Messaggi

Come fornitore di servizi DMARC, ci viene posta spesso questa domanda: "Se DMARC usa solo l'autenticazione SPF e DKIM, perché dovremmo preoccuparci di DMARC? Non è semplicemente inutile?"

In superficie potrebbe sembrare che faccia poca differenza, ma la realtà è molto diversa. DMARC non è solo una combinazione delle tecnologie SPF e DKIM, è un protocollo completamente nuovo da solo. Ha diverse caratteristiche che lo rendono uno dei più avanzati standard di autenticazione e-mail nel mondo, e una necessità assoluta per le imprese.

Ma aspettate un attimo. Non abbiamo risposto esattamente al perché avete bisogno di DMARC. Cosa offre rispetto a SPF e DKIM? Beh, questa è una risposta piuttosto lunga; troppo lunga per un solo post del blog. Quindi dividiamoci e parliamo prima di SPF. Nel caso in cui non abbiate familiarità con esso, ecco una rapida introduzione.

Cos'è l'SPF?

SPF, o Sender Policy Framework, è un protocollo di autenticazione delle email che protegge il destinatario delle email da email spoofate. E' essenzialmente una lista di tutti gli indirizzi IP autorizzati a inviare email attraverso i tuoi canali (il proprietario del dominio). Quando il server ricevente vede un messaggio dal tuo dominio, controlla il tuo record SPF che è pubblicato sul tuo DNS. Se l'IP del mittente è in questa 'lista', l'email viene consegnata. Altrimenti, il server rifiuta l'email.

Come si può vedere, SPF fa un lavoro abbastanza buono tenendo fuori un sacco di email sgradevoli che potrebbero danneggiare il vostro dispositivo o compromettere i sistemi di sicurezza della vostra organizzazione. Ma SPF non è così buono come alcune persone potrebbero pensare. Questo perché ha alcuni svantaggi molto importanti. Parliamo di alcuni di questi problemi.

Limiti della SPF

I record SPF non si applicano all'indirizzo From

Le email hanno più indirizzi per identificare il loro mittente: l'indirizzo Da che normalmente si vede, e l'indirizzo Return Path che è nascosto e richiede uno o due click per essere visualizzato. Con SPF abilitato, il server email ricevente guarda il Return Path e controlla i record SPF del dominio da quell'indirizzo.

Il problema qui è che gli aggressori possono sfruttarlo usando un falso dominio nel loro indirizzo Return Path e un indirizzo email legittimo (o dall'aspetto legittimo) nella sezione From. Anche se il destinatario dovesse controllare l'ID dell'email del mittente, vedrebbe prima l'indirizzo Da, e di solito non si preoccupa di controllare il Percorso di ritorno. Infatti, la maggior parte delle persone non sono nemmeno consapevoli che esiste una cosa come l'indirizzo del percorso di ritorno.

SPF può essere facilmente aggirato usando questo semplice trucco, e lascia anche i domini protetti con SPF ampiamente vulnerabili.

I record SPF hanno un limite di ricerca DNS

I record SPF contengono una lista di tutti gli indirizzi IP autorizzati dal proprietario del dominio a inviare e-mail. Tuttavia, hanno uno svantaggio cruciale. Il server ricevente deve controllare il record per vedere se il mittente è autorizzato, e per ridurre il carico sul server, i record SPF hanno un limite di 10 ricerche DNS.

Questo significa che se la vostra organizzazione utilizza più fornitori di terze parti che inviano e-mail attraverso il vostro dominio, il record SPF può finire per superare quel limite. A meno che non sia ottimizzato correttamente (il che non è facile da fare da soli), i record SPF avranno un limite molto restrittivo. Quando si supera questo limite, l'implementazione SPF è considerata non valida e la vostra email non supera l'SPF. Questo potrebbe potenzialmente danneggiare i tuoi tassi di consegna delle email.

 

SPF non funziona sempre quando l'email viene inoltrata

SPF ha un altro punto critico di fallimento che può danneggiare la deliverability della tua email. Quando hai implementato SPF sul tuo dominio e qualcuno inoltra la tua email, l'email inoltrata può essere rifiutata a causa della tua politica SPF.

Questo perché il messaggio inoltrato ha cambiato il destinatario dell'email, ma l'indirizzo del mittente rimane lo stesso. Questo diventa un problema perché il messaggio contiene l'indirizzo From del mittente originale ma il server ricevente vede un IP diverso. L'indirizzo IP del server di inoltro non è incluso nel record SPF del dominio del mittente originale. Questo potrebbe far sì che l'email venga rifiutata dal server ricevente.

Come risolve DMARC questi problemi?

DMARC usa una combinazione di SPF e DKIM per autenticare le email. Un'email deve passare o SPF o DKIM per passare DMARC ed essere consegnata con successo. E aggiunge anche una caratteristica chiave che lo rende molto più efficace di SPF o DKIM da soli: La segnalazione.

