• LaunDroMARC: come una falla nell'SRS di Microsoft sta riciclando e-mail contraffatte

LaunDroMARC: come una falla nell'SRS di Microsoft sta riciclando e-mail contraffatte

Blog

Una falla nell'SRS di Microsoft può consentire alle e-mail contraffatte di superare il DMARC dopo l'inoltro. Scopri come funziona LaunDroMARC, perché è pericoloso e come rilevarlo.

di Ahona Rudra

Tempo di lettura: 5 min
LaunDroMARC: come una falla nell'SRS di Microsoft sta riciclando e-mail contraffatte
Indice dei contenuti-

I punti chiave da prendere in considerazione

  • L'inoltro delle e-mail può inavvertitamente aggirare le protezioni DMARC.
  • L'SRS di Microsoft può "riciclare" le e-mail dannose, facendole apparire affidabili.
  • LaunDroMARC influisce sia sui messaggi inoltrati internamente che su quelli inoltrati esternamente.
  • Il monitoraggio continuo e la visibilità sono fondamentali per la sicurezza delle e-mail.
  • PowerDMARC fornisce strumenti per individuare e mitigare tali falle di inoltro.

Il ricercatore di sicurezza Aaron Hart stava indagando su quello che sembrava un normale tentativo di compromissione delle e-mail aziendali. Ma più approfondiva le indagini, più la cosa diventava strana. Tutto ciò che riguardava l'attacco sembrava perfetto e credibile: il dominio del mittente, i risultati dell'autenticazione e il percorso seguito dall'e-mail.

Eppure era successo qualcosa di impossibile. Un'e-mail che non aveva superato il DMARC alla fonte era magicamente superato il DMARC dopo essere stata inoltrata tramite Microsoft Exchange Online.

Questo non dovrebbe essere possibile. Ma lo era, e stava accadendo a causa di un effetto collaterale dello schema di riscrittura del mittente (SRS) di Microsoft. Sender Rewriting Scheme (SRS) .

Questo blog analizza la questione in un linguaggio semplice, originariamente condiviso da Engage Security, spiegando come funziona la falla e come le organizzazioni possono rilevare e mitigare il rischio.

Come Microsoft SRS causa il bypass DMARC 

Durante le indagini, Aaron ha notato che:

  • L'e-mail dichiarava di provenire da un dominio interno affidabile (ORG 1).
  • È stato consegnato alla casella di posta dell'utente presso un'altra organizzazione (ORG 2).
  • ORG 2 ha considerato il messaggio perfettamente autenticato, ovvero SPF superato, DMARC superato.
  • Ma l'e-mail originale inviata all'ORG 1 dall'autore dell'attacco non ha superato il controllo DMARC.
  • L'inoltro SRS di Microsoft ha riscritto il MAIL FROM durante l'inoltro.
  • Il MAIL FROM riscritto ha creato un allineamento, consentendo al DMARC di passare a valle.

In breve: Un'e-mail contraffatta che avrebbe dovuto essere respinta è stata inoltrata, riscritta e "ripulita", quindi consegnata come messaggio affidabile. Ciò ha portato a una compromissione dell'account nel mondo reale, e non si è trattato di un caso isolato.

Perché è importante

L'inoltro delle e-mail è estremamente comune nelle organizzazioni:

  • Consulenti che inoltrano le e-mail dei clienti
  • I membri del consiglio di amministrazione inoltrano gli indirizzi aziendali alle caselle di posta personali
  • Caselle di posta condivise o liste di distribuzione che inoltrano la posta all'esterno
  • Gruppi di collaborazione interorganizzativa

Dal 2023, Microsoft ha abilitato SRS per tutti gli utenti di Exchange Online, con l'intento di risolvere gli errori SPF causati dall'inoltro delle e-mail. Purtroppo, questa correzione ha creato un nuovo problema: le e-mail dannose inoltrate ora appaiono completamente autenticate, anche se in origine non avevano superato il controllo DMARC.

Questo fenomeno è stato ora soprannominato "LaunDroMARC" perché il processo di inoltro "ricicla" letteralmente i messaggi dannosi.

