Redazione MailSniper
Autore
Hai mai ricevuto un'email dalla tua banca che ti sembrava strana? O una richiesta dal tuo capo che non tornava del tutto? C'è una buona probabilità che quell'email non arrivasse davvero da chi pensavi.
Si chiama email spoofing. In pratica, qualcuno invia un'email falsificando il campo "Da:" per sembrare un mittente affidabile — il tuo fornitore, la tua banca, il tuo amministratore delegato, persino un tuo collega.
Non servono competenze da hacker. Con pochi strumenti gratuiti, chiunque può inviare un'email che sembra arrivare da qualsiasi indirizzo. Il protocollo SMTP — il sistema su cui si basa tutta la posta elettronica mondiale — è stato progettato negli anni '80, quando internet era un posto piccolo e ci si fidava tutti. Non prevede nessuna verifica nativa del mittente.
È come spedire una lettera cartacea scrivendo sulla busta il nome e l'indirizzo di qualcun altro. Le Poste consegnano la lettera senza verificare se il mittente sia quello vero.
Il risultato? Lo spoofing è alla base del 90% degli attacchi di phishing e della quasi totalità degli attacchi BEC (Business Email Compromise). Secondo i dati FBI, gli attacchi BEC hanno causato perdite per oltre 50 miliardi di dollari a livello globale dal 2013 a oggi.
Ma la buona notizia è che puoi difenderti. Ecco come.
Prima di passare alla difesa, impariamo a riconoscere il problema. Ci sono segnali chiari che un'email non è quello che sembra.
Il primo passo è il più semplice. Guarda bene l'indirizzo del mittente — non il nome visualizzato, ma l'indirizzo email completo.
Molti client di posta mostrano solo il nome. "Mario Rossi" sembra rassicurante. Ma se clicchi o passi il mouse sopra, potresti scoprire che l'indirizzo reale è m.rossii@dominio-strano.xyz (nota la doppia "i") o mario.rossi@fornitore-reale.com.attaccante.ru.
I trucchi più comuni:
amaz0n.com invece di amazon.com, rnicrosoft.com (con "rn" che sembra "m") invece di microsoft.comlogin.bancaintesa.attaccante.com — il dominio reale è attaccante.com, non bancaintesaQuesto richiede di guardare gli header dell'email. Il campo From: (Da:) è quello che vedi normalmente. Il campo Return-Path: è l'indirizzo tecnico reale del mittente.
Se l'email dice di arrivare da fatture@fornitore.it ma il Return-Path punta a server-47@hosting-random.xyz, hai la conferma che il mittente è falsificato.
Come vedere gli header? Su Gmail: tre puntini > "Mostra originale". Su Outlook: File > Proprietà. Oppure usa il nostro analizzatore di header che fa tutto in automatico.
Prima di cliccare qualsiasi link nell'email, passa il mouse sopra. In basso a sinistra nel browser (o nel tooltip del client di posta) vedrai l'URL reale di destinazione.
Se l'email dice "Accedi al tuo conto" e il link punta a http://192.168.45.67/login.php invece che a https://www.bancaintesa.it, non cliccare. Se il dominio nel link non corrisponde esattamente al sito ufficiale del mittente, è spoofing.
Lo spoofing funziona perché gioca sulle emozioni. Le email spoofate hanno quasi sempre uno di questi elementi:
Se un'email combina un mittente apparentemente legittimo con un tono di urgenza estrema, fermati. Verifica per altra via — una telefonata, un messaggio su un altro canale — prima di agire.
Negli header dell'email, cerca il campo Authentication-Results. Qui trovi il verdetto sui tre protocolli di autenticazione email: SPF, DKIM e DMARC.
Se vedi:
spf=fail
dkim=fail
dmarc=fail...l'email non ha superato i controlli di autenticazione. Il mittente dichiarato non corrisponde al server che ha effettivamente inviato il messaggio. È spoofing confermato.
Se vedi pass su tutti e tre, l'email è molto probabilmente autentica. Ma attenzione: "pass" non significa sicuro al 100% — un attaccante potrebbe aver compromesso l'account reale del mittente. In quel caso non è spoofing, ma account takeover.
Riconoscere lo spoofing è il primo livello di difesa. Ma la protezione vera si costruisce con misure tecniche concrete. Ecco i 5 passi, dal più semplice al più completo.
SPF (Sender Policy Framework) è il primo muro di difesa. È un record DNS che dice al mondo: "Solo questi server sono autorizzati a inviare email per conto del mio dominio."
Senza SPF, chiunque può inviare email dal tuo dominio. Con SPF, i server di posta dei destinatari verificano se l'email arriva da un server autorizzato. Se non lo è, possono rifiutarla.
Come verificare se il tuo dominio ha SPF configurato? Usa il nostro tool di verifica DNS. Inserisci il tuo dominio e in 3 secondi saprai se SPF è attivo e se è configurato correttamente.
Un record SPF base ha questo aspetto:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com -allLa parte importante è il -all finale: significa "rifiuta tutto quello che non è esplicitamente autorizzato". Se vedi ~all (tilde), il controllo è più morbido — meglio il meno rigido -all.
