La guida completa di Red Sift alla sicurezza e-mail
Quanto sono sicure le tue email?
La verità? Non molto – soprattutto con l’aumento degli attacchi di phishing e spoofing, sempre più evoluti grazie all’IA, in continua evoluzione nel 2026 e che costano milioni alle aziende.
Le tecnologie per la sicurezza delle email si presentano in varie forme. Alla fine, tutte perseguono gli stessi obiettivi: limitare lo spam, rilevare le minacce e impedire che raggiungano la tua casella di posta.
Di solito, queste tecnologie identificano le caratteristiche più comuni di un’email dannosa – come un indirizzo IP nella blacklist o un dominio sospetto – e le bloccano prima che raggiungano la posta in arrivo. L’exact-domain-spoofing significa che un attaccante usa il tuo dominio per inviare un’email fraudolenta.
Tutte le misure di sicurezza per le email (eccetto DMARC – ne parleremo più avanti!) sono inefficaci nel riconoscere un’email dannosa che sembra provenire da un dominio legittimo.
Questo accade a causa di una vulnerabilità del Simple Mail Transfer Protocol (SMTP) – lo standard Internet per la trasmissione di messaggi elettronici. Nell'ottobre 2008 la Network Working Group ha definito SMTP ufficialmente 'intrinsecamente insicuro'. Ha dichiarato che chiunque può falsificare un dominio e inviare email fraudolente a nome del legittimo proprietario. Questa vulnerabilità esiste ancora nel 2026, quindi l’autenticazione del dominio è ormai una necessità e non più solo una raccomandazione.
Davvero chiunque può fingere di essere te via email?
Sì. Chiunque abbia conoscenze di programmazione di base può facilmente trovare in rete i passaggi per effettuare l’email spoofing – basta una ricerca su Google. Il risultato è un’email che appare assolutamente legittima e che non mostra i tipici segnali di phishing, come un indirizzo sospetto. Il server di posta del destinatario accetta la comunicazione (se non sono state impostate misure di sicurezza appropriate). A quel punto è quasi impossibile riconoscere che si tratta davvero di un attacco phishing con dominio falsificato.
Cos’è un dominio falsificato?
Un dominio falsificato è un sito web o un indirizzo email fraudolento progettato per assomigliare molto a un dominio legittimo. Esistono varie tecniche di spoofing, tra cui:
- Exact-domain-spoofing: Quando l’attaccante falsifica esattamente il tuo dominio. Ad esempio yourcompany.com
- Lookalike-domain: Quando un attaccante registra un dominio talmente simile a quello originale da risultare quasi indistinguibile. Questo viene chiamato anche typosquatting. Ad esempio yourc0mpany.com
- Subdomain-spoofing: In questo caso l’attaccante crea una sottodirectory apparentemente legittima, spesso per carpire credenziali tramite un modulo falso. Ad esempio login.yourcompany.com
Cos’è il phishing via email?
Il phishing via email avviene quando un attaccante o 'malintenzionato' invia email fraudolente e si spaccia per un’organizzazione affidabile, spingendo il destinatario a fornire informazioni sensibili come dati bancari o personali. Talvolta il phishing viene utilizzato anche per diffondere malware nei sistemi delle vittime.
Gli attacchi phishing continuano ad aumentare di anno in anno. I dati più recenti di APWG mostrano che nel 2026 le aziende si troveranno ad affrontare attacchi più sofisticati e frequenti che mai – i criminali informatici usano automazione e social engineering in modo mirato e massiccio.
Cos’è il social engineering?
Un attacco phishing classico solitamente prevede l’invio di una mail fraudolenta a molti destinatari. Ma ora gli attacchi sono sempre più personalizzati, poiché il social engineering sfrutta tecniche psicologiche per indurre le vittime a fornire dati sensibili. Sul web oggi ci sono tantissime informazioni pubbliche – rendendo più facile che mai colpire in modo mirato e personalizzato.
Cos’è il Business Email Compromise (BEC) e come difendersi?
Il Business Email Compromise (BEC) è un termine che indica gli attacchi phishing rivolti specificatamente alle aziende, sfruttandone il dominio. Alcuni attacchi hanno come obiettivo i consumatori, ma i cybercriminali spesso hanno molto più da guadagnare colpendo le imprese. In questi casi, l’attaccante sfrutta il social engineering e crea una mail di phishing che sembra provenire da un dipendente (di solito il CEO). Lo scopo è spesso il furto di denaro o dati sensibili.
