La guida completa di Red Sift alla sicurezza e-mail

image
Esplora la nostra guida
In questa guida

Ultimo aggiornamento: novembre 2025

Riepilogo

Questa guida completa tratta i protocolli di autenticazione e-mail (SPF, DKIM, DMARC, MTA-STS), fondamentali per proteggere i domini dallo spoofing e dal phishing nel 2026.

I punti chiave:

  • L'e-mail resta vulnerabile: Ogni giorno vengono inviate 3,4 miliardi di e-mail di phishing; l'e-mail continua a essere il principale vettore di attacco per i cybercriminali
  • SPF e DKIM da soli non bastano: Autenticano il mittente, ma non impediscono l'imitazione diretta del dominio
  • DMARC ora è obbligatorio: Richiesto da Google, Yahoo e Microsoft per i sender di massa (oltre 5.000 e-mail/giorno) dal 2024–2025, nel 2026 nuovo standard
  • Tempistiche di implementazione: Red Sift OnDMARC supporta le organizzazioni nel raggiungere la policy "p=reject" in 6–8 settimane (il più veloce del settore)
  • Vantaggi per il business: Blocca il phishing, protegge la reputazione del brand, migliora la deliverability, abilita BIMI, supporta la conformità (NIS2, DORA, PCI DSS, GDPR)
  • Superate le sfide tecniche: SPF dinamico elimina il limite di 10 lookup, strumenti automatici velocizzano la risoluzione dei problemi
  • MTA-STS aumenta la sicurezza del trasporto: Cripta le e-mail durante il trasferimento tra server di posta

Conclusione: L'autenticazione e-mail è passata da opzionale a obbligatoria nel 2026. Le organizzazioni hanno bisogno di DMARC con p=reject per una protezione completa: piattaforme moderne permettono un’implementazione rapida e sicura.

Cos’è questa guida alla sicurezza e-mail & perché la sicurezza e-mail è importante?

L’e-mail è uno strumento di comunicazione imprescindibile per le aziende di tutto il mondo. È così essenziale per le operazioni quotidiane delle organizzazioni di ogni dimensione che molti direbbero che è importante quanto elettricità o acqua.

Proprio per questa sua importanza, l’e-mail è così vulnerabile dal punto di vista della cybersicurezza. Anche nel 2026, gli attaccanti affinano continuamente le loro strategie. Con 3,4 miliardi di e-mail di phishing inviate ogni giorno, risulta chiaro che i sistemi e-mail sono il bersaglio principale dei cybercriminali intenzionati a ottenere accesso alla vostra azienda. Basta che un unico dipendente cada in un tentativo di truffa ben congegnato, clicchi su un link infetto o scarichi un allegato dannoso – e l’intera attività potrebbe essere messa in ginocchio.

Proprio perché proteggere la propria posta elettronica è così cruciale, abbiamo creato questa guida completa. È pensata per aiutare sia chi si affaccia ora sul tema della sicurezza e-mail, sia chi si occupa degli acquisti aziendali. Nei prossimi capitoli troverete informazioni dettagliate su:

  • Come gli attaccanti sfruttano gateway deboli, record DNS configurati male e domini senza monitoraggio
  • Perché SPF, DKIM e DMARC funzionano meglio insieme e come MTA-STS rafforza la sicurezza del trasporto
  • La checklist per chi acquista: profondità dei report, automazione, enforcement delle policy, ROI e time-to-value

Buona lettura!

icon

Se come architetto o analista della sicurezza delle e-mail cerchi una guida più tecnica, consulta la nostra Guida tecnica alla configurazione e-mail. Questo manuale completo approfondisce SPF, DKIM, DMARC, MTA-STS e molto altro, offrendo approfondimenti e consigli pratici per rafforzare la sicurezza e-mail della tua organizzazione.

Domande frequenti: Guida alla sicurezza e-mail

Perché l’e-mail è fondamentalmente insicura e come sfruttano gli attaccanti questa vulnerabilità?

Tutte le misure di sicurezza per l’e-mail (tranne DMARC) risultano inefficaci se un’e-mail dannosa sembra provenire da un dominio legittimo. Il motivo è un difetto nel Simple Mail Transfer Protocol (SMTP). Nell’ottobre 2008, la Network Working Group lo ha ufficialmente classificato come “fondamentalmente insicuro” e ha rilevato che chiunque può imitare un dominio e inviare e-mail fraudolente a nome del titolare del dominio.

Chiunque abbia conoscenze di programmazione di base può acquisire con una rapida ricerca su Google quello che serve a imitare l’identità e-mail di qualcun altro. Il risultato è un’e-mail che sembra legittima e non presenta tipici segnali di phishing. Con 3,4 miliardi di e-mail di phishing al giorno, i sistemi di posta restano il principale obiettivo dei criminali informatici.

Cosa sono SPF e DKIM e perché da soli non bastano a proteggere le e-mail?

SPF (Sender Policy Framework) verifica se un’e-mail è stata inviata da un indirizzo IP autorizzato dal record SPF del dominio mittente. Ciò avviene tramite un record DNS TXT che elenca i mail server autorizzati.

DKIM (DomainKeys Identified Mail) utilizza una firma crittografica, validata tramite una chiave pubblica nel DNS, per confermare che il contenuto dell’e-mail non sia stato modificato e provenga da un dominio autorizzato. Entrambe sono fondamentali per la sicurezza e-mail, ma non impediscono l’imitazione esatta del dominio.

