Protocollo smtp , SPF , DMARC e DKIM
Simple Mail Transfer Protocol
Protocollo smtp – Continuo il viaggio attraverso il mondo dei protocolli di comunicazione con questo protocollo che in maniera celata utilizziamo tutti. Questo viaggio ci porta oggi a riesplorare uno dei pilastri della comunicazione digitale: il Simple Mail Transfer Protocol, meglio noto come SMTP, agganciandolo a protocolli di sicurezza e in maniera dettagliata e approfondita (come da vostra richiesta).
Questa tecnologia, invisibile ma fondamentale, gioca un ruolo cruciale nell’invio e nella distribuzione delle e-mail. In definitiva, quel processo che diamo per scontato ogni volta che premiamo “invia” sulla nostra casella di posta elettronica.
Si parlerà di:
SMPT -Simple Mail Transfer Protoco.
SPF – Sender Policy Framework.
DMARC Domain-based Message Authentication, Reporting, and Conformance.
DKIM – DomainKeys Identified Mail#
Un po’ di storia
SMTP è nato negli anni ’80, un periodo segnato da un intenso sviluppo tecnologico e dalla nascita di Internet come lo conosciamo. Il protocollo è stato definito per la prima volta nel 1982 con la RFC 821, che è stata poi aggiornata e sostituita dalla RFC 5321 nel 2008. La sua creazione ha segnato un punto di svolta nella storia della comunicazione digitale, permettendo alle persone di inviare messaggi di testo in modo rapido e semplice attraverso diverse reti.
Il funzionamento
Al cuore del suo funzionamento, SMTP è un protocollo di comunicazione che serve per trasferire messaggi di posta elettronica tra i server. Funziona secondo un modello client-server, dove un client di posta elettronica invia una richiesta a un server SMTP per il trasferimento di un messaggio. Il server, a sua volta, si incarica di consegnare questo messaggio al server SMTP del destinatario. Questo processo coinvolge diversi passaggi tecnici, tra cui l’handshake iniziale, la verifica dell’esistenza del destinatario e, infine, il trasferimento del messaggio.
Una delle caratteristiche fondamentali di SMTP è la sua semplicità e flessibilità, che hanno permesso al protocollo di adattarsi e restare rilevante attraverso decenni di evoluzione tecnologica. Tuttavia, proprio questa semplicità ha portato alla luce diverse criticità in termini di sicurezza.
E’ vulnerabile il protocollo smtp ?
Le vulnerabilità di sicurezza associate a SMTP sono molteplici e variegate. Una delle principali problematiche è legata alla mancanza di autenticazione e cifratura nelle versioni originali del protocollo, che rende i messaggi suscettibili di intercettazioni e manipolazioni (conosciute come attacchi “man-in-the-middle”). Inoltre, SMTP non verifica l’integrità del mittente, il che ha aperto le porte a fenomeni di spam e phishing, dove gli aggressori possono facilmente fingere di essere qualcun altro per ingannare i destinatari dei messaggi.
Per mitigare queste criticità, sono stati sviluppati diversi strumenti e protocolli complementari, come Secure SMTP (SMTPS), che aggiunge uno strato di sicurezza attraverso l’utilizzo del protocollo SSL/TLS per cifrare i dati trasmessi. Inoltre, tecnologie come SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) sono state introdotte per aiutare a verificare l’identità dei mittenti e migliorare la sicurezza complessiva della posta elettronica.
SMTPS
SMTPS, o Secure SMTP, rappresenta un’evoluzione cruciale nella storia di SMTP, rispondendo direttamente alle esigenze di maggiore sicurezza nella trasmissione delle e-mail. La “S” finale sta per “Secure” e indica l’aggiunta di uno strato di sicurezza attraverso l’uso di SSL (Secure Sockets Layer) o TLS (Transport Layer Security), due protocolli crittografici progettati per fornire comunicazioni sicure su una rete informatica.
La transizione verso SMTPS ha segnato un punto di svolta, mettendo in luce l’importanza della cifratura nella protezione delle informazioni trasmesse via e-mail. Prima dell’introduzione di SMTPS, i messaggi inviati tramite SMTP erano trasmessi in chiaro, esponendoli a potenziali intercettazioni e attacchi man-in-the-middle. Con SMTPS, invece, i dati trasmessi tra client e server sono cifrati, rendendo significativamente più difficile per gli aggressori leggere o modificare i messaggi intercettati.
