L’implementazione corretta del protocollo DMARC è l’unico strumento informatico che abbiamo per impedire che il nostro dominio di posta venga usato per attaccare clienti e fornitori. Una parte fondamentale del protocollo prevede che i server di posta destinatari notifichino le email ricevute tramite un report XML. Da alcuni giorni anche Microsoft 365, dopo tanti anni di attesa, ha cominciato ad inviare i suoi report e, in più, con una fantastica sorpresa positiva. Analizzeremo le caratteristiche di questi report con l’occhio attento di chi deve mettere in sicurezza il brand aziendale, non solo un mero dominio di posta.
La protezione del brand
Tutti i domini di posta che utilizziamo, o che abbiamo acquistato per proteggere il nostro brand, devono essere protetti con il protocollo DMARC. Abbiamo affrontato tante volte l’argomento e consiglio un ripasso in quanto capita spesso che si dia per scontata la gestione del protocollo SMTP trascurando l’importanza dell’uso improprio del nostro dominio di posta da parte degli attaccanti. Una policy DMARC a reject deve essere lo scopo di ogni grande azienda che fa del suo brand, e quindi dei suoi domini di posta, un valore da preservare. Purtroppo meno del 15% delle aziende italiane sono al sicuro. Pianificare una seria adozione del DMARC, su aziende di grandi dimensioni, necessita di consulenti che conoscano i flussi ed il protocollo SMTP alla perfezione. Grazie ad uno degli aspetti del DMARC possiamo ricevere una notifica ogni volta che qualche server di posta nel mondo riceve una mail col nostro dominio, fasulla o autentica che sia. La policy DMARC a reject ci darà la garanzia che le email finte non andranno in consegna nella casella di posta destinataria.
Il sito di reportistica
Popolando il parametro RUA nel record DMARC indichiamo la casella di posta dove ricevere i report. Un ruolo fondamentale, per l’adozione ed il controllo, lo ricopre un portale di reportistica che “parsizzi” le migliaia di report XML, ne tenga lo storico e li organizzi coerentemente. Esistono molti siti di reportistica ed il costo non è assolutamente sinonimo di accuratezza nell’informazione utile al controllo dell’uso improprio del dominio. Tutti sanno indicare se una mail è vera o fasulla, è scritto nel report, ma quando è fasulla quali sono le informazioni aggiuntive che possiedo? Reverse lookup degli ip sorgente, raggruppamento dei report per fonte di spedizione, chiara suddivisione tra la verifica DKIM ed SPF, chiara differenza tra dominio from e mail-from sono alcune delle informazioni vitali. Tra poco verrà presentato il primo portare di reportistica di un’azienda italiana leader mondiale della sicurezza nella posta elettronica, lo attendiamo con curiosità.
La logica di invio dei report in Microsoft 365
Fino al marzo 2023 la gran parte dei report DMARC arrivavano dalle piattaforme Google e Yahoo mentre Microsoft inviava, talvolta, i report dalla piattaforma free Outlook.com. In questo modo coloro che volevano raccogliere i dati DMARC non avevano alcuna evidenza delle consegne effettuate verso Microsoft 365. Ora anche il colosso di Redmond invia i suoi report ma solo se il dominio di posta destinatario ha il record MX che punta direttamente su Exchange online: azienda-it.mail.protection.outlook.com. Questa scelta è sostanzialmente corretta in quanto è fuorviante e potenzialmente errato inviare report DMARC quando un altro sistema di posta intermedia la consegna, magari filtrando o modificando la struttura delle mail. I report vengono inviati a prescindere che il destinatario abbia implementato il DMARC oppure no in Microsoft 365, tutto dipende dall’implementazione corretta nel dominio mittente.
La fantastica sorpresa di Microsoft 365
Google, quando invia i report, indica solamente il dominio mittente senza indicare il dominio destinatario della mail. Con questa informazione, seppur limitata, riusciamo a capire benissimo chi usa in maniera fraudolenta il dominio DMARC ma senza sapere quale dominio era il destinatario dell’attacco. In altre parole tutti i domini di posta dei clienti in Google Workspace sono equiparati a google.com. A differenza di Google, gli sviluppatori di Microsoft hanno inserito un’importante informazione in più nei report di consegna, il campo Envelpe To che indica il dominio specifico a cui la mail del dominio DMARC mittente stava inviado la mail. In questo modo chi implementa e controlla il brand, oltre a sapere se il suo dominio di posta viene usato malevolmente, conosce anche a chi è diretto l’attacco a proprio nome. Dato che le email sono ancora il cavallo di Troia per entrare in azienda nel 75% dei casi, riusciamo ad indirizzare comunicazioni mirate verso i nostri clienti o fornitori quando notiamo flussi anomali verso di loro.
Conclusioni
Lo aspettavamo da anni e finalmente anche Microsoft notifica le email ricevute a chi implementa il protocollo DMARC, lo fa con l’informazione chiave: il dominio destinatario della mail notificata. Grazie a questa informazione analizzeremo le campagne di attacco effettuate dai malintenzionati nel mondo riuscendo a capirne meglio le logiche.
Leggere i report DMARC inviati da Microsoft 365 con l’etichetta Enterprise Outlook fa sorridere, sembra evidenziare un Outlook per ricchi ed uno per poveri. Forse Exchange Online o Microsoft365 sarebbe stato più coerente ma sempre meglio di Forefront.