Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=Sender-Checks-details

Informazioni sul funzionamento dei controlli mittente

I controlli mittente servono a verificare l'autenticità dell'origine di un messaggio e-mail.

In questo paragrafo venono descritti i tipi di controlli mittente utilizzati da Sophos Email Security per proteggere gli utenti dalle e-mail illegittime.

Per ulteriori informazioni sull’ordine in cui vengono eseguiti i controlli in diversi scenari, vedere Sequenza dei controlli mittente.

Nota

Questo paragrafo offre una breve spiegazione sul funzionamento dei controlli mittente, tuttavia non include informazioni dettagliate come l'impostazione di record DNS (DMARC, DKIM, SPF), in quanto si concentra principalmente sulla posta in entrata.

SPF

Sender Policy Framework (SPF) permette di verificare che i messaggi e-mail in entrata provengano da un indirizzo IP o da un host autorizzato dagli amministratori del dominio di origine.

Il mittente crea un record SPF che specifica l'host, gli indirizzi IP e le subnet che sono autorizzati a inviare messaggi e-mail da quel dominio.

Quando riceve un'e-mail, Sophos Email Security agisce analizzando l'indirizzo del server di posta che ha inviato il messaggio e lo confronta con i mittenti autorizzati, indicati nel record SPF. In mancanza di una corrispondenza, il controllo SPF risulterà non superato.

DKIM

DomainKeys Identified Mail (DKIM) viene utilizzato per autorizzare un'e-mail e agisce verificandone la firma digitale. Questo processo associa un nome di dominio all'e-mail.

Il mittente decide quale parte del messaggio e-mail desidera firmare (intestazione e/o corpo del messaggio) e successivamente configura il server di posta in modo da creare un hash per la o le parti desiderate. L'hash viene quindi cifrato con la chiave privata del mittente. Inoltre, viene pubblicato un record DKIM contenente la chiave pubblica utilizzata per decifrare la firma.

Quando Sophos Email Security rileva una firma DKIM in un'e-mail, effettua una ricerca nel DNS per individuare il record DKIM associato con il dominio di origine. Adopera la chiave pubblica per decifrare la firma e riportarla al valore hash. Procede quindi analizzando gli elementi del messaggio che erano stati firmati e crea un hash, che viene confrontato con l'hash ottenuto dal processo di decifratura. In mancanza di una corrispondenza, il controllo DKIM risulterà non superato.

Vedere DKIM.

DMARC

Il sistema DMARC (Domain-based Message Authentication, Reporting and Conformance) utilizza sia DKIM che SPF per confermare l'autenticità di un messaggio e-mail.

Il mittente crea un record DMARC che richiede al ricevente di eseguire controlli DMARC e che contiene informazioni su come procedere in caso di mancato superamento di tali controlli.

Quando viene ricevuta un'e-mail, Sophos Email Security svolge un controllo del DNS per individuare il record DMARC corrispondente al dominio specificato nell'indirizzo Da (intestazione) del messaggio di posta. Il record DMARC comunica al ricevente (in questo caso Sophos Email Security) di svolgere un controllo DMARC e specifica cosa fare in caso di mancato superamento di tale controllo. L'opzione predefinita di Sophos Email Security per i messaggi che non superano i controlli DMARC è Conforma al criterio del mittente, il che significa che quello che succede al messaggio dipenderà dalle istruzioni definite nel record DMARC. Il dominio specificato nell'indirizzo Da viene confrontato con le informazioni contenute nei record SPF e DKIM per verificarne la corrispondenza. Per superare un controllo DMARC, il messaggio deve superare i controlli di convalida e allineamento di SPF o DKIM:

  • Per SPF, il dominio specificato nell'indirizzo MAIL FROM (envelope) deve trovare una corrispondenza con uno degli indirizzi IP o subnet specificati nel record SPF. DMARC procede quindi al controllo dell'indirizzo MAIL FROM, confrontandolo con l'indirizzo Da, per confermarne l'allineamento.
  • Per DKIM, la firma deve essere convalidata e il dominio specificato nell'indirizzo Da deve corrispondere al dominio utilizzato per creare la firma specificata nel record DNS.

Vedere DMARC.

Anomalie nell'intestazione

Il controllo delle Anomalie nell'intestazione protegge gli utenti dalle e-mail di spoofing provenienti dal proprio dominio.

Identifica le e-mail che dall'aspetto sembrano provenire dal proprio dominio, ma la cui origine è in realtà un dominio esterno. Questo controllo prevede il confronto tra l'intestazione "Da" dell'e-mail e il dominio del destinatario, e la verifica dell'indirizzo del MITTENTE nella busta del messaggio.

  • Se il dominio dell'indirizzo "Da" appartiene allo stesso cliente del dominio del destinatario, l'e-mail viene considerata come falsificata (spoof).
  • Se l'indirizzo "Da" nell'intestazione non è lo stesso dell'indirizzo del MITTENTE nella busta, l'e-mail viene considerata come falsificata (spoof).

Nota

Il controllo Anomalie nell'intestazione si attiva automaticamente quando l'intestazione trova corrispondenza con entrambi i criteri di cui sopra.