Desidera sapere come proteggere al meglio da abusi e attacchi le Sue comunicazioni via e-mail? In questo articolo rispondiamo a questa e ad altre domande frequenti sull’argomento sicurezza delle e-mail.
Che cos’è la sicurezza delle e-mail?
Il termine “sicurezza delle e-mail” indica la protezione degli account di posta elettronica e del traffico e-mail di una persona o di un’azienda da possibili abusi e attacchi dolosi. Sono state adottate diverse misure per evitare che persone non autorizzate abbiano accesso alle e-mail e che i messaggi vengano manipolati o falsificati. La protezione da software dannosi come virus o spyware e la lotta contro lo spam e il phishing rappresentano altri obiettivi della sicurezza delle e-mail.
Perché la sicurezza delle e-mail è importante?
Le e-mail sono onnipresenti e vengono utilizzate da privati e organizzazioni come mezzo di comunicazione primario. Ogni giorno, in tutto il mondo, vengono inviate miliardi di e-mail. E non di rado vengono trasmessi insieme anche dati confidenziali.
La semplicità di comunicazione offerta dalle e-mail e la loro crescente importanza le rende uno strumento sempre più allettante per gli hacker, con conseguente aumento del rischio di uso improprio. I criminali informatici cercano di falsificare le e-mail o ingannare i destinatari con mezzi ingegnosi. Di solito lo fanno per ottenere dati confidenziali, arricchirsi, procacciarsi vantaggi o accedere in maniera non autorizzata ai sistemi informatici. Per questo è importante proteggere al meglio il proprio traffico e-mail dai potenziali pericoli.
Rischi nella comunicazione via e-mail
La comunicazione via e-mail offre molti vantaggi, ma nasconde anche alcuni rischi. Le minacce più note e più frequenti sono le seguenti:
- Spam
- Per spam si intendono le e-mail pubblicitarie indesiderate che in genere vengono inviate a un gran numero di destinatari. Lo spam si differenzia quindi dalle normali newsletter, che interessano i destinatari e dalle quali è possibile annullare l’iscrizione in qualsiasi momento. I messaggi di spam sono fastidiosi, ma non costituiscono una minaccia.
- Phishing
- Con le e-mail di phishing, i truffatori cercano di indurre il destinatario a trasferire somme di denaro o di accedere a dati riservati come dati di accesso, informazioni della banca o della carta di credito. Spesso l’autore del reato si spaccia per un’azienda nota al fine di guadagnarsi la fiducia delle sue vittime. Nella maggior parte dei casi si usa un linguaggio che trasmette un forte senso di urgenza per indurre le vittime ad agire con rapidità e possibilmente in modo avventato.
Se desidera saperne di più sul phishing dal punto di vista dei destinatari, legga anche il nostro articolo del blog dedicato al phishing.
Per i gestori di siti web è inoltre importante sapere che un attacco di phishing ha sempre due vittime: da un lato i destinatari dei messaggi di phishing, dall’altro anche i proprietari dei domini e delle aziende mittenti colpiti. Ai titolari di domini si raccomanda pertanto di adottare anche misure volte a rendere più difficile l’uso improprio del dominio, tra cui, ad esempio, l’impiego di SPF, DKIM e DMARC. - Malware
- Il termine malware, abbreviazione di “software maligno” in inglese, si riferisce a programmi informatici (ad es. virus, spyware) che vengono installati sui dispositivi a insaputa dei proprietari, dove eseguono funzioni indesiderate o persino dannose.
- E-mail spoofing
- L’e-mail spoofing è una tecnica utilizzata dai truffatori per fingersi di essere qualcun altro falsificando il mittente delle e-mail e in particolare il dominio e viene spesso adottata negli attacchi di spam e phishing.
Tutti questi rischi possono arrecare gravi danni sia ai privati che alle imprese. A seconda del tipo di attacco e delle intenzioni dei truffatori, il pericolo è la paralisi di apparecchi o intere reti, la sottrazione o la distruzione di dati riservati o la richiesta di ingenti somme di denaro come riscatto. Non vanno inoltre sottovalutati i danni alla reputazione e gli oneri che possono derivare dall’uso improprio di un dominio mittente poco protetto.
Quali misure sono attuabili?
La tecnologia della posta elettronica si basa sui protocolli SMTP, IMAP e POP, che di per sé non offrono una protezione particolare, poiché ad esempio le e-mail vengono trasmesse di default senza crittografia end-to-end e l’autenticità del mittente non viene verificata. Pertanto, chi desidera proteggere meglio il proprio traffico di posta elettronica deve adottare misure supplementari.
Le seguenti misure tecniche possono contribuire, tra le altre cose, ad aumentare la sicurezza delle e-mail:
- Aggiornamenti software
- Gli aggiornamenti software rappresentano la misura tecnica più semplice e importante. Perciò aggiorni regolarmente i Suoi dispositivi e il loro software. Nessun software è privo di errori. È quindi importante installare gli aggiornamenti non appena questi vengono rilasciati. Ciò vale per tutti i Suoi apparecchi, siano essi smartphone, tablet o computer, sia per i siti web di Sua pertinenza con i sistemi di Content Management (CMS) e i plug-in impiegati.
