Messaggi

Standard di autenticazione e-mail: SPF, DKIM, e DMARC si stanno dimostrando promettenti nel ridurre i tentativi di spoofing delle email e migliorare la consegna delle email. Mentre differenziano le email spoofed (false) da quelle legittime, gli standard di autenticazione delle email vanno oltre nel distinguere se una email è legittima verificando l'identità del mittente.

Man mano che più organizzazioni adottano questi standard, il messaggio generale di fiducia e autorità nella comunicazione via e-mail inizierà a riaffermarsi. Ogni azienda che dipende dall'email marketing, dalle richieste di progetti, dalle transazioni finanziarie e dallo scambio generale di informazioni all'interno o tra le aziende ha bisogno di capire le basi di ciò che queste soluzioni sono progettate per realizzare e quali benefici possono ottenere da esse.

Cos'è l'email spoofing?

Lo spoofing delle e-mail è un problema di cybersicurezza comune incontrato dalle aziende oggi. In questo articolo, capiremo come funziona lo spoofing e i vari metodi per combatterlo. Impareremo a conoscere i tre standard di autenticazione utilizzati dai provider di posta elettronica - SPF, DKIM e DMARC per impedire che accada.

L'email spoofing può essere classificato come un attacco avanzato di ingegneria sociale che utilizza una combinazione di tecniche sofisticate per manipolare l'ambiente di messaggistica e sfruttare le caratteristiche legittime delle email. Queste e-mail appariranno spesso del tutto legittime, ma sono progettate con l'intenzione di ottenere l'accesso alle vostre informazioni e/o risorse. L'email spoofing è utilizzato per una varietà di scopi che vanno dal tentativo di commettere frodi, alla violazione della sicurezza, e anche per cercare di ottenere l'accesso a informazioni aziendali riservate. Essendo una forma molto popolare di falsificazione delle email, gli attacchi di spoofing mirano a ingannare i destinatari facendogli credere che un'email sia stata inviata da un'azienda che usano e di cui si possono fidare, invece che dal mittente effettivo. Poiché le e-mail vengono sempre più inviate e ricevute in massa, questa forma dannosa di truffa via e-mail è aumentata drammaticamente negli ultimi anni.

Come può l'autenticazione e-mail prevenire lo spoofing?

L'autenticazione delle e-mail vi aiuta a verificare le fonti di invio delle e-mail con protocolli come SPF, DKIM e DMARC per impedire agli aggressori di falsificare i nomi di dominio e lanciare attacchi di spoofing per ingannare gli utenti ignari. Fornisce informazioni verificabili sui mittenti di e-mail che possono essere utilizzate per provare la loro legittimità e specificare agli MTA riceventi cosa fare con le e-mail che falliscono l'autenticazione.

Quindi, per elencare i vari benefici dell'autenticazione delle e-mail, possiamo confermare che SPF, DKIM e DMARC aiutano:

  • Proteggere il tuo dominio da attacchi di phishing, spoofing di dominio e BEC
  • Fornire informazioni e approfondimenti granulari sulle fonti di invio delle e-mail
  • Migliorare la reputazione del dominio e i tassi di deliverability delle email
  • Impedire che le tue email legittime siano marcate come spam

Come lavorano insieme SPF, DKIM e DMARC per fermare lo spoofing?

Struttura della politica del mittente

SPF è una tecnica di autenticazione e-mail utilizzata per impedire agli spammer di inviare messaggi per conto del tuo dominio. Con esso, è possibile pubblicare i server di posta autorizzati, dandoti la possibilità di specificare quali server di posta elettronica sono autorizzati a inviare e-mail per conto del tuo dominio. Un record SPF viene memorizzato nel DNS, elencando tutti gli indirizzi IP che sono autorizzati a inviare posta per la tua organizzazione.