Un rapido ripasso: SMTP, SPF, DKIM e DMARC

LaunDroMARC

MAIL DA vs DA

  • MAIL DA (Da busta): invisibile agli utenti e utilizzato per la gestione dei bounce.
  • DA: mittente visibile nella tua casella di posta.

SPF

Il Sender Policy Framework verifica se il server mittente è autorizzato a inviare posta per il dominio MAIL FROM. SPF non convalida l'indirizzo FROM visibile e interrompe l'inoltro (i forwarder non sono presenti nel record SPF del mittente).

DKIM

DomainKeys Identified Mail firma digitalmente le intestazioni delle e-mail, compreso il campo FROM. Gli hacker possono potenzialmente firmare con DKIM i propri domini dannosi, evidenziando uno dei punti deboli del protocollo.

DMARC

L'autenticazione, la segnalazione e la conformità dei messaggi basate sul dominio risolvono i problemi di allineamento richiedendo che il dominio MAIL FROM corrisponda al dominio FROM o che il dominio di firma DKIM corrisponda al dominio FROM, al fine di superare l'autenticazione. Se l'allineamento non riesce, il dominio DMARC indica ai destinatari se consegnare, mettere in quarantena o rifiutare il messaggio. 

DMARC ha ridotto significativamente lo spoofing fino a quando questa scappatoia non lo ha reintrodotto.

Dove le cose sono andate storte: l'implementazione SRS di Microsoft

L'SRS è stato introdotto per prevenire errori SPF durante l'inoltro. Tuttavia, l'implementazione di Microsoft presenta una lacuna critica:

Microsoft riscrive il MAIL FROM anche quando:

  • L'e-mail originale falsifica l'indirizzo DEL mittente del dominio di inoltro.
  • L'e-mail contraffatta non supera il controllo DMARC al primo hop.
  • Il messaggio proviene da un dominio controllato dall'autore dell'attacco.

Una volta riscritto utilizzando SRS, MAIL FROM ora si allinea con il dominio FROM, rendendo DMARC superi il controllo nella destinazione finale.

Il risultato: un'e-mail dannosa che normalmente dovrebbe essere bloccata dal DMARC finisce per essere inoltrata, riscritta dall'SRS e perfettamente allineata con i record di autenticazione del dominio di inoltro. Di conseguenza, viene consegnata al destinatario come un messaggio completamente legittimo. In breve, lo spoofing tramite l'inoltro delle e-mail diventa nuovamente possibile, vanificando le protezioni che il DMARC era stato progettato per fornire.

Microsoft attualmente non considera questo problema una vulnerabilità di sicurezza.

Esempio di scenario

Immaginate un hacker che controlla il dominio maliciousmailer.com, con record SPF configurati per consentire l'invio dall'IP 198.51.100.25. L'hacker crea un'e-mail destinata a una consulente, Sarah, il cui indirizzo e-mail di lavoro è [email protected] ma viene automaticamente inoltrato alla sua casella di posta personale all'indirizzo [email protected].

L'autore dell'attacco imposta le intestazioni dell'e-mail come segue:

Una volta inviata, la convalida SPF viene superata perché il dominio MAIL FROM è controllato dall'autore dell'attacco. Quando l'e-mail raggiunge company.com, Exchange Online la elabora con SRS: ignora l'errore DMARC sul campo FROM contraffatto, riscrive il campo MAIL FROM per allinearlo al dominio di inoltro (ad esempio, sarah+SRS=…@company.com) e lo inoltra alla casella di posta personale di Sarah.

Su personalmail.com, DMARC ora passa perché il MAIL FROM riscritto e il FROM visibile sono allineati. L'e-mail viene consegnata nella casella di posta di Sarah sembrando legittima, aggirando efficacemente le protezioni che avrebbero dovuto bloccarla.

In breve, un messaggio contraffatto che avrebbe dovuto essere bloccato viene ora considerato attendibile dal destinatario, dimostrando come l'SRS possa inavvertitamente "riciclare" e-mail dannose.

Perché LaunDroMARC è pericoloso per le organizzazioni 

Questa vulnerabilità è pericolosa perché gli utenti tendono naturalmente a fidarsi delle e-mail che sembrano provenire dalla propria organizzazione o da un dominio interno familiare. Quando le e-mail dannose vengono inoltrate, aggirano i controlli di sicurezza originali e arrivano apparentemente pulite e legittime. 

