L’e-mail e tuttora il canale di comunicazione piu importante per le aziende svizzere e, contemporaneamente, uno dei bersagli preferiti degli attacchi. Phishing, Business Email Compromise (BEC) ed e-mail spoofing causano danni miliardari in tutto il mondo. La buona notizia: con i tre standard DNS SPF, DKIM e DMARC, l’e-mail spoofing puo essere prevenuto efficacemente. La cattiva notizia: molte PMI non hanno configurato questi standard o li hanno configurati in modo errato.<\/p>\n
L’e-mail spoofing significa che un aggressore invia e-mail che sembrano provenire dal vostro dominio. Il mittente mostra “info@vostraazienda.ch”, ma l’e-mail proviene da un server completamente estraneo. Senza adeguate misure di protezione, non esiste alcuna possibilita tecnica per il destinatario di riconoscere la falsificazione.<\/p>\n
Le conseguenze possono essere gravi:<\/p>\n
In Svizzera, l’UFCS (Ufficio federale della cibersicurezza, in precedenza NCSC) osserva da anni un aumento degli attacchi BEC che colpiscono specificamente le PMI svizzere. Gli importi dei danni vanno da poche migliaia a diverse centinaia di migliaia di franchi per incidente.<\/p>\n
SPF e il piu semplice dei tre standard. Un record SPF e una voce DNS (record TXT) che definisce quali server sono autorizzati a inviare e-mail per conto del vostro dominio.<\/p>\n
Un tipico record SPF si presenta cosi:<\/p>\n
v=spf1 include:_spf.google.com include:spf.hostpoint.ch ip4:203.0.113.5 -all<\/strong><\/p>\n Questo record dice: “Solo Google Workspace, i server di posta di Hostpoint e il server con IP 203.0.113.5 possono inviare e-mail per questo dominio. Tutti gli altri vengono rifiutati.”<\/p>\n Errori SPF frequenti:<\/p>\n DKIM fa un passo in piu rispetto a SPF: firma ogni e-mail in uscita con una chiave crittografica. Il server ricevente verifica la firma tramite una chiave pubblica, anch’essa depositata come record DNS.<\/p>\n DKIM offre due vantaggi rispetto a SPF:<\/p>\n La configurazione di DKIM richiede la collaborazione con il provider e-mail: il provider genera la coppia di chiavi, firma le e-mail in uscita e fornisce la chiave pubblica da inserire come record DNS.<\/p>\n DMARC e il tassello decisivo del puzzle. Definisce cosa deve accadere alle e-mail che non superano ne SPF ne DKIM e fornisce report a riguardo.<\/p>\n Un record DMARC si presenta cosi:<\/p>\n v=DMARC1; p=reject; rua=mailto:dmarc@vostraazienda.ch; ruf=mailto:dmarc@vostraazienda.ch; adkim=s; aspf=s<\/strong><\/p>\n I parametri piu importanti:<\/p>\n La seguente guida descrive la configurazione presso i provider di hosting svizzeri piu comuni.<\/p>\n Prima di apportare modifiche, verificate lo stato attuale dei vostri record DNS. Uno scanner DNS automatizzato mostra immediatamente se SPF, DKIM e DMARC sono presenti e configurati correttamente. Molte PMI scoprono in questa fase che SPF esiste ma e errato, o che DMARC manca completamente.<\/p>\n Elencate tutti i servizi che inviano e-mail tramite il vostro dominio:<\/p>\n Con Hostpoint:<\/strong> Accedete al pannello di controllo, navigate su “Domains” – il vostro dominio – “Editor DNS”. Create un record TXT per il dominio principale con il valore SPF. Hostpoint utilizza tipicamente: include:spf.hostpoint.ch<\/strong><\/p>\n Con Infomaniak:<\/strong> In “Web & Domain” – “DNS Zone” – “Aggiungi voce”. Infomaniak utilizza: include:_spf.infomaniak.ch<\/strong><\/p>\n Con cyon:<\/strong> In “my.cyon.ch” – “Domains” – “DNS\/Nameserver”. cyon utilizza: include:spf.cyon.ch<\/strong><\/p>\n L’attivazione di DKIM dipende fortemente dal provider:<\/p>\n Iniziate sempre in modalita di monitoraggio (p=none) per vedere quali e-mail superano SPF e DKIM e quali no.<\/p>\n Create un record TXT per _dmarc.vostrodominio.ch<\/strong> con il valore:<\/p>\n v=DMARC1; p=none; rua=mailto:dmarc@vostrodominio.ch<\/strong><\/p>\n Lasciate attiva questa modalita per 2-4 settimane e analizzate i report ricevuti. I report mostrano quali server inviano e-mail per il vostro dominio e se superano SPF\/DKIM. In questo modo potete verificare se mancano ancora server nel record SPF, prima di passare a “quarantine” o “reject”.