Se volete sfruttare SPF in un modo che garantisca il suo corretto funzionamento, è necessario assicurarsi che SPF non si rompa per le vostre e-mail. Questo potrebbe accadere nel caso in cui si superi il limite di 10 lookup DNS, causando un permerrore di SPF. L'appiattimento SPF può aiutarvi a rimanere sotto il limite e ad autenticare le vostre e-mail senza problemi.

Mail identificata da DomainKeys

Impersonare un mittente affidabile può essere usato per ingannare il tuo destinatario e fargli abbassare la guardia. DKIM è una soluzione di sicurezza email che aggiunge una firma digitale ad ogni messaggio che proviene dalla casella di posta del tuo cliente, permettendo al destinatario di verificare che è stato effettivamente autorizzato dal tuo dominio e di entrare nella lista di mittenti affidabili del tuo sito.

DKIM appone un valore di hash unico, legato a un nome di dominio, a ogni messaggio di posta elettronica in uscita, permettendo al destinatario di controllare che un'e-mail che sostiene di provenire da un dominio specifico sia stata effettivamente autorizzata dal proprietario di quel dominio o meno. Questo aiuta in definitiva a individuare i tentativi di spoofing.

Autenticazione, segnalazione e conformità dei messaggi basati sul dominio

La semplice implementazione di SPF e DKIM può aiutare a verificare le fonti di invio, ma non è abbastanza efficace per fermare lo spoofing da solo. Per impedire ai criminali informatici di inviare email false ai vostri destinatari, dovete implementare DMARC oggi stesso. DMARC ti aiuta ad allineare le intestazioni delle email per verificare gli indirizzi e-mail, smascherando i tentativi di spoofing e l'uso fraudolento dei nomi di dominio. Inoltre, dà ai proprietari dei domini il potere di specificare ai server di ricezione delle email come rispondere alle email che falliscono l'autenticazione SPF e DKIM. I proprietari dei domini possono scegliere di consegnare, mettere in quarantena e rifiutare le email false in base al grado di applicazione del DMARC di cui hanno bisogno.

Nota: Solo una politica DMARC di rifiuto permette di fermare lo spoofing.

Inoltre, DMARC offre anche un meccanismo di reporting per fornire ai proprietari dei domini la visibilità sui loro canali e-mail e sui risultati di autenticazione. Configurando il vostro analizzatore di rapporti DMARC, potete monitorare i vostri domini e-mail su base regolare con informazioni dettagliate sulle fonti di invio delle e-mail, i risultati dell'autenticazione delle e-mail, le geolocalizzazioni degli indirizzi IP fraudolenti e le prestazioni complessive delle vostre e-mail. Ti aiuta ad analizzare i tuoi dati DMARC in un formato organizzato e leggibile, e ad agire più velocemente contro gli aggressori.

In definitiva, SPF, DKIM e DMARC possono lavorare insieme per aiutarvi a catapultare la sicurezza e-mail della vostra organizzazione a nuove altezze, e impedire agli aggressori di falsificare il vostro nome di dominio per salvaguardare la reputazione e la credibilità della vostra organizzazione.

Prima di arrivare a come impostare DKIM per il tuo dominio, parliamo un po' di cos'è DKIM. DKIM, o DomainKeys Identified Mail, è un protocollo di autenticazione e-mail che viene utilizzato per verificare l'autenticità delle e-mail in uscita. Il processo comporta l'utilizzo di una chiave crittografica privata generata dal tuo server di posta che firma ogni messaggio di posta in uscita. Questo assicura che i tuoi destinatari possano verificare che le email che ricevono sono state inviate dal tuo server di posta e non sono falsificate. Questo può migliorare la deliverability e aiutare ad eliminare lo spam. Per dirla semplicemente, un'email da un server di posta abilitato DKIM contiene una firma digitale o più correttamente, una firma crittografica, che può essere convalidata dal server di posta del destinatario.

