1 - controllo spf

Vogliamo essere sicuri che l’indirizzo email non sia stato falsificato/spoofed*.

• = far sembrare che il messaggio provenga da un mittente diverso da quello effettivo

L’autenticazione SPF ci aiuta ad identificare se il messaggio è stato spedito attraverso un server autorizzato.
Il dominio del mittente (envelope sender) contiene queste informazioni, che sono al sicuro, all’esterno della mail.

Solo se il messaggio NON è stato autenticato correttamente,
il simbolo !! (attenzione) viene aggiunto all’oggetto,
una delle seguenti note esplicative è inserita nella testata messaggio, riga “X-RealSender”:

:: spf-none ::       se il dominio del mittente non contiene informazioni per autenticare la mail  
:: spf-softfail ::   se il server smtp non è elencato tra quelli autorizzati ma ciò va considerato come un "softfail"  
:: spf-fail ::       se il server smtp non è elencato tra quelli autorizzati e la mail deve essere rifiutata o scartata

A volte le informazioni registrate a livello di dominio non risultano corrette/comprensibili:

:: spf-permerror ::  se si è verificato un errore permanente (ad esempio record SPF formattato in modo errato)

Il controllo SPF viene effettuato rispetto all’indirizzo email “envelope sender”.
In questo caso chi riceve il messaggio potrebbe vedere un altro indirizzo “Da:” (from) e viene riportato questo avviso:

:: spf-diff ::       se gli indirizzi "envelope sender" e "from" sono diversi

2 - controllo dkim

DKIM (DomainKeys Identified Mail) consente ai mittenti di dimostrare che l’email è stata effettivamente inviata da loro e che non è stata modificata dopo l’invio.
Ciò si ottiene apponendo una firma digitale (sigillo), collegata ad un nome di dominio, a ciascun messaggio email spedito.

Solo se il messaggio NON è stato firmato correttamente,
il simbolo !! (attenzione) viene aggiunto all’oggetto,
una delle seguenti note esplicative è inserita nella testata messaggio, riga “X-RealSender”:

:: dkim-none ::      non sono state trovate intestazioni DKIM-Signature (valide o non valide)
:: dkim-fail ::      è stata trovata un'intestazione DKIM-Signature valida, ma la firma non contiene un valore corretto per il messaggio

A volte non è possibile eseguire il controllo:

:: dkim-invalid ::   c'è un problema nella firma stessa o nel record della chiave pubblica. La firma non può essere verificata
:: dkim-temperror :: è stato rilevato un errore che è probabilmente di natura transitoria, come l'incapacità temporanea di recuperare la chiave pubblica

Quando il messaggio è stato firmato utilizzando un dominio diverso, viene aggiunto un avviso “diff”.
Questo avviso NON verrà visualizzato se il mittente supera il controllo SPF:

:: dkim-diff ::      il messaggio NON è stato firmato dal dominio del mittente

3 - allineamento dmarc

DMARC significa: autenticazione, reportistica e conformità dei messaggi basata sul dominio.
È uno standard di autenticazione delle email, sviluppato per combattere la posta elettronica falsificata.

Nel capitolo “3.1. Identifier Alignment” dice:

   DMARC autentica l'utilizzo del dominio RFC5322.From richiedendo
   che corrisponda (è allineato con) un identificatore autenticato.
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

Che significa semplicemente:

   quando un mittente autentica la propria email utilizzando SPF e/o DKIM,
   almeno uno dei domini deve essere allineato con il dominio From del mittente

Questo approccio è ampiamente accettato e generalmente considerato
una buona pratica per identificare domini mittente attendibili.

• Per l’autenticazione SPF il dominio di base (root) dell’indirizzo Mail From deve corrispondere al dominio di base (root) dell’indirizzo From del mittente.
  L’allineamento “relaxed” consente di utilizzare qualsiasi sottodominio e di soddisfare comunque i requisiti di allineamento del dominio.

• Per l’autenticazione DKIM il dominio di base (root) utilizzato per la firma dkim deve corrispondere al dominio From del mittente.
  L’allineamento “relaxed” consente di utilizzare qualsiasi sottodominio e di soddisfare comunque i requisiti di allineamento del dominio.

