8BitSecurity

il blog in italiano!

News, approfondimenti e knowledge sharing per una Cybersecurity a tutto bit

Outlook: le Email che Non Rispettano DKIM, SPF e DMARC saranno Automaticamente Rifiutate

Copertina articolo MicrVsPhish

Dal 5 maggio 2025, Microsoft introdurrà requisiti di autenticazione per chi invia oltre 5000 email al giorno. Le aziende dovranno implementare correttamente SPF, DKIM e DMARC per migliorare la sicurezza e prevenire phishing e spam. Le email non conformi rischiano di finire nello spam o di essere respinte.

Lorenzo Langeli
4–6 minuti

di lettura

A partire dal 5 maggio 2025, Microsoft introdurrà nuovi requisiti obbligatori per chi invia grandi volumi di email verso i propri servizi (Outlook.com, Hotmail, Live, MSN). Le aziende, i fornitori di servizi digitali e gli enti che superano le 5000 email al giorno dovranno adeguarsi a standard più rigorosi di autenticazione per garantire la sicurezza e la legittimità delle comunicazioni.

Questo cambiamento (qui il riferimento) non si limita a contrastare lo spam: rappresenta una risposta concreta al phishing e all’impersonificazione digitale, fenomeni in continuo aumento e spesso difficili da rilevare sia per gli strumenti di sicurezza che per gli utenti finali.

Attraverso l’obbligo di implementare correttamente i protocolli SPF, DKIM e DMARC, Microsoft punta a rafforzare l’intero ecosistema della posta elettronica, migliorando l’affidabilità dei mittenti e riducendo significativamente il rischio che messaggi fraudolenti raggiungano la casella di posta degli utenti.

È un cambiamento che segna una nuova fase: più responsabilità per chi invia email e maggiore protezione per chi le riceve. Ma vediamo nel dettaglio cosa cambierà.

SPF, DKIM, DMARC: Finalmente Obbligatori

Le tecnologie di autenticazione email esistono da anni, ma la loro adozione ha sempre stentato, nonostante le difficoltà e le vulnerabilità dei protocolli mail. Microsoft prende una posizione forte: se invii più di 5000 email al giorno verso Outlook, dovrai implementare correttamente tutti e tre questi standard:

  • SPF (Sender Policy Framework): definisce quali server possono inviare email per conto del tuo dominio.
  • DKIM (DomainKeys Identified Mail): firma criptografica che garantisce che il messaggio non è stato alterato.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance): regola che istruisce i server destinatari su come gestire i fallimenti di SPF o DKIM.

Attenzione, non basta attivarli: devono essere allineati, cioè configurati in modo coerente tra loro, secondo le specifiche DMARC.

Qual è lo Stato dell’Arte per questi Protocolli?

Ecco il punto: ad oggi, la maggior parte dei mittenti non è ancora conforme. Secondo diversi report, meno del 30% dei domini usati per invio massivo ha una configurazione DMARC valida con policy esplicita (quarantine o reject). Ancora peggio per i mittenti occasionali: molti hanno SPF, qualcuno ha DKIM, ma quasi nessuno li allinea correttamente.
Il risultato? Email vulnerabili allo spoofing, e brand impersonabili in 10 secondi netti (ne abbiamo parlato in questo articolo).

Nonostante sia il mezzo di comunicazione dominante per le comunicazioni delle aziende, ancora oggi rimane uno dei protocolli più vulnerabili che esistano. Potremmo finalmente essere di fronte ad una svolta, perché Microsoft non è l’unica (e neanche la prima). Google e Yahoo hanno fatto la prima mossa nel 2024, spingendo probabilmente l’azienda di Bill Gates a seguirne l’esempio per evitare che Outlook possa diventare il bersaglio preferito degli attaccanti. Si tratta quindi di uno sforzo coordinato del settore: se tutti i principali provider di posta elettronica richiedono l’autenticazione, i malintenzionati hanno meno falle da sfruttare.

