La posta elettronica è l’argomento di sicurezza informatica dove pensiamo che un buon antivirus, antispam, antimalware risolva tutti i nostri problemi. L’evidenza che il 75% degli attacchi entri ancora da questo canale di comunicazione ci fa capire quanta strada dobbiamo ancora percorrere. Quando in azienda non si controlla il protocollo DMARC lasciamo campo libero agli attaccanti che si infilano tra le maglie delle errate configurazioni dei nostri domini.
L’impersonificazione dei domini di posta
Quando tutti noi inviamo un’email dal nostro client di posta elettronica facciamo coincidere, senza saperlo, i domini From e MailFrom rendendo la nostra mail attendibile con una configurazione corretta del solo, e conosciutissimo, protocollo SPF. Quando invece le email partono da fonti di spedizione massive utilizzate dagli uffici marketing o commerciale è fondamentale configurare correttamente anche i protocolli DKIM e DMARC. Se quest’ultimo passo non viene effettuato gli attaccanti sfruttano questa debolezza per inviare phishing ai nostri clienti e fornitori. Dal punto di vista del protocollo SMTP non c’è alcuna differenza se l’email parte da un provider conosciuto (MailChimp, Sendgrid, MailUp ecc…) oppure tramite un malware oppure un sito utilizzabile per fare dei test (Emkei.cz).
Per il nostro dominio di posta possiamo porre rimedio configurando bene il protocollo DMARC ma, possiamo fare poco se siamo destinatari del phishing proveniente da domini di posta che non implementano questo protocollo. Talvolta, aimè, riceviamo email commerciali dai nostri fornitori che vengono bloccate per una loro errata configurazione del DMARC o per una loro mancata configurazione del DKIM. Per porre rimedio non c’è azione peggiore che mettere il dominio mittete in whitelist dell’antispam, così facendo ci apriamo ad attacchi sconsiderati anche se, successivamente, il nostro interlocutore implementerà il DMARC.
Il report da considerare in Microsoft365
In Italia solo il 7% dei domini configura correttamente il DMARC quindi possono esserci tante email massive malconfigurate, e importanti per i nostri utenti, che ci tocca autorizzare esplicitamente. Abbiamo analizzato che non dobbiamo mettere con leggerezza in whitelist il dominio mittete oppure il dominio del provider di posta massiva. L’unico modo per porre rimedio alle errate configurazioni altrui, per buona pace dei nostri utenti, è inserire entrambi i domini in coppia (dominio From e dominio MailFrom) quando il nostro antispam ce lo permette. Il report che ci aiuta in questa analisi su Exchange Online si chiama Spoof Intelligence Insight.
Analizziamo le colonne:
- Spoofed user (dominio From): sono i domini che spediscono posta da sistemi di invio massivo o non verificato con SPF e DKIM.
- Sending infrastructure (domino MailFrom): sono i domini di invio di posta massivo o applicativo senza che sia stato configurato correttamente il DMARC sul dominio precedente.
- Message count: è il numero di messaggi arrivati negli ultimi 7 giorni, ci indica la portata del dominio spoofato nei nostri confronti (coppia di domini From e MailFrom)
- Last seen: è la data di ultima ricezione che ci permette di capire quanto siamo impattati dal dominio impersonificato (From)
- Spoof type: indica se il dominio è interno o esterno all’organizzazione
- Action: evidenzia come queste email sono state trattate secondo la decisione autonoma di ExchangeOnLine.
Dato che, in quanto spoofing di fatto, tutte queste email hanno un SCL (Spam Confidence Level) sopra al 5, se vogliamo avere la certezza che entrino, dobbiamo autorizzarle esplicitamente previo un attento controllo dei dettagli. Cliccando la riga specifica ci sono le categorie Domain summary, WhoIs data, Explorer investigation e Similar Emails.
Una whitelist intelligente
Quando decidiamo di autorizzare una coppia di domini (From e MailFrom), evidenziati nel report precedente, stiamo andando a popolare la white list Spoofed Senders. La furbizia di questa lista è l’abbinamento dei due domini; il dominio From della categoria “Spoofed user” potrà entrare solo se proveniente dal dominio MailFrom della categoria “Sending infrastructure”. In questo modo non stiamo autorizzando sempre e comunque il dominio From ma solo se spoofato dal dominio MailFrom.
La cosa che sconvolge osservando il gran numero di domini elencati nel report Spoof Intelligence Insight è la dimostrazione della dilagante ignoranza sull’esistenza e la configurazione del protocollo DMARC. E non si parla solo di piccoli domini ma anche e soprattutto di coloro che configurano con superficialità le spedizioni applicative e/o massive nonostante siano dei marchi blasonati.
Conclusioni
Microsoft 365 ha un sistema di intelligenza artificiale che capisce quando un dominio di posta viene impersonificato “a fin di bene” per invii massivi in mancanza delle configurazioni SPF e DKIM. Con un’attenta analisi dei domini spoofati che ci scrivono possiamo autorizzare puntualmente i mittenti cercando di limitare i danni quanto gli utenti si lementano di non ricevere email per loro importanti. L’implementazione del protocollo DMARC diffusa a livello planetario risolverebbe molti dei problemi di spam e spoofing, nel mentre non resta che popolare delle whitelist con metodo ed intelligenza.