Archivi tag: spoofing

DMARC Forensics: un tool per verificare la compliance ed evitare problemi di spoofing

Quanto è facile inviare un messaggio di posta elettronica a nome di altri? La risposta è che è facilissimo, ci sono persino siti tipo Emkei o AnonyMailer che permettono a chiunque di scrivere messaggi apparentemente provenienti da indirizzi di posta di terzi, inclusi potenzialmente gli indirizzi PEC, che ovviamente non possono essere utilizzati per invio PEC tramite spoofing ma esclusivamente PEO.

Il punto è che il server dell’account email del ricevente ha modo di verificare se il messaggio proviene effettivamente dall’indirizzo del mittente oppure è stato inviato tramite email spoofing e quindi decidere di scartarlo o mandarlo in spam, eventualmente segnalando al server del dominio del mittente l’anomalia.

Affinché ciò avvenga è però essenziale che il dominio del mittente sia correttamente configurato, a livello DNS e server di posta, per indicare il corretto record DMARC, SPF ed eventuale chiave pubblica DKIM (in tal caso il messaggio deve poi essere anche firmato tramite DKIM) così da permettere al server ricevente di fare le opportune verifiche.

DMARC Forensics, una soluzione per verificare la configurazion DMARC

Prendendo spunto dal post Linkedin di Andrea Draghetti sulla configurazione del server di Poste Italiane che a giugno 2025 ha evidenziato come il server supportasse SPF ma nessuna non vi fosse traccia di DKIM e DMARC, dopo aver rivisto il video di Francesco Guiducci e Raffaele Colavecchi che spiegano come configurare SPF, DKIM e DMARC che illustrano come proteggere la posta elettronica (e la propria reputazione) tramite una opportuna configurazione del protocollo DMARC, DKIM e SPF, con un occhio alle raccomandazioni dell’Agenzia per la Cybersicurezza Nazionale ACN sul Framework di Autenticazione della posta elettronica ho scritto un semplice script di DMARCForensics per verificare la conformità DMARC dei domini, che potete trovare pubblicamente sul sito DMARC Forensics.

DMARC Forensics Tool - DMARC Compliance Checker and Inspector with Report and Fix

Esistono decine di dmarc checker tool, il tool di DMARC Forensics che ho sviluppato non differisce di molto dagli altri però potete usarlo con liste di domini e con la consapevolezza che non caricate alcun dato sul server: tutto gira in locale sul vostro browser.

Ho testato con il DMARC Forensics tool alcuni domini istituzionali utilizzati per invio posta elettronica, parte dei quali risultano ben configurati, altri meno, alcuni per nulla, in generale l’80% dei domini è ben configurato e quelli con problemi sul record DMARC non è detto che poi non firmino comunque i messaggi tramite DKIM o supportino SPF.

Non andrebbero ovviamente ignorati i domini che non inviano posta, tratteremo più aventi la questione di siti o domini istituzionali che non vengono usati per invio di messaggi di posta elettronica e che quindi possono essere utilizzati per inviare mail impersonando tali istituzioni mediante spoofing senza alcun controllo sull’autorità del dominio.

Integrerò più avanti verifica SPF e DKIM (con selector fornito dall’utente o bruteforced) oltre che permettere la cristallizzazione forense dei record tramite web forensics così da preservarne lo stato DMARC (ma anche DKIM ed SPF) per eventuale uso legale, al momento è possibile comunque scaricare in formato TXT il log delle query e in XLSX la tabella.

Ricordiamo infatti quanto, nei casi di Man in The Mail (i casi dei bonifici fraudolenti ottenuti tramite cambio IBAN da parte degli attaccanti) può essere strategica una valutazione forense della configurazione DMARC, una verifica delle firme DKIM, un test dei requisiti SPF per rappresentare correttamente ai legali eventuali responsabilità nella truffa informatica subita dalla vittima.

Il tool “DMARC Forensics” è molto “severo” ed evidenzia note o commenti anche per i domini che risultano conformi, come ad esempio la presenza di record multipli, il mancato allineamento con sottodomini o la policy eccessivamente permissiva o ambigua: in tal caso nella colonna “Fix” viene indicato come rimediare.

Qui di seguito si possono osservare i risultati del sito DMARC Forensics dove ho offuscato i domini non compliant, anche perché alcuni – pur non avendo DMARC configurato – firmano comunque i messaggi con DKIM (seppur talvolta senza alignment al domain) e rispettano policy SPF, quindi la mancata configurazione DMARC è un problema minore.

