Come identificare e prevenire lo spoofing email sul tuo dominio

Lo spoofing delle email rimane uno dei vettori di attacco più efficaci e pericolosi a cui le organizzazioni sono esposte oggi. Nel 2024, gli attacchi di Business Email Compromise sono costati alle organizzazioni solo negli Stati Uniti 2,7 miliardi di dollari [1], con oltre il 57% degli attacchi di phishing inviati da account email compromessi [2]. Per i professionisti IT e della sicurezza, proteggere il tuo dominio dagli attacchi di spoofing non è mai stato così urgente.

Ecco come identificare quando degli attacker si spacciano per il tuo dominio e implementare misure di prevenzione robuste che funzionano davvero.

Obbligatorio:

• Accesso amministrativo ai record DNS del tuo dominio
• Accesso alla tua infrastruttura email (mail server, servizi email di terze parti)
• Conoscenza di base della gestione dei record DNS

Utile:

• Strumenti di monitoraggio della sicurezza email o una piattaforma di reportistica DMARC
• Elenco di tutti i servizi di invio email autorizzati per il tuo dominio
• Accesso alle intestazioni (header) delle email dalla tua piattaforma di posta

Tempo richiesto: La configurazione iniziale richiede alcune ore. Il monitoraggio continuativo richiede attenzione settimanale regolare. Livello Competenza: Intermedio (è richiesta una conoscenza base di DNS)

Questa guida ti accompagna attraverso un approccio sistematico per identificare i tentativi di spoofing diretti al tuo dominio e implementare protocolli di autenticazione email che bloccano mittenti non autorizzati. Ci concentreremo su passaggi pratici e concreti che garantiscono una protezione misurabile.

Il processo in 5 passaggi:

1. Valuta lo stato attuale dell’autenticazione email del tuo dominio
2. Individua tentativi di spoofing e mittenti non autorizzati
3. Configura l’autenticazione SPF e DKIM
4. Implementa DMARC con un adeguato monitoraggio
5. Raggiungi la fase di enforcement e mantieni una protezione continua

Obiettivo atteso: Visibilità completa su chi invia email con il tuo dominio, con la capacità di bloccare mittenti non autorizzati e prevenire attacchi di spoofing.

Cosa stai facendo: Verifica se il tuo dominio dispone già di protocolli di autenticazione email e individua eventuali lacune nella configurazione attuale.

Come farlo:

1. Utilizza uno strumento online di verifica DMARC per scansionare i record DNS del tuo dominio alla ricerca di voci SPF, DKIM e DMARC
2. Documenta quali protocolli sono già configurati e le relative impostazioni di policy
3. Identifica tutti i servizi legittimi di invio email utilizzati dalla tua organizzazione (piattaforme di marketing, CRM, servizi di notifica, ecc.)
4. Verifica che ogni servizio mittente sia propriamente autenticato con record SPF e DKIM
5. Esamina la reputazione attuale del tuo dominio usando strumenti di monitoraggio blacklist

Suggerimento pro: Molte organizzazioni durante questa fase scoprono la “shadow IT”: servizi di invio email adottati dai team senza che il reparto sicurezza ne sia a conoscenza. Questa è proprio la visibilità di cui hai bisogno prima di implementare controlli più rigidi.

Come appare il successo: Hai un inventario completo di tutte le fonti di invio autorizzate e comprendi quali protocolli di autenticazione sono attualmente implementati (se presenti).

Risoluzione dei problemi: Se non riesci a identificare tutti i servizi di invio email, verifica con i responsabili di reparto quali strumenti di terze parti utilizzano. Marketing, Risorse Umane e il team di customer success spesso utilizzano piattaforme dedicate che inviano email per conto del tuo dominio.

Cosa stai facendo: Stai imparando a individuare quando degli attacker si spacciano per il tuo dominio e a riconoscere i segnali di allarme degli attacchi di spoofing.

Come farlo:

1. Analizza le intestazioni (header) delle email sospette che affermano di provenire dal tuo dominio. Controlla corrispondenza tra campi “Return-Path” e “From”
2. Controlla le righe “Received” nelle intestazioni per vedere se gli IP di origine corrispondono ai tuoi server di posta autorizzati
3. Cerca fallimenti nell’autenticazione SPF, DKIM o DMARC nelle intestazioni email (di solito vengono mostrati come risultati "fail" o "softfail")
4. Monitora segnalazioni da parte di clienti o partner che ricevono email sospette apparentemente inviate dal tuo dominio
5. Rivedi eventuali report DMARC esistenti (se hai già configurato il monitoraggio) per individuare tentativi di autenticazione falliti

Suggerimento pro: Lo spoofing via email ha spesso picchi durante la stagione fiscale, periodi di shopping natalizio o durante importanti annunci aziendali, quando gli attacker sanno che le persone aspettano email legittime dal brand. Monitora con particolare attenzione in questi periodi ad alto rischio.

