Che cos’è l’e-mail spoofing ?

Che cos’è l’e-mail spoofing ?

L’ E-Mail spoofing è una tecnica di attacco informatico che consiste nella creazione di mail con indirizzo del mittente contraffatto. Viene comunemente usata per Email di spam e phishing al fine di ingannare il destinatario circa l’origine del messaggio.

Al contrario di quanto si possa pensare, è molto facile utilizzare questa tecnica d’attacco.

L’utilizzo corretto della sicurezza DNS assicura inoltre una deliverability molto più alta delle email.

Approfondimento: Wikipedia

Quali sono gli strumenti che abbiamo a disposizione per mettere in sicurezza la posta elettronica?

  • RDNS

  • SPF

  • DKIM

  • DMARC

Il nostro servizio di Posta Elettronica IntactMail integra già al suo interno tutte queste misure di sicurezza !

Così sei protetto dall’E-mail spoofing e hai garanzia che le tue mail vengano sempre consegnate.

rDNS (PTR Record)

Che cos’è l’rDNS?

L’RDNS è il Reverse DNS Lookup dell’indirizzo IP con il quale spediamo le mail.

Questa configurazione è fondamentale per la deliverability delle nostre email perché molte liste blacklist sono basate sul controllo dell’rDNS, se questo non viene configurato nel modo corretto le email del vostro server di posta verranno contrassegnate come spam.

Come si configura l’RDNS?

Step 1

Per configurare correttamente l’RDNS bisogna avere già configurato un record A che punta verso il nostro server di posta.

Step 2

Possiamo passare quindi alla configurazione dell’RDNS, se abbiamo il server di posta on premise questa operazione deve essere effettuata obbligatoriamente dal provider della nostra connettività, se invece il server di posta si trova in cloud, è possibile che il CSP (Cloud Service Provider) permetta la configurazione autonomamente.

Ecco come risulta configurato un record A su Cloudflare :

Esempio: ecco come risulta configurato il RDNS su OVH (provider cloud):

Possiamo verificare il record A di mail.intactmail.pro, che punta all’indirizzo IP del server di posta pubblico, facendo l’nslookup:

Step 1

Per configurare correttamente l’RDNS bisogna avere già configurato un record A che punta verso il nostro server di posta.

Ecco come risulta configurato un record A su Cloudflare :

Possiamo verificare il record A di mail.intactmail.pro, che punta all’indirizzo IP del server di posta pubblico, facendo l’nslookup:

Step 2

Possiamo passare quindi alla configurazione dell’RDNS, se abbiamo il server di posta on premise questa operazione deve essere effettuata obbligatoriamente dal provider della nostra connettività, se invece il server di posta si trova in cloud, è possibile che il CSP (Cloud Service Provider) permetta la configurazione autonomamente.

Esempio: ecco come risulta configurato il RDNS su OVH (provider cloud):

Come verificare la corretta configurazione dell’rDNS?

Dopo la configurazione possiamo verificare l’RDNS del server di posta facendo l’nslookup del nostro IP pubblico, come risposta avremo il nome di dominio (mail.intactmail.pro):

Note: Questa configurazione viene effettuata una sola volta per tutto il server di posta, invece la configurazione dell’ SPF, DKIM e DMARC devono essere effettuate per ogni dominio presente sul server di posta.

SPF

Che cos’è l’SPF?

SPF significa Sender Policy Framework e si occupa di identificare quali sono gli indirizzi IP abilitati a spedire per il nostro dominio.

Il record SPF prevede la pubblicazione nei record del DNS di un determinato dominio, una lista degli host autorizzati ad inviare mail. L’autenticazione di una mail viene effettuata confrontando l’indirizzo ricevuto come mittente con la lista degli host autorizzati per quel dominio.

L’SPF è un record DNS di tipo TXT.

Come funziona l’SPF?

Come si configura l’SPF?