Implementazione di SMTPS
L’implementazione di SMTPS si avvale del concetto di “handshake” crittografico, un processo che avviene all’inizio di una sessione di comunicazione. Durante questo processo, client e server concordano su vari parametri crittografici da utilizzare per la sessione, inclusi il tipo di cifratura e le chiavi crittografiche. Una volta stabilito questo contesto sicuro, i dati possono essere scambiati con la fiducia che solo il mittente e il destinatario previsti possano accedere al contenuto del messaggio.
Tuttavia, l’introduzione di SMTPS non ha eliminato tutte le sfide legate alla sicurezza delle e-mail. Anche se la cifratura protegge i dati durante il trasporto, non garantisce l’integrità del mittente o del messaggio stesso. In altre parole, SMTPS impedisce agli esterni di intercettare o leggere i messaggi, ma non previene attacchi come il phishing, dove un aggressore può fingere di essere un mittente legittimo.
Per affrontare queste ulteriori sfide, la comunità tecnologica ha introdotto standard complementari come SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), e DMARC (Domain-based Message Authentication, Reporting, and Conformance). Questi strumenti aggiungono ulteriori livelli di verifica dell’identità del mittente e dell’integrità del messaggio, lavorando insieme a SMTPS per rafforzare la sicurezza complessiva della posta elettronica.
SPF
Il Sender Policy Framework, comunemente noto come SPF, è una tecnologia di autenticazione e-mail che aiuta a prevenire il fenomeno dello spoofing, ovvero l’invio di messaggi e-mail con un falso indirizzo del mittente. Implementato come uno standard di sicurezza, SPF è stato progettato per verificare che i messaggi inviati da un dominio siano autorizzati dall’amministratore di quel dominio, contribuendo così a ridurre il rischio di spam, phishing e altre forme di abuso via e-mail.
Il funzionamento di SPF si basa su record DNS (Domain Name System) specifici che gli amministratori di dominio pubblicano per elencare i server di posta autorizzati a inviare e-mail per conto del loro dominio. Quando un server di posta riceve un messaggio, può controllare questi record SPF per verificare se il server che ha inviato il messaggio è effettivamente autorizzato a farlo. Se il controllo fallisce, il messaggio può essere rifiutato o contrassegnato come potenzialmente fraudolento.
Record SPF
L’implementazione di SPF da parte dei domini è relativamente semplice ma richiede una gestione attenta per evitare problemi di consegna dei messaggi legittimi. Gli amministratori devono creare e mantenere un record SPF nel DNS del loro dominio, elencando tutti gli indirizzi IP che sono autorizzati a inviare e-mail per loro conto. Questo record è una stringa di testo che segue uno specifico formato, il quale include direttive e meccanismi per specificare gli host autorizzati.
Una volta che un record SPF è pubblicato, i server di posta in entrata possono verificare i messaggi in arrivo per assicurarsi che provengano da un server elencato nel record SPF del dominio del mittente. Questo controllo viene effettuato estraendo l’indirizzo IP del server mittente dal messaggio e confrontandolo con gli indirizzi IP autorizzati elencati nel record SPF. Se l’indirizzo IP corrisponde a uno degli indirizzi autorizzati, il messaggio è considerato autenticato. In caso contrario, il server di posta in entrata può prendere diverse azioni, come rifiutare il messaggio o marcarlo come sospetto.
Uno dei principali vantaggi di SPF è la sua capacità di ridurre significativamente la quantità di spam e phishing che gli utenti ricevono, proteggendo al contempo la reputazione del dominio del mittente. Tuttavia, SPF da solo non è una soluzione completa per la sicurezza delle e-mail. Una delle sue limitazioni è che può verificare solo l’indirizzo IP del server che invia il messaggio, non l’indirizzo e-mail del mittente mostrato all’utente. Di conseguenza, SPF viene spesso utilizzato in combinazione con altri standard di sicurezza, come DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance), per fornire una protezione più completa contro abusi e frodi via e-mail.
