Se in Hotmail/Outlook ti arriva un’email di estorsione con mittente uguale al tuo indirizzo, niente panico: nella quasi totalità dei casi è spoofing, non una violazione del tuo account. In questa guida trovi verifiche rapide, lettura degli header, contromisure e regole utili.

Cos’è lo spoofing e perché vedi “te stesso” come mittente

Lo spoofing è la falsificazione del campo From: di un’email. Il protocollo SMTP, nato negli anni ’80, non impone un’autenticazione forte del mittente: di conseguenza, un attaccante può spedire un messaggio facendo apparire come mittente quasi qualunque indirizzo, incluso il tuo. Questo trucco viene usato spesso nelle campagne di estorsione (“sextortion”) che minacciano di diffondere dati o video inesistenti.

Quando il campo From: è “truccato”, l’email non passa dal tuo account: ecco perché non la trovi in Posta inviata. L’invio avviene da server estranei e il messaggio arriva alla tua casella come qualunque spam, solo con una faccia più convincente.

Verifiche immediate: come capire se l’account è stato davvero compromesso

Esegui questa checklist in 3 minuti:

• Posta inviata: se non ci sono email sospette inviate da te, è improbabile che ci sia intrusione.
• Attività recente dell’account Microsoft: controlla gli accessi insoliti (posizioni, orari, dispositivi). Se tutto torna, respira.
• Regole e inoltri: in Outlook verifica che non esistano regole anomale (es. “segna come letto e sposta in Archivio”) o inoltri verso indirizzi sconosciuti.
• Sicurezza di base: password forte e unica (meglio con password manager) e MFA (autenticazione a due fattori) attiva.
• Dispositivi: se temi malware, esegui una scansione con l’antivirus e aggiorna sistema e browser.

Se tutti i punti sono OK, puoi classificare il messaggio come spoofing e procedere con le contromisure qui sotto.

Soluzioni e contromisure: cosa funziona davvero

Obiettivo	Azioni pratiche	Note utili
Verificare se l’account è davvero compromesso	Controlla Posta inviata e cronologia di accesso; se non ci sono invii o accessi sospetti, l’account non è stato violato.	Lo spoofing avviene prima che l’email raggiunga il server del destinatario; Outlook non può impedire a un messaggio di “mostrare” un mittente arbitrario.
Capire l’origine reale del messaggio	Apri le intestazioni complete (header) e verifica i server SMTP attraversati; l’IP di origine risulterà quasi sempre estraneo.	SPF, DKIM e DMARC servono a intercettare discrepanze, ma non tutti i provider bloccano in modo totale i fallimenti.
Proteggersi in futuro	• Ignora/elimina il messaggio • Clic destro → Segnala → Phishing (o usa “Segnala messaggio”) • Mantieni MFA attiva e password forte	Molti utenti smettono di ricevere spoofing dopo segnalazioni ripetute tramite la funzione “Segnala phishing”. Aiuta i filtri di Microsoft a imparare.
Ridurre la confusione per utenti meno esperti	Suggerimento a Microsoft: se un messaggio finisce in Posta indesiderata e il mittente coincide con il proprio indirizzo o con un contatto noto, mostrare un avviso tipo “Indirizzo probabilmente falsificato (clic per dettagli)”.	Il feedback può essere inviato da Nuovo Outlook → Guida → Commenti/Feedback.

Come aprire e leggere gli header dell’email in Outlook/Hotmail

Aprire gli header

• Outlook sul Web (Outlook.com / OWA): apri l’email → icona ⋯ (Altro) → Visualizza → Origine del messaggio. Si apre una finestra con tutto il sorgente.
• Nuovo Outlook per Windows/Mac: apri l’email → ⋯ → Visualizza → Origine del messaggio. L’interfaccia è molto simile a Outlook sul Web.
• Outlook classico per Windows: apri l’email → File → Proprietà → sezione Intestazioni Internet.
• App Outlook iOS/Android: la visualizzazione completa degli header non è sempre disponibile. Se non vedi l’opzione, apri la stessa casella da browser (Outlook sul Web) e segui i passaggi sopra.