L’SPF si configura solo lato DNS, attraverso la generazione di un record TXT:

  • Il nome del record dovrà essere il nome del proprio dominio oppure @ in base al provider DNS
  • Il valore del record sarà generato a partire dalla tabella sottostante ed il seguente esempio:

v=spf1 ip4:<ip> -all

Valore Azione Note
+all Pass Valore opzionale, il controllo spf verrà sempre superato.
-all Fail

Se il controllo SPF fallisce, l’email non sarà consegnata al server di destinazione.

~all SoftFail

Se il controllo SPF fallisce, l’email sarà consegnata al server di destinazione ma verrà contrassegnata come spam.

?all Neutral

Il controllo SPF sarà ignorato.

Esempio

Ecco come risulta configurato l’SPF su Cloudflare:

Nome: bertoldicybersecurity.com

Valore:  v=spf1 include:spf.mtaroutes.com include:servers.mcsv.net -all

 

Note:

Il record SPF è configurabile sia con indirizzi ip (esempio: v=spf1 ip4: -all) che con nomi di dominio (esempio: v=spf1 include: -all)

Se il server di posta per spedire utilizza diversi indirizzi ip (esempio: due linee internet dove una viene utilizzata come backup), oppure se viene utilizzato un altro server di posta che spedisce a nome del vostro dominio (esempio: servizio di hosting presso un provider), è possibile configurare più indirizzi ip nello stesso record SPF, non bisogna creare multipli record SPF.

E’ possibile inoltre configurare il record SPF includendo altri record A, in questo modo se cambieranno gli indirizzi ip non dovremo aggiornare ogni volta i record SPF. (esempio: v=spf1 include:spf.mtaroutes.com -all)

Come verificare la corretta configurazione dell’SPF?

Dopo la configurazione possiamo verificare l’ SPF utilizzando il tool MX Toolbox al seguente indirizzo:

https://mxtoolbox.com/SuperTool.aspx?action=spf%3abertoldicybersecurity.com&run=toolpage#

Note:

La configurazione mostrata volutamente non include tutte i possibili parametri per la configurazione, perché nella maggior parte dei casi non è necessario utilizzarli.

Nel caso fosse necessaria una configurazione avanzata, potrete trovare tutte le informazioni necessarie QUI.

DKIM

Che cos’è la DKIM?

DKIM significa DomainKeys Identified Mail, una chiave pubblica che certifica la mail.

Il record DKIM prevede che header e body del messaggio siano protetti da crittografia. In un dominio protetto con una tecnica di questo tipo vengono inseriti in un record all’interno dei DNS le chiavi pubbliche relative agli host autorizzati ad inviare messaggi. Coloro che ricevono un messaggio possono quindi utilizzare la chiave per verificarne l’autenticità.

La DKIM è un record DNS di tipo TXT.

Come funziona la DKIM?

how dkim works

Come si configura la DKIM?

La DKIM si configura:

  • Lato DNS attraverso la generazione di un record TXT, Il nome del record dovrà essere selettore._domainkey.domainname.com
  • Lato server attraverso la generazione della chiave DKIM. Il valore del record sarà generato dal server di posta (La generazione della chiave DKIM varia in base al server di posta utilizzato)

Esempio: Ecco come risulta configurata la DKIM su Cloudflare :

Nome:

mail._domainkey

Valore: v=DKIM1;p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0Qb+
FDCF10yphcWHps6JzTf48koMSe/jpc67Aa1VkIDhrxFrj+ywlmrE8SsYvQ1ZBONOg70+
2kdHtd8lmKN2IYnxv3+GGJOtdaoi7jXX2UsDyMvR4CZp68JjCcfcg1iGJn2+sMEZXCjlsk
Uff2b/icM8RYluF2r/q0ZKe1tqZhNp38APMxsiwwk02yq0dgD9P0npNphtDVikC/2TUgW
Usqx2eRtRBoGoa4UCyHwwyGgBL1OS6QrX6pp1HGugoQGvPci7u8JoSBhelm+MuE0qU
PcUA1Txj393FSfdUHvS56BwfAowULRpkjuLI6X40npT2IHkCO51H0lurQ490FV7sQIDAQAB

Note:

Alcuni Provider richiedono l’utilizzo della chiave a 1024bit, perché la chiave DKIM a 2048bit risulterebbe troppo lunga, di conseguenza non si riuscirebbe ad inserirla tutta nel campo, generando quindi un errore in fase di validazione.

