Email spoofing e truffe: come funzionano (e come difenderti)

  • 9 minuti di lettura
  • Aggiornato il

Negli ultimi anni le truffe via email sono diventate sempre più sofisticate. Una delle tecniche più diffuse è lo spoofing, ovvero l’invio di email che sembrano provenire da indirizzi attendibili – spesso da colleghi, fornitori o persino da sé stessi – ma che in realtà sono falsificate.

Questa tecnica è usata per truffe, phishing o per ottenere accesso a sistemi aziendali. E il peggio è che, in molti casi, i controlli di sicurezza standard possono essere aggirati.

Cos’è lo spoofing email

Lo spoofing email è una tecnica informatica utilizzata per inviare messaggi di posta elettronica falsificati, facendo apparire che provengano da un mittente affidabile. L’obiettivo è spesso quello di ingannare il destinatario, convincendolo ad aprire un link, scaricare un allegato o fornire informazioni sensibili.

Il meccanismo alla base di questa tecnica sfrutta una debolezza del protocollo SMTP (Simple Mail Transfer Protocol), lo standard su cui si basa l’invio delle email. SMTP, infatti, non include un sistema nativo di verifica dell’identità del mittente. Questo significa che chiunque, con gli strumenti adeguati, può creare un’email che sembra provenire da un indirizzo legittimo, come quello di un collega, un cliente, una banca o un servizio online.

Ad esempio, un attaccante può inviare un messaggio da un indirizzo che appare come ufficio@tuaazienda.it, pur non avendo alcun accesso al dominio o alla casella originale. Se il dominio non è protetto da controlli avanzati, il destinatario riceverà comunque l’email come se fosse autentica.

In assenza di specifiche contromisure (come SPF, DKIM e DMARC), i server riceventi non hanno modo di sapere se l’email è realmente autorizzata o se si tratta di una contraffazione. Questo rende lo spoofing una minaccia concreta, soprattutto per le aziende, che rischiano non solo danni economici ma anche perdita di fiducia e reputazione.

È importante distinguere lo spoofing da altre minacce simili, come il phishing o il malware via email: lo spoofing è il mezzo tecnico, spesso usato per veicolare altri attacchi. In molti casi, un’email spoofata è solo l’inizio di un tentativo più complesso di frode o intrusione.

Chiunque utilizzi un indirizzo email può essere vittima o bersaglio di spoofing, sia come destinatario di email false, sia come proprietario di un dominio che viene usato impropriamente per truffare altri. Per questo motivo è fondamentale conoscere come funziona e come proteggersi.

I controlli esistono, ma non sempre funzionano

Per contrastare lo spoofing e garantire l’autenticità delle email esistono tre meccanismi principali di autenticazione del mittente: SPF, DKIM e DMARC. Questi standard sono pensati per lavorare insieme, ma la loro efficacia dipende da una configurazione corretta, da un’infrastruttura coerente e da una gestione attiva nel tempo.

SPF (Sender Policy Framework)

SPF consente a un dominio di specificare quali server sono autorizzati a inviare email per suo conto, pubblicando questa informazione in un record DNS. Quando un server riceve un’email, può controllare se l’indirizzo IP del mittente è incluso in questa lista.

Tuttavia, SPF presenta dei limiti importanti:

  • È vulnerabile agli inoltri email, perché verifica solo l’indirizzo IP, non il mittente visibile.
  • Può essere inefficace se il record è mal configurato (es. troppi include, uso improprio di ~all o +all).
  • Non protegge il contenuto dell’email, né verifica che l’email sia stata effettivamente autorizzata dal dominio “visibile” nel campo Da.

DKIM (DomainKeys Identified Mail)

DKIM aggiunge una firma crittografica al contenuto dell’email. Questa firma viene generata dal server mittente e può essere verificata da chi riceve il messaggio, confrontando la chiave pubblica del dominio (pubblicata nel DNS) con la firma presente nell’email.

È utile per:

  • Verificare l’integrità del messaggio (nessuna modifica in transito).
  • Associare il contenuto a un dominio specifico.

Ma anche DKIM da solo non è sufficiente, perché:

  • La verifica della firma è opzionale per il server ricevente.
  • La firma può essere invalidata da alcune modifiche (es. riscrittura automatica dei messaggi).

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC è lo standard che coordina SPF e DKIM, aggiungendo una policy esplicita e permettendo al dominio mittente di indicare cosa fare se i controlli falliscono: accettare, mettere in quarantena o rifiutare l’email.

Inoltre, DMARC consente di ricevere report diagnostici (RUA e RUF) utili per monitorare abusi e testare gradualmente l’efficacia delle impostazioni. È quindi uno strumento fondamentale non solo per bloccare spoofing diretto, ma anche per analizzare il traffico email legittimo e sospetto.

Il problema? Molte aziende:

  • Non lo implementano affatto.
  • Lo impostano in modalità “none” e lo lasciano così per anni.
  • Non analizzano i report e non evolvono la configurazione nel tempo.

Per proteggere efficacemente un dominio, tutti e tre i meccanismi dovrebbero essere presenti e ben configurati, e la policy DMARC dovrebbe evolvere da una modalità permissiva (none) a una più restrittiva (quarantine o reject), basandosi su dati reali.

Come gli hacker aggirano questi controlli

Anche quando SPF, DKIM e DMARC sono configurati, non significa che un dominio sia completamente al sicuro. I criminali informatici conoscono bene i limiti tecnici e pratici di questi strumenti e riescono spesso ad aggirarli, sfruttando configurazioni deboli, mancanza di verifica lato ricevente o tecniche di inganno visivo. Di seguito, i metodi più comuni.

