Guida Red Sift alla configurazione dei protocolli email
Scopri DANE e DNSSEC
Che cos'è DANE?
DNS-Based Authentication of Named Entities, o DANE, è un sistema che consente di associare un certificato a un nome di dominio senza dover fare affidamento su terze parti esterne. DANE garantisce un canale sicuro tra mittente e destinatario, assicurando che il mittente stia interagendo con il destinatario corretto e impedendo attacchi MITM che potrebbero intercettare o modificare le email in transito.
Pubblicato secondo le specifiche del RFC 7671, introduce uno standard Internet per la configurazione della comunicazione TLS (Transport Layer Security) tra un client e un server, senza la necessità di affidarsi ad Autorità di Certificazione (CA) esterne fidate.
Il modello tradizionale di TLS basato sulle CA prevede che qualsiasi CA possa emettere un certificato per qualsiasi dominio. DANE adotta un approccio diverso: si basa sull’infrastruttura DNSSEC (Domain Name System Security Extensions) per collegare un nome di dominio a un certificato.
Perché è stato sviluppato DANE?
Ci sono due motivi principali:
1) Uso improprio delle CA di terze parti fidate
Gli attaccanti possono occasionalmente riuscire a fingersi una persona o un servizio per ottenere un certificato fraudolento. Anche se il certificato è valido e rilasciato da una terza parte fidata, non è destinato alla persona prevista.
2) Eliminazione delle possibilità di attacchi MITM (Man-In-The-Middle)
Con gli attacchi MITM un malintenzionato intercetta la comunicazione tra client e server inserendosi nel mezzo e facendo credere ad entrambi di parlare direttamente tra loro. Questo può provocare un downgrade della sessione TLS o fenomeni di poisoning della cache.
DANE può essere usato da qualsiasi applicazione?
Finché l’applicazione utilizza TLS per connettersi a servizi identificati da nomi di dominio, DANE è universale. È retrocompatibile: se un mail server non supporta DANE, il client può tornare ad usare STARTTLS o anche la comunicazione in chiaro. È stato progettato per essere implementato gradualmente, interoperando con la backbone email esistente. Via via che l’adozione di DANE cresce, favorirà la diffusione di DNSSEC e viceversa.
Cosa è necessario per implementare DANE?
- Resolver consapevole della sicurezza che possa interrogare e validare record DNSSEC e TLSA
- Zona DNSSEC firmata e RRsets
Come riesce DANE a raggiungere questi obiettivi?
DANE si avvale del protocollo DNSSEC già esistente per garantire che i dati ricevuti siano autentici e non siano stati manomessi. DANE introduce inoltre un nuovo tipo di record DNS chiamato TLSA che indica al client che un server supporta TLS.
Un record TLSA va configurato per ogni applicazione che utilizza TLS. Ogni applicazione può operare su porte diverse e, in base al numero di porta, può esistere un apposito record TLSA.
MTA-STS e DANE hanno la stessa funzione? Quale protocollo dovrei implementare?
Si raccomanda di implementare sia MTA-STS che DANE. DANE è un requisito di molti enti pubblici, quindi le agenzie pubbliche nell’UE sono spesso obbligate ad implementarlo.
DANE e MTA-STS aumentano la sicurezza solo se anche il mittente li supporta; tuttavia, molti mittenti supportano solo uno dei due, quindi implementarli entrambi migliora la sicurezza complessiva. Le organizzazioni nel 2026 spesso adottano prima MTA-STS per una maggiore compatibilità, aggiungendo poi DANE per rafforzare la sicurezza dove richiesto.
Che cos'è DNSSEC?
Il DNS, per impostazione predefinita, non è sicuro. Quando un resolver ricorsivo effettua una query, accetta qualsiasi risposta senza verificarne l'autenticità. I resolver ricorsivi memorizzano anche le risposte in cache per velocizzare le richieste. Se un attaccante riesce ad iniettare dati DNS falsificati nella cache di un resolver, ogni query a quel resolver restituirà la risposta falsa finché la cache non scadrà. Questo fenomeno prende il nome di DNS cache poisoning.
Nel caso delle email, il rischio è diretto. Quando il tuo mail server cerca il record MX di un dominio destinatario, si fida della risposta ricevuta. Se questo record MX è stato alterato e punta a un server controllato dall’attaccante, la tua email finirà nelle mani sbagliate. Il mittente non avrà modo di saperlo.