DKIM è stato creato combinando tecnologie esistenti come DomainKeys (di Yahoo) e Identified Internet Mail (di Cisco). Si è sviluppato in un metodo di autenticazione ampiamente adottato, che è noto come DKIM ed è anche registrato come RFC (Request for Comments) dalla IETF (Internet Engineering Task Force). Tutti i principali ISP come Google, Microsoft e Yahoo creano una firma digitale che è incorporata nell'intestazione delle e-mail in uscita e convalidano la posta in arrivo con le loro politiche.

Nel blog ci addentreremo nel meccanismo utilizzato in DKIM per convalidare le vostre email e i suoi vari vantaggi, così come impareremo come impostare DKIM per il vostro dominio.

Come impostare DKIM per proteggere il tuo dominio dallo spoofing?

La firma DKIM è generata dall'MTA e viene memorizzata nel dominio della lista. Dopo aver ricevuto l'e-mail, è possibile verificare il DKIM utilizzando la chiave pubblica. DKIM come meccanismo di autenticazione che può provare l'identità di un messaggio. Questa firma prova che il messaggio è generato da un server legittimo.

Questo è particolarmente necessario dal momento che gli attacchi di spoofing del dominio sono in aumento negli ultimi tempi.

Cos'è una firma DKIM?

Per usare DKIM, è necessario decidere cosa dovrebbe essere incluso nella firma. Tipicamente questo è il corpo dell'email e alcune intestazioni predefinite. Non puoi cambiare questi elementi una volta che sono impostati, quindi sceglili con attenzione. Una volta deciso quali parti dell'email saranno incluse nella firma DKIM, questi elementi devono rimanere invariati per mantenere una firma DKIM valida.

Da non confondere con il selettore DKIM, la firma DKIM non è altro che un consorzio di valori stringa arbitrari noti anche come "valori hash". Quando il tuo dominio è configurato con DKIM, il tuo server di posta elettronica di invio cripta questo valore con una chiave privata a cui solo tu hai accesso. Questa firma assicura che l'email che invii non è stata alterata o manomessa dopo il suo invio. Per convalidare la firma DKIM, il destinatario dell'email eseguirà una query DNS per cercare la chiave pubblica. La chiave pubblica sarà stata fornita dall'organizzazione che possiede il dominio. Se corrispondono, la tua email è classificata come autentica.

Come impostare DKIM in 3 semplici passi?

Per implementare DKIM facilmente con PowerDMARC tutto quello che devi fare è generare il tuo record DKIM usando il nostro generatore di record DKIM gratuito. Il tuo record DKIM è un record DNS TXT che viene pubblicato nel DNS del tuo dominio. Poi puoi condurre una ricerca DKIM gratuita, usando il nostro strumento di ricerca del record DKIM. Questo strumento gratuito fornisce un controllo DKIM con un solo clic, assicurando che il tuo record DKIM sia privo di errori e valido. Tuttavia, per generare il record, devi prima identificare il tuo selettore DKIM.

Come faccio a identificare il mio selettore DKIM?

Una domanda comune sollevata spesso dai proprietari di domini è come faccio a trovare il mio DKIM? Per trovare il tuo selettore DKIM, tutto quello che devi fare è:

1) Invia una mail di prova al tuo account gmail 

2) Clicca sui 3 punti accanto all'email nella tua casella di posta elettronica

3) Selezionare "mostra l'originale". 

4) Nella pagina "Messaggio originale" naviga in fondo alla pagina fino alla sezione della firma DKIM e cerca di individuare il tag "s=", il valore di questo tag è il tuo selettore DKIM. 

DMARC e DKIM

Una domanda comune che ci si può trovare spesso a fare è se l'implementazione di DKIM è sufficiente? La risposta è no. Mentre DKIM ti aiuta a criptare i tuoi messaggi email con una firma crittografica al fine di convalidare la legittimità dei tuoi mittenti, non fornisce un modo per i destinatari di email di rispondere ai messaggi che falliscono DKIM. È qui che entra in gioco DMARC!

