La guida definitiva di Red Sift alla sicurezza delle email
Quanto sono sicure le tue email?
La verità? Non molto – soprattutto con l’aumento degli attacchi di phishing e spoofing, sempre più evoluti grazie all’IA, in continua evoluzione nel 2026 e che costano milioni alle aziende.
Le tecnologie per la sicurezza delle email si presentano in varie forme. Alla fine, tutte perseguono gli stessi obiettivi: limitare lo spam, rilevare le minacce e impedire che raggiungano la tua casella di posta.
Di solito, queste tecnologie identificano le caratteristiche più comuni di un’email dannosa – come un indirizzo IP nella blacklist o un dominio sospetto – e le bloccano prima che raggiungano la posta in arrivo. L’exact-domain-spoofing significa che un attaccante usa il tuo dominio per inviare un’email fraudolenta.
Tutte le misure di sicurezza per le email (eccetto DMARC – ne parleremo più avanti!) sono inefficaci nel riconoscere un’email dannosa che sembra provenire da un dominio legittimo.
Questo accade a causa di una vulnerabilità del Simple Mail Transfer Protocol (SMTP) – lo standard Internet per la trasmissione di messaggi elettronici. Nell'ottobre 2008 la Network Working Group ha definito SMTP ufficialmente 'intrinsecamente insicuro'. Ha dichiarato che chiunque può falsificare un dominio e inviare email fraudolente a nome del legittimo proprietario. Questa vulnerabilità esiste ancora nel 2026, quindi l’autenticazione del dominio è ormai una necessità e non più solo una raccomandazione.
Davvero chiunque può fingere di essere te via email?
Sì. Chiunque abbia conoscenze di programmazione di base può facilmente trovare in rete i passaggi per effettuare l’email spoofing – basta una ricerca su Google. Il risultato è un’email che appare assolutamente legittima e che non mostra i tipici segnali di phishing, come un indirizzo sospetto. Il server di posta del destinatario accetta la comunicazione (se non sono state impostate misure di sicurezza appropriate). A quel punto è quasi impossibile riconoscere che si tratta davvero di un attacco phishing con dominio falsificato.
Cos’è un dominio falsificato?
Un dominio falsificato è un sito web o un indirizzo email fraudolento progettato per assomigliare molto a un dominio legittimo. Esistono varie tecniche di spoofing, tra cui:
- Exact-domain-spoofing: Quando l’attaccante falsifica esattamente il tuo dominio. Ad esempio yourcompany.com
- Lookalike-domain: Quando un attaccante registra un dominio talmente simile a quello originale da risultare quasi indistinguibile. Questo viene chiamato anche typosquatting. Ad esempio yourc0mpany.com
- Subdomain-spoofing: In questo caso l’attaccante crea una sottodirectory apparentemente legittima, spesso per carpire credenziali tramite un modulo falso. Ad esempio login.yourcompany.com
Cos’è il phishing via email?
Il phishing via email avviene quando un attaccante o 'malintenzionato' invia email fraudolente e si spaccia per un’organizzazione affidabile, spingendo il destinatario a fornire informazioni sensibili come dati bancari o personali. Talvolta il phishing viene utilizzato anche per diffondere malware nei sistemi delle vittime.
Gli attacchi phishing continuano ad aumentare di anno in anno. I dati più recenti di APWG mostrano che nel 2026 le aziende si troveranno ad affrontare attacchi più sofisticati e frequenti che mai – i criminali informatici usano automazione e social engineering in modo mirato e massiccio.
Cos’è il social engineering?
Un attacco phishing classico solitamente prevede l’invio di una mail fraudolenta a molti destinatari. Ma ora gli attacchi sono sempre più personalizzati, poiché il social engineering sfrutta tecniche psicologiche per indurre le vittime a fornire dati sensibili. Sul web oggi ci sono tantissime informazioni pubbliche – rendendo più facile che mai colpire in modo mirato e personalizzato.
Cos’è il Business Email Compromise (BEC) e come difendersi?
Il Business Email Compromise (BEC) è un termine che indica gli attacchi phishing rivolti specificatamente alle aziende, sfruttandone il dominio. Alcuni attacchi hanno come obiettivo i consumatori, ma i cybercriminali spesso hanno molto più da guadagnare colpendo le imprese. In questi casi, l’attaccante sfrutta il social engineering e crea una mail di phishing che sembra provenire da un dipendente (di solito il CEO). Lo scopo è spesso il furto di denaro o dati sensibili.
