I punti chiave da prendere in considerazione
- Il documento NIST SP 800-81r3 riclassifica formalmente il DNS da semplice infrastruttura di rete passiva a livello attivo e dinamico di applicazione delle misure di sicurezza.
- L'aggiornamento introduce il Protective DNS (PDNS), che trasforma i resolver da semplici strumenti di query passivi a filtri attivi in grado di bloccare minacce quali i domini simili.
- Protocolli come SPF, DKIM e DMARC vengono pubblicati interamente sotto forma di record TXT del DNS; se il tuo DNS non è sicuro, l'autenticazione delle tue e-mail può essere facilmente compromessa.
- L'applicazione delle politiche DMARC senza l'implementazione delle estensioni di sicurezza DNS (DNSSEC) rende le vostre politiche vulnerabili al cache poisoning del DNS e alla manipolazione dei dati durante il transito.
- Lo spoofing diretto viene bloccato dal DMARC, ma gli attacchi basati su domini simili (typosquatting) richiedono l'uso del PDNS e una gestione proattiva del DNS per individuare le minacce prima che gli utenti interagiscano con esse.
Secondo la Polizia di Singapore, nell’aprile 2026 una società di trading di materie prime con sede a Singapore ha trasferito 6,6 milioni di dollari su un conto bancario fraudolento in Oman. La causa non è stata una sofisticata violazione della rete né un attacco hacker diretto. Gli autori dell’attacco hanno invece utilizzato un classico stratagemma di typosquatting, inviando e-mail da un dominio in cui solo due lettere erano state invertite. L’indirizzo contraffatto appariva praticamente identico a quello del fornitore autentico della società.
Questo incidente devastante evidenzia perché considerare il Domain Name System (DNS) come un’infrastruttura passiva rappresenti un enorme rischio per la sicurezza. Proprio per colmare queste lacune, il National Institute of Standards and Technology (NIST) ha finalizzato il documento NIST SP 800-81r3 il 19 marzo 2026. Questa versione rappresenta il primo importante aggiornamento delle linee guida federali del NIST sulla sicurezza del DNS in 13 anni, trasformando ufficialmente il DNS da semplice infrastruttura di rete in secondo piano a un controllo di sicurezza attivo e in prima linea. Per i team IT e di sicurezza che gestiscono l’autenticazione della posta elettronica, si tratta di un cambiamento significativo nel modo in cui il DNS dovrebbe essere gestito.
Che cos’è il NIST SP 800-81r3?
La Pubblicazione Speciale (SP) 800-81 del NIST costituisce lo standard di riferimento definitivo per l’implementazione sicura del DNS. La versione precedente, la Revisione 2, era stata pubblicata nel 2013. Nei 13 anni trascorsi da allora, il panorama tecnologico aziendale è cambiato radicalmente con l’affermarsi dell’architettura cloud, la diffusione del ransomware, i protocolli crittografati e i modelli Zero Trust.
Il quadro normativo NIST SP 800-81r3, recentemente finalizzato e redatto da Scott Rose del NIST in collaborazione con gli esperti di Infoblox Cricket Liu e Ross Gibson, modernizza queste linee guida. Se da un lato la conformità è strettamente obbligatoria per le agenzie federali statunitensi al fine di soddisfare i moderni decreti esecutivi in materia di sicurezza informatica, dall’altro funge anche da punto di riferimento a livello internazionale. Ad esempio, le organizzazioni europee possono considerarlo uno standard tecnico fondamentale ai fini della direttiva NIS2 (Network and Information Security 2) dell’UE.
NIST SP 800-81r3: Strategia architettonica di base
Tre pilastri che ridefiniscono il DNS come misura di sicurezza attiva
| Pilastro 1: Applicazione proattiva delle misure di sicurezza | Pilastro 2: Rafforzamento del protocollo | Pilastro 3: Protezione delle infrastrutture |
|---|---|---|
| Blocco attivo delle minacce Filtraggio e registrazione delle query | Firma DNSSEC Trasporti DNS crittografati | Rafforzamento della sicurezza del server Controllo degli accessi |
Il cambiamento fondamentale introdotto da questa revisione è semplice: il DNS non è più un servizio che, una volta configurato, non richiede ulteriore intervento. Il quadro normativo moderno impone alle organizzazioni di considerare il DNS come un punto dinamico di applicazione delle misure di sicurezza, che deve bloccare attivamente le minacce, fornire dati di telemetria alle operazioni di sicurezza ed essere sottoposto a controlli continui.
