Quando il mittente non è chi dice di essere: come i criminali falsificano gli indirizzi email e perché il protocollo SMTP glielo permette.
Lo spoofing emailè la tecnica con cui un attaccante falsifica l'indirizzo del mittente di un'email per far credere al destinatario che il messaggio provenga da una fonte affidabile — un collega, il CEO, la banca, un fornitore.
È come ricevere una lettera con il timbro della tua banca sulla busta, ma scritta da un truffatore. Il contenuto sembra legittimo, il mittente sembra reale, e tu non hai modo di distinguerlo a occhio nudo.
Perché è possibile?
Il protocollo SMTP(Simple Mail Transfer Protocol), progettato negli anni '80, non prevede nessun meccanismo nativo di verifica del mittente. Chiunque con un minimo di competenze tecniche può inviare un'email con qualsiasi indirizzo nel campo "Da:". È un difetto di design, non un bug.
Non tutto lo spoofing funziona allo stesso modo. I criminali usano due tecniche principali, con livelli di sofisticazione diversi:
La tecnica più semplice e più comune. Il criminale cambia solo il nome visualizzatodell'email, mantenendo un indirizzo reale diverso.
Da: Andrea Panzeri <attacker@gmail.com>
Sul telefono vedi solo "Andrea Panzeri" — non l'indirizzo reale
La tecnica più pericolosa. Il criminale falsifica l'intero dominio del mittente, facendo sembrare che l'email provenga dal dominio aziendale vero.
Da: Andrea Panzeri <andrea@bulltech.it>
Indirizzo apparentemente legittimo — ma è stato falsificato nell'header SMTP
C'è anche una variante intermedia: il lookalike domain spoofing, dove il criminale registra un dominio simile (es. buIltech.itcon la "I" maiuscola al posto della "l") per ingannare chi legge velocemente.
Per risolvere il problema dello spoofing, nel tempo sono stati creati tre protocolli di autenticazione che lavorano insieme come una catena di verifica:
Specifica quali server sono autorizzati a inviare email per conto del tuo dominio. Se un'email arriva da un server non in lista, viene segnalata come sospetta. È la prima linea di difesa.
Aggiunge una firma crittografica all'email. Il server ricevente può verificare che il messaggio non sia stato alterato in transito e che provenga effettivamente dal dominio dichiarato.
Unisce SPF e DKIM e aggiunge una policy: cosa fare se un'email fallisce i controlli? Rifiutarla? Metterla in quarantena? DMARC te lo fa decidere tu, come proprietario del dominio.
Il problema? Solo il 30% dei domini aziendali ha una policy DMARC configurata correttamente. Puoi verificare il tuo dominio con il nostro strumento di verifica DNS.
MailSniper non si limita a controllare SPF/DKIM/DMARC. Va oltre, perché molti attacchi di spoofing aggirano questi controlli:
Controllo rigoroso dei record di autenticazione con enforcement delle policy DMARC del mittente.
L'AI confronta il display name con i contatti noti dell'azienda e segnala impersonificazioni.
Identifica domini simili al tuo (typosquatting) usati per ingannare i tuoi dipendenti.
Le email da mittenti esterni che usano nomi interni mostrano un banner "Attenzione: mittente esterno".
Il protocollo che specifica quali server possono inviare email per il tuo dominio.
Firma crittografica che garantisce l'integrità e l'autenticità dell'email.
Policy che unisce SPF e DKIM per decidere cosa fare con le email non autenticate.
Lo spoofing è spesso il primo passo di un attacco di phishing mirato.
Il Business Email Compromise usa lo spoofing per impersonare dirigenti e frodare l'azienda.