La vostra azienda potrebbe avere vari venditori di terze parti che vi rendono difficile rimanere sotto il limite di 10 lookup DNS fornito da SPF. Se superate il limite, il vostro SPF fallirà, rendendo l'implementazione inutile. Tuttavia, l'aggiornamento a PowerSPF mantiene il vostro limite di lookup sotto controllo dandovi la possibilità di aggiungere/rimuovere mittenti dal vostro record SPF senza mai superare il limite di 10 lookup DNS.

Migliora il richiamo del tuo marchio con BIMI

Per fornire al vostro dominio di posta elettronica un secondo livello di autenticazione e credibilità, dovreste confidare in un record BIMI ospitato. Brand Indicators for Message Identification (BIMI) è esattamente ciò di cui avete bisogno in tempi come questi, per appiattire l'ondata di attacchi di spoofing prima del Black Friday. Questo standard appone il logo esclusivo del vostro marchio su ogni e-mail che inviate alla vostra base di clienti, facendo loro sapere che siete voi e non un imitatore.

  • BIMI migliora il richiamo del marchio e rafforza l'immagine del marchio tra i vostri clienti, permettendo loro di confermare visivamente che l'e-mail è autentica.
  • Aumenta la credibilità e l'affidabilità del marchio
  • Migliora la deliverability delle email

Aggiorna l'abito di sicurezza della tua organizzazione e proteggi il tuo marchio dall'abuso dei domini questo Black Friday con PowerDMARC. Prenota una demo o iscriviti a una prova gratuita di DMARC oggi stesso!

Bene, avete appena completato l'intero processo di impostazione di DMARC per il vostro dominio. Hai pubblicato i tuoi record SPF, DKIM e DMARC, hai analizzato tutti i tuoi rapporti, risolto i problemi di consegna, aumentato il tuo livello di applicazione da p=none a quarantena e infine a reject. Sei ufficialmente al 100% DMARC-enforced. Congratulazioni! Ora solo le tue email raggiungono le caselle di posta delle persone. Nessuno impersonerà il tuo marchio se puoi evitarlo.

Quindi questo è tutto, giusto? Il tuo dominio è protetto e possiamo andare tutti a casa felici, sapendo che le tue email saranno al sicuro. Giusto...?

Beh, non esattamente. DMARC è un po' come l'esercizio fisico e la dieta: lo fai per un po' e perdi un sacco di peso e ottieni degli addominali da paura, e tutto va alla grande. Ma se ti fermi, tutti quei guadagni che hai appena fatto stanno lentamente diminuendo, e il rischio di spoofing inizia a insinuarsi di nuovo. Ma non spaventatevi! Proprio come con la dieta e l'esercizio fisico, mettersi in forma (cioè arrivare al 100% di applicazione) è la parte più difficile. Una volta che l'hai fatto, devi solo mantenerlo allo stesso livello, il che è molto più facile.

Ok, basta con le analogie, andiamo al sodo. Se avete appena implementato e applicato DMARC sul vostro dominio, qual è il prossimo passo? Come continuate a mantenere sicuri il vostro dominio e i vostri canali e-mail?

Cosa fare dopo aver raggiunto l'applicazione di DMARC

La ragione n. 1 per cui la sicurezza delle e-mail non finisce semplicemente dopo aver raggiunto il 100% di applicazione è che i modelli di attacco, le truffe di phishing e le fonti di invio cambiano sempre. Una tendenza popolare nelle truffe via e-mail spesso non dura nemmeno più di un paio di mesi. Pensate agli attacchi ransomware WannaCry nel 2018, o anche a qualcosa di recente come le truffe di phishing WHO Coronavirus all'inizio del 2020. Non se ne vedono molte in natura in questo momento, vero?

I criminali informatici cambiano costantemente le loro tattiche, e le fonti di invio malevole cambiano e si moltiplicano sempre, e non c'è molto che tu possa fare. Quello che potete fare è preparare il vostro marchio per ogni possibile cyberattacco che potrebbe arrivare. E il modo per farlo è attraverso il monitoraggio e la visibilità DMARC.

Anche dopo che sei stato forzato, hai ancora bisogno di essere in totale controllo dei tuoi canali di posta elettronica. Ciò significa che dovete sapere quali indirizzi IP stanno inviando e-mail attraverso il vostro dominio, dove avete problemi con la consegna delle e-mail o l'autenticazione, e identificare e rispondere a qualsiasi potenziale tentativo di spoofing o server maligno che porta avanti una campagna di phishing a vostro nome. Più monitorate il vostro dominio, meglio lo capirete. E di conseguenza, meglio sarai in grado di proteggere le tue e-mail, i tuoi dati e il tuo marchio.

