Nel panorama digitale odierno, la posta elettronica rimane il vettore di attacco preferito dai cybercriminali. Nonostante l’evoluzione delle tecnologie di difesa, tecniche come lo spoofing, il phishing e la manomissione dei messaggi continuano a mietere vittime tra aziende e pubbliche amministrazioni. Per rispondere a queste sfide, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha recentemente pubblicato le nuove Linee Guida per la Configurazione del Servizio di Posta Elettronica per l’Autenticazione (disponibile al link nelle fonti). Questo documento non è solo un manuale tecnico, ma un vero e proprio standard di riferimento per chiunque gestisca infrastrutture critiche o desideri innalzare il livello di protezione dei propri domini. In questo articolo, analizzeremo i punti cardine delle linee guida, esplorando come l’implementazione coordinata di SPF, DKIM e DMARC possa fare la differenza tra una casella sicura e un sistema vulnerabile.
A partire dal contesto, ovvero il perché l’autenticazione del proprio SMTP è di vitale importanza, si deve andare al problema intrinseco del suddetto protocollo SMTP (Simple Mail Transfer Protocol), vale a dire la mancanza di un meccanismo nativo di verifica dell’identità del mittente. Senza configurazioni aggiuntive, quindi, chiunque può inviare un’e-mail spacciandosi per un altro dominio. L’ACN identifica tre minacce principali, vale a dire lo Spoofing, il Phishing e la Manomissione del messaggio; nel primo caso si falsifica l’indirizzo del mittente per ingannare il destinatario, nel secondo caso si creano campagne ingannevoli per rubare dati o credenziali di ogni tipo e sistema mentre nel terzo caso si modificano i contenuti dei messaggi di posta durante il transito tra mittente e destinatario (tecnica chiamata man in the middle).
Le linee guida di ACN pubblicate nell’aprile 2026 si concentrano su quella che viene definita la “triade dell’autenticazione”, che possiamo elencare dettagliatamente seguendo le indicazioni di ACN. Iniziamo dal record SPF (Sender Policy Framework), un record DNS di tipo TXT che elenca gli indirizzi IP e i server autorizzati a inviare posta per conto di un dominio. Il suo funzionamento è semplice, quando arriva un’e-mail, il server del destinatario controlla il record SPF del dominio del mittente. Se l’IP del server che ha inviato il messaggio non è in lista, l’e-mail può essere contrassegnata come sospetta o rifiutata. ACN, per il record SPF, consiglia di evitare l’uso del meccanismo +all (che autorizza chiunque) e preferire configurazioni restrittive come -all (Fail) per massimizzare la sicurezza. Nel caso in cui si esternalizzasse la posta elettronica ad un fornitore di servizi IT, è necessario capire se i messaggi inviati dai suoi server di posta superano i controlli relativi al record SPF, e per farlo bisogna inserire tra gli IP autorizzati quelli dei fornitori. Tra le sue raccomandazioni, ACN specifica anche che SPF è efficace se è configurato in modo corretto sia dal mittente che dal destinatario, perché il primo dichiara tramite i DNS quali sono gli IP dai quali possono partire le sue email, mentre il secondo deve configurare il suo record per la posta in entrata per fargli fare tutte le dovute verifiche SPF sui messaggi che arrivano e applicare le policy in modo coerente.
Andando avanti si passa al secondo record, vale a dire il DKIM (DomainKeys Identified Mail), che a differenza del record SPF non dà garanzie sulla provenienza dei messaggi quanto sulla loro integrità, tramite una crittografia a chiave pubblica per apporre una firma digitale all’intestazione del messaggio. Anche questo record è di tipo TXT e va inserito nei propri DNS con la struttura <selettore>._domainkey.<dominio_firmatario>, nella quale si indica, tramite domainkey che si tratta di un record DKIM. Per essere efficace, il record DKIM va configurato seguendo possibilmente quantomeno le raccomandazioni ACN, attività che come per SPF deve essere effettuata sia dal mittente che dal destinatario. Il primo deve configurare il server di posta per generare firme DKIM pubblicando poi il suo DKIM nel server DNS, mentre il destinatario deve configurare il suo server di posta per effettuare correttamente le verifiche sui DKIM. Per garantire l’autenticità di una email è necessario quindi apporre una firma DKIM, che comprende una serie di parametri tecnici tra i quali figurano, ad esempio, Dominio (d) e Selettore (s), vale a dire chi firma e la chiave pubblica da usare per la verifica, oppure i codici crittografici che proteggono il messaggio (Algoritmo e Firma), ma anche molti altri che possono essere trovati in chiaro sul documento ACN. Per evitare che piccole modifiche tecniche (come spazi extra o invii a capo) rendano la firma non valida durante l’invio, si usa una impostazione chiamata canonicalizzazione, che può essere simple (richiede che il messaggio resti identico bit per bit) o relaxed (più flessibile, tollera lievi modifiche di formattazione come la rimozione di spazi vuoti).
Passiamo al terzo pilastro delle raccomandazioni, ovvero il protocollo DMARC (Domain-based Message Authentication, Reporting, and Conformance), che lega SPF e DKIM e definisce cosa deve fare il server del destinatario se uno dei due controlli fallisce. Le linee guida ACN chiariscono che il DMARC non serve solo a “bloccare”, ma è fondamentale per la visibilità. Grazie ai report aggregati (RUA), i gestori IT possono vedere esattamente chi sta tentando di usare il loro dominio, identificando sia servizi legittimi non ancora configurati, sia tentativi di attacco. La struttura del DMARC è _dmarc.<dominio_mittente>, va inserito nei record DNS ed è composto da varie coppie chiave-valore che servono a specificare fattori come, per citarne un paio, versione del protocollo e politica da applicare ai messaggi che non passano la verifica. Queste tre politiche possono essere di mero monitoraggio (none), di spostamento in spam (quarantine) o di rifiuto categorico (reject) in caso di messaggio non autenticato.
L’adozione di queste linee guida non dovrebbe essere un evento una tantum, ma un processo continuo. ACN suggerisce un approccio strutturato composto da vari step, a partire da un’analisi preliminare della propria infrastruttura, mappando tutti i servizi sia interni che di terze parti che inoltrano email dal proprio dominio. Il secondo step è una configurazione progressiva partendo dai record SPF e DKIM per poi impostare il DMARC inizialmente con la politica none per raccogliere informazioni, mentre il terzo passaggio sarà l’hardening, una volta verificato che i flussi legittimi sono autenticati correttamente, passando alla politica quarantine e poi a reject. L’ultimo, fondamentale step è quello del monitoraggio continuo gestendo le variazioni dei sistemi (patching, cambi di provider) mantenendo aggiornati i record DNS. Per i professionisti IT, queste linee guida ACN di Aprile 2026 rappresentano un passo fondamentale per la protezione dello spazio cibernetico nazionale, seguire queste direttive non significa solo “mettersi a norma” rispetto a normative come la Direttiva NIS 2, ma significa costruire un perimetro di fiducia intorno al mezzo di comunicazione più critico per il business. La sicurezza della posta elettronica non è più un’opzione, è un’esigenza infrastrutturale. Implementare correttamente SPF, DKIM e DMARC è oggi il modo più efficace per proteggere l’identità digitale della propria organizzazione. Questo breve approfondimento non è che una panoramica breve di tutto ciò che viene specificato nel documento di ACN, che invitiamo nuovamente a consultare al link che si può trovare in basso, nelle fonti.
Fonte: 1