Nel 2026, gli attacchi BEC restano tra le minacce più costose per le aziende. Secondo una recente analisi di settore, gli attacchi BEC (una forma di social engineering) sono ancora estremamente efficienti e redditizi per i cybercriminali. Rappresentano oltre il 50 % di tutti gli incidenti di social engineering.
Sotto il termine 'Business Email Compromise (BEC)' rientrano diverse tipologie di attacco:
Ransomware
Il ransomware è un malware che cripta i file o blocca l’accesso a sistemi informatici e ne richiede il riscatto per ripristinare l’accesso.
CEO fraud
In questo caso, l’attaccante si finge il CEO (o un dirigente) e prende di mira dipendenti selezionati.
Frodi su fatture e fornitori
Gli attaccanti cercano di far pagare alle vittime una o più fatture fraudolente.
Furto di dati
Un attacco che prende di mira dipendenti con accesso a dati personali (PII), come chi si occupa delle risorse umane.
Account Compromesso
L’account compromesso indica l’accesso non autorizzato a un account da parte di terzi, spesso con conseguente furto di dati sensibili o utilizzo illecito dello stesso.
La sofisticazione degli attacchi phishing varia
Non sorprende che molti utenti cadano nelle trappole del phishing. Se un’email è fatta bene, è praticamente impossibile riconoscerla. Le aziende vittime di phishing non commettono necessariamente errori, e nemmeno è richiesto agli attaccanti di violare sistemi interni. Tuttavia, molti governi e autorità di regolamentazione ritengono che la responsabilità di proteggere i clienti dagli attacchi phishing ricada sulle aziende. Chi non offre una protezione adeguata può essere ritenuto responsabile per eventuali violazioni dei dati – e soggetto a sanzioni.
Nell’ultima decade, i principali attori del settore hanno introdotto nuovi protocolli per migliorare la sicurezza delle email. Tuttavia, lo spoofing dell’identità tramite email aggira molti di questi standard. Nel 2026, l’implementazione corretta di DMARC è considerata la principale difesa contro il domain spoofing, e i grandi provider di posta la richiedono per chi invia grandi volumi di email.
Nella prossima sezione vedrai una panoramica di questi protocolli e dei rischi che intendono affrontare.
Domande frequenti: Guida alla sicurezza e-mail
Tutte le misure di sicurezza per l’e-mail (tranne DMARC) risultano inefficaci se un’e-mail dannosa sembra provenire da un dominio legittimo. Il motivo è un difetto nel Simple Mail Transfer Protocol (SMTP). Nell’ottobre 2008, la Network Working Group lo ha ufficialmente classificato come “fondamentalmente insicuro” e ha rilevato che chiunque può imitare un dominio e inviare e-mail fraudolente a nome del titolare del dominio.
Chiunque abbia conoscenze di programmazione di base può acquisire con una rapida ricerca su Google quello che serve a imitare l’identità e-mail di qualcun altro. Il risultato è un’e-mail che sembra legittima e non presenta tipici segnali di phishing. Con 3,4 miliardi di e-mail di phishing al giorno, i sistemi di posta restano il principale obiettivo dei criminali informatici.
SPF (Sender Policy Framework) verifica se un’e-mail è stata inviata da un indirizzo IP autorizzato dal record SPF del dominio mittente. Ciò avviene tramite un record DNS TXT che elenca i mail server autorizzati.
DKIM (DomainKeys Identified Mail) utilizza una firma crittografica, validata tramite una chiave pubblica nel DNS, per confermare che il contenuto dell’e-mail non sia stato modificato e provenga da un dominio autorizzato. Entrambe sono fondamentali per la sicurezza e-mail, ma non impediscono l’imitazione esatta del dominio.
Sebbene questi protocolli mostrino al destinatario da chi provenga l’e-mail, non forniscono istruzioni su come deve comportarsi. I principali provider di posta richiederanno dal 2026 SPF e DKIM per l’invio di comunicazioni massive.
DMARC sta per Domain-based Message Authentication, Reporting e Conformance. È un protocollo di sicurezza e-mail in uscita che consente ai proprietari di dominio di comunicare alle caselle di posta destinarie di rifiutare le e-mail contraffatte. DMARC combina i risultati di SPF e DKIM per determinare se la tua e-mail è legittima e autorizzata.