Come appare il successo: Sei in grado di identificare con sicurezza se un’email proviene davvero dal tuo dominio o è un messaggio falsificato, e conosci il volume e le fonti dei tentativi di invio non autorizzati.

Risoluzione dei problemi: Se non ricevi ancora report DMARC, non disporrai di dati storici sui tentativi di spoofing. Inizierai a raccogliere questi dati una volta che DMARC sarà configurato nei passaggi successivi.

Cosa stai facendo: Stai configurando i protocolli di autenticazione email fondamentali che verificano le fonti legittime di invio email.

Come farlo:

1. Crea o aggiorna il tuo record SPF in DNS includendo tutti gli IP e i domini autorizzati all’invio (formato: v=spf1 include:_spf.example.com ~all)
2. Assicurati che il tuo record SPF non superi il limite di 10 lookup DNS (questo è un errore comune che compromette la deliverability), oppure rivolgiti a un fornitore DMARC che può gestire questo limite per te
3. Configura la firma DKIM sui tuoi server di posta e servizi di invio email (ogni servizio fornisce in genere istruzioni specifiche per DKIM)
4. Aggiungi le chiavi pubbliche DKIM ai tuoi record DNS come voci TXT (formato: selector._domainkey.tuodominio.com)
5. Testa che SPF e DKIM funzionino correttamente inviando email di prova e controllando i risultati di autenticazione nelle intestazioni

Suggerimento pro: I record SPF sono sorprendentemente facili da compromettere. Le organizzazioni spesso superano il limite di 10 lookup DNS mano a mano che aggiungono nuovi servizi di invio. La funzione Dynamic SPF di Red Sift OnDMARC risolve questo problema consolidando tutti i servizi autorizzati in un unico include dinamico che non supera mai il limite.

Come appare il successo: Le email di prova da tutte le tue fonti di invio autorizzate superano i controlli di autenticazione SPF e DKIM. Puoi verificarlo nelle intestazioni email o utilizzando strumenti di test dell’autenticazione.

Risoluzione dei problemi: Se le email legittime iniziano a fallire i controlli SPF dopo le modifiche, probabilmente c’è un errore di sintassi nel tuo record SPF o hai superato il limite di lookup. Usa uno strumento di validazione SPF per individuare il problema. Per infrastrutture email complesse con molti servizi di invio, valuta l’utilizzo di una soluzione automatizzata di gestione SPF.

Cosa stai facendo: Stai implementando DMARC per dire ai server riceventi come gestire le email che falliscono l’autenticazione e per raccogliere informazioni preziose sul traffico email.

Come farlo:

1. Crea un record DMARC su DNS partendo da una policy di solo monitoraggio (formato: v=DMARC1; p=none; rua=mailto:dmarc-reports@tuodominio.com)
2. Configura un indirizzo email dedicato o una piattaforma di reportistica per ricevere i report aggregati DMARC (questi file XML mostrano i risultati di autenticazione per tutte le email inviate dal tuo dominio)
3. Monitora i report DMARC in arrivo durante un periodo osservazionale iniziale per individuare fonti di invio legittime sfuggite al primo audit
4. Verifica che tutti i mittenti autorizzati superino regolarmente l’autenticazione SPF o DKIM nei report
5. Prepara la transizione graduale della policy DMARC dal monitoraggio (p=none) alla quarantena (p=quarantine) ed eventualmente al rifiuto (p=reject)

Suggerimento pro: I report DMARC sono notoriamente difficili da interpretare. Arrivano come file XML quasi illeggibili senza strumenti specializzati. Red Sift OnDMARC li elabora automaticamente e li trasforma in informazioni utilizzabili, mostrando esattamente quali fonti stanno passando o fallendo l’autenticazione, con indicazioni pratiche su come risolvere i problemi.

Come appare il successo: Ricevi regolarmente report DMARC aggregati, riesci a identificare le fonti di invio nei report e hai confermato che tutte le email legittime superano l’autenticazione con regolarità.

