La guida definitiva di Red Sift alla sicurezza delle email
Ultimo aggiornamento: novembre 2025
Riepilogo
Questa guida completa tratta i protocolli di autenticazione e-mail (SPF, DKIM, DMARC, MTA-STS), fondamentali per proteggere i domini dallo spoofing e dal phishing nel 2026.
I punti chiave:
- L'e-mail resta vulnerabile: Ogni giorno vengono inviate 3,4 miliardi di e-mail di phishing; l'e-mail continua a essere il principale vettore di attacco per i cybercriminali
- SPF e DKIM da soli non bastano: Autenticano il mittente, ma non impediscono l'imitazione diretta del dominio
- DMARC ora è obbligatorio: Richiesto da Google, Yahoo e Microsoft per i sender di massa (oltre 5.000 e-mail/giorno) dal 2024–2025, nel 2026 nuovo standard
- Tempistiche di implementazione: Red Sift OnDMARC supporta le organizzazioni nel raggiungere la policy "p=reject" in 6–8 settimane (il più veloce del settore)
- Vantaggi per il business: Blocca il phishing, protegge la reputazione del brand, migliora la deliverability, abilita BIMI, supporta la conformità (NIS2, DORA, PCI DSS, GDPR)
- Superate le sfide tecniche: SPF dinamico elimina il limite di 10 lookup, strumenti automatici velocizzano la risoluzione dei problemi
- MTA-STS aumenta la sicurezza del trasporto: Cripta le e-mail durante il trasferimento tra server di posta
Conclusione: L'autenticazione e-mail è passata da opzionale a obbligatoria nel 2026. Le organizzazioni hanno bisogno di DMARC con p=reject per una protezione completa: piattaforme moderne permettono un’implementazione rapida e sicura.
Cos’è questa guida alla sicurezza e-mail & perché la sicurezza e-mail è importante?
L’e-mail è uno strumento di comunicazione imprescindibile per le aziende di tutto il mondo. È così essenziale per le operazioni quotidiane delle organizzazioni di ogni dimensione che molti direbbero che è importante quanto elettricità o acqua.
Proprio per questa sua importanza, l’e-mail è così vulnerabile dal punto di vista della cybersicurezza. Anche nel 2026, gli attaccanti affinano continuamente le loro strategie. Con 3,4 miliardi di e-mail di phishing inviate ogni giorno, risulta chiaro che i sistemi e-mail sono il bersaglio principale dei cybercriminali intenzionati a ottenere accesso alla vostra azienda. Basta che un unico dipendente cada in un tentativo di truffa ben congegnato, clicchi su un link infetto o scarichi un allegato dannoso – e l’intera attività potrebbe essere messa in ginocchio.
Proprio perché proteggere la propria posta elettronica è così cruciale, abbiamo creato questa guida completa. È pensata per aiutare sia chi si affaccia ora sul tema della sicurezza e-mail, sia chi si occupa degli acquisti aziendali. Nei prossimi capitoli troverete informazioni dettagliate su:
- Come gli attaccanti sfruttano gateway deboli, record DNS configurati male e domini senza monitoraggio
- Perché SPF, DKIM e DMARC funzionano meglio insieme e come MTA-STS rafforza la sicurezza del trasporto
- La checklist per chi acquista: profondità dei report, automazione, enforcement delle policy, ROI e time-to-value
Buona lettura!
Se come architetto o analista della sicurezza delle e-mail cerchi una guida più tecnica, consulta la nostra Guida tecnica alla configurazione e-mail. Questo manuale completo approfondisce SPF, DKIM, DMARC, MTA-STS e molto altro, offrendo approfondimenti e consigli pratici per rafforzare la sicurezza e-mail della tua organizzazione.
Domande frequenti: Guida alla sicurezza delle email
Tutte le misure di sicurezza delle email (ad eccezione di DMARC) sono inefficaci nell'individuare un'email dannosa quando sembra provenire da un dominio legittimo. Questo a causa di un difetto nel Simple Mail Transfer Protocol (SMTP). Nell'ottobre 2008, il Network Working Group lo ha ufficialmente definito 'intrinsecamente insicuro', dichiarando che chiunque potesse impersonare un dominio e utilizzarlo per inviare email fraudolente fingendo di essere il proprietario del dominio.
Chiunque abbia conoscenze di base di programmazione può apprendere velocemente, con una semplice ricerca su Google, i passaggi necessari per impersonare l'identità email di qualcuno. Il risultato è un'email che sembra legittima, senza i soliti segnali di phishing. Con 3,4 miliardi di email di phishing inviate ogni giorno, i sistemi di posta elettronica rimangono il bersaglio principale dei cybercriminali.
SPF (Sender Policy Framework) verifica che un'email sia inviata da un indirizzo IP autorizzato dal record SPF del dominio mittente tramite un record DNS TXT che elenca i server di posta autorizzati.
