L’email spoofing è un attacco informatico in cui un truffatore si spaccia per un mittente affidabile al fine di ottenere un vantaggio economico o accedere a dati sensibili.
Basta falsificare l’intestazione “From” per far sembrare il messaggio inviato da un collega, un fornitore o dalla tua stessa azienda. Sfruttando la fiducia generata, l’attaccante induce il destinatario a fornire informazioni o a compiere azioni dannose, pur partendo da un server controllato da lui e non dal legittimo mittente.

L’email spoofing si annida nella natura stessa di SMTP, il protocollo con cui gli scambi di posta elettronica nascono oltre trent’anni fa senza verifiche di mittente. Per un attaccante è sufficiente manipolare l’intestazione From per far apparire un messaggio come proveniente da un collega, un fornitore o persino dal reparto legale dell’azienda.

Perché lo spoofing funziona

Anche se i gateway moderni inseriscono controlli di trasporto, basta un client male configurato o un servizio SMTP terzo non protetto per far passare la falsificazione. Il risultato è un bounce inatteso che recapita al “mittente” ignaro una valanga di notifiche di errore, oppure un’email apparentemente interna che induce un dipendente a cliccare un link o aprire un allegato dannoso.

Sul fronte dell’attacco, i criminali preferiscono indirizzi conosciuti: convincono un PC già infetto a spillare la rubrica Outlook, estraggono un nome a caso e lo usano per inviare il payload a tutti i contatti. Se poi il testo include parti di conversazioni reali (grazie al malware Emotet o a un’intrusione API), il tasso di successo schizza alle stelle.

I controlli indispensabili

Per rendere vano ogni tentativo di spoofing, occorre abbinare tre livelli di difesa sul dominio aziendale:

SPF con enforcement rigido
Il record DNS v=spf1 include:spf.mns.it mx a -all vieta categoricamente l’invio da server non autorizzati. Nel 2025 è pratica comune integrare nel gateway MTA un milter che rinforzi il controllo SPF anche sui link cliccati all’interno delle email.

DKIM attivo e monitorato
La firma digitale DKIM garantisce che ogni messaggio arrivi intatto dal server di invio. Su MNS srl è sufficiente un click nel pannello per attivare la chiave a 2048 bit, e nel log di sistema si conserva traccia di ogni validazione, utile per eventuali analisi forensi.

DMARC con reportistica avanzata
Oltre a respingere o mettere in quarantena i messaggi non conformi, un record DMARC ben configurato (p=reject) invia report aggregati al Security Operations Center aziendale. In questo modo, ogni tentativo di spoofing genera un alert strutturato che alimenta il vostro sistema SIEM.

Il ruolo della threat intelligence e dell’automazione

Le soluzioni XDR/EDR analizzano pattern anomali nei log SMTP, mentre i workflow automatizzati possono bloccare il dominio sorgente non appena superi soglie sospette di tentativi falliti. MNS srl offre integrazioni native con le principali piattaforme di threat intelligence, sincronizzando in tempo reale le block-list personalizzate.

Come integrare queste misure con MNS srl 

Nel pannello di controllo MNS Srl trovi tutto quello che serve per mettere in sicurezza mittente e DNS del tuo dominio, senza passaggi manuali:

1. Attivi SPF e DKIM dalla sezione “Protezione dominio”
2. Definisci la policy DMARC e imposti la ricezione dei report su un indirizzo dedicato
3. Colleghi il feed di threat intelligence preferito per aggiornare automaticamente le block-list
4. Monitori in tempo reale lo stato di validazione dei messaggi tramite la dashboard “Sicurezza email”

In questo modo lo spoofing diventa un tentativo bloccato prima ancora che raggiunga la casella dell’utente.

Vuoi una mano a configurare SPF, DKIM e DMARC sul tuo dominio? Contatta il supporto di MNS srl per una consulenza gratuita o segui la guida passo-passo nella Knowledge Base.