Nel 2026, gli attacchi BEC restano tra le minacce più costose per le aziende. Secondo una recente analisi di settore, gli attacchi BEC (una forma di social engineering) sono ancora estremamente efficienti e redditizi per i cybercriminali. Rappresentano oltre il 50 % di tutti gli incidenti di social engineering.
Sotto il termine 'Business Email Compromise (BEC)' rientrano diverse tipologie di attacco:
Ransomware
Il ransomware è un malware che cripta i file o blocca l’accesso a sistemi informatici e ne richiede il riscatto per ripristinare l’accesso.
CEO fraud
In questo caso, l’attaccante si finge il CEO (o un dirigente) e prende di mira dipendenti selezionati.
Frodi su fatture e fornitori
Gli attaccanti cercano di far pagare alle vittime una o più fatture fraudolente.
Furto di dati
Un attacco che prende di mira dipendenti con accesso a dati personali (PII), come chi si occupa delle risorse umane.
Account Compromesso
L’account compromesso indica l’accesso non autorizzato a un account da parte di terzi, spesso con conseguente furto di dati sensibili o utilizzo illecito dello stesso.
La sofisticazione degli attacchi phishing varia
Non sorprende che molti utenti cadano nelle trappole del phishing. Se un’email è fatta bene, è praticamente impossibile riconoscerla. Le aziende vittime di phishing non commettono necessariamente errori, e nemmeno è richiesto agli attaccanti di violare sistemi interni. Tuttavia, molti governi e autorità di regolamentazione ritengono che la responsabilità di proteggere i clienti dagli attacchi phishing ricada sulle aziende. Chi non offre una protezione adeguata può essere ritenuto responsabile per eventuali violazioni dei dati – e soggetto a sanzioni.
Nell’ultima decade, i principali attori del settore hanno introdotto nuovi protocolli per migliorare la sicurezza delle email. Tuttavia, lo spoofing dell’identità tramite email aggira molti di questi standard. Nel 2026, l’implementazione corretta di DMARC è considerata la principale difesa contro il domain spoofing, e i grandi provider di posta la richiedono per chi invia grandi volumi di email.
Nella prossima sezione vedrai una panoramica di questi protocolli e dei rischi che intendono affrontare.
Domande frequenti: Guida alla sicurezza delle email
Tutte le misure di sicurezza delle email (ad eccezione di DMARC) sono inefficaci nell'individuare un'email dannosa quando sembra provenire da un dominio legittimo. Questo a causa di un difetto nel Simple Mail Transfer Protocol (SMTP). Nell'ottobre 2008, il Network Working Group lo ha ufficialmente definito 'intrinsecamente insicuro', dichiarando che chiunque potesse impersonare un dominio e utilizzarlo per inviare email fraudolente fingendo di essere il proprietario del dominio.
Chiunque abbia conoscenze di base di programmazione può apprendere velocemente, con una semplice ricerca su Google, i passaggi necessari per impersonare l'identità email di qualcuno. Il risultato è un'email che sembra legittima, senza i soliti segnali di phishing. Con 3,4 miliardi di email di phishing inviate ogni giorno, i sistemi di posta elettronica rimangono il bersaglio principale dei cybercriminali.
SPF (Sender Policy Framework) verifica che un'email sia inviata da un indirizzo IP autorizzato dal record SPF del dominio mittente tramite un record DNS TXT che elenca i server di posta autorizzati.
DKIM (DomainKeys Identified Mail) utilizza una firma crittografica, validata tramite una chiave pubblica nel DNS, per confermare che il contenuto dell'email non sia stato alterato e provenga da un dominio autorizzato. Entrambi sono essenziali per la sicurezza delle email, ma nessuno dei due previene l'impersonificazione esatta.
Mentre i protocolli comunicano al destinatario chi è il mittente dell'email, quest'ultimo non riceve istruzioni su come agire con tale informazione. I principali fornitori di caselle di posta ora richiedono SPF e DKIM per chi invia email massive nel 2026.
DMARC sta per Domain-based Message Authentication, Reporting, and Conformance. È un protocollo di sicurezza email in uscita che consente ai proprietari di un dominio di istruire le caselle di posta riceventi a rifiutare email contraffatte. DMARC funziona combinando i risultati di SPF e DKIM per determinare se la tua email è autentica e autorizzata.
