• Identità del mittente dell'e-mail: cos'è e perché è importante

Identità del mittente dell'e-mail: cos'è e perché è importante

Blog, DMARC

L'identità del mittente di un'e-mail determina chi dichiara di essere il mittente dell'e-mail. Scopri come funziona, come viene falsificata e come SPF, DKIM e DMARC la proteggono.

di Milena Baghdasaryan

Ultimo aggiornamento:
8 Tempo di lettura: 8 minuti
Identità del mittente dell'e-mail: cos'è e perché è importante
Indice dei contenuti-

I punti chiave da prendere in considerazione

  • L'identità del mittente dell'e-mail è costituita dal nome visualizzato, dall'intestazione "Da" (RFC 5322) e dall'intestazione "Da" dell'involucro (RFC 5321), che insieme definiscono il mittente dichiarato.
  • SPF verifica gli indirizzi IP di invio, DKIM aggiunge firme crittografiche e DMARC applica l'allineamento dei domini e le azioni previste dalla politica (nessuna, quarantena, rifiuto).
  • DMARC con p=reject blocca lo spoofing diretto del dominio ed è ora richiesto da Google e Yahoo per i mittenti di massa a partire dal 2024.
  • Gli aggressori sfruttano i controlli di identità deboli utilizzando lo spoofing del nome visualizzato, domini simili e attacchi omografi.
  • Le aziende devono applicare il protocollo DMARC, monitorare i rapporti di autenticazione e autenticare tutti i mittenti terzi per proteggere la reputazione del marchio, la deliverability e la sicurezza finanziaria.

Un'e-mail è valida solo quanto l'identità che la sottende e, al momento, la tua potrebbe essere più facile da falsificare di quanto pensi. L'identità del mittente di un'e-mail definisce chi dichiara di essere il mittente dell'e-mail e come tale identità viene verificata tecnicamente. Si basa su intestazioni SMTP, record DNS e protocolli di autenticazione come SPF, DKIM e DMARC. Senza un'adeguata verifica, gli aggressori possono falsificare domini, impersonare dirigenti e lanciare campagne di phishing che danneggiano la reputazione del marchio e la deliverability delle e-mail. L'applicazione del DMARC (p=reject), l'allineamento di SPF e DKIM e il monitoraggio continuo proteggono il tuo dominio dallo spoofing diretto e dagli attacchi di Business Email Compromise.

Che cos'è l'identità del mittente dell'e-mail?

L'identità del mittente dell'e-mail è l'indirizzo e-mail e il dominio indicati nel campo "Da" che indicano chi dichiara di essere il mittente del messaggio. Tuttavia, a causa del modo in cui è stato scritto il protocollo SMTP (Simple Mail Transfer Protocol), esiste un enorme divario tra l'identità dichiarata e l'identità verificata.

  • Identità dichiarata: è quella che dichiara il mittente. Un hacker può facilmente scrivere "Da: [email protected]" nei metadati di un'e-mail. Senza autenticazione, il server di posta del destinatario non ha motivo di dubitarne.
  • Identità verificata: si tratta di un'identità supportata da una "prova di proprietà" tecnica. Utilizza record DNS e chiavi crittografiche per dimostrare che il mittente ha il diritto legale di utilizzare quel determinato nome di dominio.

L'identità è rappresentata in tre livelli:

  • Il nome visualizzato, ovvero il nome intuitivo.
  • L'intestazione Da, che è l'indirizzo e-mail visibile.
  • L'indirizzo mittente, che è l'indirizzo tecnico di instradamento.

Dove appare l'identità del mittente dell'e-mail

Per un utente standard, un'e-mail sembra una semplice lettera. Per un server di posta, è una complessa serie di intestazioni.

L'indirizzo "Da" (Intestazione Da)

Definito da RFC 5322, è l'indirizzo che appare nel campo "Da" della tua casella di posta in arrivo. È il segnale di identità più importante perché determina il comportamento dell'utente. Se un utente vede [email protected], statisticamente è più propenso a cliccare su un link rispetto a quando vede [email protected].