  • Domini senza protezione
    Ancora oggi, una percentuale significativa di domini – anche aziendali – non dispone di record SPF o DKIM, oppure ha configurazioni incomplete o errate. Inoltre, molti domini non pubblicano una policy DMARC, oppure la mantengono in modalità passiva (p=none), che non blocca gli abusi ma si limita a registrarli.Un dominio senza questi strumenti attivi è un bersaglio perfetto: chiunque può inviare email fingendosi il mittente, con elevate probabilità che il messaggio venga consegnato normalmente.
  • Domini simili (typosquatting)
    Una tecnica molto diffusa è la creazione di domini simili a quelli reali, con differenze minime e spesso impercettibili a occhio nudo. Esempi: @azlenda.it invece di @azienda.it, oppure @azienda-mail.com al posto del dominio ufficiale.Questi domini vengono registrati appositamente per truffe via email o phishing. Anche se il dominio reale è ben protetto, il typosquatting elude completamente i controlli SPF/DKIM/DMARC perché si tratta di un dominio diverso, ma visivamente molto simile.
  • Inoltri email e sistemi intermedi
    Il forwarding automatico o l’utilizzo di servizi intermedi (come newsletter, CRM o sistemi di ticketing) può compromettere l’integrità dei controlli SPF e DKIM. In particolare:

    • SPF può fallire perché l’IP di chi inoltra non è autorizzato.
    • DKIM può fallire se il contenuto dell’email viene modificato (es. aggiunta di disclaimer, firme automatiche, header).

    Questo crea margini di manovra per gli attaccanti, che possono sfruttare circuiti complessi o intermediari poco trasparenti per far passare messaggi alterati.

  • Sistemi che ignorano le policy DMARC
    DMARC consente a un dominio di indicare cosa fare con i messaggi non conformi (rifiutare, mettere in quarantena, accettare). Tuttavia, non tutti i server di posta applicano pienamente queste istruzioni. In alcuni casi, le email fraudolente vengono comunque recapitate, soprattutto se inviate a destinatari su sistemi che non rispettano le policy configurate o che gestiscono i messaggi in modo troppo permissivo.
    Inoltre, molti provider non notificano adeguatamente il mittente legittimo in caso di abuso, rendendo difficile rilevare e bloccare tempestivamente gli attacchi.

In sintesi, i controlli esistono, ma devono essere integrati in un’architettura solida, testati regolarmente e supportati da monitoraggio attivo. Gli attaccanti non hanno bisogno di superare un sistema perfetto: spesso basta trovare un singolo anello debole nella catena.

Cosa può fare concretamente un’azienda

Proteggere un’organizzazione dallo spoofing e da altre minacce legate alla posta elettronica richiede un approccio integrato: tecnico, strategico e umano. Di seguito, le azioni più efficaci che ogni azienda dovrebbe intraprendere.

  1. Implementare correttamente SPF, DKIM e DMARC
    La prima linea di difesa è tecnica. Tutti i domini aziendali dovrebbero disporre di record SPF e DKIM validi e coerenti, associati a una policy DMARC attiva. Quest’ultima dovrebbe essere impostata in modalità quarantine o reject solo dopo una fase iniziale di osservazione (none) e analisi dei report.
    Una configurazione efficace include:

    • Record DNS aggiornati e privi di errori sintattici
    • Policy DMARC con report aggregati (RUA) e forensi (RUF)
    • Verifica continua della deliverability e dell’integrità delle firme DKIM
  2. Verificare e proteggere i domini simili (typosquatting)
    Gli attaccanti sfruttano domini “quasi identici” a quello ufficiale per creare truffe credibili. Un’azienda dovrebbe:

    • Registrare preventivamente i domini più a rischio (varianti, errori comuni, TLD alternativi)
    • Monitorare la registrazione di nuovi domini simili al proprio
    • Configurare SPF/DKIM/DMARC anche sui domini “parcheggiati”, per evitarne l’abuso
  3. Formare e sensibilizzare i dipendenti
    La componente umana è spesso l’anello debole della sicurezza. Nessun sistema è infallibile se le persone cliccano su link o aprono allegati senza verifiche. Per questo sono essenziali:

    • Sessioni formative periodiche sulla sicurezza email
    • Simulazioni di attacchi di phishing realistici
    • Procedure chiare per la segnalazione di email sospette
  4. Utilizzare provider con enforcement DMARC lato ricevente
    Anche i sistemi di ricezione devono essere affidabili. Alcuni provider di posta applicano controlli avanzati per rifiutare o isolare email non conformi a DMARC, riducendo drasticamente il rischio che i dipendenti ricevano email contraffatte.
    Valutare attentamente la qualità del servizio email è parte integrante della strategia di protezione.
  5. Monitorare, testare e aggiornare nel tempo
    La sicurezza della posta elettronica non è un’attività “una tantum”. Le configurazioni vanno:

    • Monitorate tramite i report DMARC (RUA/RUF)
    • Verificate con test periodici (es. simulazioni di spoofing, audit DNS)
    • Adattate in base a cambiamenti infrastrutturali o nuovi strumenti terzi che inviano email per conto dell’azienda

    Solo così è possibile mantenere un livello di protezione elevato e costante nel tempo.

Conclusioni

La posta elettronica rimane uno degli strumenti più usati (e più sfruttati) nel contesto della sicurezza informatica. Sapere come funziona lo spoofing, conoscere i suoi limiti e implementare le giuste contromisure è il primo passo per proteggere davvero la propria organizzazione.

Tags:
, , , , , , , , , , , , , ,
Precedente 5 modi per velocizzare un sito PHP senza scrivere codice
Back to list
Successivo Diventare rivenditore di domini: guida per agenzie e freelance

Articoli correlati