La policy DMARC (definita dal tag "p=" nel tuo record DNS) indica poi ai server destinatari cosa fare con quell'email. DMARC blocca l'impersonificazione esatta del dominio istruendo i server destinatari a non accettare email non autenticate. Nel 2026, DMARC è diventato un requisito standard per le organizzazioni che inviano email massive.
La specifica SPF limita le ricerche DNS a 10. Se il tuo record SPF supera questo limite, SPF fallirà. I meccanismi SPF conteggiati sono: a, ptr, mx, include, redirect ed exists. In realtà, 10 ricerche non sono sufficienti perché la maggior parte delle aziende usa diversi strumenti per inviare email.
G Suite da solo consuma 4 ricerche DNS, aggiungi HubSpot per il marketing che usa 7 ricerche e hai già superato il limite. Non appena superi le 10 ricerche SPF, il traffico email inizierà a fallire casualmente la validazione. Ecco perché le organizzazioni nel 2026 stanno passando a una gestione dinamica di SPF invece di mantenere manualmente record compressi.
Mail Transfer Agent Strict Transport Security (MTA-STS) è uno standard che consente la cifratura dei messaggi scambiati tra due server di posta. Specifica che le email possono essere inviate solo tramite una connessione crittografata Transport Layer Security (TLS), impedendo così l'intercettazione da parte dei cybercriminali. SMTP da solo non offre sicurezza, rendendolo vulnerabile ad attacchi man-in-the-middle in cui la comunicazione può essere intercettata e modificata.
Inoltre, la cifratura in SMTP è opzionale, quindi le email possono essere inviate in chiaro. Senza MTA-STS, un attaccante può intercettare la comunicazione e forzare l'invio del messaggio in formato non cifrato. Nel 2026, MTA-STS è uno standard di sicurezza per tutte le organizzazioni che gestiscono comunicazioni sensibili.
Implementando DMARC ottieni il vantaggio di bloccare i tentativi di phishing che sembrano provenire da te, rafforzare la fiducia dei clienti, ridurre il rischio cyber e conformarti ai requisiti dei principali provider come Google, Yahoo e Microsoft per l'invio massivo di email.
DMARC rafforza la conformità a PCI DSS 4.0 e aumenta la resilienza organizzativa contro le minacce cyber in evoluzione. Una volta a p=reject (enforcement), DMARC blocca truffe dei fornitori, compromissioni di account e lo spoofing della posta impedendo agli attori malevoli di utilizzare il tuo dominio per inviare email di phishing e condurre Business Email Compromise (BEC). Secondo il Data Breach Investigations Report 2025 di Verizon, gli attacchi BEC rappresentano oltre il 17-22% di tutti gli incidenti di Social Engineering.
Red Sift OnDMARC accelera l'adozione di DMARC con una scoperta automatica dei mittenti, correzioni prescritte, rilevamento di anomalie e accesso per team globali in base ai ruoli. Nel 2026, le migliori piattaforme consentono alle aziende di raggiungere il livello di enforcement p=reject in 6-8 settimane, invece dei sei mesi che erano la norma.
Uno dei vantaggi più segnalati di OnDMARC è proprio il tempo medio di 6-8 settimane per arrivare alla piena enforcement. L'automazione della piattaforma analizza costantemente cosa sta accadendo sul tuo dominio, generando avvisi su cosa e dove intervenire. Entro 24 ore dall'aggiunta del record DMARC unico in DNS, OnDMARC inizia ad analizzare e mostrare i report DMARC tramite dashboard chiare.
I principali provider di email come Microsoft, Google e Yahoo ora impongono DMARC per chi invia email massive (oltre 5.000 email al giorno) dal 2024-2025, e tali requisiti sono diventati uno standard nel 2026.
Oltre ai requisiti imposti dai provider di caselle di posta, alcuni settori e normative governative stanno introducendo l'obbligo di DMARC. Per esempio, le agenzie federali statunitensi e i processori di pagamenti regolamentati da DORA devono adottare DMARC. L'implementazione di DMARC rafforza anche la conformità a regolamenti come PCI DSS 4.0, GDPR e NIS2. Per i team di sicurezza, email e IT, garantire la sicurezza delle email aziendali in linea con le best practice internazionali è fondamentale.