Nome visualizzato vs. Indirizzo effettivo

È qui che ha inizio la maggior parte delle attività di phishing. Un malintenzionato può impostare il nome visualizzato su "Microsoft Security", mentre l'indirizzo effettivo è [email protected]. Poiché molti dispositivi mobili nascondono l'indirizzo effettivo per risparmiare spazio sullo schermo, gli utenti vedono solo il nome "amichevole", il che porta ad alti tassi di successo per l'usurpazione di identità.

Identità a livello di intestazione: RFC 5322 vs. RFC 5321

  • RFC 5322. Da: L'intestazione. Questo è ciò che vede l'utente.
  • Return-Path (Envelope-From / RFC 5321): l'indirizzo di ritorno sulla busta. È qui che il server ricevente invia i messaggi di "rimbalzo" se l'e-mail non può essere recapitata. Questi due indirizzi non devono necessariamente corrispondere, a meno che non siano in vigore specifiche politiche di sicurezza.

Come viene verificata l'identità del mittente di un'e-mail

Poiché "rivendicare" un'identità è così facile da falsificare, il settore ha sviluppato una suite completa di protocolli di autenticazione per verificarla.

Come viene verificata l'identità del mittente di un'e-mail

1. SPF

SPF è un record DNS che elenca tutti gli indirizzi IP e i servizi autorizzati a inviare posta per il tuo dominio.

  • Come funziona: quando arriva un'e-mail, il server ricevente controlla il DNS del dominio Return-Path per verificare se l'IP del mittente è presente nella "lista degli ospiti".
  • Il difetto: SPF controlla solo l'"Envelope" (busta), non la "Letterhead" (intestazione, ovvero l'indirizzo del mittente che vede l'utente). Un malintenzionato può utilizzare il proprio dominio per il controllo SPF, ma inserire il tuo dominio nel campo visibile del mittente.

2. DKIM

DKIM aggiunge una firma digitale all'intestazione dell'e-mail utilizzando la crittografia a chiave pubblica.

  • Il vantaggio: garantisce che il messaggio non sia stato alterato durante il trasferimento e dimostra che il proprietario del dominio ha autorizzato il messaggio. A differenza dell'SPF, la firma DKIM rimane nell'e-mail anche se questa viene inoltrata da una mailing list.

3. DMARC

DMARC è il livello più critico. Risolve il problema dell'"allineamento dell'identità".

  • La logica: DMARC chiede: "Il dominio nell'indirizzo visibile Da: corrisponde al dominio verificato da SPF o DKIM?"
  • Applicazione delle politiche: consente ai proprietari dei domini di indicare ai server riceventi cosa fare se l'identità non corrisponde:
  • Nessuna, il che significa non fare nulla
  • Quarantena, che significa inviare allo spam
  • Rifiuta, che è la politica più severa e comporta il blocco totale dell'e-mail.

4. ARC (Catena di ricezione autenticata)

Sebbene DMARC sia potente, presenta un "punto debole": spesso fallisce quando un'e-mail viene inoltrata (ad esempio tramite una mailing list o un reindirizzamento automatico). L'inoltro spesso compromette SPF o modifica l'e-mail in modo tale da invalidare la firma DKIM.

  • Come funziona: ARC agisce come un "pass-through digitale". Quando un intermediario affidabile (come una mailing list) riceve la tua e-mail, convalida l'SPF/DKIM/DMARC originale e poi allega la propria firma (la catena ARC) per dimostrare che il messaggio era legittimo quando è arrivato per la prima volta.
  • Il vantaggio: consente al destinatario finale di "risalire" lungo la catena di inoltro e fidarsi dell'identità del mittente originale, anche se DMARC tecnicamente fallisce.

Identità del mittente dell'e-mail vs. autenticazione dell'e-mail

È facile confondere questi due termini, ma essi svolgono ruoli diversi nel vostro stack di sicurezza.

  • L'identità è il "chi": è l'immagine digitale del tuo marchio. È la fiducia che hai costruito con i tuoi clienti, affinché sappiano che un'e-mail proveniente da [email protected] è legittima.
  • L'autenticazione è il "come": si tratta dei meccanismi tecnici SPF, DKIM, DMARC, utilizzati per dimostrare tale identità.