Sebbene questi protocolli mostrino al destinatario da chi provenga l’e-mail, non forniscono istruzioni su come deve comportarsi. I principali provider di posta richiederanno dal 2026 SPF e DKIM per l’invio di comunicazioni massive.

Cos’è DMARC e come lavora insieme a SPF e DKIM per prevenire lo spoofing del dominio?

DMARC sta per Domain-based Message Authentication, Reporting e Conformance. È un protocollo di sicurezza e-mail in uscita che consente ai proprietari di dominio di comunicare alle caselle di posta destinarie di rifiutare le e-mail contraffatte. DMARC combina i risultati di SPF e DKIM per determinare se la tua e-mail è legittima e autorizzata.

La policy DMARC (definita dal tag “p=” nel record DNS) indica poi ai server destinatari che cosa fare di queste e-mail. DMARC previene imitazioni esatte del dominio istruendo i server ricevitori a non accettare e-mail non autenticate. Dal 2026 DMARC è divenuto lo standard per le organizzazioni che inviano comunicazioni massive.

Cosa significa il limite di 10 lookup SPF e come lo risolvono le organizzazioni nel 2026?

La specifica SPF limita le ricerche DNS a 10. Se il tuo record SPF supera questa soglia, la verifica SPF fallisce. I meccanismi contati sono: a, ptr, mx, include, redirect ed exists. In pratica, 10 lookup spesso non bastano: molte aziende usano più strumenti di invio e-mail.

G Suite da solo occupa 4 lookup DNS, e possono aggiungersene 7 per esempio per attività di marketing su HubSpot – e il limite viene già superato. Con oltre 10 lookup SPF, la validazione delle e-mail causa errori casuali. Nel 2026, le aziende scelgono una gestione SPF dinamica invece di provare a mantenere manualmente le configurazioni "appianate".

Cos’è MTA-STS e perché la sicurezza di livello trasporto è importante per la protezione delle e-mail?

Mail Transfer Agent Strict Transport Security (MTA-STS) è uno standard che garantisce la crittografia delle e-mail spedite tra due mail server. Esso stabilisce che le e-mail devono essere inviate solo tramite una connessione cifrata con Transport Layer Security (TLS), prevenendo così le intercettazioni da parte dei cybercriminali. Il protocollo SMTP, da solo, non offre sicurezza ed è soggetto agli attacchi “man-in-the-middle”, che permettono di intercettare e modificare la comunicazione.

Inoltre, la crittografia in SMTP è opzionale; ciò significa che le e-mail possono essere trasmesse in chiaro. Senza MTA-STS, un attaccante può intercettare la comunicazione e forzare la trasmissione in chiaro del messaggio. Nel 2026 MTA-STS rappresenta una misura di sicurezza standard per le organizzazioni che trattano comunicazioni sensibili.

Quali vantaggi aziendali porta l’implementazione di DMARC?

Implementando DMARC beneficerai del blocco di tentativi di phishing che sembrano provenire dal tuo dominio, maggiore fiducia da parte dei clienti, riduzione del rischio cyber, e conformità ai requisiti sui mailing massivi di Google, Yahoo e Microsoft.

DMARC contribuisce inoltre alla conformità con PCI DSS 4.0 e aumenta la resilienza organizzativa generale rispetto all’evoluzione delle minacce informatiche. Con una policy impostata su p=reject (applicazione), DMARC blocca le frodi ai fornitori, il furto di account e lo spoofing delle e-mail impedendo a terzi di usare il tuo dominio per phishing o Business Email Compromise (BEC). Secondo il Data Breach Investigations Report di Verizon 2025, oltre il 17–22% di tutti gli episodi di social engineering riguarda attacchi BEC.

Quanto dura in genere un’implementazione DMARC e cosa distingue Red Sift OnDMARC?

Red Sift OnDMARC accelera l’adozione di DMARC grazie alla ricerca automatizzata dei mittenti, suggerimenti concreti, rilevamento delle anomalie e accesso basato sui ruoli per team globali. Nel 2026, le piattaforme leader permettono alle aziende di arrivare alla piena applicazione p=reject in 6–8 settimane invece che nei sei mesi tradizionali.

Uno dei vantaggi più citati di OnDMARC è il tempo medio di 6–8 settimane per raggiungere la piena enforcement. La potente automazione della piattaforma analizza costantemente tutti gli eventi sul tuo dominio e fornisce indicazioni e suggerimenti sugli interventi necessari. Già 24 ore dopo aver aggiunto il tuo record DMARC personalizzato nel DNS, OnDMARC inizia ad analizzare i report DMARC e a presentarli in dashboard chiare.

Quali requisiti e indicazioni globali esistono dal 2026 per DMARC?

I maggiori provider e-mail come Microsoft, Google e Yahoo richiedono dal 2024–2025 DMARC per chi effettua invii massivi (ossia le organizzazioni che superano le 5.000 e-mail al giorno), e questi requisiti sono ormai lo standard nel 2026.

Oltre alle richieste dei fornitori di posta, interi settori e normative di autorità stanno sempre più adottando DMARC. Le agenzie federali USA devono utilizzare DMARC, così come i fornitori di servizi di pagamento regolati da DORA. Inoltre, implementare DMARC rafforza la conformità a normative quali PCI DSS 4.0, GDPR e NIS2. Per i team di cybersecurity, sicurezza e-mail e IT, è essenziale allineare la sicurezza delle e-mail della propria organizzazione alle migliori pratiche e ai requisiti internazionali.