Cosa cercare negli header

Concentrati su tre aree:

1. Catena Received:
   Elenca i server attraversati. Se vedi server sconosciuti o geografie improbabili, il messaggio non proviene dalla tua infrastruttura.
2. Authentication-Results:
   Cerca esiti come spf=pass/fail, dkim=pass/fail, dmarc=pass/fail. In uno spoofing tipico avrai almeno uno fra spf=fail o dkim=none/fail per il dominio del mittente.
3. From: vs Return-Path (envelope sender)
   Se Return-Path è un dominio estraneo e non allineato col From:, è un forte indicatore di spoofing.

Authentication-Results: mx.example.tld;
  spf=fail (sender IP 203.0.113.55) smtp.mailfrom=bad-sender.tld;
  dkim=none;
  dmarc=fail (p=quarantine) header.from=tuodominio.tld
Return-Path: <bounce@bad-sender.tld>
From: "Il Tuo Nome" <tuoindirizzo@tuodominio.tld>
Received: from smtp.bad-sender.tld (203.0.113.55) by ...

Interpretazione rapida: se DMARC o SPF falliscono e l’email è finita in Posta indesiderata, è quasi certamente spoofing. Segnala come phishing e cancella.

Perché i filtri non bloccano sempre lo spoofing

SMTP non nacque con autenticazione forte. SPF, DKIM e DMARC sono strati aggiuntivi: funzionano se il dominio mittente li ha configurati bene e se il destinatario applica politiche restrittive. Se il dominio mittente non impone una policy DMARC p=reject (o il provider destinatario preferisce non rifiutare a monte), il messaggio potrebbe essere consegnato in Posta indesiderata invece di essere respinto del tutto. È una scelta di equilibrio tra sicurezza e rischio di falsi positivi.

Azioni immediate consigliate (e cosa NON fare)

• NON pagare né rispondere: la risposta conferma che la casella è attiva e incentiva altre email.
• Segnala → Phishing: addestra i filtri e aumenta la probabilità che i messaggi successivi vengano bloccati.
• Elimina e, se vuoi, crea una cartella “Sospetti” per archiviare eventuali prove (utile per l’help desk).
• Controlla regole e inoltri nella tua casella: gli attaccanti che entrano davvero spesso lasciano regole di occultamento.
• Aggiorna password e mantieni MFA attiva; se la password riciclata è apparsa in vecchi data breach, cambiala ovunque.
• Antivirus: fai una scansione completa su PC e smartphone se hai aperto allegati o link.

Quando l’email contiene “prove” o dati personali

Le campagne di estorsione spesso includono vecchie password, numeri di telefono o screenshot finti. È per lo più un bluff basato su database pubblici di vecchie violazioni. Puoi verificare se le tue credenziali compaiono in leak storici usando servizi noti (es. “haveibeenpwned”), quindi ruotare le password interessate. Se sospetti malware (hai aperto allegati o macro), esegui subito una scansione e valuta il ripristino delle credenziali dal dispositivo pulito.

“Bloccare il mittente” non funziona quando il mittente sei tu

Outlook considera il tuo dominio come interno/attendibile e non consente di bloccare “te stesso”. Affidati a filtri antispam e regole per gestire i casi borderline (vedi sotto). Ricorda: la prova che l’account non è stato violato è l’assenza di invii anomali e di accessi sospetti, non la possibilità di bloccare il mittente.

Regole utili in Outlook per ridurre la confusione

Regola base: spostare le email “da me” che non sono state inviate da me

Obiettivo: se arriva un’email il cui From: è il tuo indirizzo ma non è in Posta inviata, spostala in una cartella dedicata (es. “Potenziale spoofing”).