Con il reporting DMARC, si ottiene un feedback quotidiano sullo stato dei vostri canali e-mail. Questo include informazioni sul vostro allineamento DMARC, dati sulle email che non hanno superato l'autenticazione e dettagli sui potenziali tentativi di spoofing.

Se ti stai chiedendo cosa puoi fare per non essere spoofato, controlla la nostra guida pratica sui 5 modi migliori per evitare lo spoofing delle email.

Abbattere i miti DMARC

Per molte persone, non è immediatamente chiaro cosa fa DMARC o come previene lo spoofing del dominio, l'impersonificazione e la frode. Questo può portare a gravi idee sbagliate su DMARC, come funziona l'autenticazione delle email e perché è un bene per voi. Ma come si fa a sapere cosa è giusto e cosa è sbagliato? E come puoi essere sicuro che lo stai implementando correttamente? 

PowerDMARC è qui in soccorso! Per aiutarvi a capire meglio DMARC, abbiamo compilato questa lista delle 6 idee sbagliate più comuni su DMARC.

Misconcezioni su DMARC

1. DMARC è la stessa cosa di un filtro antispam

Questa è una delle cose più comuni che la gente sbaglia su DMARC. I filtri antispam bloccano le email in entrata che vengono consegnate alla tua casella di posta. Queste possono essere email sospette inviate dal dominio di chiunque, non solo dal tuo. DMARC, d'altra parte, dice ai server di posta elettronica riceventi come gestire le e-mail in uscita inviate dal tuo dominio. I filtri antispamming come Microsoft Office 365 ATP non proteggono da questi attacchi informatici. Se il tuo dominio è DMARC-enforced e l'email non supera l'autenticazione, il server ricevente la rifiuta.

2. Una volta impostato DMARC, la tua email è sicura per sempre

DMARC è uno dei più avanzati protocolli di autenticazione e-mail là fuori, ma questo non significa che sia completamente autosufficiente. È necessario monitorare regolarmente i rapporti DMARC per assicurarsi che le e-mail da fonti autorizzate non vengano respinte. Ancora più importante, è necessario controllare i mittenti non autorizzati che abusano del vostro dominio. Quando vedete un indirizzo IP che fa ripetuti tentativi di spoofing delle vostre email, è necessario agire immediatamente e metterlo nella lista nera o eliminarlo.

3. DMARC ridurrà la capacità di consegna delle mie email

Quando imposti DMARC, è importante impostare prima la tua policy su p=none. Questo significa che tutte le tue email verranno comunque consegnate, ma riceverai rapporti DMARC su se hanno passato o fallito l'autenticazione. Se durante questo periodo di monitoraggio vedete che le vostre email non superano il DMARC, potete agire per risolvere il problema. Una volta che tutte le tue email autorizzate vengono convalidate correttamente, puoi applicare DMARC con una politica di p=quarantena o p=rifiuta.

4. Non ho bisogno di applicare DMARC (p=nessuno è sufficiente)

Quando imposti DMARC senza applicarlo (politica di p=none), tutte le email dal tuo dominio, comprese quelle che falliscono DMARC, vengono consegnate. Riceverai i rapporti DMARC ma non proteggerai il tuo dominio da qualsiasi tentativo di spoofing. Dopo il periodo di monitoraggio iniziale (spiegato sopra), è assolutamente necessario impostare la tua policy su p=quarantena o p=rifiuta e applicare DMARC.

5. Solo le grandi marche hanno bisogno di DMARC

Molte piccole organizzazioni credono che siano solo i marchi più grandi e riconoscibili ad aver bisogno della protezione DMARC. In realtà, i criminali informatici useranno qualsiasi dominio aziendale per lanciare un attacco di spoofing. Molte piccole imprese in genere non hanno team dedicati alla sicurezza informatica, il che rende ancora più facile per gli aggressori prendere di mira le organizzazioni di piccole e medie dimensioni. Ricorda, ogni organizzazione che ha un nome di dominio ha bisogno della protezione DMARC!

6. I rapporti DMARC sono facili da leggere

Vediamo molte organizzazioni che implementano DMARC e fanno inviare i rapporti alle loro caselle di posta elettronica. Il problema è che i rapporti DMARC sono in formato XML, che può essere molto difficile da leggere se non si ha familiarità con esso. L'utilizzo di una piattaforma DMARC dedicata può non solo rendere il processo di configurazione molto più semplice, ma PowerDMARC può convertire i vostri complessi file XML in report di facile lettura con grafici, tabelle e statistiche approfondite.