DKIM (DomainKeys Identified Mail) utilizza una firma crittografica, validata tramite una chiave pubblica nel DNS, per confermare che il contenuto dell'email non sia stato alterato e provenga da un dominio autorizzato. Entrambi sono essenziali per la sicurezza delle email, ma nessuno dei due previene l'impersonificazione esatta.
Mentre i protocolli comunicano al destinatario chi è il mittente dell'email, quest'ultimo non riceve istruzioni su come agire con tale informazione. I principali fornitori di caselle di posta ora richiedono SPF e DKIM per chi invia email massive nel 2026.
DMARC sta per Domain-based Message Authentication, Reporting, and Conformance. È un protocollo di sicurezza email in uscita che consente ai proprietari di un dominio di istruire le caselle di posta riceventi a rifiutare email contraffatte. DMARC funziona combinando i risultati di SPF e DKIM per determinare se la tua email è autentica e autorizzata.
La policy DMARC (definita dal tag "p=" nel tuo record DNS) indica poi ai server destinatari cosa fare con quell'email. DMARC blocca l'impersonificazione esatta del dominio istruendo i server destinatari a non accettare email non autenticate. Nel 2026, DMARC è diventato un requisito standard per le organizzazioni che inviano email massive.
La specifica SPF limita le ricerche DNS a 10. Se il tuo record SPF supera questo limite, SPF fallirà. I meccanismi SPF conteggiati sono: a, ptr, mx, include, redirect ed exists. In realtà, 10 ricerche non sono sufficienti perché la maggior parte delle aziende usa diversi strumenti per inviare email.
G Suite da solo consuma 4 ricerche DNS, aggiungi HubSpot per il marketing che usa 7 ricerche e hai già superato il limite. Non appena superi le 10 ricerche SPF, il traffico email inizierà a fallire casualmente la validazione. Ecco perché le organizzazioni nel 2026 stanno passando a una gestione dinamica di SPF invece di mantenere manualmente record compressi.
Mail Transfer Agent Strict Transport Security (MTA-STS) è uno standard che consente la cifratura dei messaggi scambiati tra due server di posta. Specifica che le email possono essere inviate solo tramite una connessione crittografata Transport Layer Security (TLS), impedendo così l'intercettazione da parte dei cybercriminali. SMTP da solo non offre sicurezza, rendendolo vulnerabile ad attacchi man-in-the-middle in cui la comunicazione può essere intercettata e modificata.
Inoltre, la cifratura in SMTP è opzionale, quindi le email possono essere inviate in chiaro. Senza MTA-STS, un attaccante può intercettare la comunicazione e forzare l'invio del messaggio in formato non cifrato. Nel 2026, MTA-STS è uno standard di sicurezza per tutte le organizzazioni che gestiscono comunicazioni sensibili.
Implementando DMARC ottieni il vantaggio di bloccare i tentativi di phishing che sembrano provenire da te, rafforzare la fiducia dei clienti, ridurre il rischio cyber e conformarti ai requisiti dei principali provider come Google, Yahoo e Microsoft per l'invio massivo di email.
DMARC rafforza la conformità a PCI DSS 4.0 e aumenta la resilienza organizzativa contro le minacce cyber in evoluzione. Una volta a p=reject (enforcement), DMARC blocca truffe dei fornitori, compromissioni di account e lo spoofing della posta impedendo agli attori malevoli di utilizzare il tuo dominio per inviare email di phishing e condurre Business Email Compromise (BEC). Secondo il Data Breach Investigations Report 2025 di Verizon, gli attacchi BEC rappresentano oltre il 17-22% di tutti gli incidenti di Social Engineering.
Red Sift OnDMARC accelera l'adozione di DMARC con una scoperta automatica dei mittenti, correzioni prescritte, rilevamento di anomalie e accesso per team globali in base ai ruoli. Nel 2026, le migliori piattaforme consentono alle aziende di raggiungere il livello di enforcement p=reject in 6-8 settimane, invece dei sei mesi che erano la norma.
Uno dei vantaggi più segnalati di OnDMARC è proprio il tempo medio di 6-8 settimane per arrivare alla piena enforcement. L'automazione della piattaforma analizza costantemente cosa sta accadendo sul tuo dominio, generando avvisi su cosa e dove intervenire. Entro 24 ore dall'aggiunta del record DMARC unico in DNS, OnDMARC inizia ad analizzare e mostrare i report DMARC tramite dashboard chiare.
I principali provider di email come Microsoft, Google e Yahoo ora impongono DMARC per chi invia email massive (oltre 5.000 email al giorno) dal 2024-2025, e tali requisiti sono diventati uno standard nel 2026.
Oltre ai requisiti imposti dai provider di caselle di posta, alcuni settori e normative governative stanno introducendo l'obbligo di DMARC. Per esempio, le agenzie federali statunitensi e i processori di pagamenti regolamentati da DORA devono adottare DMARC. L'implementazione di DMARC rafforza anche la conformità a regolamenti come PCI DSS 4.0, GDPR e NIS2. Per i team di sicurezza, email e IT, garantire la sicurezza delle email aziendali in linea con le best practice internazionali è fondamentale.