Domain-Based Message Authentication, Reporting and Conformance (DMARC) è un protocollo di autenticazione e-mail che aiuta i proprietari di domini ad agire contro i messaggi che falliscono l'autenticazione SPF/DKIM. Questo a sua volta riduce le possibilità di attacchi di spoofing del dominio e BEC. DMARC insieme a SPF e DKIM può migliorare la deliverability delle email del 10% nel tempo e aumentare la reputazione del tuo dominio.

Iscriviti a PowerDMARC oggi stesso per usufruire della tua prova gratuita dell'analizzatore DMARC!

Perché ho bisogno di DKIM? SPF non è sufficiente?

Il lavoro a distanza ha specificamente introdotto le persone a un numero maggiore di phishing e cyberattacchi. Per lo più, la quantità peggiore di attacchi di phishing sono quelli che non si possono ignorare. Non importa la quantità di email di lavoro ricevute e inviate, e nonostante l'aumento delle chat sul posto di lavoro e delle app di messaggistica istantanea, per la maggior parte delle persone che lavorano in ufficio, l'email continua a dominare la comunicazione aziendale sia internamente che esternamente.

Tuttavia, non è un segreto che le e-mail sono di solito il punto di ingresso più comune per i cyberattacchi, che comporta l'intrufolarsi di malware ed exploit nella rete e credenziali, e rivelare i dati sensibili. Secondo i dati di SophosLabs nel settembre 2020, circa il 97% dello spam dannoso catturato dalle trappole per lo spam erano email di phishing, a caccia di credenziali o qualsiasi altra informazione .

Di questo, il restante 3% portava una borsa mista di messaggi che portavano link a siti web dannosi o con quelli che erano allegati con trappole esplosive. Questi speravano per lo più di installare backdoor, trojan di accesso remoto (RAT), ruba-informazioni, exploit, o forse scaricare altri file dannosi.

Non importa quale sia la fonte, il phishing rimane una tattica spaventosamente efficace per gli attaccanti, qualunque sia il loro obiettivo finale. Ci sono alcune misure robuste che tutte le organizzazioni potrebbero usare per verificare se un'e-mail proviene dalla persona e dalla fonte da cui dice di provenire.

Come viene in soccorso DKIM?

Si deve garantire che la sicurezza e-mail di un'organizzazione dovrebbe essere in grado di tenere sotto controllo ogni e-mail in entrata, che sarebbe contro le regole di autenticazione impostate dal dominio da cui l'e-mail sembra provenire. DomainKeys Identified Mail (DKIM) è uno di quelli che aiuta ad esaminare un'e-mail in entrata, al fine di controllare se nulla è stato alterato. Nel caso di quelle e-mail che sono legittime, DKIM sarebbe sicuramente trovare una firma digitale che sarebbe legata a un nome di dominio specifico.

Questo nome di dominio sarebbe attaccato all'intestazione dell'e-mail, e ci sarebbe una chiave di crittografia corrispondente al dominio di origine. Il più grande vantaggio di DKIM è che fornisce una firma digitale sulle intestazioni delle vostre e-mail in modo che i server che le ricevono possano autenticare crittograficamente quelle intestazioni, ritenendole valide e originali.

Queste intestazioni sono tipicamente firmate come 'From', 'To', 'Subject' e 'Date'.

Perché hai bisogno di DKIM?

Gli esperti nel campo della cybersicurezza affermano che DKIM è abbastanza necessario nello scenario quotidiano per proteggere le email ufficiali. In DKIM, la firma viene generata dal MTA (Mail Transfer Agent), che crea una stringa unica di caratteri chiamata Hash Value.

Inoltre, il valore di hash viene memorizzato nel dominio elencato, che dopo aver ricevuto l'e-mail, il destinatario potrebbe verificare la firma DKIM utilizzando la chiave pubblica che viene registrata nel Domain Name System (DNS). Dopo questo, questa chiave viene utilizzata per decifrare il valore di hash nell'intestazione, e anche ricalcolare il valore di hash dall'e-mail che ha ricevuto.