Cinque principali modifiche apportate alla norma SP 800-81r3
1. DNS protettivo – Dal resolver passivo al filtro attivo
Il cambiamento concettuale più significativo nelle nuove linee guida è l'introduzione formale del DNS protettivo (PDNS). Un servizio DNS protettivo funge da filtro di sicurezza attivo piuttosto che da semplice strumento di ricerca nelle directory. Esamina tutte le query DNS in uscita, le confronta con i feed di intelligence sulle minacce e blocca le connessioni a domini noti come dannosi o a infrastrutture di phishing.
- Flessibilità di implementazione: il NIST raccomanda un modello di infrastruttura ibrida e punta a combinare soluzioni PDNS scalabili basate sul cloud con firewall DNS on-premise di riserva per garantire la resilienza.
- Mitigazione proattiva: PDNS mitiga attivamente i rischi impedendo agli utenti e ai dispositivi di connettersi a host pericolosi.
- Fermare le truffe basate sui domini simili: nel contesto del caso di Business Email Compromise (BEC) verificatosi a Singapore, un livello PDNS attivo è in grado di bloccare completamente la risoluzione dei domini simili appena registrati.
2. DNS crittografato – DoT, DoH e DoQ
Le query DNS tradizionali viaggiano su Internet in chiaro, consentendo agli hacker di intercettare il traffico e mappare le risorse interne di un’organizzazione o le sue partnership esterne. La linea guida aggiornata raccomanda formalmente l’uso di protocolli DNS crittografati per proteggere la riservatezza delle query.
- Protocolli supportati: l'aggiornamento standardizza i protocolli DNS over Transport Layer Security (DoT), DNS over HTTPS (DoH) e DNS over QUIC (DoQ).
- Protezione contro le intercettazioni: la crittografia di questi canali impedisce agli attori malintenzionati esterni di intercettare le richieste del sistema.
- Blocco di ricognizione: impedisce direttamente agli aggressori di intercettare le richieste di verifica della sicurezza delle e-mail in uscita, che spesso utilizzano per mappare le reti degli obiettivi prima di lanciare campagne di spear-phishing.
3. Il DNS come punto di applicazione delle politiche Zero Trust
In un'architettura Zero Trust, nessun utente o dispositivo è considerato affidabile per impostazione predefinita e ogni singola richiesta di accesso deve essere convalidata in modo esplicito. Le nuove linee guida elevano il DNS a punto centrale di applicazione delle politiche (PEP) Zero Trust.
- Sicurezza pre-connessione: poiché la risoluzione DNS avviene prima che venga stabilita qualsiasi connessione di rete, essa costituisce il primo livello possibile per bloccare le comunicazioni non autorizzate.
- Intelligenza contestuale: i dati delle query forniscono informazioni contestuali fondamentali, che consentono ai team di sicurezza di analizzare il comportamento dei dispositivi in base ai domini a cui tentano di connettersi.
- Isolamento dell'infrastruttura: se un sistema tenta di risolvere un server di comando e controllo notoriamente dannoso, il livello DNS segnala il dispositivo e interrompe immediatamente la comunicazione.
4. Implementazione più solida del protocollo DNSSEC
Il protocollo DNSSEC protegge l'integrità dei dati DNS aggiungendo firme crittografiche ai record. La nuova versione introduce aggiornamenti fondamentali volti a rendere il protocollo DNSSEC più sicuro ed efficiente.
- Crittografia moderna: il NIST mette in evidenza alcuni aspetti relativi agli algoritmi DNSSEC moderni e sottolinea che algoritmi come ECDSA ed Ed448 sono preferibili all’RSA in molte implementazioni, poiché generano chiavi e firme di dimensioni inferiori.
- Riduzione al minimo dei QNAME: i resolver ora inviano alla catena di ricerca solo la parte minima necessaria di una query relativa a un nome di dominio.
- Denial-of-Existence compatto: questa funzionalità riduce la quantità di informazioni strutturali esposte agli aggressori quando un server restituisce una risposta NXDOMAIN (dominio inesistente).