La morte del Phishing?

Uno dei benefici più importanti di questo cambiamento si avrà sulla prevenzione del phishing. Il phishing moderno non arriva più solo da domini palesemente sospetti. Spesso sfrutta la mancanza di autenticazione per mascherarsi da enti affidabili — banche, e-commerce, aziende tech.

Con SPF, DKIM e DMARC correttamente configurati e verificati, diventa molto più difficile falsificare un dominio legittimo.
In pratica: se qualcuno cerca di inviare un’email da un dominio che non controlla, e quel dominio ha una policy DMARC reject, il messaggio verrà bloccato in automatico.

No, non è la fine del phishing. Ma sicuramente è un passo avanti nella direzione corretta. Abbracciando totalmente questo standard, inviare email spoofate diventerà molto più complesso per i criminali, che si vedranno costretti a dover realizzare attacchi tecnicamente più sofisticati di quelli necessari fino ad oggi.

Una stretta anche allo Spam

Il tempo delle newsletter inviate da servizi terzi senza un minimo di controllo è finito. Molte aziende che utilizzano tecniche di email marketing massivo sfruttano la possibilità di appoggiarsi ad un dominio di comodo o usare un provider poco affidabili (spesso poco costosi) senza configurazioni adeguate.

Le nuove linee guida richiedono anche:

  • Indirizzi mittente validi e capaci di ricevere risposte
  • Link di disiscrizione chiari e funzionanti
  • Pulizia delle liste e gestione dei bounce

Chi non rispetta queste best practices vedrà crollare i tassi di consegna. E rientrare nelle whitelist Microsoft potrebbe non essere semplicissimo.

Perché lo stanno facendo ora?

Il 2023 e 2024 hanno visto un’escalation di truffe via email, anche molto sofisticate: phishing mirato, impersonificazione di brand famosi, campagne che sfruttano falle nella catena di trust dei messaggi. Secondo Microsoft, una parte significativa dello spam e del phishing arriva da mittenti “legittimi” con autenticazione assente o configurata male.

In parallelo, anche Google ha iniziato a richiedere DMARC per i bulk sender. Si sta creando un nuovo standard de facto: se non sei in grado di dimostrare la legittimità delle tue email, non sarai più autorizzato ad inviarne.

Cosa succede se non ti adegui?

Dal 5 maggio 2025, Outlook.com applicherà filtri molto più aggressivi: le email non conformi potrebbero finire direttamente nello spam o essere rifiutate. Questo vale per tutti, anche per aziende storiche o enti pubblici. Microsoft controllerà i record, l’allineamento, i bounce e i reclami.

E se sei un’azienda?

Se invii comunicazioni massive, dovrai adeguarti ai nuovi standard. Per semplificarti il processo, ti lasciamo una checklist:

  1. Audit DNS: SPF, DKIM, DMARC attivi, coerenti, allineati
  2. Usa un dominio dedicato per l’invio email
  3. Configura DMARC reporting, per sapere cosa succede alle tue email
  4. Pulisci la tua mailing list e rispetta l’opt-in
  5. Testa e monitora la reputazione del dominio

Il far west delle E-mail è finito

L’email è ancora un canale vitale, ma non perdona più chi la usa male. Per troppo tempo è stato possibile inviare messaggi fingendosi chiunque, da qualsiasi parte del mondo; finalmente però qualcosa sta cambiando, e potremmo avvicinarci a degli standard di sicurezza adeguati, anche per quello che è da sempre il tallone d’Achille della sicurezza informatica.

Ti è piaciuto l’articolo? Seguici su Linkedin per sostenerci!

Offrici un Caffè e Sostieni il Progetto!

8BitSecurity è un progetto Indipendente e Gratuito. Sostienici con un piccolo contributo!

DONAZIONE
, , , , , , , , , , , ,

consigliati