Le indicazioni per la corretta configurazione dei protocolli SPF, DKIM e DMARC.

L’Agenzia per la cybersicurezza nazionale (ACN) ha pubblicato le linee guida per la configurazione del servizio di e-mail per l’autenticazione. L’obiettivo è quello “di rafforzare l’affidabilità del servizio di posta elettronica di tutte le organizzazioni interessate e incrementarne il livello complessivo di sicurezza“.

“La posta elettronica“, sottolinea l’Agenzia, “rappresenta oggi uno dei servizi maggiormente critici nel contesto digitale“. La ragione è che si trova “tra i principali canali utilizzati da organizzazioni e utenti per le comunicazioni e lo scambio di informazioni“.

Il funzionamento del servizio di posta elettronica e in particolare la trasmissione dei messaggi, si basa sul
protocollo SMTP. Un protocollo che però “non incorpora nativamente adeguati meccanismi di autenticazione del mittente e di protezione della riservatezza e dell’integrità dei messaggi“.

Queste vulnerabilità espongono al rischio di attacchi come lo spoofing, il phishing, la manomissione e l’intercettazione del messaggio durante il transito.

Come mitigare le debolezze

Le principali minacce cyber in materia di posta elettronica sono proprio spoofing, phishing, manomissione del messaggio. Per mitigare le debolezze del protocollo SMTP e ridurre pertanto il rischio dovuto agli attacchi sopra richiamati nel corso del tempo c’è stato lo sviluppo di una serie di meccanismi.

Meccanismi di due tipologie, in funzione sia per l’autenticazione del mittente che per la protezione dell’integrità del messaggio. Tra questi:

• SPF (Sender Policy Framework).
• DKIM (DomainKeys Identified Mail).
• DMARC (Domain-based Message Authentication, Reporting and Conformance).

Con le linee guida dell’ACN, si vogliono illustrare i singoli meccanismi con l’obiettivo di rafforzare l’affidabilità del servizio di posta elettronica e incrementarne il livello complessivo di sicurezza.

Per approfondire

• Leggi “Linee Guida. Configurazione del servizio di posta elettronica per l’autenticazione” in PDF.
• Decreto Legge 21 settembre 2019, n. 105.
• Decreto Direttoriale ACN n. 21007/24 del 27 giugno 2024.
• Consulta il Decreto legislativo 4 settembre 2024, n. 138.

Vai al sito di Cybersecurity Italia.

L'articolo ACN pubblica le linee guida per configurare il servizio e-mail per l’autenticazione del mittente sembra essere il primo su CyberSecurity Italia.