DMARC Forensics - Siti governativi e istituzionali italiani

Il motivo dell’oscuramento e redact è che non ritengo corretto che i domini non conformi vengano presentati con accezione negativa, anche purtroppo un dominio non solo non ha record DMARC configurato ma restituisce il record SPF al suo posto e come ciliegina sulla torta non firma neanche con DKIM le email inviate.

DMARC Forensics, istruzioni per l’uso

Il DMARC Forensics – Compliance Checker è uno strumento web gratuito e avanzato, progettato per analizzare la configurazione DMARC (Domain-based Message Authentication, Reporting, and Conformance) di uno o più domini. Creato per essere semplice, veloce e sicuro, il tool opera interamente lato client, garantendo che nessun dato inserito dall’utente venga trasmesso o memorizzato su server esterni, nel pieno rispetto della privacy.

Il tool DMARC Forensics è semplice da utilizzare, è sufficiente inserire nel campo di testo un elenco di domini, uno per riga o separati da due punti o punto e virgola e le sue caratteristiche principali sono le seguenti:

  1. Analisi Multi-Dominio: L’applicazione consente agli utenti di inserire un elenco di domini (fino a 20 per volta, per evitare saturazione lato client) in un’unica interfaccia. Questo permette di effettuare controlli massivi in modo efficiente, ideale per amministratori di sistema che gestiscono molteplici proprietà web.
  2. Validazione Sintattica: Prima di avviare le query DNS, il tool esegue una validazione preliminare sui nomi di dominio inseriti per verificare che rispettino gli standard RFC, segnalando all’utente eventuali errori di formattazione.
  3. Interrogazione DNS Client-Side: Utilizzando l’API pubblica di Google DNS, lo script interroga il record TXT _dmarc per ciascun dominio. Tutta l’operazione avviene direttamente nel browser dell’utente, assicurando la massima privacy e velocità.
  4. Analisi Dettagliata della Conformità: Il cuore del tool è il suo motore di analisi. Non si limita a verificare l’esistenza del record, ma esamina ogni direttiva DMARC secondo le best practice di sicurezza. I risultati sono classificati con un sistema di colori intuitivo:
    • Compliant (Verde): Il record è valido e applica una policy restrittiva (quarantine o reject) senza problemi significativi.
    • Compliant with notes (Verde-giallo): Il record è valido ma presenta criticità minori che non ne compromettono l’efficacia (es. alignment rilassato, policy p=none, mancate autorizzazioni per i report esterni).
    • Not compliant (Rosso): Il record presenta errori fatali (es. più record DMARC, sintassi errata, policy mancante).
    • Not configured (Rosso): Nessun record DMARC trovato.
  5. Note e Soluzioni (FIX): Per ogni problema rilevato, il tool fornisce una spiegazione chiara nella colonna “Notes” e un suggerimento pratico su come risolverlo nella colonna “FIX”. Questo trasforma l’analisi da un semplice controllo a una guida operativa.
  6. Export dei Dati: I risultati possono essere esportati in due formati:
    • Report XLS: Un file Excel che riproduce la tabella dei risultati, mantenendo la formattazione a colori per una facile consultazione e archiviazione.
    • Log TXT: Un file di testo dettagliato contenente le query DNS esatte inviate e le risposte JSON complete ricevute, ideale per analisi forensi e debugging tecnico.

A Chi si Rivolge il DMARC Forensics tool

Questo strumento è pensato per un’ampia gamma di professionisti e tecnici informatici:

  • Amministratori di Sistema e DevOps: Per verificare e mantenere la corretta configurazione DMARC sui domini aziendali;
  • Professionisti della Sicurezza Informatica: Per condurre audit di sicurezza sulla posta elettronica e identificare vulnerabilità legate a spoofing e phishing;
  • Consulenti di Informatica Forense: Per acquisire rapidamente dati sulla configurazione DMARC durante un’indagine e cristallizzarne – a breve – lo stato a uso legale in perizie informatiche forensi, ad esempio in casi di Man in The Mail (MITM);
  • Webmaster e Proprietari di Domini: Per assicurarsi che il proprio dominio sia protetto e che le comunicazioni via email siano affidabili.

Attenzione che funzionando lato client e utilizzando per le informazioni DNS le API di Google (https://dns.google/resolve) può non fornire risultati se lo si utilizza da IP con bassa reputazione come VPN o Tor.