DKIM (DomainKeys Identified Mail) aggiunge una firma crittografica a ogni email che invii. Il server del destinatario verifica la firma confrontandola con una chiave pubblica nel tuo DNS.
Se qualcuno modifica anche solo una virgola nell'email durante il transito, la firma non corrisponde più. DKIM garantisce due cose: che l'email arriva davvero dal tuo dominio, e che non è stata alterata lungo il percorso.
DKIM si configura nel pannello del tuo provider di posta (Google Workspace, Microsoft 365, ecc.) e richiede l'aggiunta di un record TXT nel DNS. Il nostro tool di verifica controlla anche la configurazione DKIM.
DMARC è il pezzo che unisce tutto. Dice ai server di posta: "Se un'email dal mio dominio non supera SPF e DKIM, ecco cosa fare."
Le tre policy possibili:
p=none — non fare nulla, solo monitoraggio (utile come primo passo)p=quarantine — metti in spam le email che fallisconop=reject — rifiuta completamente le email che fallisconoL'obiettivo finale è arrivare a p=reject. Con questa policy, se qualcuno tenta di spoofere il tuo dominio, l'email non arriva nemmeno allo spam del destinatario. Viene rifiutata dal server.
Attenzione: non passare subito a "reject". Inizia con "none" per qualche settimana, analizza i report DMARC per assicurarti che tutte le tue email legittime superino i controlli, poi passa a "quarantine" e infine a "reject".
Un record DMARC ha questo aspetto:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@tuodominio.itL'indirizzo rua è dove riceverai i report aggregati — fondamentali per capire chi sta inviando email a nome del tuo dominio.
SPF, DKIM e DMARC proteggono il tuo dominio dall'essere spoofato da altri. Ma non ti proteggono dalle email spoofate che ricevi — soprattutto se il mittente spoofato non ha configurato DMARC (e molti non l'hanno fatto).
Per questo serve un gateway email che analizzi ogni messaggio in arrivo con livelli di controllo multipli. MailSniper verifica SPF, DKIM e DMARC su ogni email ricevuta, ma va oltre: analizza gli header per inconsistenze, confronta il From: con il Return-Path:, verifica la reputazione dell'IP del server mittente, e usa algoritmi di machine learning per identificare pattern di spoofing anche quando i controlli DNS sono assenti.
È la differenza tra avere un lucchetto sulla porta (SPF/DKIM/DMARC sul tuo dominio) e avere una guardia armata all'ingresso (un gateway che controlla chi entra). Ti servono entrambi.
Scopri tutti i livelli di protezione di MailSniper — dalla verifica dell'autenticazione all'analisi comportamentale AI.
La tecnologia ferma il 99% degli attacchi. Ma quell'1% che passa — magari perché usa un account compromesso legittimo, non spoofing puro — deve incontrare dipendenti preparati.
La formazione anti-spoofing non deve essere una lezione noiosa una volta all'anno. Deve essere pratica e continua:
Puoi iniziare subito con il nostro Test Phishing — un quiz interattivo con scenari reali di spoofing e phishing che allena l'occhio del tuo team.
MailSniper non si limita a controllare SPF, DKIM e DMARC. Ecco i livelli di protezione anti-spoofing che entrano in gioco su ogni email.
Ogni email viene analizzata su più dimensioni: il campo From:, il Return-Path:, il Message-ID, gli header Received:, la reputazione dell'IP di invio. Se anche solo un elemento non torna, l'email viene segnalata.
MailSniper mantiene un database di domini che somigliano al tuo (typosquatting). Se qualcuno registra tu0dominio.it (con lo zero) e prova a inviare email ai tuoi dipendenti, il sistema lo rileva e blocca il messaggio.
Gli attacchi BEC (Business Email Compromise) usano spesso lo spoofing per impersonare dirigenti. MailSniper analizza il comportamento comunicativo abituale — chi scrive a chi, con che frequenza, con che tono — e segnala le anomalie. Se il "CEO" scrive al reparto amministrativo per la prima volta in 6 mesi con una richiesta urgente di bonifico, il sistema alza una bandiera rossa.
Ogni tentativo di spoofing bloccato viene registrato. Puoi vedere chi sta cercando di impersonare il tuo dominio, da dove, con che frequenza. Questi dati sono preziosi per capire se sei nel mirino di una campagna mirata.
Ricapitoliamo. Ecco la tua checklist in ordine di priorità:
Se il tuo dominio non ha nemmeno SPF configurato, sei completamente esposto. Bastano 5 minuti per verificarlo.
Prossimi passi:
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl GDPR impone obblighi specifici sulla sicurezza delle comunicazioni email. Ecco cosa devono sapere le aziende italiane per essere conformi e protette.
LeggiIl social engineering ha aggirato l'autenticazione a due fattori di Odido, esponendo milioni di clienti. Un caso che insegna alle PMI italiane quanto vale davvero il fattore umano nella sicurezza aziendale.
LeggiRimborsi falsi, cartelle esattoriali urgenti, PEC compromesse: le truffe via email che sfruttano il nome dell'Agenzia delle Entrate sono sempre piu' sofisticate. Ecco i 5 tipi piu' comuni nel 2026, i 7 segnali per riconoscerle e cosa fare per proteggerti.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.