Perché il monitoraggio DMARC è così importante

Identificare nuove fonti di posta
Quando controlli i tuoi canali di posta elettronica, non stai solo controllando se tutto sta andando bene. Dovrete anche cercare nuovi IP che inviano e-mail dal vostro dominio. La vostra organizzazione potrebbe cambiare i suoi partner o fornitori di terze parti ogni tanto, il che significa che i loro IP potrebbero diventare autorizzati a inviare e-mail per conto vostro. Quella nuova fonte di invio è solo uno dei vostri nuovi fornitori, o è qualcuno che sta cercando di impersonare il vostro marchio? Se analizzi regolarmente i tuoi rapporti, avrai una risposta definitiva a questo.

PowerDMARC ti permette di visualizzare i tuoi rapporti DMARC secondo ogni fonte di invio per il tuo dominio.

Capire le nuove tendenze dell'abuso di dominio
Come ho detto prima, gli aggressori trovano sempre nuovi modi per impersonare i marchi e ingannare le persone a dare loro dati e denaro. Ma se guardate i vostri rapporti DMARC solo una volta ogni due mesi, non noterete alcun segno rivelatore di spoofing. A meno che non controlliate regolarmente il traffico e-mail nel vostro dominio, non noterete tendenze o modelli di attività sospette, e quando sarete colpiti da un attacco di spoofing, sarete all'oscuro quanto le persone prese di mira dall'e-mail. E credetemi, questo non è mai un buon segno per il vostro marchio.

Trova e metti in lista nera gli IP dannosi
Non è sufficiente trovare chi esattamente sta cercando di abusare del tuo dominio, devi chiuderlo al più presto. Quando siete a conoscenza delle vostre fonti di invio, è molto più facile individuare un IP colpevole, e una volta che l'avete trovato, potete segnalare quell'IP al suo provider di hosting e metterlo nella lista nera. In questo modo, si elimina definitivamente quella specifica minaccia e si evita un attacco di spoofing.

Con Power Take Down, si trova la posizione di un IP maligno, la sua storia di abuso, e lo si fa abbattere.

Controllo sulla deliverability
Anche se siete stati attenti a portare DMARC al 100% di applicazione senza influenzare i vostri tassi di consegna delle email, è importante assicurare continuamente un'alta deliverability. Dopo tutto, a cosa serve tutta quella sicurezza delle email se nessuna delle email arriva a destinazione? Monitorando i tuoi rapporti sulle email, puoi vedere quali sono passate, fallite o non allineate con DMARC, e scoprire la fonte del problema. Senza il monitoraggio, sarebbe impossibile sapere se le vostre e-mail vengono consegnate, per non parlare di risolvere il problema.

PowerDMARC vi dà la possibilità di visualizzare i rapporti in base al loro stato DMARC in modo da poter identificare istantaneamente quali non sono passati.

 

La nostra piattaforma all'avanguardia offre un monitoraggio del dominio 24 ore su 24 e 7 giorni su 7 e ti offre persino un team di risposta alla sicurezza dedicato che può gestire una violazione della sicurezza per te. Scopri di più sul supporto esteso di PowerDMARC.

Perché ho bisogno di DKIM? SPF non è sufficiente?

Il lavoro a distanza ha specificamente introdotto le persone a un numero maggiore di phishing e cyberattacchi. Per lo più, la quantità peggiore di attacchi di phishing sono quelli che non si possono ignorare. Non importa la quantità di email di lavoro ricevute e inviate, e nonostante l'aumento delle chat sul posto di lavoro e delle app di messaggistica istantanea, per la maggior parte delle persone che lavorano in ufficio, l'email continua a dominare la comunicazione aziendale sia internamente che esternamente.

Tuttavia, non è un segreto che le e-mail sono di solito il punto di ingresso più comune per i cyberattacchi, che comporta l'intrufolarsi di malware ed exploit nella rete e credenziali, e rivelare i dati sensibili. Secondo i dati di SophosLabs nel settembre 2020, circa il 97% dello spam dannoso catturato dalle trappole per lo spam erano email di phishing, a caccia di credenziali o qualsiasi altra informazione .

Di questo, il restante 3% portava una borsa mista di messaggi che portavano link a siti web dannosi o con quelli che erano allegati con trappole esplosive. Questi speravano per lo più di installare backdoor, trojan di accesso remoto (RAT), ruba-informazioni, exploit, o forse scaricare altri file dannosi.