Pensateci come a un passaporto. La vostra identità è il vostro status di cittadini autorizzati a viaggiare. L'autenticazione è il passaporto fisico e il chip biometrico al suo interno che dimostra che siete chi dite di essere. L'autenticazione esiste esclusivamente per proteggere la vostra identità dal furto. Quando c'è una "discrepanza" tra i due, ovvero quando i controlli di autenticazione vengono superati ma l'identità non corrisponde, la fiducia viene meno ed è proprio lì che gli hacker trovano la loro opportunità.

Come gli hacker abusano dell'identità del mittente delle e-mail

I criminali informatici utilizzano l'"inganno dell'identità" per aggirare l'intuizione umana e i filtri tecnici.

  • Spoofing del dominio esatto: se un'azienda non ha implementato DMARC con p=reject, un malintenzionato può inviare un'e-mail identica in tutto e per tutto a una vera e-mail interna.
  • Furto d'identità tramite nome visualizzato: spesso chiamato "frode del CEO", questo tipo di truffa prende di mira i dipendenti molto impegnati. L'e-mail sembra provenire dal "nome del CEO" e richiede un bonifico bancario urgente o l'acquisto di una carta regalo.
  • Domini simili (cugini): gli aggressori registrano domini come nike-support.com invece di nike.com.
  • Attacchi omografici: utilizzo di caratteri provenienti da alfabeti diversi che sembrano identici, come la sostituzione della "o" latina con la "ο" greca (omicron).

Perché l'identità del mittente delle e-mail è importante per le aziende

  1. Reputazione del marchio: il tuo dominio è la tua vetrina digitale. Se viene utilizzato per inviare spam, il tuo marchio verrà associato a contenuti "non sicuri".
  2. Consegna: all'inizio del 2024, Google e Yahoo hanno iniziato a rendere obbligatorio il DMARC per i mittenti di email di massa. Se la tua identità non è verificata, le tue email legittime di marketing e transazionali, come quelle relative alla reimpostazione delle password, verranno bloccate.
  3. Sicurezza finanziaria: ogni anno le violazioni delle e-mail aziendali causano perdite per miliardi di dollari. L'identità verificata è l'unico modo tecnico per fermare questi attacchi su larga scala.

Errori comuni nell'identità del mittente delle e-mail

  • La trappola "p=none": molte aziende configurano DMARC ma lo lasciano per sempre in " modalità monitoraggio" (p=none). Ciò garantisce visibilità ma nessuna protezione contro lo spoofing.
  • Eccessiva dipendenza dall'SPF: l'SPF ha un "limite di 10 ricerche". Se il tuo record è troppo complesso, fallisce, lasciando la tua identità completamente esposta.
  • Ignoranza dello Shadow IT: i reparti marketing o risorse umane spesso adottano nuovi strumenti senza informare il reparto IT. Se questi strumenti non sono autenticati, non supereranno i controlli DMARC e finiranno nella cartella dello spam.

Migliori pratiche per proteggere l'identità

Migliori pratiche per la protezione dell'identità

Lista di controllo tecnica

  • Ottieni l'applicazione DMARC: punta a p=reject. Questo è il "gold standard" della protezione dell'identità.
  • Implementa BIMI: Brand Indicators for Message Identification consente di visualizzare il logo verificato del proprio marchio nella casella di posta in arrivo per fornire un segno di spunta visivo "Verificato".
  • Utilizza selettori DKIM univoci: assegna chiavi DKIM diverse a fornitori diversi in modo da poter revocare una chiave senza influire sulle altre.

Strategia organizzativa

  • Monitoraggio continuo: utilizza uno strumento di monitoraggio DMARC per verificare la presenza di nuovi servizi che inviano posta a tuo nome.
  • Esercitazioni antiphishing per i dipendenti: insegnare al personale a non fidarsi mai solo del nome visualizzato.

Garantire il supporto ARC

Se utilizzi una mailing list o un servizio di inoltro, assicurati che sia configurato per "sigillare" i messaggi con ARC. Ciò impedisce che le tue e-mail inoltrate legittimamente vengano rifiutate da politiche DMARC rigorose.