Risoluzione dei problemi: Se non ricevi i report DMARC, verifica che l’indirizzo email RUA sia correttamente inserito nel record DMARC e che la mailbox non rifiuti i report in entrata. Alcune organizzazioni preferiscono usare servizi dedicati di reportistica DMARC invece di gestire i report via email.

L’implementazione manuale di DMARC può richiedere mesi per raggiungere la piena enforcement, e spesso ci si blocca nella modalità di sola osservazione a causa della complessità di gestire l’autenticazione su molteplici fonti di invio.

Red Sift OnDMARC aiuta le organizzazioni a raggiungere più rapidamente la piena enforcement DMARC rispetto all’implementazione manuale. Ecco cosa fa la differenza:

• Servizi Dinamici: Gestisci SPF, DKIM, DMARC e record MTA-STS direttamente dall’interfaccia di OnDMARC senza toccare i DNS, eliminando errori e ritardi nei settaggi
• Analisi intelligente dei report: Trasforma complessi report DMARC XML in insight chiari e azionabili che mostrano quali fonti di invio necessitano attenzione
• Rimedi guidati: Fornisce istruzioni specifiche per correggere i fallimenti di autenticazione, eliminando le congetture dall’implementazione DMARC
• DNS Guardian: Monitora continuamente le configurazioni errate dei sottodomini e previene attacchi di "SubdoMailing" che aggirano DMARC
• Radar AI Assistant: Trova e risolve problemi di sicurezza email fino a 10 volte più velocemente grazie all’analisi AI

Quando valutare Red Sift OnDMARC:

1. La tua organizzazione utilizza diversi servizi di invio email che richiedono coordinamento dell’autenticazione
2. Hai bisogno di raggiungere rapidamente la enforcement DMARC per requisiti normativi o di sicurezza
3. Il tuo team non ha competenze specialistiche per una gestione DMARC complessa
4. Riscontri problemi legati al limite di lookup SPF che impattano la deliverability delle email
5. Desideri un monitoraggio continuo e notifiche automatiche sulle minacce alla sicurezza email

Cosa stai facendo: Stai rafforzando progressivamente la policy DMARC fino ad arrivare al blocco attivo delle email falsificate, completando così la protezione del tuo dominio.

Come farlo:

1. Dopo aver confermato che tutte le email legittime superano costantemente l’autenticazione per un periodo osservazionale sufficiente, aggiorna la policy DMARC a quarantine (p=quarantine)
2. Monitora attentamente i report DMARC nella fase di quarantena per individuare eventuali mittenti legittimi che possono ancora fallire l’autenticazione in modo sporadico
3. Risolvi tutte le anomalie di autenticazione per i mittenti legittimi prima di proseguire
4. Quando raggiungi il 100% di successo per i mittenti autorizzati, aggiorna la policy a reject (p=reject) per la enforcement completa
5. Imposta un monitoraggio automatico e notifiche per individuare rapidamente nuovi problemi di autenticazione

Suggerimento pro: Non avere fretta di passare all'enforcement. Le organizzazioni che saltano la fase di monitoraggio scoprono troppo tardi di aver bloccato email aziendali importanti. Tuttavia, non restare per sempre in monitoring: passa all’enforcement quando hai validato tutte le fonti di invio legittime.

Come appare il successo: La tua policy DMARC è impostata a reject (p=reject), le email non autorizzate che usano il tuo dominio vengono bloccate dai mail server destinatari e tutte le email aziendali legittime continuano a essere recapitate con successo. Ricevi regolarmente report che mostrano il rifiuto delle email falsificate.

Risoluzione dei problemi: Se dopo il passaggio all’enforcement alcune email legittime tornano indietro, torna temporaneamente su quarantine mentre indaghi. Controlla i report DMARC per individuare la fonte di invio che fallisce l’autenticazione e collabora con il provider per sistemare la configurazione SPF o DKIM.