1. Outlook sul Web: Impostazioni → Posta → Regole → Aggiungi nuova regola.
   Condizioni: “Il mittente contiene” → inserisci il tuo indirizzo.
   Azioni: “Sposta in” → cartella “Potenziale spoofing”.
   Eccezione: “Il messaggio è in” → Posta inviata (se disponibile). In alternativa, aggiungi un’eccezione per i messaggi contrassegnati come inviati da te.
2. Outlook desktop (regola avanzata): crea una regola con condizione “con parole specifiche nell’intestazione del messaggio” e inserisci pattern come From: tuoindirizzo@dominio; aggiungi un’eccezione per i messaggi “inviati da me” o conservati in “Posta inviata”.

Limiti: non è una barriera tecnica contro lo spoofing, ma riduce la confusione e ti evita allarmi inutili.

Regola avanzata (per utenti esperti)

Se il tuo dominio adotta DMARC rigoroso, puoi filtrare i messaggi “da te” quando l’Authentication-Results contiene dmarc=fail o spf=fail:

1. Outlook desktop → Regole → Nuova regola → “con parole specifiche nell’intestazione del messaggio”.
2. Parole da cercare (una per volta): Authentication-Results: .*dmarc=fail, spf=fail, dkim=fail (senza regex se l’interfaccia non le supporta, usa frammenti espliciti).
3. Azione: sposta in “Potenziale spoofing” o “Posta indesiderata”.

Nota: questa regola rischia falsi positivi su inoltri leciti o mailing list. Applica con prudenza.

Come segnalare il messaggio in Outlook

• Outlook sul Web: apri l’email → Segnala (icona scudo o menu ⋯) → Phishing → conferma.
• Nuovo Outlook / Outlook desktop: usa il componente “Segnala messaggio” (Report Message). Se non lo vedi, cerca nel menu “Segnala” o aggiungi il componente dall’account Microsoft 365.
• Mobile: apri l’email → menu ⋯ → Sposta in Posta indesiderata o opzione equivalente “Segnala phishing”.

Ogni segnalazione aiuta i filtri centrali di Microsoft a etichettare pattern, domini e IP usati dagli attaccanti, migliorando la protezione per tutti.

Per amministratori e proprietari di dominio (se usi un tuo dominio in Outlook/Microsoft 365)

• SPF: pubblica un record con i server autorizzati a inviare per il tuo dominio e termina con -all (rifiuto), non ~all (softfail), se possibile.
• DKIM: firma le email in uscita dal tuo dominio; le firme riducono la possibilità di spoofing riuscito.
• DMARC: imposta policy p=quarantine o meglio p=reject quando SPF/DKIM sono stabili; usa rua e ruf per i report, così capisci chi tenta di inviare a tuo nome.
• In entrata (EOP/Defender): valuta criteri che mettano in quarantena o rifiutino messaggi con From interno e DMARC/SPF non allineati; attiva i spoof intelligence e i criteri anti-phishing.
• Transport Layer: abilita MTA-STS e TLS-RPT per la sicurezza del canale. Non prevengono lo spoofing del mittente, ma evitano downgrades TLS.
• Awareness: informare regolarmente gli utenti che “vedere il proprio indirizzo nel mittente ≠ account violato”. Riduce ticket e panico.

Segnali che indicano una vera intrusione (e non solo spoofing)

Prendi sul serio questi campanelli d’allarme:

• Email in Posta inviata che non ricordi.
• Avvisi di accesso riuscito da Paesi o dispositivi sconosciuti.
• Nuove regole o inoltri creati senza il tuo consenso.
• Notifiche di password modificata o di ripristino non richiesto.
• Contatti che segnalano risposte anomale o link sospetti provenienti da te.

In presenza di questi segnali: cambia subito la password, revoca le sessioni attive, verifica i dispositivi, ripristina regole/inoltri e, se necessario, coinvolgi il supporto.

Domande frequenti (FAQ)

Perché il mio indirizzo non compare tra i contatti del mittente reale?