1. entrambe le regole sono rispettate
   il dominio del mittente è completamente attendibile,
   il messaggio arriva a destinazione invariato

2. viene soddisfatta solo una delle due regole
   il simbolo ~ (tilde) viene aggiunto all’oggetto,
   una delle seguenti note esplicative è inserita nella testata messaggio

~ ... oggetto ...
X-RealSender: ~ | spf=pass (domain NOT aligned) | dkim=pass | ~

~ ... oggetto ...
X-RealSender: ~ | spf=pass | dkim=pass (domain NOT aligned) | ~

1. nessun allineamento
   gli avvisi “:: spf-diff ::” e “:: dkim-diff ::”
   vengono visualizzati nell’oggetto

4 - doppio spam tag

DMARC viene usato da sempre più aziende per proteggere i loro mittenti dallo spoofing.
Il suo utilizzo richiede la corretta autenticazione con SPF o DKIM e l’allineamento dei domini From / Mail-From.

Per maggiori informazioni:
<dmarc> agisce sulle email fasulle

I messaggi provenienti da mittenti con il record _dmarc,
se NON sono autenticati, vengono segnalati con due tag [ SPAM ] nell’oggetto:

[ SPAM ] ... message subject ... [ SPAM ]

I messaggi senza il record _dmarc, che falliscono sia l’autenticazione SPF che DKIM,
vengono segnalati con un tag [suspicious] nell’oggetto:

[suspicious] ... message subject ... 

filtro antispam lato client

L’app “spamstop” di RealSender è un’efficiente soluzione anti-spam, se associata ad un filtro
che divide i messaggi in base ai mittenti che NON sono nella vostra rubrica.

La maggior parte dei client email offre questa funzione.
Qui sotto riportiamo uno screenshot dello strumento “Filtri messaggi” in Thunderbird.

solo mittenti autorizzati

È utile quando si desidera ricevere messaggi da un unico mittente,
e tutti quelli che non superano i controlli, vanno eliminati.

In questo caso occorre essere sicuri che l’indirizzo email del mittente non sia stato falsificato.
Questo controllo si esegue mettendo insieme l’autenticazione SPF e DKIM.

SPF convalida l’indirizzo del mittente e la sua relazione con il server che ha inviato il messaggio.
DKIM garantisce che i messaggi email (compresi gli allegati) non vengano modificati dopo che sono stati “firmati”.

In teoria è tutto qui, in pratica sia SPF che DKIM possono fare riferimento ad un dominio diverso rispetto all’indirizzo email del mittente.

Noi controlliamo che l’autenticazione SPF e la firma DKIM siano associate al dominio del mittente.
Così nessun altro può autenticare la mail. Questo ne garantisce la provenienza.

elimina gli allegati pericolosi

L’opzione “elimina gli allegati pericolosi” rimuove tutti gli allegati potenzialmente dannosi
tranne alcune estensioni sicure come pdf, txt, gif, jpg e png.

Il destinatario riceve il messaggio senza l’allegato.
Un avviso viene inserito all’inizio del contenuto, come questo:

ATTENZIONE: Questa email ha violato la politica di sicurezza della vostra azienda
ed e' stata modificata. Per ulteriori informazioni, contattate l'Amministratore IT.

L'allegato "esempio.zip" e' stato rimosso perche' potrebbe essere pericoloso.
Se vi occorre questo documento, contattate il mittente.

Su Internet c’è un caso di studio interessante, che termina con questa frase:
“Per noi, il filtro degli allegati ha avuto molto successo”
– web.mit.edu/net-security/Camp/2004/presentations/reillyb-mit2004.ppt (presentazione PowerPoint - in inglese)

filtro antispam lato server

Non tutti i client di posta elettronica forniscono sistemi sofisticati per filtrare le email.
In questi casi è possibile agire a monte.

La funzione “Mittenti autorizzati” consente di ricevere messaggi
solo dai mittenti che avete precedentemente autorizzato:

Tutti i messaggi corretti arriveranno come al solito nella vostra casella email.
Tutti i messaggi di spam andranno in una diversa casella di posta.

Nessuna email andrà persa.
Potreste leggere la casella dei messaggi scartati una volta al giorno.
Risparmierete così tanto tempo prezioso.