• Perché accade: Le organizzazioni vengono a conoscenza degli obblighi DMARC e aggiungono subito un record DMARC senza verificare che i protocolli di autenticazione di base funzionino
• Come evitarlo: Configura e verifica sempre prima SPF e DKIM, poi aggiungi DMARC
• Se accade: La tua policy DMARC non proteggerà niente perché tutte le email falliranno l’autenticazione. Torna indietro e configura prima SPF e DKIM correttamente

• Perché accade: I team sicurezza vogliono protezione immediata e saltano il monitoraggio e la quarantena
• Come evitarlo: Segui l’approccio progressivo per la enforcement (none → quarantine → reject), monitorando a sufficienza ad ogni fase
• Se accade: Email aziendali legittime potrebbero essere bloccate. Torna subito alla policy di monitoraggio e verifica tutte le fonti di invio

• Perché accade: Si continuano ad aggiungere “include” ai record SPF senza considerare i lookup DNS
• Come evitarlo: Usa uno strumento di validazione SPF per controllare il numero di lookup prima di pubblicare, oppure utilizza una soluzione Dynamic SPF
• Se accade: La deliverability email si interrompe del tutto. Dovrai consolidare il record SPF, eseguire lo “SPF flattening” o adottare una soluzione SPF gestita

• Perché accade: I team considerano DMARC come “configura e dimentica” dopo aver raggiunto la enforcement
• Come evitarlo: Imposta monitoraggio e notifiche automatiche per i fallimenti di autenticazione
• Se accade: Non ti accorgerai dell’arrivo di nuovi servizi di invio senza autenticazione, rischiando di interrompere email legittime

Indicatori chiave:

• Il 100% delle email legittime dal tuo dominio supera i controlli SPF o DKIM
• La tua policy DMARC è impostata su reject (p=reject), bloccando attivamente le email falsificate
• I report DMARC mostrano tentativi di invio non autorizzato notevolmente ridotti o assenti
• Nessun problema di deliverability con l’email aziendale legittima
• Miglioramento della reputazione del dominio e delle percentuali di recapito in inbox

Una volta raggiunta la enforcement DMARC, valuta queste ulteriori protezioni:

Protezione dei sottodomini: Molti attacker passano ai sottodomini quando lo spoofing del dominio principale viene bloccato. Configura record DMARC per i sottodomini chiave e utilizzando strumenti di monitoraggio DNS per individuare record DNS errati o orfani.

Implementazione BIMI: Una volta sull’enforcement p=reject, implementa BIMI (Brand Indicators for Message Identification) per mostrare il tuo logo aziendale verificato nei client email supportati. Le ricerche mostrano che BIMI può aumentare l’open rate aiutando le email a distinguersi nella casella e creando fiducia nel destinatario tramite la verifica visiva del brand.

Implementazione MTA-STS: Aggiungi Mail Transfer Agent Strict Transport Security per imporre l’invio email criptato e prevenire attacchi “man-in-the-middle” sul traffico email.

Monitoraggio delle minacce continuo: Usa piattaforme di sicurezza email che forniscono alert in tempo reale per tentativi di spoofing di dominio, registrazioni di domini simili e anomalie di autenticazione.

Azioni immediate:

• Esegui un controllo DMARC sul tuo dominio per sapere lo stato attuale dell’autenticazione
• Inizia a catalogare tutti i servizi di invio email usati in azienda
• Prepara un piano per implementare SPF, DKIM e DMARC seguendo i passaggi di questa guida

Manutenzione continuativa:

• Controlla settimanalmente i report DMARC per monitorare lo stato dell’autenticazione
• Aggiorna i record SPF e DKIM ogni volta che aggiungi nuovi servizi di invio
• Monitora ogni mese reputazione del dominio e metriche deliverability
• Esegui audit periodici per assicurare che l’autenticazione rimanga correttamente configurata

Lo spoofing email rappresenta una minaccia critica per la sicurezza e la reputazione della tua organizzazione. La buona notizia è che, con i protocolli di autenticazione email corretti, puoi bloccare efficacemente i mittenti non autorizzati e proteggere il tuo dominio dagli attacchi di impersonificazione. Sia che tu scelga l’implementazione manuale o una piattaforma automatizzata come Red Sift OnDMARC, il passo più importante è iniziare oggi stesso.

[1] Federal Bureau of Investigation. "Internet Crime Report 2024: Business Email Compromise Losses." DeepStrike. https://deepstrike.io/blog/Phishing-Statistics-2025

[2] KnowBe4. "Phishing Threat Trends Report 2025: Compromised Account Statistics." KnowBe4 Research, marzo 2025. https://www.knowbe4.com/hubfs/Phishing-Threat-Trends-2025_Report.pdf

[3] Fanelli, Bill P. "DMARC: The Frontline Defense Against Phishing and Domain Spoofing." Homeland Security Today, ottobre 2025. https://www.hstoday.us/subject-matter-areas/cybersecurity/dmarc-the-frontline-defense-against-phishing-and-domain-spoofing/