{"id":22594,"date":"2020-08-24T08:53:02","date_gmt":"2020-08-24T06:53:02","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22594"},"modified":"2020-08-24T08:53:02","modified_gmt":"2020-08-24T06:53:02","slug":"how-to-cure-dmarc","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/how-to-cure-dmarc\/22594\/","title":{"rendered":"DMARC: come correggere il tiro"},"content":{"rendered":"<p>Nel corso della storia della posta elettronica, sono state inventate molte tecnologie per <a href=\"https:\/\/www.kaspersky.it\/blog\/36c3-fake-emails\/19876\/\" target=\"_blank\" rel=\"noopener\">proteggere i destinatari dalle e-mail fraudolente (soprattutto dal phishing)<\/a>. Il DomainKeys Identified Mail (DKIM) e il Sender Policy Framework (SPF) presentavano notevoli inconvenienti, per cui \u00e8 stato progettato il meccanismo di autenticazione della posta basato sul dominio \u201cMessage Authentication Reporting and Conformance\u201d (DMARC) per identificare i messaggi con un finto dominio del mittente. Tuttavia, DMARC non si \u00e8 rivelata essere la soluzione ideale; pertanto, i nostri ricercatori hanno sviluppato una tecnologia aggiuntiva per eliminare gli svantaggi di questo approccio.<\/p>\n<h2>Come funziona DMARC<\/h2>\n<p>Un\u2019azienda che vuole impedire che altre persone possano inviare e-mail utilizzando i nomi dei suoi dipendenti, pu\u00f2 configurare DMARC nel suo record di risorse DNS. In sostanza, ci\u00f2 consente ai destinatari del messaggio di assicurarsi che il nome di dominio nell\u2019header \u201cda:\u201d sia lo stesso su DKIM e SPF. Inoltre, il record indica l\u2019indirizzo a cui i server di posta inviano i report relativi ai messaggi ricevuti che non hanno superato la verifica (ad esempio, se si \u00e8 verificato un errore o \u00e8 stato rilevato un tentativo di farsi passare per un mittente).<\/p>\n<p>Nello stesso record di risorse, si pu\u00f2 anche configurare la politica DMARC per specificare cosa succede al messaggio se non supera la verifica. Esistono tre tipi di politiche DMARC che coprono i seguenti casi:<\/p>\n<ul>\n<li>La politica pi\u00f9 rigorosa \u00e8 quella di <em>rifiutare<\/em> i messaggi. Da selezionare per bloccare tutte le e-mail che non superano il controllo DMARC;<\/li>\n<li>Con la <em>politica di Quarantena<\/em>, a seconda delle impostazioni esatte del servizio di posta, il messaggio finir\u00e0 nella cartella spam o sar\u00e0 consegnato ma contrassegnato come sospetto;<\/li>\n<li><em>Nessuna<\/em> \u00e8 la modalit\u00e0 che consente al messaggio di raggiungere normalmente la casella di posta del destinatario, anche se viene comunque inviato un report al mittente.<\/li>\n<\/ul>\n<h2>Gli svantaggi di DMARC<\/h2>\n<p>In generale, DMARC funziona, riuscendo a ostacolare il phishing. Tuttavia,\u00a0 nel risolvere un problema, ne provoca un altro: i falsi positivi. I messaggi legittimi possono essere bloccati o contrassegnati come spam in due casi:<\/p>\n<ul>\n<li><strong>Messaggi<\/strong> <strong>inoltrati<\/strong>. Alcuni sistemi di posta rompono le firme SPF e DKIM nei messaggi inoltrati, sia che i messaggi vengano inoltrati da diverse caselle di post, sia che vengano reindirizzati tra nodi postali intermedi (relay);<\/li>\n<li><strong>Impostazioni errate. <\/strong>Non \u00e8 raro che gli amministratori dei servar di posta commettano errori nella configurazione di DKIM e SPF.<\/li>\n<\/ul>\n<p>Quando si tratta di e-mail commerciali, \u00e8 difficile dire quale scenario sia peggiore: far passare un\u2019e-mail di phishing o bloccare un messaggio legittimo.<\/p>\n<h2>Il nostro approccio per correggere i difetti di DMARC<\/h2>\n<p>Troviamo la tecnologia indiscutibilmente utile, cos\u00ec abbiamo deciso di rafforzarla aggiungendo l\u2019apprendimento automatico al processo di convalida, per ridurre al minimo i falsi positivi senza compromettere i benefici di DMARC. Ecco come funziona.<\/p>\n<p>Quando gli utenti scrivono le e-mail, usano un Mail User Agent (MUA) come Microsoft Outlook. Il MUA \u00e8 responsabile della generazione del messaggio e del suo invio al Mail Transfer Agent (MTA) per l\u2019ulteriore \u201cinstradamento\u201d. Il MUA aggiunge gli header tecnici necessari al corpo del messaggio, all\u2019oggetto e all\u2019indirizzo del destinatario (che vengono compilati dall\u2019utente).