5. Registrazione dei log DNS, integrazione SIEM e ambito OT/IoT
L'ultimo importante aggiornamento è incentrato in gran parte sulla visibilità e sull'estensione della copertura di sicurezza agli ambienti non tradizionali.
- Acquisizione dati nel sistema SIEM: i log DNS autorevoli e ricorsivi devono essere inviati direttamente ai sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM).
- Correlazione IP: le organizzazioni devono incrociare i log DNS con i dati relativi alle assegnazioni DHCP (Dynamic Host Configuration Protocol) per ricondurre con precisione le ricerche dannose ai dispositivi fisici.
- Copertura OT e IoT: il quadro normativo introduce requisiti di sicurezza espliciti su misura per i dispositivi della tecnologia operativa (OT) e dell’Internet delle cose (IoT), che spesso sono privi di funzionalità di sicurezza integrate.
Perché lo standard SP 800-81r3 è importante per DMARC, SPF e DKIM
Se gestisci un reparto IT, potresti considerare la sicurezza della posta elettronica e quella del DNS come progetti completamente distinti. Si tratta di un errore pericoloso. La realtà è che l’intera strategia di autenticazione della posta elettronica è stabile solo quanto l’infrastruttura DNS sottostante su cui si basa.
SPF, DKIM e DMARC sono record DNS
Ogni singolo protocollo di autenticazione della posta elettronica si basa interamente sulla directory DNS. Quando un server di posta remoto riceve un messaggio dal proprio dominio, esegue immediatamente diverse query DNS:
- Verifica i record TXT SPF per verificare se l'indirizzo IP del mittente è autorizzato.
- Recupera la tua chiave DKIM pubblica utilizzando un selettore DNS specifico per verificare la firma crittografica presente nell'e-mail.
- Verifica il record della politica DMARC per stabilire come procedere nel caso in cui tali controlli falliscano.
Se un malintenzionato manipola queste ricerche tramite un attacco di “DNS cache poisoning” o di “hijacking”, la difesa della posta elettronica va in pezzi. Un record SPF contraffatto può autorizzare il server non autorizzato di un malintenzionato, mentre un record DMARC manipolato può far passare la politica di applicazione dal rifiuto alla non applicazione. Il nuovo quadro normativo sottolinea esplicitamente questa dipendenza e avverte che l’autenticazione della posta elettronica richiede un’integrità DNS verificata per funzionare in modo affidabile.
Il protocollo DNSSEC protegge i record di autenticazione delle e-mail
L'implementazione dell'applicazione del DMARC senza aver prima protetto la propria zona DNS lascia aperta una vulnerabilità critica. Senza il DNSSEC, un resolver ricorsivo non è in grado di verificare se una risposta DNS sia stata alterata durante il transito.
In uno scenario standard di “cache poisoning”, un malintenzionato inserisce voci fraudolente nella cache di un server DNS locale. Se tale cache fornisce un record SPF contraffatto e completamente aperto a un gateway di posta in ricezione, quest’ultimo accetterà le e-mail false come se fossero del tutto legittime. Firmando la propria zona con moderni algoritmi ECDSA secondo le nuove linee guida, si garantisce che i server di ricezione ricevano le politiche di posta elettronica autentiche e inalterate.
Il problema dei domini simili
Il caso della società di materie prime di Singapore evidenzia chiaramente dove l’autenticazione standard delle e-mail raggiunge i propri limiti strutturali. Gli autori dell’attacco in quell’episodio non hanno falsificato direttamente il nome di dominio della vittima, né hanno aggirato una politica DMARC già in vigore. Hanno invece registrato un nome di dominio completamente distinto, ma molto simile a quello della vittima.
Poiché possedevano quel dominio simile, le loro e-mail riuscivano a superare perfettamente i propri controlli SPF e DMARC.
| Livello di sicurezza | Cosa protegge | Dove finisce |
|---|---|---|
| Applicazione del DMARC | Protegge l'identità esatta e legittima del tuo dominio dallo spoofing diretto. | Non è possibile impedire a un malintenzionato di registrare un dominio simile ma completamente distinto. |
| DNS protettivo (PDNS) | Controlla il traffico in uscita e blocca l'accesso a domini dannosi, di recente registrazione o oggetto di typosquatting. | Per garantire una copertura completa, è necessaria una configurazione adeguata insieme all'autenticazione e-mail. |
Ecco perché il quadro normativo aggiornato insiste sulla necessità di combinare i protocolli di posta elettronica con una gestione proattiva del DNS. Mentre DMARC garantisce l’identità esatta del dominio, un livello protettivo del DNS fornisce la difesa necessaria contro i domini simili, bloccando l’accesso degli utenti prima che avvenga qualsiasi interazione.
