Un test dimostrativo ha recentemente mostrato come sia possibile inviare un’email apparentemente proveniente dall’indirizzo istituzionale della Presidenza del Consiglio dei Ministri, senza violare alcun sistema informatico. Il messaggio, pur non essendo stato inviato dai server ufficiali, è stato recapitato correttamente e senza alcun avviso di falsificazione. Questo ha sollevato interrogativi sulla sicurezza delle comunicazioni istituzionali italiane e ha posto sotto accusa la configurazione dei protocolli di autenticazione email, in particolare DKIM.
DKIM: cosa fa e cosa non fa?
DKIM (DomainKeys Identified Mail) è un protocollo di autenticazione email che consente al dominio mittente di firmare digitalmente i messaggi. La firma viene generata con una chiave privata e può essere verificata dal destinatario tramite la chiave pubblica pubblicata nel DNS del dominio.
Il suo scopo è garantire che:
- Il contenuto del messaggio non sia stato alterato.
- Il messaggio provenga da un dominio che ha firmato il contenuto.
Tuttavia, DKIM non verifica se il server che ha inviato il messaggio è autorizzato a farlo per conto di quel dominio. In altre parole, un attaccante può inviare un’email con un mittente falsificato, e se il dominio non impone regole restrittive, il messaggio può comunque essere recapitato.
Il test: una dimostrazione etica, non un attacco
Il test ha dimostrato che era possibile inviare un’email con mittente “presidente@governo.it” senza che i server riceventi la marcassero come sospetta. Questo è stato possibile perché:
- Il dominio governo.it non applicava una policy DMARC restrittiva (come
reject). - SPF e DKIM erano configurati in modo permissivo o incoerente.
- I server riceventi non hanno bloccato il messaggio, né lo hanno etichettato come spoofing.
Il test è stato condotto in modo etico, senza intercettare comunicazioni reali né accedere a sistemi protetti. L’obiettivo era sensibilizzare le istituzioni sull’importanza di una corretta configurazione dei protocolli di autenticazione email.
DMARC: il vero arbitro della sicurezza
DMARC (Domain-based Message Authentication, Reporting and Conformance) è il protocollo che consente ai proprietari di un dominio di specificare cosa fare quando SPF o DKIM falliscono. Le policy disponibili sono:
none: nessuna azione, solo report.quarantine: il messaggio sospetto finisce nello spam.reject: il messaggio viene bloccato.
Nel caso in esame, l’assenza di una policy reject ha permesso la consegna del messaggio falsificato. Questo non implica una compromissione dei sistemi governativi, ma evidenzia una lacuna nella configurazione della sicurezza email, che può essere sfruttata per:
- Campagne di disinformazione.
- Attacchi di phishing mirati.
- Manipolazione dell’opinione pubblica.
Implicazioni per la sicurezza nazionale
Come ethical hacker, è fondamentale sottolineare che la sicurezza delle comunicazioni istituzionali non può basarsi su configurazioni deboli o incomplete. Anche senza accesso ai server ufficiali, è possibile simulare una comunicazione istituzionale, con potenziali impatti su:
- Fiducia pubblica nelle istituzioni.
- Reputazione di enti e figure politiche.
- Sicurezza operativa di enti pubblici e privati.
Raccomandazioni tecniche
Per mitigare questi rischi, è necessario:
- Applicare una policy DMARC
rejectsu tutti i domini istituzionali. - Verificare la coerenza tra SPF, DKIM e DMARC, evitando configurazioni permissive.
- Monitorare i report DMARC per identificare tentativi di spoofing.
- Testare regolarmente i domini con strumenti come MXToolbox, Dmarcian o Mail-Tester.
- Educare il personale a riconoscere email sospette, anche se apparentemente legittime.
Ulteriori informazioni:
Il caso dell’email fake associata alla Presidenza del Consiglio dimostra che la sicurezza informatica non dipende solo dalla tecnologia, ma dalla sua corretta configurazione. DKIM è uno strumento potente, ma inefficace se usato da solo. Solo un approccio integrato, che combini SPF, DKIM e DMARC con policy restrittive e monitoraggio attivo, può garantire la protezione delle comunicazioni istituzionali.
Come ethical hacker, il nostro compito è vigilare, educare e proporre soluzioni concrete. Perché la sicurezza non è mai implicita: va progettata, testata e mantenuta con disciplina.