Informazioni sul funzionamento dei controlli mittente

I controlli mittente servono a verificare l'autenticità dell'origine di un messaggio e-mail.

In questo paragrafo venono descritti i tipi di controlli mittente utilizzati da Sophos Email per proteggere gli utenti dalle e-mail illegittime.

Nota Questo paragrafo offre una breve spiegazione sul funzionamento dei controlli mittente, tuttavia non include informazioni dettagliate come l'impostazione di record DNS (DMARC, DKIM, SPF), in quanto si concentra principalmente sulla posta in entrata.

SPF

Sender Policy Framework (SPF) permette di verificare che i messaggi e-mail in entrata provengano da un indirizzo IP o da un host autorizzato dagli amministratori del dominio di origine.

Il mittente crea un record SPF che specifica l'host, gli indirizzi IP e le subnet che sono autorizzati a inviare messaggi e-mail da quel dominio.

Quando Sophos Email riceve un'e-mail, analizza l'indirizzo del server di posta che ha inviato il messaggio e lo confronta con i mittenti autorizzati, indicati nel record SPF. In mancanza di una corrispondenza, il controllo SPF risulterà non superato.

DKIM

DomainKeys Identified Mail (DKIM) viene utilizzato per autorizzare un'e-mail e agisce verificandone la firma digitale. Questo processo associa un nome di dominio all'e-mail.

Il mittente decide quale parte del messaggio e-mail desidera firmare (intestazione e/o corpo del messaggio) e successivamente configura il server di posta in modo da creare un hash per la o le parti desiderate. L'hash viene quindi cifrato con la chiave privata del mittente. Inoltre, viene pubblicato un record DKIM contenente la chiave pubblica utilizzata per decifrare la firma.

Quando Sophos Email rileva una firma DKIM in un'e-mail, effettua una ricerca nel DNS per individuare il record DKIM associato al dominio di origine. Adopera la chiave pubblica per decifrare la firma e riportarla al valore hash. Procede quindi analizzando gli elementi del messaggio che erano stati firmati e crea un hash, che viene confrontato con l'hash ottenuto dal processo di decifratura. In mancanza di una corrispondenza, il controllo DKIM risulterà non superato.

Vedere DKIM

DMARC

Il sistema DMARC (Domain-based Message Authentication, Reporting and Conformance) utilizza sia DKIM che SPF per confermare l'autenticità di un messaggio e-mail.

Il mittente crea un record DMARC che richiede al ricevente di eseguire controlli DMARC e che contiene informazioni su come procedere in caso di mancato superamento di tali controlli.

Quando viene ricevuta un'e-mail, Sophos Email svolge un controllo del DNS per individuare il record DMARC corrispondente al dominio specificato nell'indirizzo Da (intestazione) del messaggio di posta. Il record DMARC comunica al ricevente (in questo caso Sophos Email) che deve svolgere un controllo DMARC e specifica cosa fare in caso di mancato superamento di tale controllo. L'opzione predefinita di Sophos Email per i messaggi che non superano i controlli DMARC è Conforma al criterio del mittente, il che significa che quello che succede al messaggio dipenderà dalle istruzioni definite nel record DMARC. Il dominio specificato nell'indirizzo Da viene confrontato con le informazioni contenute nei record SPF e DKIM per verificarne la corrispondenza. Per superare un controllo DMARC, il messaggio deve superare i controlli di convalida e allineamento di SPF o DKIM:

  • Per SPF, il dominio specificato nell'indirizzo MAIL FROM (envelope) deve trovare una corrispondenza con uno degli indirizzi IP o subnet specificati nel record SPF. DMARC procede quindi al controllo dell'indirizzo MAIL FROM, confrontandolo con l'indirizzo Da, per confermarne l'allineamento.
  • Per DKIM, la firma deve essere convalidata e il dominio specificato nell'indirizzo Da deve corrispondere al dominio utilizzato per creare la firma specificata nel record DNS.

Vedere DMARC.

Anomalie nell'intestazione

Il controllo delle Anomalie nell'intestazione protegge gli utenti dalle e-mail di spoofing provenienti dal proprio dominio.

Identifica le e-mail che dall'aspetto sembrano provenire dal proprio dominio, ma la cui origine è in realtà un dominio esterno. Questo controllo prevede il confronto tra l'intestazione "Da" dell'e-mail e il dominio del destinatario, e la verifica dell'indirizzo del MITTENTE nella busta del messaggio.

  • Se il dominio dell'indirizzo "Da" appartiene allo stesso cliente del dominio del destinatario, l'e-mail viene considerata come falsificata (spoof).
  • Se l'indirizzo "Da" nell'intestazione non è lo stesso dell'indirizzo del MITTENTE nella busta, l'e-mail viene considerata come falsificata (spoof).
Nota Il controllo Anomalie nell'intestazione si attiva automaticamente quando l'intestazione trova corrispondenza con entrambi i criteri di cui sopra.