DKIM e DMARC: perché sono importanti e fondamentali per la sicurezza delle comunicazioni

Email Spoofing: come gli attackers si spacciano per mittenti legittimi

Lo spoofing della posta elettronica viene utilizzato sia in a scopi fraudolenti generali che in attacchi mirati. Questa tecnica viene utlizzata per convincere le vittime che un messaggio proviene da un mittente attendibile e spingerle a eseguire un’azione specifica, come fare clic su un collegamento di phishing, trasferire denaro, scaricare un file dannoso, ecc. Per una maggiore credibilità, gli aggressori possono copiare il progetto e lo stile delle e-mail di un particolare mittente, sottolineano l’urgenza del compito e impiegano altre tecniche di Social Engineering .

Per combattere lo spoofing, sono stati creati diversi metodi di autenticazione della posta che si migliorano e si completano a vicenda: SPF, DKIM e DMARC. In vari modi, questi meccanismi verificano che il messaggio sia stato effettivamente inviato dall’indirizzo indicato.

Lo standard SPF (Sender Policy Framework) consente al proprietario di un dominio di posta di limitare l’insieme di indirizzi IP che possono inviare messaggi da questo dominio e consente al server di posta di verificare che l’indirizzo IP del mittente sia autorizzato dal proprietario del dominio. SPF non controlla l’intestazione From, ma il dominio del mittente specificato nell’ SMTP, che viene utilizzato per trasmettere informazioni sul percorso dell’e-mail tra il client di posta e il server e non viene mostrato al destinatario.

DKIM risolve il problema dell’autenticazione del mittente mediante una firma digitale generata sulla base di una chiave privata memorizzata sul server del mittente.

DMARC (Domain-based Message Authentication, Reporting and Conformance) viene utilizzato per controllare il dominio nell’intestazione From rispetto a un dominio convalidato DKIM/SPF.

Che cos’è un record DKIM?

DKIM (DomainKeys Identified Mail) è uno standard di sicurezza della posta elettronica progettato per garantire che i messaggi non vengano alterati durante il transito tra i server di invio e di destinazione. Utilizza la crittografia a chiave pubblica per firmare la posta elettronica con una chiave privata mentre lascia un server di invio. I server destinatari utilizzano quindi una chiave pubblica pubblicata sul DNS di un dominio per verificare l’origine del messaggio e che il corpo del messaggio non sia cambiato durante il transito. Una volta verificata la firma con la chiave pubblica dal server destinatario, il messaggio passa DKIM ed è considerato autentico.

Perché un record DKIM è importante?

Sebbene DKIM non sia obbligatorio, le e-mail firmate con DKIM sono “più legittime” per i tuoi destinatari e hanno meno probabilità di andare nelle cartelle Posta indesiderata o Spam. Lo spoofing della posta elettronica da domini attendibili è una tecnica popolare per le campagne di spam e phishing dannose e DKIM rende più difficile lo spoofing della posta elettronica dai domini che lo utilizzano. I server di posta che non supportano le firme DKIM sono comunque in grado di ricevere messaggi firmati senza problemi. È un protocollo di sicurezza opzionale e DKIM non è uno standard universalmente adottato.

Anche se non necessario, è ormai molto consigliato utilizzare DKIM al tuo DNS quando possibile per autenticare la posta dal tuo dominio soprattutto in ambito aziendale, ISP come Gmail lo usa per controllare i messaggi in arrivo.

Un ulteriore vantaggio di DKIM è che gli ISP lo utilizzano per costruire una reputazione sul tuo dominio nel tempo quando invii email e migliori le tue pratiche di consegna (basso spam e rimbalzi, alto coinvolgimento).Sebbene sia importante capire cosa fa DKIM, è anche importante essere chiari su cosa non risolve: l’utilizzo di DKIM assicurerà che il tuo messaggio non sia stato alterato, ma non crittografa il contenuto del tuo messaggio. Molti ESP utilizzano TLS per crittografare i messaggi mentre si spostano tra mittente e destinatari, ma è comunque possibile inviare messaggi non crittografati se un server di posta elettronica rifiuta una connessione TLS. Una volta che un messaggio è stato consegnato, la firma DKIM rimarrà nelle intestazioni delle email ma non crittograferà in alcun modo il contenuto del messaggio.