Non importa quale sia la fonte, il phishing rimane una tattica spaventosamente efficace per gli attaccanti, qualunque sia il loro obiettivo finale. Ci sono alcune misure robuste che tutte le organizzazioni potrebbero usare per verificare se un'e-mail proviene dalla persona e dalla fonte da cui dice di provenire.

Come viene in soccorso DKIM?

Si deve garantire che la sicurezza e-mail di un'organizzazione dovrebbe essere in grado di tenere sotto controllo ogni e-mail in entrata, che sarebbe contro le regole di autenticazione impostate dal dominio da cui l'e-mail sembra provenire. DomainKeys Identified Mail (DKIM) è uno di quelli che aiuta ad esaminare un'e-mail in entrata, al fine di controllare se nulla è stato alterato. Nel caso di quelle e-mail che sono legittime, DKIM sarebbe sicuramente trovare una firma digitale che sarebbe legata a un nome di dominio specifico.

Questo nome di dominio sarebbe attaccato all'intestazione dell'e-mail, e ci sarebbe una chiave di crittografia corrispondente al dominio di origine. Il più grande vantaggio di DKIM è che fornisce una firma digitale sulle intestazioni delle vostre e-mail in modo che i server che le ricevono possano autenticare crittograficamente quelle intestazioni, ritenendole valide e originali.

Queste intestazioni sono tipicamente firmate come 'From', 'To', 'Subject' e 'Date'.

Perché hai bisogno di DKIM?

Gli esperti nel campo della cybersicurezza affermano che DKIM è abbastanza necessario nello scenario quotidiano per proteggere le email ufficiali. In DKIM, la firma viene generata dal MTA (Mail Transfer Agent), che crea una stringa unica di caratteri chiamata Hash Value.

Inoltre, il valore di hash viene memorizzato nel dominio elencato, che dopo aver ricevuto l'e-mail, il destinatario potrebbe verificare la firma DKIM utilizzando la chiave pubblica che viene registrata nel Domain Name System (DNS). Dopo questo, questa chiave viene utilizzata per decifrare il valore di hash nell'intestazione, e anche ricalcolare il valore di hash dall'e-mail che ha ricevuto.

Dopo questo, gli esperti scopriranno che se queste due firme DKIM corrispondono, allora l'MTA saprà che l'email non è stata alterata. Inoltre, all'utente viene data un'ulteriore conferma che l'e-mail è stata effettivamente inviata dal dominio elencato.

DKIM, che è stato originariamente formato dalla fusione di due chiavi di stazione, Domain keys (quella creata da Yahoo) e Identified Internet Mail (da Cisco) nel 2004, e si è sviluppato in una nuova tecnica di autenticazione ampiamente adottata che rende la procedura di e-mail di un'organizzazione abbastanza affidabile, e che è specificamente il motivo per cui le principali aziende tecnologiche come Google, Microsoft e Yahoo controllano sempre la posta in arrivo per le firme DKIM.

DKIM Vs. SPF

Sender Policy Framework (SPF) è una forma di autenticazione della posta elettronica che definisce un processo per convalidare un messaggio di posta elettronica, che è stato inviato da un server di posta autorizzato, al fine di rilevare la falsificazione e prevenire la truffa.

Mentre la maggior parte delle persone ritiene che sia SPF che DKIM debbano essere usati nelle organizzazioni, ma DKIM ha certamente un vantaggio in più rispetto agli altri. Le ragioni sono le seguenti:

  • In DKIM, il proprietario del dominio pubblica una chiave crittografica, che viene specificamente formattata come un record TXT nel record generale del DNS
  • La firma unica DKIM che viene allegata all'intestazione del messaggio lo rende più autentico
  • L'uso di DKIM si rivela più fruttuoso perché la chiave DKIM usata dai server di posta in entrata per rilevare e decifrare la firma del messaggio dimostra che il messaggio è più autentico e inalterato.

In conclusione

Per la maggior parte delle organizzazioni commerciali, non solo DKIM proteggerebbe le loro attività da attacchi di phishing e spoofing, ma DKIM aiuterebbe anche a proteggere le relazioni con i clienti e la reputazione del marchio.

Questo è particolarmente importante perché DKIM fornisce una chiave di crittografia e una firma digitale che prova doppiamente che un'email non è stata falsificata o alterata. Queste pratiche aiuterebbero le organizzazioni e le imprese a fare un passo avanti migliorando la loro deliverability delle email e inviando una email sicura, che aiuterebbe a generare entrate. Per lo più, dipende dalle organizzazioni su come usarlo e implementarlo. Questo è più importante e relazionabile come la maggior parte delle organizzazioni vorrebbe liberarsi dagli attacchi informatici e dalle minacce.