Team MailSniper
Autore
Stai controllando i log del tuo gateway email e noti qualcosa di strano: diverse email in uscita verso URL n8n.io, alcune con payload sospetti. Il problema? Gli attacker hanno scoperto che possono usare n8n come infrastruttura di comando e controllo per le loro campagne.
Da ottobre 2025, ricercatori di sicurezza hanno documentato un aumento significativo di attacchi che sfruttano la piattaforma di automazione n8n. Il motivo è semplice: è legittima, gratuita, e i filtri di sicurezza la considerano attendibile.
Come funziona l'attacco:
Se stai leggendo questo articolo, probabilmente hai già visto nei tuoi log email strane verso n8n.io o hai notato un incremento anomalo di email sospette. Oppure vuoi prepararti prima che succeda.
Prima di iniziare, assicurati di avere:
Il primo passo è cercare nei tuoi log le email che contengono riferimenti a n8n. Ecco come farlo sui sistemi più comuni.
Se usi Postfix:
grep -i "n8n" /var/log/mail.log | grep -E "(outbound|incoming)" | head -50Se usi Exchange (PowerShell):
Get-MessageTrackingLog -ResultSize 1000 | Where-Object {$_.MessageSubject -match "n8n" -or $_.Recipients -match "n8n.io"}Se usi MailSniper:
Cerca nella quarantine o nei log di protezione inbound per URL contenenti:
n8n.ion8n.cloudworkflow-n8nCerca anche stringhe come:
webhookhttp + n8ncallbackUna volta identificata un'email sospetta, scarica gli header completi. Cerca questi elementi:
Received: from n8n-worker-xxxxx.herokuapp.com (10.x.x.x)
by mx.example.com with ESMTP;
Tue, 15 Apr 2025 14:32:00 +0200
X-Originating-IP: [54.x.x.x] # IP Heroku/n8n cloud
X-Mailer: n8nGli header da controllare:
Se la tua azienda non usa n8n per workflow legittimi, puoi bloccare tutto il traffico verso i domini n8n. Aggiungi questa regola al tuo gateway:
Configurazione Postfix (main.cf):
# Blocca domini n8n sconosciuti
smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/n8n_block,
permit_mynetworksFile /etc/postfix/n8n_block:
n8n.io REJECT Untrusted n8n domain
n8n.cloud REJECT Untrusted n8n domain
*.n8n.io REJECT Untrusted n8n domainSe usi MailSniper:
Configura una regola di blocco URL nel pannello admin:
://.n8n.io/*Se la tua azienda usa n8n per workflow interni, non puoi bloccare tutto. Devi segmentare:
Esempio di allowlist Postfix:
# /etc/postfix/n8n_allowed
company-n8n.example.com OK
internal-workflow.example.com OKNon vuoi cercare manualmente ogni volta. Configura alert automatici:
Cron + logcheck:
# /etc/cron.d/n8n-alert
*/15 * * * * root grep -i "n8n" /var/log/mail.log | tail -5 >> /var/log/n8n-alert.logSe hai un SIEM:
Query esempio per Splunk:
source=mail_logs | regex _raw="n8n\.(io|cloud)" | stats count by src_ip, subject | where count > 3Ora che hai implementato le difese, verifica che funzionino correttamente.
Crea un'email con un link di test verso n8n.io e inviala al tuo indirizzo di test:
To: test@tuodominio.it
Subject: TEST n8n detection
Body: Clicca qui: https://n8n.io/test-phishing-attemptL'email dovrebbe essere:
grep -i "n8n" /var/log/mail.log | tail -20Dovresti vedere:
Se i tuoi utenti provano a inviare email contenenti link n8n sconosciuti:
grep "REJECT.*n8n" /var/log/mail.logDovresti vedere i tentativi bloccati con il codice di errore appropriato.
Sintomo: Email legittime che usano n8n vengono bloccate.
Soluzione: Aggiorna la allowlist con gli URL autorizzati. Controlla con il reparto IT se ci sono nuovi workflow n8n approvati.
Sintomo: Vedi domini come n8n-api.com o n8n-automation.io.
Soluzione: Usa regex più aggressive nel blocco:
smtpd_sender_restrictions =
check_sender_access pcre:/etc/postfix/n8n_block_regex,
permit_mynetworksCon regex: /n8n/i
Sintomo: L'attacco è subdolo, non trovi tracce evidenti nei log.
Soluzione: Cerca pattern secondari:
Sintomo: I tuoi workflow n8n legittimi non funzionano più.
Soluzione: Separa le regole inbound da outbound. Usa smtpd_recipient_restrictions per il blocco in ricezione.
Gli attacchi che sfruttano piattaforme di automazione come n8n sono una realtà. I filtri tradizionali si fidano di domini "legittimi" — e gli hacker lo sanno.
La difesa non è complicata: analizza i log, identifica i pattern sospetti, blocca o segmenta il traffico. Se hai un'antispam cloud come MailSniper che include URL analysis in tempo reale, hai già un vantaggio — il sistema può rilevare e bloccare questi link prima che arrivino agli utenti.
Il punto chiave: non basta più bloccare lo spam. Devi analizzare il comportamento, non solo il contenuto. E devi farlo ora, prima che il prossimo dipendente clicchi su quel link apparentemente innocuo.
Hai già visto qualcosa di sospetto nei tuoi log? Fammi sapere nei commenti — o meglio, vai a controllare adesso.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoI truffatori ora inviano email che sembrano provenire da Apple, sfruttando la fiducia nei brand tecnologici. Un singolo dipendente ingannato può costare alla tua azienda tra i 25.000 e i 50.000 euro. E il filtro antispam tradizionale non basta.
LeggiUna nuova piattaforma criminale chiamata ATHR combina operatori umani e agenti vocali AI per eseguire attacchi di vishing completamente automatizzati. Ecco cosa significa per la sicurezza della tua azienda.
LeggiDa ottobre 2025, gruppi criminali sfruttano n8n, piattaforma di automazione AI, come vettore per campagne di phishing e distribuzione malware. L'abuso di webhooks legittimi bypassa i filtri di sicurezza tradizionali. Analisi completa delle tecniche, impatto e raccomandazioni per la difesa.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.