• Collaborazione, Guide, Microsoft 365, Sicurezza
• 15 Dicembre 2023

Con l’introduzione di policy di Smartworking, l’e-mail aziendale è sempre di più presa di mira dai criminali informatici, che perfezionando tecniche di attacco potrebbero centrare l’obbiettivo di compromettere le vostre email aziendali. Come proteggervi quindi da questa tipologia di attacchi sempre più frequenti e mirati ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) può sicuramente aiutarvi a ridurre in modo considerevole. La tipologia di attacchi BEC (Business E-mail Compromise) che sfruttano sempre di più tecnologia di Spoofing, dove un attaccante tende ad impersonificare un utente della vostra organizzazione, solitamente utenti VIP, con l’intento di sottrarvi dati sensibili.

Cosa è il DMARC ?

DMARC è sostanzialmente un metodo di autenticazione delle mail che in combinazione di SPF e DKIM aiuta a proteggervi da attacchi di impersonificazione o Spoofing.

Vi lascio un link all’articolo di Luca Cavana che spiega in modo dettagliato questi due Record Proteggere la posta elettronica e la reputazione dell’azienda con SPF, DKIM e DMARC – ICT Power

Brevemente vi descrivo cosa questi 3 record lavorano per la protezione delle vostre email:

• SPF (Sender Policy Framework): Verifica che la mail sia stata inviata dai server inclusi in questo record
• DKIM (DomainKeys Identified Mail): Aggiunge alle email inviate una firma digitale per attestare che la mail sia “partita” da quel determinato server
• DMARC (Domain-based Message Authentication, Reporting & Conformance): Imposta una policy che indica al sistema cosa fare quando essa non supera il controllo SPF e DKIM
  

Vi riporto inoltre anche il formato dei record SPF e DKIM del mio dominio “m365-demo.cloud”, per eseguire una query DNS ho utilizzato MXTOOLBOX che potete trovare al seguente link SPF Check & SPF Lookup – Sender Policy Framework (SPF) – MxToolBox

SPF

Figura 1: Record SPF

DKIM

Figura 2: Record DKIM

Come ci aiuta in modo effettivo il DMARC ?

Come avete potuto vedere nei precedenti paragrafi, SPF, DKIM e DMARC ci permettono di non poter subire attacchi mirati di impersonificazione o Spoofing e quindi di salvaguardare la nostra Azienda.

Questo protocollo, inoltre, vi aiuta anche nei confronti di Clienti e Fornitori, perché dichiara al server di posta del destinatario che voi per quanto riguarda l’invio di email siete affidabili e di conseguenza non siete degli Spammer e questo migliora anche l’invio delle email di Marketing dichiarando appunto il vostro server di posta attendibile a livello mondiale.

E’ fondamentale dirvi che DMARC ha funzionalità per le email inviate, e non per le email in ingresso, quindi l’implementazione di esso non ridurrà la quantità di email spam in ricezione. Vi lascio il link al mio articolo sulla configurazione dei preset Security di Microsoft Defender for Office 365 Aumentare la sicurezza con le Preset Security di Microsoft Defender for Office 365 – ICT Power

Se tutte le aziende implementassero le configurazioni SPF, DKIM e DMARC potenzialmente non ci sarebbero più tentativi di impersonificazione e di Spoofing, questo perché tutte le email sarebbero dichiarate attendibili e firmate in modo digitale.

Policy DMARC

È bene dirvi che ogni volta che creerete un record DMARC per il vostro dominio dovrete scegliere la policy da applicare. Potete quindi scegliere tra le seguenti 3 che vi riepilogo per completezza di informazione:

• Policy “NONE” è la policy adatta alla prima implementazione, serve per monitorare i risultati post implementazione, non ha nessuna azione sul flusso di posta e le email verranno consegnate senza alcun tipo di problema
• Policy QUARANTINE” è la policy che permette, in caso di controllo fallito, di spostare la mail in una cartella di posta differente (non la inbox) per esempio la cartella “Posta Indesiderata”
  
• Policy “REJECT” tra tutte le policy elencate è quella più restrittiva in caso di controllo in stato Failed, la mail non viene consegnata
  

Il consiglio che posso fornirvi in caso voleste implementare il DMARC per il vostro dominio di posta è quello di procedere per step, implementando prima la policy NONE per poi passare a QUARANTINE ed infine a REJECT. Questo vi permetterà in primis di avere visione di quale email falliscono il controllo e darvi modo e tempo di sistemare le configurazioni per poi, una volta che siete certi della configurazione, applicare quella più restrittiva.