Verifica di email originali o contraffatte per Le Iene

Domenica 21 settembre 2025 è andato in onda su ItaliaUno di Mediaset il servizio de Le Iene nel quale come consulente tecnico e perito informatico forense ho aiutato la Iena Filippo Roma a capire se dei messaggi di posta elettronica ricevuti fossero originali integri oppure manipolati e falsi.

Paolo Dal Checco, Perito Informatico Forense per Le Iene nel servizio di Filippo Roma

La domanda cui ho risposto è stata quella che tipicamente viene posta nei quali vengono prodotte come prova informatica delle email, cioè “Come posso verificare se una mail è autentica e originale oppure se è stata manipolata ed è quindi falsa?”.

Senza entrare nel merito del contesto nel quale non è opportuno che mi pronunci – essendo un perito informatico forense e non un giurista – nel servizio andato in onda su Mediaset, come Consulente Informatico de Le Iene ho analizzato alcuni messaggi di posta elettronica ricevuti da una persona, che erano stati disconosciuti e dichiarati falsi da un’altra.

Come consulente informatico per Le Iene ho condotto l’analisi non su stampe cartacee o pdf dei messaggi – assolutamente da evitare come prova digitale perché possono essere creati o manipolati artificiosamente – bensì sul dato “grezzo”, cioè sui messaggi completi di header RFC822 che tipicamente vengono esportati da webmail o programmi di posta in formato EML, MSG o TXT.

Per fare un esempio, questo è ciò su cui si può basare una perizia informatica su email con valutazione dell’integrità di un messaggio di posta elettronica.

Intestazione RFC822 di un messaggio di posta elettronica o header RFC822

Come Consulente Informatico de Le Iene ho quindi proceduto alla verifica dell’originalità o manipolazione di mail fornite al fine di confermare che non si trattasse di falsi creati con Photoshop o email manipolate per modificarne il contenuto.

Il Consulente Informatico de Le Iene Paolo Dal Checco verifica originalità o manipolazione di una mail

Partendo dal “codice sorgente” di un messaggio, avendo ove possibile anche accesso alla mailbox, è possibile infatti operare diverse analisi, tra le quali l’analisi della firma DKIM apposta dal server sulle email inviate.

Il protocollo DKIM (DomainKeys Identified Mail) permette ai server mittente di apporre una firma digitale su specifici campi della mail (mittente, destinatario, oggetto, data e altri campi ma soprattutto sul testo. Un controllo positivo garantisce che né i campi né il testo siano stati alterati dopo l’invio o siano comunque originali. Un’email creata artificiosamente impostando come mittente un indirizzo Gmail, ad esempio, non può essere firmata dal server Google e quindi la verifica DKIM risulterà negativa.

Verifica di email tramite DKIM con tecniche d'informatica forense

In aggiunta, ARC (Authenticated Received Chain) fornisce ulteriori garanzie sulla catena di inoltro del messaggio di posta elettronica, dato che spesso le mail vengono inoltrate tramite forward o gestite mediante liste d’inoltro.

L’analisi forense delle firme DKIM permette di verificare eventuale manipolazione, falsificazione o spoofing dei messaggi di posta elettronica. lo spoofing consiste nella impersonificazione d’indirizzi email di terzi creando mail inviate apparentemente forgiate con il mittente “falso”, così che chi riceve i messaggi sia persuaso di averli ricevuti dai mittenti immediatamente visibili nell’intestazione “Da” o “From” mentre invece sono messaggi di posta falsificati e artefatti ad hoc.

Esistono diversi servizi che permettono d’inviare “spoofed email”, cioè email con mittente che impersona un indirizzo di terzi, uno dei più noti è Emkei, utilizzabile da chiunque per provare a inviare una mail con il proprio indirizzo e verificare se a destinazione l’email viene scartata o accettata dalla mailbox. Nell’ambito delle truffe informatiche molto spesso poi vengono spesso direttamente modificate le email nella mailbox di ricezione, stampate o artefatte senza necessità di utilizzare la tecnica dello spoofing.

Esistono diversi metodi per la verifica della firma DKIM nelle email, per valutarne l’integrità e l’originalità, quello mostrato nel servizio dove ho svolto l’attività di consulente informatico per Le Iene è il servizio MXtoolbox Email Header Analyzer.