Lista di controllo per la conformità alla norma SP 800-81r3 destinata ai team responsabili della sicurezza della posta elettronica
Per adeguare la vostra infrastruttura ai moderni modelli di minaccia e alle linee guida federali, utilizzate questa checklist tecnica e pratica.
1. Abilita e verifica il DNSSEC sul tuo dominio
- Firma le tue zone DNS autoritative utilizzando gli algoritmi di chiave ECDSA raccomandati.
- Verifica che i record TXT SPF, DKIM e DMARC siano interamente coperti dalle tue firme DNSSEC.
- Implementa la minimizzazione dei QNAME sui tuoi resolver ricorsivi per ridurre la fuga di informazioni in uscita.
2. Applicare il DMARC oltre il monitoraggio
- Non lasciare il tuo dominio esposto a rischio a tempo indeterminato con una politica di monitoraggio passiva (p=none).
- Definire un piano d'azione chiaro per il passaggio allo stato di applicazione di DMARC con p=reject.
- Utilizzate una piattaforma dedicata di analisi DMARC per monitorare costantemente i dati telemetrici aggregati e autorizzare in modo sicuro i flussi di posta elettronica in uscita validi durante la fase di transizione.
3. Verifica e pulizia dei record SPF e DKIM
- Verificate le vostre configurazioni SPF per assicurarvi che rispettino rigorosamente il limite standard di 10 ricerche.
- Assicurarsi che ogni provider di posta elettronica attivo utilizzi una chiave di selezione DKIM univoca e revocare tempestivamente le chiavi pubbliche obsolete o inutilizzate.
- Verificare che tutti i record TXT accessibili al pubblico si trovino interamente all’interno di zone protette da DNSSEC, al fine di impedire manomissioni a valle.
4. Implementare un’architettura DNS protettiva
- Implementare una soluzione PDNS di livello aziendale utilizzando un modello di implementazione ibrido per garantire che i feed di intelligence sulle minacce provenienti dal cloud siano supportati da controlli locali.
- Configura avvisi di sicurezza espliciti per le ricerche relative a domini appena registrati o a varianti note del nome del tuo marchio oggetto di typosquatting.
5. Passaggio al trasporto DNS crittografato
- Applicare le configurazioni DoT o DoH a tutti i resolver ricorsivi interni all'azienda per garantire la riservatezza delle query.
- Assegnare priorità al DoT all’interno delle reti aziendali gestite per semplificare il monitoraggio standard delle porte e il filtraggio del firewall.
6. Centralizza la telemetria DNS nel tuo SIEM
- Inoltra tutti i log delle query DNS autoritative e ricorsive alla tua piattaforma SIEM centrale.
- Configurare avvisi operativi in tempo reale per attività anomale, quali modifiche impreviste ai record MX, modifiche improvvise ai record TXT o tentativi da parte di clienti interni di risolvere indirizzi appartenenti a infrastrutture note di phishing.
Ambito di applicazione della conformità: a chi si applica?
| Quadro normativo / Giurisdizione | Applicazione e impatto |
|---|---|
| Agenzie federali statunitensi e appaltatori | Assolutamente obbligatorio. La conformità è in linea con i requisiti federali in materia di “zero-trust” e con i decreti esecutivi sulla sicurezza informatica. |
| Unione europea (Direttiva NIS2) | Per le organizzazioni europee soggette alla direttiva NIS2, la specifica SP 800-81r3 può rappresentare un utile punto di riferimento tecnico per la sicurezza del DNS. |
| PCI DSS 4.0 (Standard di sicurezza dei dati del settore delle carte di pagamento) | Lo standard PCI DSS 4.0.1 richiede misure di protezione anti-phishing e raccomanda l'adozione di controlli quali DMARC, SPF e DKIM, ma non indica il DMARC come unico controllo obbligatorio; l'attuazione di queste linee guida garantisce la sicurezza dell'infrastruttura DNS di base necessaria per il corretto funzionamento del DMARC. |
| Certificazione ISO 27001 | Si allinea perfettamente alle disposizioni dell’Allegato A relative alla sicurezza della rete (A.8.20) e alla gestione delle comunicazioni. |
Parole finali
La pubblicazione definitiva dello standard NIST SP 800-81r3 mette in luce una realtà fondamentale: l’autenticazione forte della posta elettronica e l’implementazione sicura del DNS sono controlli di sicurezza assolutamente indissociabili. È semplicemente impossibile garantire un servizio di posta elettronica affidabile e sicuro se la directory di rete sottostante è vulnerabile alle manomissioni. L’incidente di Business Email Compromise (BEC) da svariati milioni di dollari verificatosi a Singapore dimostra che affidarsi alla semplice visibilità del dominio non è più sufficiente per proteggere un’azienda.