Per risolvere questo problema bisogna generare un chiave a 1024bit collegandosi al seguente sito:

http://www.port25.com/support/domainkeysdkim-wizard/

Avremo come risultato la creazione di 2 chiavi:

  • Una chiave pubblica (da inserire all’interno del record DNS)
  • Una chiave privata (da sostituire alla chiave generata di default dal server, procedura che varia in base al server di posta utilizzato)

La chiave DKIM sarà la stessa per tutti i domini sullo stesso server di posta, mentre il nome del record DNS varierà in quanto andrà inserito per ogni dominio con il nome di dominio corretto.

Come verificare la corretta configurazione della DKIM?

Dopo la configurazione possiamo verificare la dkim utilizzando il tool MXtoolbox al seguente indirizzo:

https://mxtoolbox.com/SuperTool.aspx?action=dkim%3abertoldicybersecurity.com:mail&run=toolpage#

Note:

Per verificare correttamente la chiave DKIM bisogna inserire il selettore dopo il nome di dominio, nel nostro caso è mail (esempio: domainname.ext:selettore)

DMARC

Che cos’è il DMARC?

Domain-based Message Authentication, Reporting and Conformance, ovvero un meccanismo per identificare e prevenire l’email spoofing, per fare questo utilizza SPF e DKIM e permette ai destinatari l’invio di segnalazioni al fine di monitorare la protezione del dominio da mail fraudolente.

Il DMARC è un record DNS di tipo TXT, si basa sull’ SPF e sulla DKIM.

Questo significa che, prima di tutto, dobbiamo implementare nel nostro record DNS sia la firma DKIM sia il record SPF.

Nota: Il controllo DMARC, nella sua configurazione più restrittiva, viene superato se almeno una delle due seguenti condizioni è verificata: SPF + ASPF oppure DKIM + ADKIM

Come funziona il DMARC?

Come si configura il DMARC?

Il DMARC si configura solo lato DNS, attraverso la generazione di un record TXT:

  • Il nome del record dovrà essere _dmarc
  • Il valore del record sarà generato a partire dalla tabella sottostante
Tag Valore Note
v= DMARC1 Valore obbligatorio, deve essere il primo tag del record DMARC, mentre gli altri tag non sono case sensitive, questo deve essere obbligatoriamente maiuscolo con il valore v=DMARC1.
p= Può assumere uno dei seguenti valori:

none :Nessun avviso specifico sarà dato al server di posta di destinazione

quarantine :Avvisa il server di posta di destinazione di trattare qualsiasi email che fallisce il test DKIM e/o SPF come sospetta ed esegue controlli aggiuntivi

reject :Avvisa il server di posta di destinazione di rifiutare qualsiasi email che fallisce il test DKIM e/o SPF