Verifica di manipolazione o falsificazione di messaggi di posta elettronica

MXtoolbox è una suite di servizi dedicati alla posta elettronica e da di essi si trova l’analizzatore d’intestazioni – o header – RFC 822. Si tratta di un servizio online sul quale è possibile incollare nel campo di testo l’intestazione di un messaggio di posta elettronica ma in realtà la verifica completa può essere operata soltanto incollando l’intero contenuto del sorgente del messaggio di posta, non soltanto l’header.

Una volta incollato il contenuto del codice sorgente messaggio (integralmente, non soltanto l’header) si otteranno delle spunte in corrispondenza delle varie verifiche SPF, DMARC e DKIM.

Verifica originalità messaggio email tramite analisi SPF DMARC e DKIM dell'header

In base alle spunte verdi è possibile valutare se i vari parametri sono corretti e in particolare se la firma DKIM risulta verificata e quindi autentica in base al selector indicato nel messaggio stesso, cioè al riferimento del dominio che ha inviato o gestito l’invio del messaggio di posta elettronica, che deve ovviamente coincidere con quello del mittente.

Verifica se una email è originale o falsa tramite firma DKIM

Nel caso migliore tutte le spunte interne alla verifica DKIM sono verdi, a significare che l’email è originale, autentica ed effettivamente inviata dall’indirizzo che risulta essere indicato nel campo mittente.

Accedendo direttamente alla mailbox, è poi possibile estrarre la data di ricezione interna (INTERNALDATE) e l’identificativo univoco (UID) assegnato dal server a ogni messaggio: le incoerenze – soprattuto con altri messaggi inviati o ricevuti nella stessa giornata – possono suggerire manipolazioni o importazioni sospette di messaggi.

Non va sottovalutato poi il campo Message-ID è un identificatore unico che dovrebbe seguire logiche ben precise, spesso legate al dominio mittente o a timestamp codificati. Confrontare il Message-ID con campi come In-Reply-To consente di scoprire anomalie nella ricostruzione del thread.

Confrontare più messaggi appartenenti alla stessa conversazione consente inoltre di notare discrepanze nei riferimenti temporali o negli identificativi dei messaggi, segnalando possibili manipolazioni. Allo stesso modo, gli header contengono date in diversi formati, inclusi quelli basati su EpochTime. Incoerenze tra i vari timestamp possono rivelare alterazioni o inserimenti anomali nel flusso delle comunicazioni.

La struttura multipart MIME di un messaggio può contenere testo semplice, HTML, immagini inline e allegati. Analizzare i MIME boundaries permette di scoprire manipolazioni, omissioni o inserimenti sospetti.

Gli allegati, a loro volta, possono essere sottoposti a analisi forense: metadati EXIF in immagini o documenti Office possono rivelare autori, software utilizzati o date di creazione non coerenti con quanto dichiarato.

Infine è strategico, per verificare se un messaggio di posta elettronica è originale o alterato, non sottovalutare i campi TO, CC e BCC: è infatti possibile individuare destinatari ulteriori, contattarli e acquisire copie indipendenti dello stesso messaggio rafforza l’attendibilità dell’analisi.

In ultimo, in ambito d’indagine informatica e OSINT, è importante verificare se nei messaggi EML o MSG sono presenti campi personalizzati detti X-Fields, che possono fornire indizi preziosi sul percorso di consegna, sullo spam scoring o sul software utilizzato, talvolta persino sull’indirizzo IP del mittente.

Perché serve la copia forense della mailbox

Tutte queste analisi hanno un punto in comune: non possono essere eseguite su una semplice stampa PDF o uno screenshot. Per una perizia informatica solida e incontestabile né disconoscibile è necessario acquisire quantomeno i messaggi di posta con i loro header RFC822 completi (cioè il file TXT, EML o MSG integrale) ma è raccomandabile poter procedere tramite copia forense della mailbox all’estrazione diretta dal cloud anche dei metadati.

Le tecniche di email forensics richiedono infatti che le email o la mailbox oggetto di analisi siano il più possibile complete di header rfc822, metadati, dettagli e log tipicamente presenti all’interno di una copia forense, un takeout o una esportazione forense dei dati sui quali successivamente operare una analisi forense.

Solo così si può attribuire – talvolta, non sempre – integrità probatoria anche in assenza di firme DKIM e si può ricostruire con precisione il ciclo di vita del messaggio.

A cosa serve la perizia informatica sulle mail e quanto costa?

Dal servizio de Le Iene per il quale ho fatto da consulente tecnico e perito informatico per illustrare come riconoscere un messaggio di posta elettronica vero e originale da uno falso e artefatto emerge chiaramente l’importanza di una perizia informatica di acquisizione forense e analisi dei messaggi in ambito di dispute ove esistono prove digitali consistenti in email o PEC.