DNSSEC (Domain Name System Security Extensions) risolve questo problema aggiungendo firme crittografiche ai dati DNS. I proprietari di una zona firmano i loro record con una chiave privata e pubblicano la chiave pubblica corrispondente nel DNS. Quando un resolver riceve una risposta firmata DNSSEC, ne verifica la firma con la chiave pubblica. Se i dati sono stati modificati durante il transito, la firma non corrisponderà e la risposta verrà scartata.
Il sistema funziona attraverso una catena di fiducia. La chiave pubblica di ogni zona è firmata dalla chiave privata della zona superiore. Ad esempio, la chiave pubblica della zona redsift.io è firmata dalla zona .io, che a sua volta è firmata dalla zona radice. I resolver mantengono un trust anchor della zona radice e possono validare qualsiasi zona firmata seguendo la catena dalla radice verso il basso. Finché ogni zona nel percorso è firmata, la fiducia è garantita.
DNSSEC autentica i dati DNS tramite firme digitali. Non cifra le query o le risposte. Garantisce però che i dati ricevuti siano esattamente quelli pubblicati dal proprietario della zona e che non siano stati manomessi.
DNSSEC è prerequisito per DANE (descritto sopra), che sfrutta l’infrastruttura DNSSEC per collegare i certificati ai nomi di dominio. Senza DNSSEC, i record TLSA di DANE non sarebbero affidabili, perché un attaccante potrebbe falsificarli.
Per ulteriori dettagli sulla specifica, consulta RFC 4033, RFC 4034 e RFC 4035. La specifica iniziale di DNSSEC (RFC 2535) è stata superata per questioni di scalabilità; leggi di più sull’aggiornamento DNS NIST nel nostro blog.
Domande frequenti: Guida alla configurazione dei protocolli email
Prima di DMARC, nei record SPF era spesso usato il meccanismo “-all” per applicare restrizioni rigorose alle policy dei mittenti. Tuttavia, le attuali raccomandazioni del settore per il 2026 privilegiano “~all” per bilanciare sicurezza e deliverability ed evitare il rifiuto non necessario di email legittime che falliscono SPF, ma superano DKIM e DMARC.
Il motivo è che “~all” in combinazione con DMARC (in p=reject) consente comunque di non recapitare email non autenticate quando SPF e DKIM falliscono, senza bloccare email legittime – migliorando così la deliverability complessiva.
Le specifiche DMARC (RFC 7489) affermano che un prefisso “-” nel meccanismo SPF del mittente – come “-all” – può comportare il rifiuto di un’email già nella fase iniziale, cioè prima che venga applicato DMARC. Utilizza “-all” solo per domini inattivi che non inviano mai email. DMARC non distingue tra Soft Fail e Hard Fail su SPF: considera entrambi semplicemente come un errore SPF.
DMARC richiede non solo che SPF o DKIM abbiano esito positivo, ma anche che almeno uno dei domini usati con SPF o DKIM corrisponda al dominio presente nell'intestazione From. Un corretto allineamento è fondamentale nel 2026 per la consegna delle email, perché i principali provider ora richiedono questa verifica.
Per SPF, l’allineamento significa che la verifica di MAIL FROM/Return-PATH è andata a buon fine e la parte dominio di MAIL FROM/Return-PATH coincide con il dominio dell’indirizzo From. In modalità Strict le due devono essere identiche; in modalità Relaxed vengono accettate anche le sottodomini se appartengono alla stessa organizational domain.
Esempio: se MAIL-FROM/RETURN-PATH è @ondmarc.com e il From-header è @knowledge.ondmarc.com, non sono allineati in modalità Strict, ma DMARC li considererebbe validi in modalità Relaxed.
Un report aggregato DMARC contiene informazioni sullo stato di autenticazione dei messaggi inviati per conto di un dominio. Si tratta di un bounce report in XML che riepiloga quali email hanno superato o fallito SPF e DKIM. Permette ai possessori di dominio di avere una panoramica precisa delle fonti che inviano email a loro nome e cosa succede (policy del destinatario).
I destinatari usano il tag 'rua' del record DMARC per inviare i report. Puoi definire la frequenza usando il tag ri nel record DMARC (valore predefinito: 86400 secondi, ovvero 24h). I report forensi forniscono dettagli molto più precisi su ogni fallimento di autenticazione. I dati personali vengono rimossi, ma tutte le informazioni utili alla risoluzione dei problemi, come header SPF/DKIM e indirizzo mittente completo e oggetto, sono trasmesse.
L’indirizzo di ricezione dei report forensi DMARC si indica tramite il tag 'ruf'. Non tutti i sistemi supportano questi report. Red Sift OnDMARC è tra le poche soluzioni che può ricevere report forensi – grazie alla partnership con Yahoo.