<\/p>\n<p>Per aggirare i sistemi di sicurezza, i cybercriminali utilizzano spesso i propri MUA. Di regola sono motori di posta elettronica fatti in casa che generano e compilano i messaggi secondo un determinato modello. Ad esempio, generano header tecnici per i messaggi e il loro contenuto. Ogni MUA ha la sua \u201ccalligrafia\u201d.<\/p>\n<p>Se il messaggio ricevuto non supera il controllo DMARC, entra in gioco la nostra tecnologia. Si tratta di un servizio su cloud che si connette con la soluzione di sicurezza del dispositivo. Viene avviata un\u2019ulteriore analisi della sequenza degli header e dei contenuti degli header X-Mailer e Message-ID mediante una rete neurale, permettendo cos\u00ec alla soluzione di distinguere un\u2019e-mail legittima da una di phishing. La tecnologia \u00e8 stata testata su un numero davvero importante di messaggi di posta elettronica (circa 140 milioni di messaggi, di cui il 40% di spam).<\/p>\n<p>L\u2019unione della tecnologia DMARC con l\u2019apprendimento automatico aiuta a garantire la protezione dell\u2019utente dagli attacchi di phishing, riducendo al minimo il numero di falsi positivi. Abbiamo gi\u00e0 implementato la tecnologia in tutti i nostri prodotti su cui \u00e8 presente un componente antispam, ovvero: Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server e Kaspersky Security for Mail Gateway (che fanno parte di <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Total Security for Business<\/a> e <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security\/microsoft-office-365-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kso365___\" target=\"_blank\" rel=\"noopener\">Kaspersky Security for Microsoft Office 365<\/a>).<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Il meccanismo DMARC ha i suoi inconvenienti, ma abbiamo sviluppato una tecnologia per superarli.<\/p>\n","protected":false},"author":2598,"featured_media":22595,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[3402,3401,2207,116,3403,939],"class_list":{"0":"post-22594","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-dkim","11":"tag-dmarc","12":"tag-e-mail","13":"tag-phishing","14":"tag-spf","15":"tag-tecnologie"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/how-to-cure-dmarc\/22594\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-cure-dmarc\/21708\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-cure-dmarc\/17171\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/how-to-cure-dmarc\/23047\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-cure-dmarc\/21240\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-cure-dmarc\/19939\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-cure-dmarc\/23685\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-cure-dmarc\/28935\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/how-to-cure-dmarc\/8716\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-cure-dmarc\/36787\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-cure-dmarc\/15501\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/how-to-cure-dmarc\/13954\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/how-to-cure-dmarc\/24966\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/how-to-cure-dmarc\/11857\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/how-to-cure-dmarc\/29054\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/how-to-cure-dmarc\/25963\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-cure-dmarc\/22758\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-cure-dmarc\/27998\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-cure-dmarc\/27829\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/e-mail\/","name":"e-mail"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22594","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=22594"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22594\/revisions"}],"predecessor-version":[{"id":22608,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22594\/revisions\/22608"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/22595"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=22594"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=22594"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=22594"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}