<\/p>\n Dopo aver verificato che tutte le fonti e-mail legittime sono correttamente autenticate, inasprire la policy DMARC gradualmente:<\/p>\n Assicuratevi di continuare a monitorare i report rua per riconoscere tempestivamente eventuali problemi.<\/p>\n Dall’esperienza pratica di centinaia di analisi DNS emergono pattern di errore tipici:<\/p>\n Verificare manualmente i record SPF, DKIM e DMARC e fattibile con un singolo dominio. Ma la maggior parte delle PMI gestisce piu domini: il dominio principale, una variante .com, eventualmente un dominio di prodotto o il dominio di una societa controllata. Ogni dominio necessita di record propri e ogni modifica alla configurazione e-mail (nuovo provider di newsletter, nuovo CRM) richiede adeguamenti.<\/p>\n Gli scanner DNS automatizzati verificano regolarmente tutti i domini di un’azienda e segnalano:<\/p>\n La configurazione di SPF, DKIM e DMARC non e un progetto mastodondico. Per una tipica PMI con un dominio e un provider e-mail, la configurazione si completa in poche ore. L’impegno e del tutto sproporzionato rispetto alla protezione che queste misure offrono.<\/p>\n Lista delle priorita:<\/p>\n L’e-mail spoofing e un problema risolto, almeno dal punto di vista tecnico. SPF, DKIM e DMARC offrono insieme una protezione efficace contro la falsificazione del mittente. Cio che manca e l’implementazione coerente. Molte PMI svizzere lasciano la loro infrastruttura di comunicazione piu importante senza protezione, nonostante la soluzione sia disponibile e gratuita.<\/p>\n ExposIQ verifica automaticamente la configurazione di sicurezza e-mail dei vostri domini nell’ambito di ogni scansione: SPF, DKIM, DMARC, record MX e DNSSEC. Gli errori di configurazione vengono evidenziati chiaramente e prioritizzati. Combinato con oltre 35 motori di scansione aggiuntivi per la sicurezza di rete, web e infrastruttura. Ospitato in Svizzera, conforme alla nLPD, a partire da CHF 99 al mese. Scoprite di piu su exposiq.ch<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" L’e-mail e tuttora il canale di comunicazione piu importante per le aziende svizzere e, contemporaneamente, uno dei bersagli preferiti degli attacchi. Phishing, Business Email Compromise (BEC) ed e-mail spoofing causano danni miliardari in tutto il mondo. La buona notizia: con i tre standard DNS SPF, DKIM e DMARC, l’e-mail spoofing puo essere prevenuto efficacemente. La … Leggi tutto<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"configurare spf dkim dmarc","rank_math_title":"Sicurezza e-mail: configurare correttamente SPF, DKIM e DMARC","rank_math_description":"Lo spoofing e-mail \u00e8 un vettore di attacco primario. SPF, DKIM e DMARC spiegati semplicemente con guida passo-passo.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-1166","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts\/1166","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/comments?post=1166"}],"version-history":[{"count":0,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts\/1166\/revisions"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/media?parent=1166"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/categories?post=1166"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/tags?post=1166"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
DKIM (DomainKeys Identified Mail)<\/h3>\n
\n
DMARC (Domain-based Message Authentication, Reporting and Conformance)<\/h3>\n
\n
Configurazione passo dopo passo<\/h2>\n
Passo 1: Verificare lo stato attuale<\/h3>\n
Passo 2: Creare o correggere il record SPF<\/h3>\n
\n
Passo 3: Attivare DKIM<\/h3>\n
\n
Passo 4: Configurare il record DMARC<\/h3>\n
Passo 5: Inasprire<\/h3>\n
\n
Errori frequenti e insidie<\/h2>\n
\n
Verifica automatizzata: perche il controllo manuale non scala<\/h2>\n
\n
Cosa dovrebbero fare le PMI svizzere adesso<\/h2>\n
\n
Conclusione<\/h2>\n