Cybersecurity › Sicurezza Email

Sicurezza email aziendale.
SPF, DKIM, DMARC, BIMI e MTA-STS.

Il 90% degli attacchi informatici inizia con un'email. Acquistare una soluzione di sicurezza non basta: SPF, DKIM, DMARC, BIMI e MTA-STS devono essere configurati correttamente, monitorati nel tempo e aggiornati in risposta alle minacce reali.

Richiedi un assessment Perché è importante

Perché l'email è il vettore di attacco numero uno

L'email resta il canale di comunicazione più utilizzato in azienda — e il più sfruttato dagli attaccanti. Phishing, spoofing e business email compromise (BEC) causano ogni anno miliardi di euro di danni. I protocolli di autenticazione email esistono da anni, ma la maggior parte dei domini aziendali non li implementa correttamente.

90%

Degli attacchi informatici inizia con un'email di phishing. L'email è il punto di ingresso più comune per ransomware, furto di credenziali e business email compromise.

7.000/sec

Attacchi basati su password bloccati da Microsoft ogni secondo. Molti originano da campagne di phishing email che sottraggono le credenziali degli utenti.

p=reject

La policy DMARC che protegge il tuo dominio dallo spoofing. Con p=reject, le email che falliscono l'autenticazione vengono rifiutate — il tuo dominio non può essere usato per inviare email fraudolente.

Come proteggiamo la tua email aziendale

Non ci limitiamo ad aggiungere record DNS: progettiamo una strategia di autenticazione email completa, calibrata sulla tua infrastruttura e conforme ai requisiti NIS2, ISO/IEC 27001, 27017, 27018 e ISO 9001. Come membri di Clusit e Confindustria Piacenza, operiamo secondo le best practice di settore.

1. Assessment

Analisi della configurazione email attuale: record SPF, DKIM, DMARC, MX e TLS. Identifichiamo vulnerabilità, misconfigurazioni e gap rispetto alle best practice NIST e ai requisiti normativi.

2. Implementazione

Configurazione di tutti i protocolli di autenticazione email: SPF con gestione dei limiti di lookup, DKIM con rotazione delle chiavi, DMARC con percorso graduale verso p=reject, BIMI e MTA-STS.

3. Monitoraggio

Analisi continua dei report DMARC aggregate (RUA) e forensi (RUF), verifica della deliverability, monitoraggio delle connessioni TLS-RPT e aggiornamento delle policy in risposta alle minacce.

Protocolli

I protocolli di autenticazione email

Sei standard che lavorano insieme per autenticare le email, proteggere il dominio dallo spoofing e garantire la crittografia in transito.

SPF (Sender Policy Framework)

Definisce quali server possono inviare email per il tuo dominio tramite un record DNS TXT. Senza SPF, chiunque può fingere di essere te. Attenzione al limite di 10 DNS lookup: superarlo significa invalidare l'intero record.

DKIM (DomainKeys Identified Mail)

Firma crittografica che garantisce che l'email non è stata alterata durante il transito. Il server ricevente verifica la firma con la chiave pubblica nel DNS. Garantisce autenticità e integrità del messaggio.

DMARC (Domain-based Message Authentication)

Dice ai server riceventi cosa fare quando SPF o DKIM falliscono: niente (none), quarantena o rifiuto (reject). Con p=reject lo spoofing viene bloccato. Genera report aggregati (RUA) per monitorare chi invia email a nome del tuo dominio.

BIMI (Brand Indicators for Message Identification)

Mostra il logo aziendale verificato accanto alle email nella inbox del destinatario. Richiede DMARC con p=quarantine o p=reject e un certificato VMC (Verified Mark Certificate). Aumenta la riconoscibilità del brand e la fiducia del destinatario.

MTA-STS (Mail Transfer Agent Strict Transport Security)

Forza la crittografia TLS tra server email tramite una policy pubblicata via HTTPS. Senza MTA-STS, un attaccante può intercettare le email in transito con un downgrade attack, forzando il fallback a connessioni non cifrate.

TLS-RPT (TLS Reporting)

Report automatici sulle connessioni TLS fallite tra server email. Permette di identificare problemi di crittografia, certificati scaduti e tentativi di downgrade — complemento essenziale di MTA-STS.

Perché non basta acquistare una soluzione

Configurazione è tutto

SPF con troppi include fallisce silenziosamente, DKIM senza rotazione chiavi è vulnerabile, DMARC in p=none non protegge nessuno. Ogni protocollo va configurato correttamente e verificato nel tempo — non basta copiare un record DNS.

Il phishing evolve

Attacchi adversary-in-the-middle, business email compromise (BEC), spoofing di domini simili (cousin domains). Le policy vanno aggiornate in risposta alle minacce reali. L'autenticazione email si integra con la gestione delle identità digitali per una protezione completa.

Compliance NIS2 e DORA

Le normative richiedono protezione adeguata delle comunicazioni aziendali. L'autenticazione email è una misura tecnica documentabile per gli audit: dimostra che l'organizzazione ha implementato controlli specifici contro phishing e spoofing.

Protezione attiva

Oltre l'autenticazione: Email Security Gateway

L'autenticazione DNS protegge il dominio dallo spoofing. Ma per bloccare phishing, malware e attacchi mirati nelle caselle email serve un secondo livello: un gateway di sicurezza che analizza ogni messaggio in entrata e in uscita.

Libraesva EmailSecurity

Gateway email indipendente con 14 livelli di analisi, motori antivirus Avira e Bitdefender, tecnologie proprietarie URLSand e QuickSand. Catch rate 99,99% (Virus Bulletin dal 2010). Protezione da BEC (Business Email Compromise) e analisi comportamentale degli allegati. AtWorkStudio è Certified Partner Libraesva. Il servizio è qualificato ACN.

Microsoft Defender for Office 365

Protezione nativa per ambienti Microsoft 365: Safe Attachments analizza gli allegati in sandbox, Safe Links riscrive e verifica gli URL in tempo reale, anti-phishing con machine learning rileva tentativi di impersonificazione.

Due livelli, una strategia

L'autenticazione DNS (SPF, DKIM, DMARC) e il gateway email sono complementari: il primo impedisce che qualcuno invii email fingendo di essere il tuo dominio, il secondo protegge le caselle da tutto ciò che arriva dall'esterno. Configuriamo e gestiamo entrambi i livelli.

Proteggi l'email della tua azienda

Contattaci per un assessment NIST della tua configurazione email e implementare SPF, DKIM, DMARC, BIMI e MTA-STS. Integriamo la sicurezza email con la gestione delle identità digitali e la gestione DNS per una protezione completa del dominio aziendale.

Contattaci Gestione DNS

Sicurezza email aziendale.SPF, DKIM, DMARC, BIMI e MTA-STS.