Una macro SPF è un meccanismo nei record SPF che consente di definire insiemi riutilizzabili di indirizzi IP. Le macro SPF offrono maggiore flessibilità e mantenibilità: puoi definire set complessi di IP in un unico meccanismo e referenziarli in vari record. Ad esempio, invece di elencare ogni IP autorizzato, puoi usare una macro come “%{i}”, che richiama l’IP in uscita dell’email. In questo modo puoi gestire facilmente grandi elenchi IP senza superare il limite di lookup SPF e rendere meno evidenti le autorizzazioni IP durante le interrogazioni DNS.
A seconda della struttura della macro nel record SPF, una mancata espansione della macro può causare errori SPF o un risultato neutro (?all). Se l’invio di email legittime dipende dalle macro SPF, queste ultime possono portare a maggiori fallimenti o a segnalare come sospetto il traffico verso sistemi che si basano su SPF.
Mail Transfer Agent Strict Transport Security (MTA-STS) è uno standard per la cifratura dei messaggi tra due server di posta. Comunica ai server mittenti che le email devono essere recapitate solo tramite connessione sicura, tramite Transport Layer Security (TLS), proteggendo così dai tentativi di intercettazione da parte dei criminali informatici.
L’adozione di MTA-STS è cresciuta rapidamente e nel 2026 la sicurezza dei trasporti sarà considerata essenziale per la protezione della posta in transito. Per attivare MTA-STS su un dominio ricevente, occorre dichiarare il supporto tramite DNS e rendere disponibile un file di policy sul proprio sito.
MTA-STS va attivato con cautela per non causare blocchi accidentalmente. Si consiglia di iniziare con la modalità Test: in questo modo, grazie ai rapporti TLS, puoi identificare e risolvere eventuali errori prima di passare alla modalità strict. Questo approccio graduale sarà probabilmente lo standard per la protezione della posta in transito nel 2026.
SMTP TLS Reporting (TLS-RPT), secondo RFC8460, serve a segnalare problemi di connettività TLS dai server MTA mittenti. Proprio come per DMARC, anche qui vengono inviati report via email al titolare del dominio quando problemi TLS ostacolano la consegna. I report contengono le policy MTA-STS rilevate, statistiche di traffico, connessioni fallite e motivi di errore.
Con la funzione MTA-STS in Red Sift OnDMARC non dovrai preoccuparti delle complesse implementazioni. Basta aggiungere gli MTA-STS Smart Record forniti da OnDMARC al proprio DNS e Red Sift si occuperà dell’hosting del file di policy, la gestione del certificato SSL e l’invio automatico di segnalazioni di violazione via report TLS. Nel 2026, l’MTA-STS in hosting è sempre più uno standard previsto nelle moderne piattaforme DMARC, rendendo più semplice l’integrazione della cifratura nei trasporti.
Secondo RFC 7671, DANE (DNS-based Authentication of Named Entities) è un nuovo standard Internet per la creazione di comunicazioni TLS tra client e server senza dipendere dalle autorità di certificazione (CA) tradizionali.
Nel modello attuale, qualsiasi CA può rilasciare un certificato per qualunque dominio. DANE adotta un altro approccio, sfruttando l’infrastruttura DNSSEC (Domain Name System Security Extensions) per associare in modo crittografico un nome di dominio a un certificato. DANE si basa sul protocollo DNSSEC esistente per garantire autenticità e integrità della ricezione.
DANE introduce inoltre un nuovo tipo di record DNS, TLSA, che segnala al client il supporto server a TLS. È raccomandato implementare sia MTA-STS sia DANE. DANE è d’obbligo per molti enti pubblici, in particolare in UE.
MTA-STS e DANE sono efficaci solo se anche il server mittente li supporta – molti implementano solo uno dei due. Attivare entrambi aumenta la sicurezza generale. Nel 2026 le organizzazioni adottano spesso MTA-STS prima, per massima compatibilità, e aggiungono DANE per livelli di sicurezza superiori quando richiesto.
La policy per le sottodomini permette agli amministratori di proteggere in modo differenziato diversi domini e sottodomini a seconda dello stadio di implementazione di DMARC. Ad esempio, se tutti i servizi di invio associati al dominio principale sono già protetti da SPF e DKIM, puoi impostare una policy DMARC p=reject sul dominio principale e p=none sulle sottodomini – o viceversa.
Se un servizio di invio non supporta DMARC (cioè non implementa SPF o DKIM) puoi assegnargli una sottodominio separata con una policy DMARC propria, senza compromettere la protezione dei domini restanti. Ciò consente di distribuire il traffico tra diverse sottodomini e proteggerle separatamente secondo le esigenze.