Consigliamo quindi, in ambito di processi penali o civili, di conferire incarico a un professionista – ad esempio un consulente informatico forense – per l’esecuzione di copia forense a valore legale e per utilizzo in Tribunale dei messaggi di posta elettronica, con successiva analisi, validazione e certificazione dell’originalità e integrità dell’intestazione header RFC822 e del contenuto.

Per questo motivo, la perizia informatica sulle mailbox resta uno strumento essenziale non solo in tribunale, ma anche in contesti aziendali e investigativi dove la verità di un messaggio può fare la differenza.

Nell’era in cui le e-mail rappresentano prove cruciali in indagini penali, civili e commerciali, affidarsi a verifiche superficiali può infatti compromettere l’intero procedimento. L’analisi forense delle e-mail non si limita a leggere un testo, ma entra nei dettagli tecnici più nascosti per stabilire, con metodo scientifico, se un messaggio sia autentico, integro e affidabile.

Paolo Dal Checco a Le Iene per la truffa dei Rolex

Collaborazione con Le Iene per il servizio sulla truffa dei Rolex

Oggi è andato in onda il servizio per Le Iene al quale ho collaborato supportando Luigi Pelazza con alcune ipotesi sulle modalità tecniche con le quali viene perpetrata la truffa dei Rolex, oggetto del servizio TV visionabile a questo link sul sito Mediaset.

La truffa descritta nel servizio de Le Iene dall’inviato Luigi Pelazza funziona in questa maniera: la vittima mette in vendita un Rolex e viene contattata dal potenziale compratore che si offre di acquistare a prezzo pieno pagando con assegno circolare. I due s’incontrano presso la banca del compratore ed entrano per far verificare l’assegno alla direttrice, che procede alla verifica chiamando il numero di telefono della banca emittente e chiedendo conferma al direttamente direttore. Il direttore delle banca emittente conferma che l’assegno è coperto e il venditore lascia il Rolex al compratore trattenendo l’assegno che però, una volta tentato l’incasso, risulterà falso nonostante la banca emittente – che a questo punto abbiamo intuito non era realmente lei al telefono – ne avesse confermato la copertura.

Paolo Dal Checco a Le Iene per la truffa dei Rolex

Gli aspetti tecnici della truffa dei Rolex riguardano la deviazione di chiamate telefoniche verso il numero di telefono dei truffatori, all’insaputa della direttrice della banca del venditore che è convinta di parlare con un suo collega presso la banca emittente dell’assegno. La direttrice della banca ricevente chiama infatti il numero corretto, al quale risponde normalmente la banca emittente ma, durante la truffa, viene attivata una sorta di redirezione del numero chiamato verso un’utenza scelta dai truffatori. Non si tratta quindi in questo caso di sostituzione (o spoofing, tecnicamente) del numero chiamante, bensì d’intromissione nel numero chiamato.

Poiché vi è alta probabilità che le banche si avvalgano di numerazioni e linee VoIP, si ritiene probabile che l’attacco sia avvenuto sul portale di gestione delle utenze VoIP o persino direttamente sul server PBX VoIP (es. Asterisk) impostando un inoltro chiamata oppure facendo override temporaneo sull’utenza stessa. Le ipotesi investigative sono molte e, tecnicamente, le modalità con le quali può avvenire una sostituzione di utenza telefonica chiamata sono molte, solamente una perizia informatica sui sistemi VoIP sarebbe in grado di fornire una risposta esatta. Si va dal phishing che può aver permesso ai truffatori di accedere al portale di VoIP Management, a un attacco al PBX locale della filiale o al server VoIP della rete bancaria, lato GUI/la web frontend oppure lato SSH con modifica diretta dei file di configurazione (più difficile da identificare).

Resta il fatto che una semplice conferma telefonica, a questo punto, non è più sufficiente per garantire l’originalità di un dato. Non lo è se siamo noi i chiamati (sappiamo bene che lo spoofing del numero chiamante è banale) ma neanche se a chiamare siamo noi e risponde qualcun altro (sappiamo ora che anche sostituirsi al destinatario di una chiamata non è, in alcuni casi, troppo complesso). In genere, una perizia telefonica è in grado di accertare almeno i contorni di eventuali truffe, raggiri e identificare il reato commesso, così da poter produrre una perizia forense a fini giudiziari.