Menu Chiudi

Cybersecurity – Cosa fare in caso di Spoofing di un indirizzo e-mail

1) Azioni immediate (primo blocco / limitazione danni)

  1. Segnala internamente e apri un incidente: IT/Security, team legale, comunicazione/PR, CTO.
  2. Se possibile, pubblica un avviso rapido ai partner/fornitori e dipendenti: “Non aprire/migliorare mail che sembrano provenire da X@tuodominio until further notice”. (Vedi template sotto.)
  3. Raccogli esempi: salva le email spoofate intere (headers + body) in una cartella per forensics. NON cancellare nulla.
  4. Controlla i log del sistema di posta (MTA, gateway antispam, SIEM): identifica IP mittenti, pattern, volume e orari.
  5. Se lo spoofing è massivo, valuta di attivare filtri temporanei (es. bloccare mittenti con determinati IP/ASNs) a livello di gateway.

2) Controlli tecnici da fare subito

  • Verifica i record DNS fondamentali:
    • SPF (TXT record): es. v=spf1 include:_spf.google.com -all — assicurati che includa solo i servizi autorizzati a spedire per il dominio.
    • DKIM: verifica che le firme DKIM siano presenti e valide per le mail legittime; pubblica le chiavi pubbliche corrette nel DNS.
    • DMARC: controlla se è presente un record _dmarc.tuodominio e la policy. Se non c’è, crea uno in modalità monitor prima di forzare reject.
      • Esempio consigliato iniziale:
        v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-rua@tuodominio; ruf=mailto:dmarc-ruf@tuodominio; fo=1
      • Quando i log mostrano che le mail legittime sono conformi, passare a p=reject per bloccare spoofing.
  • Analizza le e-mail spoofate: guarda gli header (campo Authentication-Results, Received-SPF, DKIM-Signature, ARC-Seal, e la catena Received). Cerca:
    • IP mittente non riconosciuti.
    • Mancanza di DKIM o firma fallita.
    • From: mostrato differente dal Return-Path / Envelope-From.
  • Controlla i provider di terze parti: assicurati che i servizi che spediscono per tuo dominio (CRM, marketing, servizio di fatturazione) siano inclusi in SPF/DKIM e usino firme corrette.

3) Mitigazioni a medio termine

  • Implementa (se non già fatto): SPF, DKIM e DMARC con reporting attivo (rua, ruf). Monitora i report DMARC per almeno 2-4 settimane.
  • Abilita BIMI se vuoi migliorare la trust (dopo DMARC in p=reject).
  • Configura regole anti-abuse nel provider di posta per rifiutare Envelope-From non conformi.
  • Richiedi ai partner/fornitori di aggiornare i loro filtri di trust e bloccare i mittenti contraffatti.

4) Comunicazione (interno/esterno)

  • Notifica interna: manda istruzioni chiare su cosa fare (non cliccare link, non scaricare allegati, segnalare a security).
  • Comunicazione a clienti/fornitori (se necessario): messaggio breve, neutro e rassicurante. (Template più sotto.)
  • Pubblica FAQ/avvisi sul sito aziendale se la frode è estesa.

5) Azioni legali e segnalazioni

  • Valuta denuncia alle autorità competenti (Polizia Postale in Italia) se lo spoofing è usato per frode o phishing.
  • Se ci sono impersonificazioni con scopo finanziario, conserva prove e coinvolgi il legale aziendale.
  • Segnala gli IP abusivi ai provider upstream (ISP) e ai servizi di abuse delle blocklist.

6) Verifica post-remediation e hardening

  • Dopo implementazione DMARC p=reject, controlla deliverability per servizi legittimi.
  • Effettua audit periodico dei record DNS e degli accessi ai sistemi di mailing.
  • Formazione: breve security awareness per i dipendenti (riconoscere spoof/phishing).

Cosa guardare negli header (passaggi concreti)

Copia l’email intera (mostra header). Controlla:

  • Authentication-Results: ... — cosa dice SPF/DKIM/DMARC? (pass/permerror/fail)
  • Received: — segui la catena dal basso verso l’alto per identificare l’IP di origine.
  • From: vs Return-Path: vs Envelope-From: — se sono diversi, è probabile spoofing.
  • DKIM-Signature: — è presente? la firma è pass?

Esempio di comando per ottenere record DMARC/SPF (usando dig):

  • dig TXT _dmarc.tuodominio.it +short
  • dig TXT tuodominio.it +short (per SPF)

Template — Comunicazione interna breve

Oggetto: AVVISO — Possibile email contraffatta che usa indirizzo @tuodominio

Testo:

Team,
abbiamo rilevato email fraudolente che utilizzano indirizzi con dominio @tuodominio. Non aprite link o allegati provenienti da messaggi sospetti. In caso di dubbio, inoltrate la mail a security@tuodominio per analisi. Stiamo indagando e vi terremo aggiornati.
Grazie, Security Team

Template — Messaggio ai clienti/fornitori

Oggetto: Informazione importante su email contraffatte

Testo:

Gentile Cliente,
segnaliamo che alcune email contraffatte stanno circolando utilizzando indirizzi simili a @tuodominio. Vi preghiamo di non aprire link né inviare dati richiesti via email senza conferma. Per verifiche contattateci via telefono al numero ufficiale o all’indirizzo info@tuodominio. Stiamo lavorando per risolvere.
Cordiali saluti,
[Nome], [Ruolo] — tuodominio

Template — Esempio record DMARC (DNS TXT)

Nome: _dmarc.tuodominio
Valore:

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-rua@tuodominio; ruf=mailto:dmarc-ruf@tuodominio; fo=1;

(Quando sicuro, cambiare p=quarantinep=reject.)

Consigli pratici finali

  • Se non avete competenze interne, contattate il provider di posta (es. Microsoft/Google/ESP) e chiedete supporto incident response.
  • Conservate tutti i log temporali (mail logs, firewall, proxy) per almeno 6 mesi.
  • Non pubblicare dettagli tecnici sensibili online che possano aiutare gli attaccanti.
Pubblicato il Cybersecurity