Una sicurezza efficace richiede una difesa a più livelli. Per proteggere l'identità del proprio dominio è necessario andare oltre l'osservazione passiva e proteggere l'infrastruttura con protocolli attivi e resilienti.
Fai oggi il primo passo: verifica se i tuoi record sono pubblicati e protetti correttamente. Utilizza il DMARC Record Checker gratuito e gli strumenti completi di ricerca dei record DNS disponibili su PowerDMARC per ottenere un controllo completo e in tempo reale dello stato della tua configurazione in meno di 60 secondi.
Domande frequenti
Qual è la differenza principale tra il NIST SP 800-81r2 e l'SP 800-81r3?
La versione precedente (Revisione 2), pubblicata nel 2013, considerava il DNS come uno strumento statico da “configurare una volta sola”. La Revisione 3 (definita il 19 marzo 2026) modernizza il quadro di riferimento per tenere conto dei modelli Zero Trust, del cloud computing e del trasporto crittografato. Il suo obiettivo è ridefinire il DNS come un controllo di sicurezza continuo e attivo che si integra con il sistema SIEM e filtra in modo proattivo le minacce.
L'applicazione del protocollo DMARC avrebbe impedito l'attacco BEC da 6,6 milioni di dollari a Singapore?
No, il DMARC sul dominio legittimo non può impedire a un malintenzionato di registrare un dominio simile ma completamente distinto. Nel caso verificatosi a Singapore nell’aprile 2026, gli autori dell’attacco hanno utilizzato un dominio ottenuto tramite typosquatting con due lettere invertite. Poiché erano i proprietari di quel dominio falso, le loro e-mail potevano tecnicamente superare i propri controlli DMARC. Per contrastare questa tipologia di attacchi è necessario ricorrere al Protective DNS (PDNS) per bloccare la risoluzione dei domini simili.
Perché lo standard NIST SP 800-81r3 impone il passaggio all'ECDSA per il DNSSEC?
Gli algoritmi RSA di vecchia generazione comportano chiavi crittografiche e dimensioni dei pacchetti maggiori, il che può rallentare la risoluzione e rendere i sistemi vulnerabili agli attacchi di amplificazione. Le linee guida aggiornate impongono il passaggio all'ECDSA poiché questo algoritmo offre una maggiore sicurezza, un'elaborazione più rapida e chiavi di dimensioni notevolmente inferiori.
In che modo la minimizzazione dei QNAME tutela la riservatezza dei dati della mia azienda?
Nelle ricerche DNS tradizionali, la query relativa al nome di dominio completo viene inviata a ogni singolo server autorevole presente nella catena di ricerca DNS. La minimizzazione del QNAME modifica questo approccio, inviando solo la porzione minima del nome di dominio necessaria per quella specifica fase del processo di risoluzione.
Chi è tenuto per legge a conformarsi alla norma NIST SP 800-81r3?
La SP 800-81r3 è una linea guida ufficiale del NIST per l'implementazione sicura del DNS ed è particolarmente rilevante per le agenzie federali statunitensi, gli appaltatori federali e le organizzazioni soggette a regolamentazione che devono conformarsi ai requisiti federali in materia di sicurezza informatica.
- Guida alla configurazione di DKIM, DMARC e SPF - 6 luglio 2026
- NIST SP 800-81r3: Linee guida sulla sicurezza DNS per la posta elettronica - 25 giugno 2026
- Come dividere un record DKIM - 5 giugno 2026