Valore obbligatorio, deve essere il secondo tag del record DMARC. Definisce le regole con le quali i server di posta di destinazione tratteranno le email.
sp= Stessi valori di p= (reject, quarantine, none) Valore opzionale, se il tag sp non è presente, il tag p coprirà il dominio principale e tutti i suoi sottodomini.
Se il tag sp invece è presente indica le regole da applicare a tutti i sottodomini del dominio principale. In questo caso il dominio principale rimane sempre coperto dal tag p.
adkim= r (relaxed – default) oppure s (strict) Valore opzionale, se il tag viene omesso il valore di default sarà adkim=r.
Specifica la “modilità di allineamento” per la firma DKIM.
aspf= r (relaxed) oppure s (strict) Valore opzionale, se il tag viene omesso il valore di default sarà aspf=r.
Specifica la “modalità di allineamento” per il controllo SPF.
pct= Valore compreso tra 0 e 100 Valore opzionale, definisce la percentuale di email alle quali le regole del DMARC sono applicate.
Se il valore viene omesso il valore di default sarà pct=100, quindi tutte le email saranno sottoposte ai controlli DMARC.
fo= Può assumere uno dei seguenti valori:

0 : Genera il report al server di posta mittente se tutti i controlli falliscono.
Se è utilizzata solo la DKIM come sistema di sicurezza ed il test DKIM fallisce, il report sarà inviato.
Se è utilizzata solo l’SPF come sistema di sicurezza ed il test SPF fallisce, il report sarà inviato.
Se sono utilizzati sia DKIM che SPF, e l’SPF fallisce ma il test DKIM passa il report non sarà inviato

1 : Genera il report al server di posta mittente se almeno 1 controllo fallisce.
Se è utilizzata solo la DKIM come sistema di sicurezza ed il test DKIM fallisce, il report sarà inviato.
Se è utilizzata solo l’SPF come sistema di sicurezza ed il test SPF fallisce, il report sarà inviato.
Se sono utilizzati sia DKIM che SPF, e l’SPF fallisce ma il test DKIM passa il report sarà inviato

d : Genera il report se il test DKIM fallisce

s : Genera il report se il test SPF fallisce

Valore opzionale, se il valore viene omesso il valore di default sarà fo=0.
Definisce le regole per quando deve essere generato il report DMARC.
rf= Può assumere uno dei seguenti valori:

afrf : Il formato del messaggio per il report degli errori (Abuse Report Format) è definito dall’RFC 5965

iodef : Il formato del messaggio per il report degli errori (Incident Object Description Exchange Format) è definito dall’RFC 5070

Valore opzionale, se il valore viene omesso il valore di default sarà rf=afrf.
Definisce il formato del report DMARC.
ri= Definisce l’intervallo di tempo dei report in secondi Valore opzionale, se il valore viene omesso il valore di default sarà ri=86400, cioè 1 giorno.
Definisce l’intervallo di tempo in secondi tra l’invio di un report DMARC e l’altro.
rua= Definisce l’elenco delle email alle quali viene inviato il report aggregato Valore opzionale, se il valore non è presente i report aggregati non saranno inviati.
L’email deve avere il formato mailto:[email protected]
ruf= Definisce l’elenco delle email alle quali viene inviato il report forense Valore opzionale, se il valore non è presente i report forensi non saranno inviati.
L’email deve avere il formato mailto:[email protected]
.

Esempio

Ecco come risulta configurato il DMARC su Cloudflare:

Nome: _dmarc

Valore: v=DMARC1; p=reject; sp=reject; adkim=r; aspf=r; pct=100; fo=1; rf=afrf; ri=86400; rua=mailto:[email protected]; ruf=mailto:[email protected]

Come verificare la corretta configurazione del DMARC?

Dopo la configurazione possiamo verificare il DMARC utilizzando il tool MXtoolbox al seguente indirizzo:

https://mxtoolbox.com/SuperTool.aspx?action=dmarc%3abertoldicybersecurity.com&run=toolpage#

TEST FINALE

Possiamo verificare la deliverability della posta elettronica al seguente indirizzo:

https://www.mail-tester.com/

Note: Se tutto è stato configurato correttamente otterremo un punteggio di 10 su 10

Ti è piaciuto il nostro articolo ?

Ti è piaciuto il nostro articolo ?

Scopri anche :

Perché dobbiamo sapere quale Cloud stiamo comprando e per cosa lo stiamo comprando.. Leggi tutto ->