Dopo questo, gli esperti scopriranno che se queste due firme DKIM corrispondono, allora l'MTA saprà che l'email non è stata alterata. Inoltre, all'utente viene data un'ulteriore conferma che l'e-mail è stata effettivamente inviata dal dominio elencato.

DKIM, che è stato originariamente formato dalla fusione di due chiavi di stazione, Domain keys (quella creata da Yahoo) e Identified Internet Mail (da Cisco) nel 2004, e si è sviluppato in una nuova tecnica di autenticazione ampiamente adottata che rende la procedura di e-mail di un'organizzazione abbastanza affidabile, e che è specificamente il motivo per cui le principali aziende tecnologiche come Google, Microsoft e Yahoo controllano sempre la posta in arrivo per le firme DKIM.

DKIM Vs. SPF

Sender Policy Framework (SPF) è una forma di autenticazione della posta elettronica che definisce un processo per convalidare un messaggio di posta elettronica, che è stato inviato da un server di posta autorizzato, al fine di rilevare la falsificazione e prevenire la truffa.

Mentre la maggior parte delle persone ritiene che sia SPF che DKIM debbano essere usati nelle organizzazioni, ma DKIM ha certamente un vantaggio in più rispetto agli altri. Le ragioni sono le seguenti:

  • In DKIM, il proprietario del dominio pubblica una chiave crittografica, che viene specificamente formattata come un record TXT nel record generale del DNS
  • La firma unica DKIM che viene allegata all'intestazione del messaggio lo rende più autentico
  • L'uso di DKIM si rivela più fruttuoso perché la chiave DKIM usata dai server di posta in entrata per rilevare e decifrare la firma del messaggio dimostra che il messaggio è più autentico e inalterato.

In conclusione

Per la maggior parte delle organizzazioni commerciali, non solo DKIM proteggerebbe le loro attività da attacchi di phishing e spoofing, ma DKIM aiuterebbe anche a proteggere le relazioni con i clienti e la reputazione del marchio.

Questo è particolarmente importante perché DKIM fornisce una chiave di crittografia e una firma digitale che prova doppiamente che un'email non è stata falsificata o alterata. Queste pratiche aiuterebbero le organizzazioni e le imprese a fare un passo avanti migliorando la loro deliverability delle email e inviando una email sicura, che aiuterebbe a generare entrate. Per lo più, dipende dalle organizzazioni su come usarlo e implementarlo. Questo è più importante e relazionabile come la maggior parte delle organizzazioni vorrebbe liberarsi dagli attacchi informatici e dalle minacce.

Come fornitore di servizi DMARC, ci viene posta spesso questa domanda: "Se DMARC usa solo l'autenticazione SPF e DKIM, perché dovremmo preoccuparci di DMARC? Non è semplicemente inutile?"

In superficie potrebbe sembrare che faccia poca differenza, ma la realtà è molto diversa. DMARC non è solo una combinazione delle tecnologie SPF e DKIM, è un protocollo completamente nuovo da solo. Ha diverse caratteristiche che lo rendono uno dei più avanzati standard di autenticazione e-mail nel mondo, e una necessità assoluta per le imprese.

Ma aspettate un attimo. Non abbiamo risposto esattamente al perché avete bisogno di DMARC. Cosa offre rispetto a SPF e DKIM? Beh, questa è una risposta piuttosto lunga; troppo lunga per un solo post del blog. Quindi dividiamoci e parliamo prima di SPF. Nel caso in cui non abbiate familiarità con esso, ecco una rapida introduzione.

Cos'è l'SPF?

SPF, o Sender Policy Framework, è un protocollo di autenticazione delle email che protegge il destinatario delle email da email spoofate. E' essenzialmente una lista di tutti gli indirizzi IP autorizzati a inviare email attraverso i tuoi canali (il proprietario del dominio). Quando il server ricevente vede un messaggio dal tuo dominio, controlla il tuo record SPF che è pubblicato sul tuo DNS. Se l'IP del mittente è in questa 'lista', l'email viene consegnata. Altrimenti, il server rifiuta l'email.

