DMARC

Che cos’è il DMARC Record?

Il Record DMARC, cos’è esattamente? Si tratta di un protocollo di autenticazione email che fornisce una protezione a livello di dominio del canale email. L'autenticazione DMARC rileva e previene lo spoofing del mittente, tecnica utilizzata nell'email phishing, nelle truffe BEC (Business Email Compromise) e in altri tipi di attacchi basati sulle email. Gli standard SPF e DKIM costituiscono la prima ed unica tecnologia utilizzata a livello globale per garantire che il mittente che vediamo sul campo “Da:” di un'email provenga da un dominio affidabile. Il titolare del dominio può pubblicare un record DMARC nel DNS (Domain Name System) e creare poi una regola per informare i destinatari, su cosa fare in caso le email che ricevono falliscano l'autenticazione.

Esempi

  • Domain spoofing: Un attaccante falsifica il dominio del mittente per spacciarsi per un'azienda conosciuta.
  • Email spoofing: Termine utilizzato per indicare le tecniche di falsificazione delle email.
  • Business email compromise (BEC): Un'email che sembra provenire da un dirigente interno all'azienda che ordina di effettuare un bonifico o richiede dati riservati.
  • Impostor email: Un'email falsificata inviata da un truffatore che tenta di spacciarsi per qualcun'altro.
  • Email phishing: Un'email che tenta di spingere le vittime a installare malware o divulgare le proprie credenziali. Spesso il mittente si spaccia per un brand conosciuto, così da apparire credibile.
  • Consumer phishing: Email contraffatta inviata ai clienti di un'azienda, che sembrano provenire dall'azienda stessa, al fine di rubare le credenziali dei clienti.
  • Partner spoofing: Falsa email inviata a rivenditori e partner commerciali, con cui si tenta di modificare i dettagli per un pagamento, al fine di dirottare bonifici su conti in mano ai truffatori.
  • Whaling email scam: Email truffa inviata ad un alto dirigente all'interno di un'azienda, al fine di sottrarre fondi aziendali.

Standards

  • DMARC (Domain-based Message Authentication Reporting and Conformance): Un sistema di verifica delle email che rileva e previene l'email spoofing. Aiuta a combattere alcune delle tecniche utilizzate nel phishing e nello spam, come le email con mittente falsificato che appaiono come se provenissero da organizzazioni legittime.
  • SPF (Sender Policy Framework): Un protocollo di verifica delle email progettato per rilevare e bloccare email fraudolente. Consente ai server che ricevono la posta, di verificare che il messaggio che sembra provenire da un determinato dominio, provenga effettivamente da un indirizzo IP autorizzato dagli amministratori di tale dominio.
  • DKIM (DomainKeys Identified Mail): Un metodo di autenticazione che permette di rilevare l'email spoofing. Consente al destinatario di verificare che un'email che sembra provenire da un certo dominio, sia autorizzata dal proprietario di tale dominio.
  • Binding Operational Directive 18-01: In territorio statunitense, il dipartimento per la sicurezza interna ha emanato tale direttiva, a cui devono attenersi le agenzie e gli enti governativi, provvedendo ad innalzare la sicurezza della posta elettronica e dei servizi web utilizzati per interagire con i cittadini. Nello specifico, esse devono implementare gli standard DMARC, SPF e STARTTLS in maniera efficiente.

L'SPF e il DKIM

Il Sender Policy Framework, meglio noto con la sigla SPF, è un protocollo di verifica delle email che consente a un’organizzazione di specificare chi è autorizzato a inviare email dal proprio dominio, semplicemente specificando i mittenti nel record SPF pubblicato sul DNS (Domain Name System). In questo record vengono specificati gli indirizzi IP dei mittenti autorizzati a spedire email a nome dell'azienda, compresi gli indirizzi IP dei servizi di terze parti, su cui eventualmente l'azienda si appoggia. Pubblicare e verificare i record SPF è un modo affidabile per fermare il phishing e altri attacchi basati sulle email che falsificano il dominio e l'indirizzo email del destinatario mostrato sul campo “Da:”.

Il DKIM (Domain Keys Identified Mail) è un protocollo di autenticazione email che permette al destinatario di verificare che un'email che sembra provenire da un certo dominio, sia realmente autorizzata dal proprietario di tale dominio. Consente alle organizzazioni di garantire la provenienza delle proprie email, apponendo una firma digitale ad esse. La convalida viene effettuata tramite autenticazione cifrata utilizzando la chiave pubblica dell'organizzazione, specificata nel DNS. La firma garantisce che il contenuto delle email non è stato alterato dopo che il messaggio è stato firmato.