Gli aggressori sfruttano regole di inoltro prevedibili per approfittare di questo punto cieco, mentre i team di sicurezza spesso si concentrano sulle minacce in entrata piuttosto che sulla posta inoltrata. Di conseguenza, questa falla apre la porta a rischi gravi, tra cui il furto di dati sensibili, la raccolta di credenziali, lo spear-phishing interno e persino attacchi di furto d'identità nella catena di fornitura.

Cosa potrebbe risolvere Microsoft

Esistono diverse misure semplici che Microsoft potrebbe implementare:

  1. Non riscrivere MAIL FROM tramite SRS se l'intestazione FROM appartiene al dominio di inoltro ma non supera il controllo DMARC al primo hop.
  2. Applicare SRS solo ai messaggi che superano DMARC dal mittente.
  3. Confronta le intestazioni Authentication-Results prima e dopo l'inoltro.
     Se non corrispondono, metti in quarantena il messaggio.

Come le organizzazioni possono rilevare LaunDroMARC

Bypass DMARC di Microsoft SRS 

1. Il dominio di inoltro (Exchange Online)

È possibile individuare potenziali abusi cercando le e-mail in cui il dominio MAIL FROM è esterno, ma l'intestazione FROM sembra appartenere alla propria organizzazione. Questi messaggi spesso mostrano un modello di superamento dell'SPF e di fallimento del DMARC: un campanello d'allarme nel contesto della riscrittura SRS. Quando questi stessi messaggi vengono successivamente inoltrati in uscita, diventa un forte indicatore del fatto che le regole di inoltro vengono utilizzate per trasmettere contenuti contraffatti o dannosi.

2. Il dominio del destinatario finale

Se un'e-mail mostra una corrispondenza tra l'indirizzo FROM visibile e il MAIL FROM riscritto, ma il dominio MAIL FROM originale nascosto all'interno del valore SRS non corrisponde a nessuno dei due, è un forte indicatore che il messaggio è stato "riciclato" tramite inoltro e potrebbe trattarsi di un'e-mail contraffatta o dannosa.

Il punto di vista di PowerDMARC

In quanto piattaforma dedicata al rafforzamento dell'autenticazione globale delle e-mail, problemi come LaunDroMARC evidenziano perché il monitoraggio e la visibilità sono importanti tanto quanto l'applicazione delle norme. Anche quando standard come DMARC vengono implementati correttamente, le lacune nell'implementazione da parte dei provider di caselle di posta elettronica possono creare vulnerabilità al di fuori del vostro controllo.

PowerDMARC aiuta le organizzazioni a:

  • Analizza i risultati dell'autenticazione su tutti gli hop
  • Rileva anomalie di allineamento e comportamento di inoltro
  • Ricevi avvisi in tempo reale sui tentativi di spoofing
  • Comprendere come i sistemi di terze parti gestiscono la posta inoltrata
  • Monitorare il traffico cross-domain per individuare eventuali modelli di spoofing
  • Mantenere la visibilità sugli attacchi che sfruttano le catene di inoltro

Prova prova gratuita o prenota una demo con uno dei nostri esperti interni per iniziare a proteggere il tuo dominio oggi stesso! 

Pensieri finali

Il problema LaunDroMARC riapre un vettore di attacco che DMARC era stato progettato per bloccare, rendendo nuovamente possibile lo spoofing del dominio interno tramite la posta inoltrata. Sebbene Microsoft attualmente lo consideri un "rischio basso", i compromessi nel mondo reale dimostrano il contrario. 

Le organizzazioni che utilizzano Microsoft 365 devono essere consapevoli di questa falla nel sistema di inoltro e adottare misure di rilevamento aggiuntive.

Ultimi messaggi di Ahona Rudra (vedi tutti)
La caccia alle balene Cyber Awareness nel 2026Consapevolezza cibernetica della caccia alle balene nel 2023powerdmarc-dmarc-leaderPowerDMARC riconosciuto come leader nel settore dei software DMARC per l'inverno 2025