Email aziendali: come bloccare spam e phishing in modo efficace

L'email è ancora oggi il vettore principale degli attacchi informatici. Tutti i grandi incidenti recenti sono iniziati con un'email malevola che ha ingannato un dipendente. Avere una difesa email seria è fra le misure di sicurezza con il miglior ritorno sull'investimento.

I tre livelli di protezione

Livello 1: protezione del dominio

I tre record DNS che ogni dominio aziendale deve avere configurati correttamente:

• SPF (Sender Policy Framework): dichiara quali server sono autorizzati a inviare email per il tuo dominio.
• DKIM (DomainKeys Identified Mail): firma crittografica delle email in uscita, dimostra che non sono state alterate.
• DMARC (Domain-based Message Authentication): dice ai server riceventi cosa fare quando SPF o DKIM falliscono.

Senza questi tre record, chiunque può falsificare email "da" la tua azienda. Configurazioni corrette riducono drasticamente il phishing che usa il tuo dominio per attaccare clienti e fornitori.

Livello 2: filtro anti-spam e anti-malware

Il filtro standard di Microsoft 365 e Google Workspace è buono, ma in contesti a rischio elevato vale la pena considerare layer aggiuntivi:

• Microsoft Defender for Office 365 (Plan 1 o 2).
• Proofpoint Essentials.
• Mimecast.
• Soluzioni open: rspamd o SpamAssassin per chi gestisce server propri.

Livello 3: protezione anti-phishing avanzata

I filtri tradizionali bloccano lo spam massivo. Il phishing mirato ha bisogno di analisi più sofisticate:

• Sandboxing degli allegati: ogni allegato viene aperto in un ambiente isolato per vedere cosa fa.
• Riscrittura URL: i link vengono modificati per controllare la destinazione al click.
• Analisi comportamentale: rilevamento di pattern tipici di BEC (Business Email Compromise).
• AI-based detection: modelli che imparano dalle email legittime e rilevano anomalie.

Configurazioni spesso dimenticate

• External email warning: un banner che avverte quando un'email arriva da fuori l'azienda. Aiuta a riconoscere finti CEO che chiedono bonifici.
• Anti-spoofing rules: blocco di email che dicono di provenire da utenti interni ma arrivano dall'esterno.
• Restrizioni allegati: blocco a priori di certi tipi (.exe, .iso, macro Office) per utenti che non ne hanno bisogno.
• Logging avanzato: in caso di incidente serve poter ricostruire chi ha ricevuto e cliccato cosa.

Quando arriva il phishing che passa i filtri

Nessun filtro è perfetto. Quello che resta dei filtri colpisce le persone, e qui contano:

1. Formazione regolare con esempi reali aggiornati.
2. Procedure di doppia verifica per richieste sensibili (bonifici, cambio IBAN, accesso a sistemi).
3. Canale di segnalazione facile: un pulsante "Segnala phishing" nel client di posta.
4. MFA su tutto: anche se la password viene rubata, l'attaccante non entra.

Test di phishing simulato

Strumenti come Microsoft Attack Simulator, KnowBe4 o Phished permettono di inviare phishing finto controllato ai propri dipendenti, misurare chi ci casca, formare in modo mirato. È molto efficace e relativamente economico.

Conclusione

Una difesa email seria si costruisce su tre livelli e richiede manutenzione continua. Possiamo configurare correttamente SPF/DKIM/DMARC, valutare upgrade dei filtri e organizzare campagne di phishing simulato per la tua azienda.