Un altro consiglio fondamentale che posso fornirvi è quello di “appoggiarvi” a tools che permettono in modo grafico di avere la visibilità di quali email falliscono questi controlli. Posso suggervi i seguenti con cui ho lavorato e che funzionano in modo esemplare:

• LetsDMARC – Complete DMARC protection – Libraesva
• DMARC SaaS Platform – Best DMARC Solution for Businesses 2022 (valimail.com)

Con veramente poco investimento, questi tools possono fornirvi un grande supporto in fase di configurazione DMARC, a titolo informativo vi lascio una schermata del primo tools indicato

Figura 3: Lets DMARC

Rapporti E-Mail DMARC

Quando creerete un record DMARC dovrete avere a disposizione un indirizzo email utile a ricevere tutti i “rapporti”, che conterranno tutte le informazioni inerenti al vostro traffico email e di tutte quelle che non passeranno il controllo DMARC. Questo vi sarà molto utile per permettervi di avere ampia visibilità di tutti i vostri sistemi di posta, che spedendo per conto del vostro dominio, non sono compliance con questi standard di sicurezza al giorno d’oggi fondamentali.

All’interno di questo protocollo avrete due tipologie di report:

• Rapporti RUA: sono report inviata giornalmente e contengono tutte le informazioni inerenti al vostro flusso di posta, inclusi gli indirizzi IP
• Rapporti RUF: sono report inviati solo nel momento in cui una mail non supera il controllo DMARC e contengono il messaggio originale con il suo Internet Header

È inoltro importante che l’indirizzo e-mail che inserite all’interno di questi report sia presidiato per avere appunto evidenza di quali vostre email non superano il controllo.

Purtroppo, non tutti i sistemi di posta / Antispam aderiscono al momento alle policy DMARC (anche se man mano stanno diminuendo) quindi potreste non avere a disposizione tutte le vostre email inviate all’interno dei report RUA.

Struttura record DMARC

Ora che avete avuto visibilità di cosa è e di come lavora questo record, mi piacerebbe darvi evidenza di come è strutturato e successivamente vi darò evidenza di come configurarlo se le vostre email sono in hosting con Exchange Online. Il gestore del mio DNS pubblico sarà Aruba e quindi la guida sarà basata su questo fornitore, ma l’importante è capire il concetto di creazione del record e poi creare il record TXT corrispondente all’interno del portale di gestione dei vostri DNS Pubblici.

La policy che andrò io ad applicare sarà come consigliato per la prima configurazione ovvero quella di None.

Figura 4: Struttura Record DMARC

• V=DMARC1 identifica il protocollo DMARC utilizzato per la validazione delle e-mail
• p=none identificato la policy nel mio caso none, ma poteva essere benissimo p=quarantine o p=reject in base alla policy che scegliete
• [email protected] identifica l’indirizzo e-mail di notifica per i report rua
• [email protected] identifica l’indirizzo e-mail di notifica per i report ruf

Procedete ora ad accedere al vostro pannello di gestione dei DNS Pubblici del vostro dominio, come anticipato il mio è gestito da Aruba:

Figura 5: Configurazione Record DMARC

Figura 6: Configurazione Record DMARC

Figura 7: Configurazione Record DMARC

Inserite ora i valori

• Nome Host: _dmarc.vostrodominio
• Valore: v=DMARC1; p=policy name; rua=mailto:an-e-mail-address; ruf=mailto:an-e-mail-address

NB: Modificate il valore secondo la policy che andrete a scegliere e l’indirizzo e-mail che riceverà i report

Figura 8: Creazione Record DMARC

Ora che avete salvato le configurazioni ai vostri DNS pubblici il record DMARC risulterà correttamente abilitato. Per eseguire una verifica, come fatto all’inizio di questa guida, utilizzate pure DMARC Check Tool – Domain Message Authentication Reporting & Conformance Lookup – MxToolBox

Figura 9: Record DMARC Pubblicato

Oltre al metodo di verifica dei tools di terze parti di cui vi ho dato evidenza potete procedere all’analisi dell’internet header della mail che avrete inviato dal vostro indirizzo di posta elettronica:

Figura 10: Analisi Internet Header

Per l’analisi dell’Header della mail vi consigliato lo strumento Message Header Analyzer (mha.azurewebsites.net). Copiate l’header all’interno e successivamente cliccate su “Analyze headers”

Figura 11: Analisi Internet Header

Figura 12: DMARC Pass

Conclusioni

DMARC, come avete potuto notare da questo articolo, è totalmente gratuito e con pochi passaggi vi permette di avere una protezione aggiuntiva, in modo rapido e semplice.

In diversi annunci nel web due grandi e-mail provider (Google e Yahoo) hanno dichiarato che a partire da Febbraio 2024 implementeranno controlli più rigorosi sui record DMARC. Questo significa che per comunicare via mail con questi utenti ogni mittente dovrà avere configurato in modo corretto il record DMARC, altrimenti la mail in ingresso verrà rifiutata dal destinatario.

Implementare questa configurazione, oltre a salvaguardare il vostro Business, vi permette di avere un sistema di posta affidabile e sicuro verso qualsiasi destinatario di posta e per ultimo, ma non per importanza, evitare potenziali attacchi informatici che potrebbero “costarvi” molto cari.