Perché non ha usato il tuo account. L’attaccante ha semplicemente “scritto” il tuo indirizzo nel campo From: durante l’invio. Gli header mostrano i server reali usati per spedire.

Perché l’email non è stata bloccata?

Il dominio del mittente può non avere DMARC a p=reject, oppure il provider destinatario può aver scelto di consegnare in quarantena/indesiderata. È normale.

Devo cambiare indirizzo email?

No. Lo spoofing non “rovina” il tuo indirizzo. Segnala, elimina e continua a usare MFA e password robuste.

È utile rispondere all’attaccante?

No. Confermi solo che la casella è attiva e rischi di ricevere più spam.

Posso bloccare il mio indirizzo come mittente?

Outlook non lo consente per motivi di affidabilità interna. Usa regole e filtri, non il blocco del tuo indirizzo.

Guida passo‑passo: verifica completa in Outlook

1. Apri l’email sospetta (ma non cliccare link né scaricare allegati).
2. Controlla la cartella Posta inviata per cercare invii anomali.
3. Visualizza gli header completi e cerca gli esiti SPF/DKIM/DMARC e i server nella catena Received.
4. Segnala come phishing usando l’opzione integrata.
5. Elimina o sposta nella cartella “Potenziale spoofing”.
6. Rivedi regole/inoltri e la cronologia accessi dell’account Microsoft.
7. Ruota la password se riutilizzata altrove; mantieni MFA.

Modello pronto per help desk / IT interno

Oggetto: Email di estorsione con mittente uguale al mio indirizzo

Buongiorno, ho ricevuto un’email di estorsione che sembra inviata dal mio stesso indirizzo. Ho verificato: nessun invio sospetto in Posta inviata, attività recente regolare. Gli header mostrano SPF/DMARC non allineati e server esterni. Ho segnalato come phishing ed eliminato. Potete confermare che non risultano accessi anomali e che le policy anti‑spoofing sono in linea con le best practice (SPF/DKIM/DMARC)? Grazie.

Appendice: mappa rapida dei campi tecnici

Campo	Cosa indica	Come interpretarlo
From:	Mittente mostrato al destinatario	Può essere falsificato: non fidarti di questo campo da solo.
Return-Path	Envelope sender (per i bounce)	Se diverso dal dominio in From: e non allineato, sospetto spoofing.
Received:	Percorso attraversato dal messaggio	Server o IP inusuali suggeriscono invio da terze parti.
Authentication-Results:	Esito di SPF/DKIM/DMARC lato destinatario	spf=fail, dkim=none/fail, dmarc=fail → probabile spoofing.
Message-ID	Identificativo univoco generato dal server mittente	Formati strani o domini sconosciuti suggeriscono infrastrutture non legittime.

Checklist finale

• Vedi te stesso come mittente? Probabile spoofing.
• Controlla Posta inviata e attività recente.
• Apri gli header e cerca SPF/DKIM/DMARC → fail.
• Segnala phishing e elimina.
• MFA attiva, password robuste, nessun riuso.
• Facoltativo: regole per spostare email “da me” non inviate da me.
• Amministratori: SPF+DKIM+DMARC corretti e policy restrittive.

Conclusioni

Le email di estorsione con mittente uguale al tuo indirizzo su Hotmail/Outlook sono un classico caso di spoofing. Non indicano, di per sé, che il tuo account sia stato violato. La difesa migliore è riconoscere il trucco, verificare rapidamente (Posta inviata, attività dell’account, header), segnalare come phishing e mantenere solide pratiche di sicurezza (MFA + password uniche). Con poche abitudini e, se gestisci un dominio, con una configurazione DMARC rigorosa, queste campagne perdono gran parte della loro efficacia.

---

In sintesi: l’allarme deriva da spoofing, non da intrusione reale; la difesa migliore è riconoscere la tecnica, ignorare il ricatto, segnalare il messaggio e mantenere buone pratiche di sicurezza (password robuste + autenticazione a due fattori).