Come si può vedere, SPF fa un lavoro abbastanza buono tenendo fuori un sacco di email sgradevoli che potrebbero danneggiare il vostro dispositivo o compromettere i sistemi di sicurezza della vostra organizzazione. Ma SPF non è così buono come alcune persone potrebbero pensare. Questo perché ha alcuni svantaggi molto importanti. Parliamo di alcuni di questi problemi.

Limiti della SPF

I record SPF non si applicano all'indirizzo From

Le email hanno più indirizzi per identificare il loro mittente: l'indirizzo Da che normalmente si vede, e l'indirizzo Return Path che è nascosto e richiede uno o due click per essere visualizzato. Con SPF abilitato, il server email ricevente guarda il Return Path e controlla i record SPF del dominio da quell'indirizzo.

Il problema qui è che gli aggressori possono sfruttarlo usando un falso dominio nel loro indirizzo Return Path e un indirizzo email legittimo (o dall'aspetto legittimo) nella sezione From. Anche se il destinatario dovesse controllare l'ID dell'email del mittente, vedrebbe prima l'indirizzo Da, e di solito non si preoccupa di controllare il Percorso di ritorno. Infatti, la maggior parte delle persone non sono nemmeno consapevoli che esiste una cosa come l'indirizzo del percorso di ritorno.

SPF può essere facilmente aggirato usando questo semplice trucco, e lascia anche i domini protetti con SPF ampiamente vulnerabili.

I record SPF hanno un limite di ricerca DNS

I record SPF contengono una lista di tutti gli indirizzi IP autorizzati dal proprietario del dominio a inviare e-mail. Tuttavia, hanno uno svantaggio cruciale. Il server ricevente deve controllare il record per vedere se il mittente è autorizzato, e per ridurre il carico sul server, i record SPF hanno un limite di 10 ricerche DNS.

Questo significa che se la vostra organizzazione utilizza più fornitori di terze parti che inviano e-mail attraverso il vostro dominio, il record SPF può finire per superare quel limite. A meno che non sia ottimizzato correttamente (il che non è facile da fare da soli), i record SPF avranno un limite molto restrittivo. Quando si supera questo limite, l'implementazione SPF è considerata non valida e la vostra email non supera l'SPF. Questo potrebbe potenzialmente danneggiare i tuoi tassi di consegna delle email.

 

SPF non funziona sempre quando l'email viene inoltrata

SPF ha un altro punto critico di fallimento che può danneggiare la deliverability della tua email. Quando hai implementato SPF sul tuo dominio e qualcuno inoltra la tua email, l'email inoltrata può essere rifiutata a causa della tua politica SPF.

Questo perché il messaggio inoltrato ha cambiato il destinatario dell'email, ma l'indirizzo del mittente rimane lo stesso. Questo diventa un problema perché il messaggio contiene l'indirizzo From del mittente originale ma il server ricevente vede un IP diverso. L'indirizzo IP del server di inoltro non è incluso nel record SPF del dominio del mittente originale. Questo potrebbe far sì che l'email venga rifiutata dal server ricevente.

Come risolve DMARC questi problemi?

DMARC usa una combinazione di SPF e DKIM per autenticare le email. Un'email deve passare o SPF o DKIM per passare DMARC ed essere consegnata con successo. E aggiunge anche una caratteristica chiave che lo rende molto più efficace di SPF o DKIM da soli: La segnalazione.

Con il reporting DMARC, si ottiene un feedback quotidiano sullo stato dei vostri canali e-mail. Questo include informazioni sul vostro allineamento DMARC, dati sulle email che non hanno superato l'autenticazione e dettagli sui potenziali tentativi di spoofing.

Se ti stai chiedendo cosa puoi fare per non essere spoofato, controlla la nostra guida pratica sui 5 modi migliori per evitare lo spoofing delle email.