Come Testare e Verificare il DMARC

Affinché un messaggio superi l'autenticazione DMARC, deve prima passare autenticazione e allineamento SPF e/o passare autenticazione e allineamento DKIM. Se un messaggio non supera il DMARC, i mittenti possono specificare ai destinatari che cosa fare con tali messaggi, attraverso una DMARC policy. Esistono tre tipi di policy che il proprietario di un dominio può impostare: none (il messaggio viene consegnato al destinatario e viene semplicemente inviato un rapporto DMARC al titolare del dominio); quarantine (Il messaggio viene inviato sulla cartella di Spam del destinatario); reject (il messaggio non viene nemmeno recapitato al destinatario).

Attivare una policy DMARC come “none” è un buon primo passo. In questo modo il proprietario del dominio può garantire che tutta la posta legittima venga autenticata correttamente. Il titolare del dominio riceve i rapporti DMARC per aiutarlo a verificare che le email legittime vengano riconosciute e superino l'autenticazione. Una volta identificati tutti i mittenti autorizzati, e dopo aver risolto eventuali problemi di autenticazione, si può passare ad una policy di tipo “reject”, bloccando le email di phishing, gli attacchi BEC e altri attacchi via email. Come destinatari delle email, le aziende possono assicurarsi che i propri gateway per le email applichino le policy del DMARC stabilite dall'amministratore del dominio. Questo proteggerà i dipendenti di un'azienda dalle minacce derivanti dalle email in arrivo.

Schema di Funzionamento della DMARC Authentication

 

L'autenticazione SPF inizia con l'identificare tutti gli indirizzi IP autorizzati a inviare email da un certo dominio, e pubblica poi questa lista nel DNS. Prima di recapitare un messaggio, i provider email verificano il record SPF, esaminando il dominio incluso nell'indirizzo “envelope from” nell'header dell'email. Se l'email proviene da un indirizzo IP non presente nel record SPF di tale dominio, il messaggio non supera l'autenticazione SPF.

Per l'autenticazione DKIM, il mittente prima identifica quali campi includere nella firma DKIM. Questi campi possono includere l'indirizzo “from”, il contenuto del messaggio, l'oggetto e altro. Tali campi devono rimanere invariati durante

l'invio, altrimenti il messaggio non supererà l'autenticazione DKIM. Successivamente, il client di posta del mittente eseguirà l'hash dei campi di testo inclusi nella firma DKIM. Una volta generata la stringa di hash, viene cifrata con una chiave privata, a cui soltanto il mittente ha accesso. Una volta che l'email viene spedita, sta al gateway di posta o al provider di posta del destinatario, convalidare la firma DKIM. Ciò viene fatto trovando una chiave pubblica che corrisponda esattamente alla chiave privata. Così la firma DKIM viene decifrata, restituendo la stringa hash originale.

Strumenti e Best Practice

  • Dato il volume elevato di rapporti DMARC che un mittente può ricevere, e data la poca chiarezza dei rapporti stessi, implementare correttamente l'autenticazione DMARC può risultare particolarmente complicato.
  • Gli strumenti di parsing del DMARC possono aiutare a comprendere le informazioni contenute nei rapporti DMARC.
  • Informazioni aggiuntive oltre a ciò che viene riportato dai rapporti DMARC, aiutano le organizzazioni a identificare i mittenti più velocemente e in maniera più accurata. Questo aiuta a velocizzare il processo di implementazione dell'autenticazione DMARC e riduce il rischio di bloccare email legittime.
  • Servizi di consulenza professionali con esperienza riguardo al DMARC possono aiutare le aziende ad implementare correttamente questo protocollo. Gli esperti possono aiutare a identificare tutti i mittenti autorizzati, risolvere eventuali problemi di autenticazione e possono anche lavorare con gli email service provider per essere sicuri che effettuino correttamente l'autenticazione.
  • Le organizzazioni possono creare un record DMARC in pochi minuti e iniziare a farsi un'idea di ciò che accade, analizzando i rapporti DMARC, semplicemente impostando una policy di tipo “none”.
  • Identificando correttamente tutti i mittenti autorizzati - compresi i service provider di terze parti - e risolvendo ogni eventuale problema di autenticazione, le organizzazioni dovrebbero essere certe di aver raggiunto un alto livello di confidenza, prima di passare ad una policy DMARC di tipo “reject”.

Verifica DMARC