- Crittografia per il trasporto (TLS)
- Questo termine indica la cifratura durante la trasmissione tra i sistemi coinvolti. Hostpoint Le consiglia di utilizzare sempre il TLS nel Suo programma di posta elettronica. Per la comunicazione con i server di posta esterni, i server di posta elettronica di Hostpoint utilizzano, ove possibile, sempre connessioni crittografate per il trasporto. Tuttavia, i messaggi stessi possono essere letti da tutti i server di posta coinvolti (cfr. punto “Crittografia end-to-end”).
- Scanner spam
- Lo scanner spam (chiamato anche “filtro antispam”) è un software che analizza le e-mail alla ricerca di messaggi spam, i quali, una volta individuati, vengono contrassegnati come tali e spostati nella cartella apposita. Gli scanner spam aiutano quindi a ridurre il flusso di messaggi pubblicitari abusivi. Per maggiori informazioni al riguardo, La invitiamo a consultare l’articolo dettagliato sullo scanner spam.
- Autenticazione e-mail
- Con questo termine si fa riferimento alle tecnologie che consentono di verificare l’identità del mittente. Tra queste rientrano diversi metodi di autenticazione quali SPF, DKIM e DMARC. Queste procedure consentono al server di posta destinatario di verificare se l’e-mail proviene da un server autorizzato e non è stata falsificata. Adottando l’autenticazione e-mail aumenta quindi la sicurezza sia per Lei in qualità di titolare del dominio sia per i destinatari dell’e-mail.
- Scanner antivirus
- Gli scanner antivirus sono software che controllano le e-mail e il loro contenuto alla ricerca di allegati e link dannosi e possono contribuire a ridurre il rischio di scaricare programmi pericolosi. Tuttavia, gli scanner antivirus non sono in grado di riconoscere tutti i pericoli. È quindi importante agire con cautela.
- Crittografia end-to-end
- Con questa tecnologia, i messaggi stessi vengono criptati. La crittografia end-to-end garantisce la protezione completa del contenuto di un messaggio contro la lettura e le modifiche improprie da parte degli hacker, dal momento dell’invio fino alla ricezione. A tal fine è necessario che sia il destinatario sia il mittente dispongano di un software speciale. Purtroppo, l’utilizzo di questi software continua a essere complesso e quindi non molto diffuso. Il più delle volte viene utilizzato lo standard S/MIME o OpenPGP.
- Firme digitali
- Le firme digitali consentono ai destinatari di verificare in modo affidabile il mittente e l’integrità del messaggio. Per poter utilizzare questo strumento è necessario il ricorso a un software speciale, come per la crittografia end-to-end. Tuttavia, il messaggio non viene crittografato end-to-end e rimane quindi leggibile anche per i destinatari che non dispongono di un software specifico.
Raccomandazioni per una gestione sicura delle e-mail
Per una gestione sicura delle e-mail, Hostpoint suggerisce di osservare i seguenti consigli:
Informazioni generali
- Crittografia: attivi per le e-mail la crittografia per il trasporto. In questo modo le Sue e-mail e la Sua password di posta elettronica saranno trasmesse ai nostri server in modo cifrato.
- Gestione delle password: utilizzi password forti e personalizzate per i Suoi account e-mail. Le salvi esclusivamente in un password manager e non le comunichi mai a terzi. Ulteriori suggerimenti per l’utilizzo sicuro delle password sono disponibili presso l’Ufficio federale della cibersicurezza.
- Aggiornamenti software regolari: si assicuri che il sistema operativo dei Suoi dispositivi e il software installato (ad es. browser e programmi di posta elettronica) siano sempre aggiornati. In questo modo riduce il rischio di incorrere in falle di sicurezza note e che possono essere sfruttate.
Per mittenti e titolari di domini
- SPF/DKIM/DMARC: attivi SPF, DKIM e DMARC per l’invio di e-mail con il Suo dominio. Questi metodi di autenticazione riducono il rischio che il Suo dominio venga usato per inviare e-mail contraffatte.
- Criteri del mittente: configuri per i Suoi domini criteri del mittente rigorosi nel Pannello di controllo Hostpoint. In questo modo è Lei a stabilire in quali circostanze i server di posta elettronica di Hostpoint accettano e inviano le e-mail per nome del Suo dominio.
- Aggiornamenti software per il Suo sito web: effettui aggiornamenti regolari e tempestivi anche del Suo CMS, a inclusione dei plug-in utilizzati. Le falle di sicurezza riscontrate vengono spesso sfruttate in maniera molto rapida.
- Dati confidenziali: non invii dati riservati via e-mail.
Per destinatari
- Attenzione: sia prudente e vigile nella gestione delle e-mail. Controlli attentamente il mittente e il contenuto dei messaggi e-mail. Non si faccia mettere sotto pressione e non apra link o allegati sospetti. Se non si fida di un messaggio ricevuto, chieda delucidazioni al mittente, ad esempio, per telefono. Maggiori informazioni in merito sono disponibili nell’articolo del Support Center relativo al phishing separato e sulla nostra pagina informativa sul phishing.
- Scanner spam: attivi lo scanner spam la casella spam nel Panello di controllo Hostpoint. Lo scanner spam riconosce molti dei messaggi fraudolenti e li sposta dalla casella di posta in arrivo direttamente nella cartella dello spam.
- Scanner antivirus: utilizzi uno scanner antivirus e si assicuri che esegua un controllo degli allegati e-mail alla ricerca di eventuali file dannosi. Tenga però presente che uno scanner antivirus non è in grado di rilevare tutti i pericoli, perciò mantenga comunque la prudenza.
Per richieste di supporto la preghiamo di usare invece questo modulo.