Come funzionano i record DKIM?

DKIM utilizza due azioni per verificare i tuoi messaggi:

• La prima azione avviene su un server che invia e-mail firmate DKIM
• La seconda avviene su un server destinatario che controlla le firme DKIM sui messaggi in arrivo

L’intero processo è reso possibile da una coppia di chiavi privata/pubblica. La tua chiave privata è tenuta segreta e al sicuro, sul tuo server o con il tuo ESP, e la chiave pubblica viene aggiunta ai record DNS per il tuo dominio per trasmetterla al mondo per aiutare a verificare i tuoi messaggi. Approfondiamo un po’ il funzionamento di DKIM sui server che inviano e ricevono e-mail.

In che modo DKIM impedisce lo spoofing del dominio?

DKIM da solo non impedisce lo spoofing del dominio. È possibile firmare un messaggio utilizzando una chiave DKIM collegata a un dominio diverso da quello specificato nell’intestazione “Da”.

Tuttavia, se hai impostato un criterio DMARC per il tuo dominio, il server di posta ricevente verificherà che la chiave DKIM utilizzata per firmare il messaggio corrisponda al dominio.

Che cos’è DMARC?

Domain-based Message Authentication, Reporting and Conformance, è un protocollo creato per migliorare l’integrità del sistema di email. Viene adoperato da corporation ed enti governativi in tutto il mondo, come mezzo per proteggere il proprio business, la propria reputazione e i propri clienti:

• conferma l’identità del mittente, utilizzando SPF e DKIM, già esposti;
• indica al servizio di posta elettronica del destinatario che cosa fare con le e-mail che non hanno superato il controllo;
• chiede ai servizi di posta elettronica dei destinatari di fornire report su dove proviene l’email.

Il servizio di posta elettronica del destinatario utilizza gli standard SPF e DKIM per confermare l’identità del mittente. Se il servizio e-mail di ricezione conferma l’identità del mittente, inoltrerà l’e-mail alla casella di posta in arrivo del destinatario. Qualora, invece, il servizio di posta elettronica ricevente non fosse in grado di confermare l’identità del mittente, contrassegnerà l’e-mail come spam.

Le specifiche più importanti, pertanto, presenti nel protocollo DMARC, tali da renderlo allo stesso tempo utile, sono:

• l’allineamento identificativo (Identifier Alignment)con gli standard DKIM e SPF: la modalità di allineamento (aspf/adkim), infatti, si riferisce alla precisione con cui i record dei mittenti vengono confrontati con le firme SPF e DKIM.
• il reporting, segnalazione. Nella fattispecie abbiamo due attività di reporting:
• le DMARC Policies, la tecnologia DMARC permette tre possibili impostazioni (o criteri) per la gestione dei messaggi ricevuti:

Per una corretta gestione delle procedure, si raccomanda vivamente di aumentare gradualmente l’uso di DMARC impiegandole nell’ordine appena elencato.

Tuttavia, questo strumento è ancora poco diffuso, i vantaggi che l’implementazione del protocollo DMARC offre sono molteplici. Difatti, aiuta a proteggere il proprio business e la reputazione da attacchi fraudolenti, riduce i costi di assistenza ai clienti relativi alle frodi via email, migliora la fiducia nelle e-mail inviate dal proprio indirizzo di posta elettronica e permette di monitorare l’uso legittimo e/o fraudolento dei tuoi domini, tramite l’attività di reporting.

In puri termini di sicurezza informatica, l’utilizzo di DKIM e DMARC sono la risposta migliore allo spoofing ovviamente insieme ad SPF (che diamo ormai per scontato), se vuoi fare un check per verificare il corretto inserimento e propagazione del record DKIM puoi usare questo tool.

Per verificare invece se il record DMAC è stato correttamente configurato sul tuo dominio puoi utilizzare il seguente tool.