La policy DMARC (definita dal tag “p=” nel record DNS) indica poi ai server destinatari che cosa fare di queste e-mail. DMARC previene imitazioni esatte del dominio istruendo i server ricevitori a non accettare e-mail non autenticate. Dal 2026 DMARC è divenuto lo standard per le organizzazioni che inviano comunicazioni massive.
La specifica SPF limita le ricerche DNS a 10. Se il tuo record SPF supera questa soglia, la verifica SPF fallisce. I meccanismi contati sono: a, ptr, mx, include, redirect ed exists. In pratica, 10 lookup spesso non bastano: molte aziende usano più strumenti di invio e-mail.
G Suite da solo occupa 4 lookup DNS, e possono aggiungersene 7 per esempio per attività di marketing su HubSpot – e il limite viene già superato. Con oltre 10 lookup SPF, la validazione delle e-mail causa errori casuali. Nel 2026, le aziende scelgono una gestione SPF dinamica invece di provare a mantenere manualmente le configurazioni "appianate".
Mail Transfer Agent Strict Transport Security (MTA-STS) è uno standard che garantisce la crittografia delle e-mail spedite tra due mail server. Esso stabilisce che le e-mail devono essere inviate solo tramite una connessione cifrata con Transport Layer Security (TLS), prevenendo così le intercettazioni da parte dei cybercriminali. Il protocollo SMTP, da solo, non offre sicurezza ed è soggetto agli attacchi “man-in-the-middle”, che permettono di intercettare e modificare la comunicazione.
Inoltre, la crittografia in SMTP è opzionale; ciò significa che le e-mail possono essere trasmesse in chiaro. Senza MTA-STS, un attaccante può intercettare la comunicazione e forzare la trasmissione in chiaro del messaggio. Nel 2026 MTA-STS rappresenta una misura di sicurezza standard per le organizzazioni che trattano comunicazioni sensibili.
Implementando DMARC beneficerai del blocco di tentativi di phishing che sembrano provenire dal tuo dominio, maggiore fiducia da parte dei clienti, riduzione del rischio cyber, e conformità ai requisiti sui mailing massivi di Google, Yahoo e Microsoft.
DMARC contribuisce inoltre alla conformità con PCI DSS 4.0 e aumenta la resilienza organizzativa generale rispetto all’evoluzione delle minacce informatiche. Con una policy impostata su p=reject (applicazione), DMARC blocca le frodi ai fornitori, il furto di account e lo spoofing delle e-mail impedendo a terzi di usare il tuo dominio per phishing o Business Email Compromise (BEC). Secondo il Data Breach Investigations Report di Verizon 2025, oltre il 17–22% di tutti gli episodi di social engineering riguarda attacchi BEC.
Red Sift OnDMARC accelera l’adozione di DMARC grazie alla ricerca automatizzata dei mittenti, suggerimenti concreti, rilevamento delle anomalie e accesso basato sui ruoli per team globali. Nel 2026, le piattaforme leader permettono alle aziende di arrivare alla piena applicazione p=reject in 6–8 settimane invece che nei sei mesi tradizionali.
Uno dei vantaggi più citati di OnDMARC è il tempo medio di 6–8 settimane per raggiungere la piena enforcement. La potente automazione della piattaforma analizza costantemente tutti gli eventi sul tuo dominio e fornisce indicazioni e suggerimenti sugli interventi necessari. Già 24 ore dopo aver aggiunto il tuo record DMARC personalizzato nel DNS, OnDMARC inizia ad analizzare i report DMARC e a presentarli in dashboard chiare.
I maggiori provider e-mail come Microsoft, Google e Yahoo richiedono dal 2024–2025 DMARC per chi effettua invii massivi (ossia le organizzazioni che superano le 5.000 e-mail al giorno), e questi requisiti sono ormai lo standard nel 2026.
Oltre alle richieste dei fornitori di posta, interi settori e normative di autorità stanno sempre più adottando DMARC. Le agenzie federali USA devono utilizzare DMARC, così come i fornitori di servizi di pagamento regolati da DORA. Inoltre, implementare DMARC rafforza la conformità a normative quali PCI DSS 4.0, GDPR e NIS2. Per i team di cybersecurity, sicurezza e-mail e IT, è essenziale allineare la sicurezza delle e-mail della propria organizzazione alle migliori pratiche e ai requisiti internazionali.