Conclusione: smettila di lasciare che degli estranei indossino il tuo marchio

Considera l'identità del mittente delle tue e-mail come la "porta d'ingresso" digitale della tua attività. Senza le giuste serrature, SPF, DKIM e DMARC, stai essenzialmente lasciando quella porta spalancata. Agli albori del web, le e-mail si basavano su una stretta di mano, ma nel panorama odierno la "fiducia" è qualcosa che devi dimostrare tecnicamente con ogni singolo messaggio che invii.

Se lasci la tua identità senza protezione, non rischi solo qualche reclamo per spam, ma stai consegnando la reputazione del tuo marchio a chiunque voglia appropriarsene. Quando un malintenzionato invia una fattura falsa o un link di phishing utilizzando il tuo dominio, la vittima non incolpa l'hacker, ma te. Proteggere la tua identità non è solo una questione tecnica, ma significa garantire che quando saluti un cliente o un partner, questi sappia senza ombra di dubbio che sei davvero tu.

Non aspettare che un'e-mail di "frode del CEO" raggiunga il tuo reparto contabilità prima di agire. Il tuo marchio merita un'identità verificata di cui i provider di posta elettronica possano fidarsi e che gli hacker non possano violare. Prova oggi stesso PowerDMARC gratuitamente per semplificare la "zuppa alfabetica" della sicurezza e-mail, passando con facilità da una politica vulnerabile p=none a una più rigorosa p=reject.

Domande frequenti

È possibile falsificare l'identità del mittente di un'e-mail?

In un batter d'occhio. Il "linguaggio" originale delle e-mail (SMTP) è simile all'invio di una cartolina postale: chiunque può scrivere un nome falso sul retro. Senza sistemi di sicurezza moderni come SPF e DKIM, un hacker può inserire il nome e l'indirizzo e-mail del tuo amministratore delegato nel campo "Da" e la maggior parte delle caselle di posta lo accetterà senza problemi.

DMARC impedisce tutti gli spoofing?

Non proprio. DMARC è molto efficace nel bloccare lo spoofing di domini esatti (qualcuno che finge di essere [email protected]). Tuttavia, non blocca i "domini simili" (come yourbrancd.com) o lo "spoofing del nome visualizzato" (in cui il nome è corretto, ma l'indirizzo e-mail è un account Gmail casuale). Per questi casi è ancora necessario avere un occhio attento.

Qual è la differenza tra From e Return-Path?

Pensa all'indirizzo del mittente come al nome riportato sull'intestazione della carta da lettere all'interno della busta: è ciò che vede l'essere umano. Il percorso di ritorno è l'indirizzo stampato all'esterno della busta utilizzato dai server di posta per gestire i messaggi respinti. Gli hacker amano renderli diversi per ingannare i filtri, motivo per cui l'allineamento DMARC è così importante.

L'identità del mittente è la stessa cosa della reputazione dell'indirizzo e-mail?

No. L'identità è ciò che sei; la reputazione è come ti comporti. Se hai un'ottima identità (verificata) ma invii contenuti spam, la tua reputazione continuerà a peggiorare. Tuttavia, se non proteggi la tua identità, gli hacker possono rovinare la tua reputazione inviando spam a tuo nome.

Le e-mail interne necessitano di protezione dell'identità del mittente?

Assolutamente sì. Alcune delle truffe più ingenti (come la frode del CEO) avvengono quando un dipendente riceve un'e-mail che sembra provenire dal proprio capo nell'ufficio accanto. Se non proteggi la tua identità internamente, lasci la porta aperta ad attacchi dello stile "La chiamata proviene dall'interno della casa".

Ultimi messaggi di Milena Baghdasaryan (vedi tutti)
Ultimo aggiornamento:
Livello di affidabilità dello spam (SCL) -1 Bypass: cosa significa e come gestirloLivello di affidabilità dello spam (SCL) - 1 - BypassLa crittografia delle e-mail di Outlook è conforme alla normativa HIPAA? Una guida completa per il 2026