 

L'e-mail è spesso la prima scelta per un criminale informatico quando si lancia perché è così facile da sfruttare. A differenza degli attacchi brute-force che sono pesanti sulla potenza di elaborazione, o metodi più sofisticati che richiedono un alto livello di abilità, lo spoofing del dominio può essere facile come scrivere un'email fingendo di essere qualcun altro. In molti casi, quel "qualcun altro" è una grande piattaforma di servizi software su cui la gente fa affidamento per svolgere il proprio lavoro.

Che è quello che è successo tra il 15 e il 30 aprile 2020, quando i nostri analisti di sicurezza di PowerDMARC hanno scoperto una nuova ondata di email di phishing che hanno preso di mira le principali compagnie di assicurazione in Medio Oriente. Questo attacco è stato solo uno tra molti altri nel recente aumento di casi di phishing e spoofing durante la crisi del Covid-19. Già nel febbraio 2020, un'altra grande truffa di phishing è arrivata al punto di impersonare l'Organizzazione Mondiale della Sanità, inviando email a migliaia di persone che chiedevano donazioni per il soccorso del coronavirus.

In questa recente serie di incidenti, gli utenti del servizio Office 365 di Microsoft hanno ricevuto ciò che sembrava essere e-mail di aggiornamento di routine per quanto riguarda lo stato dei loro account utente. Queste e-mail provenivano dai domini delle loro organizzazioni, richiedendo agli utenti di reimpostare le loro password o fare clic sui link per visualizzare le notifiche in sospeso.

Abbiamo compilato una lista di alcuni dei titoli di e-mail che abbiamo osservato essere utilizzati:

*dati dell'account cambiati per la privacy degli utenti

Potete anche vedere un esempio di un'intestazione di posta usata in un'e-mail spoofata inviata a una società di assicurazioni:

Ricevuto: da [maligno_ip] (helo= dominio_cattivo)

id 1jK7RC-000uju-6x

per [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Ricevuto: da [xxxx] (porta=58502 helo=xxxxx)

da dominio_cattivo con esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Da: "Team di account Microsoft" 

A: [email protected]

Oggetto: Notifica di Microsoft Office per [email protected] il 4/1/2020 23:46

Data: 2 Apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8″

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse: Questa intestazione è stata aggiunta per tenere traccia degli abusi, per favore includila in ogni segnalazione di abuso

X-AntiAbuse: Hostname primario - dominio_malizioso

X-AntiAbuse: Dominio originale - dominio.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Indirizzo del mittente Dominio - domain.com

X-Get-Message-Sender-Via: dominio_malizioso: authenticated_id: [email protected]_malizioso

X-Authenticated-Sender: malicious_domain: [email protected]_domain

X-Source: 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( il dominio di domain.com non designa indirizzo IP malevolo come mittente consentito) client-ip= indirizzo_ip maligno ; envelope-from=[email protected]; helo=dominio_malizioso;

X-SPF-Resultato: il dominio di dominio.com non designa indirizzo IP malevolo come mittente consentito

X-Sender-Warning: Ricerca DNS inversa fallita per indirizzo IP malevolo (fallito)

X-DKIM-Status: nessuno / / dominio.com / / /

X-DKIM-Status: pass / / dominio_malizioso / dominio_malizioso / / predefinito

 

Il nostro Security Operation Center ha rintracciato i link delle e-mail a URL di phishing che prendevano di mira gli utenti di Microsoft Office 365. Gli URL reindirizzavano a siti compromessi in diverse località del mondo.

Guardando semplicemente i titoli delle e-mail, sarebbe impossibile dire che sono state inviate da qualcuno che ha spoofato il dominio della tua organizzazione. Siamo abituati a un flusso costante di email legate al lavoro o all'account che ci spingono ad accedere a vari servizi online come Office 365. Lo spoofing del dominio approfitta di questo, rendendo le loro email false e dannose indistinguibili da quelle genuine. Non c'è praticamente modo di sapere, senza un'analisi approfondita dell'email, se proviene da una fonte affidabile. E con dozzine di email che arrivano ogni giorno, nessuno ha il tempo di esaminare attentamente ognuna di esse. L'unica soluzione sarebbe quella di impiegare un meccanismo di autenticazione che controlli tutte le email inviate dal tuo dominio, e blocchi solo quelle che sono state inviate da qualcuno che le ha inviate senza autorizzazione.

Questo meccanismo di autenticazione si chiama DMARC. E come uno dei principali fornitori di soluzioni per la sicurezza della posta elettronica nel mondo, noi di PowerDMARC abbiamo fatto la nostra missione per farti capire l'importanza di proteggere il dominio della tua organizzazione. Non solo per voi stessi, ma per tutti coloro che si fidano e dipendono da voi per consegnare email sicure e affidabili nella loro casella di posta, ogni singola volta.

Potete leggere sui rischi dello spoofing qui: https://powerdmarc.com/stop-email-spoofing/

Scopri come puoi proteggere il tuo dominio dallo spoofing e aumentare il tuo marchio qui: https://powerdmarc.com/what-is-dmarc/