Bloccare email spam e phishing inviate dai domini che non si usano, configurando i record DNS

I nomi a dominio "parcheggiati" e non utilizzati per l'invio e la ricezione di email, potrebbero essere sfruttati da parte di malintenzionati per l'invio di email fraudolente. Come evitare queste pratiche configurando correttamente i record DNS.

L’email spoofing è una tecnica utilizzata dagli aggressori informatici per inviare messaggi di posta fraudolenti, facendoli sembrare provenire da un mittente legittimo. Come abbiamo ricordato in tanti nostri articoli, infatti, il mittente dell’email è facilmente falsificabile. In un altro articolo abbiamo visto come ciascun utente possa verificare da dove arriva un’email e chi l’ha spedita. Accade spesso che nomi a dominio rimasti inutilizzati per molto tempo siano sfruttati da parte dei malintenzionati. Come fare per bloccare email spam e phishing inviate dai domini che non si usano (che ad esempio si registrano ma restano a lungo “parcheggiati”…).

Prevenire l’email spoofing e bloccare spam e phishing attraverso la posta elettronica

Uno dei modi più efficaci per prevenire il fenomeno dell’email spoofing consiste nel configurare correttamente le impostazioni DNS del dominio. Da febbraio 2024 Google e Yahoo hanno introdotto nuove regole per bloccare le email potenzialmente indesiderate. Le policy riguardano tutti i soggetti che inviano almeno 5.000 email (mass mailing) in un’unica giornata.

Per evitare che i propri domini inutilizzati siano sfruttati da parte di terzi per l’invio di email fraudolente, è consigliabile seguire alcuni passaggi che si rivelano particolarmente efficaci. Li vediamo brevemente di seguito.

Impostare un record MX NULL

Il record MX (Mail Exchange) è comunemente utilizzato per indicare ai server di posta elettronica verso quali sistemi devono indirizzare i messaggi di posta destinati allo specifico dominio.

Quando un dominio non è utilizzato per l’invio e la ricezione di email, è consigliabile impostare il record MX su NULL, in modo che i server di posta elettronica rifiutino le email provenienti da quel dominio. Un esempio di configurazione è il seguente:

nomedeldominio.abc. 1 IN MX 0 .

Configurare il record SPF

SPF (Sender Policy Framework) è uno standard progettato per fornire un valido aiuto nel contrasto delle attività volte alla falsificazione dell’indirizzo del mittente.

Gli amministratori IT creano una lista di server autorizzati per l’invio di email per conto di uno specifico dominio. Quando un’email è ricevuta da un server di posta elettronica, il server di destinazione verifica l’autenticità del mittente confrontando l’indirizzo IP del server inviante con la lista di server autorizzati, presenti nel record SPF del dominio.

Per i domini “parcheggiati”, che non devono inviare e ricevere email, si può usare la seguente configurazione:

nomedeldominio.abc. 1 IN TXT "v=spf1 -all"

Il record SPF stabilisce una politica molto restrittiva per il dominio specificato. Nel meccanismo di qualificazione SPF, il segno meno (“-“) seguito da all indica che tutte le email provenienti dal dominio dovrebbero fallire la verifica SPF. In altre parole, la configurazione specifica che i server di posta elettronica debbano rifiutare tutte le email che non provengono da server autorizzati (e nessun server autorizzato è specificato).

Impostare un record DKIM

L’utilizzo del record DomainKeys Identified Mail (DKIM) consiste in un metodo di autenticazione delle email che consente di verificare che ciascun messaggio provenga da un mittente legittimo e che il suo contenuto non sia stato modificato durante la trasmissione.

Configurare un record DKIM per un dominio, aggiunge una firma digitale all’intestazione (header) di tutte le email inviate, consentendo ai server di posta elettronica di verificare l’autenticità delle email gestite. Un esempio di configurazione per i domini inutilizzati è il seguente:

*._domainkey.nomedeldominio.abc. 1 IN TXT "v=DKIM1; p="

La prima parte della direttiva usa un selettore wildcard (*), che può essere utilizzato per estendere la policy al dominio e a tutti i sottodomini. L’opzione p= specifica la chiave pubblica DKIM per il dominio. Poiché, in questo caso, la chiave non è indicata, il controllo DKIM circa l’autenticità del mittente fallisce automaticamente e l’email recapitata al destinatario è segnalata come non autorizzata.

Creare una Politica DMARC

Lo standard Domain-based Message Authentication, Reporting, and Conformance (DMARC) consente ai proprietari dei domini di specificare come dovrebbero essere gestite le email che non superano i controlli SPF e DKIM.

Configurare una politica DMARC per un dominio, consente di specificare se le email con uno specifico riferimento al dominio nell’indirizzo del mittente, debbano essere accettate, rifiutate o sottoposte a ulteriori controlli. Un esempio di configurazione è il seguente:

_dmarc.nomedeldominio.abc. 1 IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s;"

Il comando configura un record DMARC per il dominio specificato: la politica molto restrittiva fa sì che le email che non superano i controlli SPF e DKIM siano automaticamente rifiutate, sia per il dominio principale che per i sottodomini.

Evitare problemi con i domini che non inviano email

Questo paragrafo fornisce istruzioni dettagliate su come verificare e configurare correttamente le impostazioni DNS per un dominio che non invia email, al fine di prevenire attacchi di spoofing e phishing.

L’utilizzo dei noti comandi nslookup, dig e host, a seconda del sistema operativo in uso, permette di verificare e confermare i record DNS per il dominio non utilizzato per scopi di invio e ricezione dei messaggi di posta elettronica.

host -t MX nomedeldominio.abc Comando che restituisce i record MX (Mail Exchange) per il dominio specificato. Si tratta dei server di posta elettronica autorizzati a ricevere email per il dominio.

host -t TXT nomedeldominio.abc Richiede la visualizzazione dei record TXT per il dominio. Essi possono contenere informazioni aggiuntive come le politiche di sicurezza del dominio.

host -t TXT *._domainkey.nomedeldominio.abc Il comando permette di accedere ai record TXT per il sottodominio DKIM specificato. In questo modo si ottengo informazioni sulle chiavi pubbliche DKIM utilizzate per firmare le email.

host -t TXT _dmarc.nomedeldominio.abc Restituisce i record TXT per il sottodominio DMARC. Qui sono contenute le informazioni sulle politiche di autenticazione delle email per il dominio.

Ti consigliamo anche

Link copiato negli appunti