Le parole chiave spoofing email, DMARC e PEC aprono un confronto che intreccia cronaca e tecnica: l’articolo di Fanpage che ha mostrato l’invio di messaggi “identici” a quelli istituzionali accende un dibattito serrato tra chi denuncia configurazioni lassiste e chi ricorda che, con i controlli giusti, i falsi vengono respinti. L’episodio, nato dai test condotti con l’informatico Andrea Mavilla, mette in luce come SPF e DKIM puntellino la filiera di autenticazione solo se applicati con coerenza end-to-end, dal DNS all’enforcement sui server riceventi. La discussione esplode su LinkedIn: Paolo Dal Checco e Andrea Draghetti rassicurano sullo stato dei domini istituzionali più sensibili; Mavilla insiste sul ritardo italiano e rivendica che la pressione mediatica abbia accelerato gli adeguamenti.
Sullo sfondo resta una domanda cruciale: quando un’email “clonata” appare reale, è in gioco una falla di Stato o la somma di policy incomplete e provider tolleranti?
Cosa leggere
Il test di Fanpage e la replica degli esperti
La prova raccontata da Fanpage mostra che un messaggio può apparire provenire dall’indirizzo ufficiale della presidente del Consiglio. L’effetto è potente, ma la dimensione tecnica separa suggestione e rischio operativo.
Paolo Dal Checco riproduce l’esperimento e lo indirizza verso Google Workspace e Microsoft 365: i messaggi non arrivano né in inbox né in spam perché i controlli falliscono e vengono rifiutati. La lettura dei log conferma che DMARC ha fatto il suo mestiere, applicando la policy di reject quando SPF non allinea l’IP mittente e DKIM non presenta una firma valida.
Andrea Draghetti sottolinea che domini come camera.it risultano configurati con SPF, DKIM e DMARC coerenti agli standard, per cui i “cloni” non superano gateway seri. L’“effetto clonazione”, spiegano, nasce quando il messaggio viene ricevuto da caselle su provider gratuiti o legati a infrastrutture legacy che ignorano o attenuano l’enforcement, declassando il falso nello spam invece di eliminarlo a monte. Il confine, dunque, non passa tra “Stato sicuro” e “Stato violato”, ma tra filiere dove la policy è monitor e filiere dove è enforcement.
Come funziona lo spoofing e perché DMARC conta
Lo spoofing non compromette la casella: falsifica il mittente confidando in record SPF permissivi, DKIM assente o non verificato e DMARC lasciato in sola modalità di monitoraggio. La difesa nasce da tre pilastri che devono concordare: SPF definisce chi può inviare a nome del dominio; DKIM firma il contenuto con chiave privata; DMARC indica al ricevente come trattare i messaggi che non superano le verifiche, producendo anche report utili a chi gestisce i domini. Se il ricevente rispetta queste istruzioni, i “cloni” non circolano. Se il ricevente le ignora o le addolcisce, i “cloni” sopravvivono come spam, alimentando la percezione di una “mail identica” valida. È una differenza sottile nella forma, enorme negli effetti.
Governance, PEC e provider: dove nascono le frizioni
La frammentazione tra fornitori, l’eredità di sistemi storici e l’assenza di una cabina di regia unica creano configurazioni disallineate anche all’interno dello stesso perimetro pubblico. Nel mezzo c’è la PEC, spesso considerata per definizione “sicura”, che però eredita la qualità delle policy DNS dei domini e la coerenza degli MTA riceventi. Mavilla rimarca che in Italia persistono “SPF molli” e DKIM non ovunque implementato; Dal Checco e Draghetti osservano che i domini centrali più critici mostrano, invece, impostazioni corrette e compatibili con RFC7489. Entrambe le prospettive fotografano la realtà di un Paese a velocità diverse: dove la governance è centralizzata e i log vengono letti, la soglia di rischio scende; dove gli apparati sono distribuiti e i controlli restano opzionali, la superficie d’attacco rimane ampia.
Cosa cambia dopo l’articolo: enforcement e percezione
Mavilla segnala che, dopo la pubblicazione, “repliche perfette” che fino alla sera prima passavano non funzionano più. Il messaggio è chiaro: l’attenzione pubblica può spingere chi gestisce domini e provider a chiudere varchi dimenticati, trasformando rapidamente policy di monitor in policy di reject. Il dibattito, qui, ha un effetto collaterale positivo: la percezione di “falla nello Stato” lascia spazio a una lettura più matura, in cui l’enforcement lato destinatario è tanto importante quanto la corretta configurazione del dominio mittente. Fanpage.it ha il merito di portare un tema tecnico in prima pagina; gli esperti contribuiscono a ricalibrarlo, distinguendo tra dimostrazione di impatto e compromissione reale. Il risultato è un’accelerazione degli adeguamenti: DMARC guadagna adozione piena, SPF si restringe, DKIM diventa prassi. È così che lo spoofing email arretra e la sicurezza informatica istituzionale si consolida senza bisogno di nuovi decreti.
Implicazioni operative: oltre il sensazionalismo
La lezione non invita a minimizzare. Target di alto profilo restano appetibili per spear-phishing, business email compromise e campagne malware. La mitigazione, però, non vive di slogan: vive di record DNS corretti, rotazione chiavi, interpretazione dei report DMARC, formazione periodica e correlazione degli header in ingresso. È un lavoro continuo, fatto di piccoli passi che, sommati, impediscono al finto mittente di parlare con “la voce dello Stato”. In questo equilibrio, la stampa sollecita, gli specialisti tarano e i dominî evolvono. È il percorso naturale di una democrazia digitale che impara dai propri attriti.
