159 29/03/2026 07/04/2026 4 min

Diagnosi probabile

Quando un’email sembra provenire da un mittente noto ma contiene link sospetti, urgenze insolite o allegati inattesi, le cause più frequenti sono phishing, spoofing del mittente oppure una compromissione dell’account di posta o del dominio. In molti casi il problema non è solo il messaggio in sé: può esserci una configurazione debole di SPF, DKIM o DMARC, che permette a terzi di imitare il dominio con maggiore facilità.

Se il destinatario ha già cliccato su un link o inserito credenziali, la priorità diventa stabilizzare l’incidente: bloccare l’accesso, verificare i dispositivi coinvolti e controllare se ci sono inoltri automatici, regole sospette o accessi da paesi insoliti.

Verifiche immediate

  1. Controlla il mittente reale e non solo il nome visualizzato: verifica il dominio completo dell’indirizzo e confrontalo con quello atteso. Un esito normale è un dominio identico e coerente; un esito sospetto è una variante con lettere simili, trattini o sottodomini ingannevoli.
  2. Apri i dettagli tecnici del messaggio e cerca i risultati di SPF, DKIM e DMARC. L’esito atteso, in un messaggio legittimo ben configurato, è pass o comunque un allineamento coerente con il dominio dichiarato.
  3. Verifica se il contenuto crea urgenza anomala, chiede credenziali, codici OTP, pagamenti o download immediati. Un messaggio sano non dovrebbe spingere ad azioni immediate senza contesto verificabile.

Controllo tecnico rapido su DNS

Se gestisci il dominio, controlla i record DNS essenziali. Il controllo serve a capire se il dominio è protetto contro l’uso improprio da parte di terzi.

dig TXT tuodominio.it +short

Esito atteso: presenza di un record SPF valido, di chiavi DKIM per il dominio o dei record necessari al servizio email. Se manca SPF o DMARC, la probabilità di spoofing aumenta.

Soluzione consigliata passo-passo

  1. Non aprire allegati né cliccare link finché non hai verificato il mittente. Se l’email riguarda banca, corriere, provider o fatture, accedi sempre dal sito ufficiale digitato manualmente nel browser, non dal messaggio.
  2. Se il messaggio è sospetto, segnalalo e rimuovilo. In ambiente aziendale conviene inoltrarlo al team IT o al provider di posta come campione, mantenendo intatti intestazioni e allegati per l’analisi. Se la piattaforma lo consente, usa la funzione di segnalazione phishing.
  3. Se hai cliccato o inserito credenziali, cambia subito la password dal sito ufficiale, attiva l’autenticazione a due fattori e disconnetti tutte le sessioni attive. Questo riduce il rischio di accessi persistenti.
  4. Controlla regole e inoltri nella casella di posta: cerca filtri che spostano i messaggi, nascondono avvisi o inoltrano copie a indirizzi sconosciuti. Un esito sospetto è la presenza di regole create di recente senza autorizzazione.
  5. Verifica SPF, DKIM e DMARC per il dominio. Se gestisci il DNS, imposta almeno SPF e DKIM correttamente e aggiungi una policy DMARC graduale. Questo non elimina il phishing, ma rende più difficile falsificare il dominio e migliora il controllo dei messaggi.

Esempio pratico di controlli DNS

Per un dominio sotto la tua gestione, questi controlli aiutano a capire la situazione di base. Il comando non modifica nulla e serve solo alla verifica.

dig TXT tuodominio.it +short
dig TXT _dmarc.tuodominio.it +short

Esito atteso: un record SPF nel dominio principale e un record DMARC dedicato. Se il secondo manca, il dominio è meno protetto contro spoofing e abuso del mittente.

Controlli finali / rollback

  1. Controllo finale: dopo la correzione, invia un’email di test da un account affidabile al tuo indirizzo e verifica che i risultati di SPF, DKIM e DMARC siano coerenti. L’esito atteso è un messaggio riconosciuto come legittimo dai principali filtri.
  2. Controllo di sicurezza: verifica che non esistano inoltri, deleghe o regole automatiche sospette nell’account compromesso. Se trovi attività anomala, revoca le sessioni e valuta il reset delle credenziali di servizi collegati.
  3. Rollback: se una modifica ai record DNS crea problemi di recapito, ripristina la configurazione precedente dal backup del DNS zone file o dallo storico del provider prima di cambiare ulteriormente i record.

Assunzione: il problema riguarda un’email sospetta o una possibile imitazione del mittente; se invece serve analizzare una casella già compromessa, la priorità è bloccare l’accesso e verificare accessi e inoltri prima di intervenire sui record DNS.