DKIM e Protocollo smtp
DomainKeys Identified Mail (DKIM) rappresenta una delle pietre miliari nella lotta contro l’abuso di e-mail, operando come un sistema di autenticazione che consente a chi riceve di verificare che un messaggio attribuito a un dominio sia stato effettivamente autorizzato da quel dominio. Questo meccanismo si basa sull’uso di crittografia a chiave pubblica per assicurare l’integrità del messaggio e l’autenticità del mittente, offrendo così una solida difesa contro le pratiche di phishing e spoofing.
La magia di DKIM si svolge attraverso l’aggiunta di una firma digitale ai messaggi inviati. Questa firma viene generata utilizzando una chiave privata che è unica per il dominio del mittente, ed è poi verificata dal destinatario utilizzando una chiave pubblica corrispondente, pubblicata nel DNS del dominio del mittente. La firma DKIM copre parti del messaggio che non devono essere alterate, come l’header e, facoltativamente, parti del corpo del messaggio. Se il messaggio viene modificato durante il trasporto, la firma non corrisponderà al momento della verifica, segnalando così al destinatario che il messaggio potrebbe essere stato manomesso.
Implementazione
L’implementazione di DKIM inizia con la generazione di chiavi da parte dell’amministratore del dominio. La chiave privata firma i messaggi e si conserva sul server di posta in uscita. La chiave pubblica va nel DNS come record TXT, permettendo la verifica delle firme dei messaggi.
Alla ricezione di un messaggio, il destinatario usa la chiave pubblica dal DNS del mittente per verificare la firma. Se la verifica riesce, il messaggio è autentico e non alterato. Questo rafforza la sicurezza, ostacolando spoofing e alterazioni da parte degli aggressori.
DKIM migliora l’integrità e autenticità delle e-mail, ma ha limitazioni. Non blocca attacchi che non modificano l’e-mail originale. Per questo, si usa con SPF e DMARC, per un’ampia protezione contro vari attacchi, rafforzando la sicurezza delle e-mail.
DMARC e Protocollo smtp
Domain-based Message Authentication, Reporting, and Conformance (DMARC) si posiziona come l’evoluzione naturale e il complemento dei protocolli SPF e DKIM, offrendo un framework potente per gli amministratori di dominio per specificare come i loro messaggi di posta elettronica dovrebbero essere autenticati e come gestire quelli che falliscono questa verifica. Questo protocollo non solo aumenta il livello di sicurezza delle comunicazioni via e-mail ma fornisce anche strumenti per monitorare e migliorare l’efficacia di questa sicurezza.
L’obiettivo principale di DMARC è prevenire l’abuso dei domini e-mail in attacchi di phishing e spoofing, facilitando una politica di autenticazione che determina cosa fare con i messaggi che non passano i controlli SPF o DKIM. In sostanza, DMARC consente agli amministratori di definire una politica pubblicata nel DNS del loro dominio che instrada i server di posta riceventi su come gestire i messaggi che falliscono le verifiche di autenticazione. Queste politiche possono variare da semplici report di monitoraggio a istruzioni per mettere in quarantena o rifiutare i messaggi non autenticati.
I Report
Una caratteristica distintiva di DMARC è la sua capacità di fornire report dettagliati agli amministratori dei domini, permettendo loro di vedere quanti messaggi vengono inviati a loro nome e quante di queste e-mail falliscono i controlli di autenticazione. Questi report sono fondamentali per comprendere l’efficacia delle politiche di autenticazione e identificare eventuali problemi o tentativi di abuso, facilitando un continuo miglioramento della sicurezza delle e-mail.
L’implementazione di DMARC inizia con la definizione di una politica di autenticazione e la pubblicazione di questa politica nel DNS sotto forma di un record TXT. Questa politica specifica le condizioni sotto le quali un messaggio deve essere considerato autenticato (ad esempio, deve passare sia SPF che DKIM), cosa fare con i messaggi che non superano i controlli (niente, mettere in quarantena, o rifiutare), e a chi inviare i report di autenticazione.
Le politiche DMARC e il protocollo smtp
Le politiche di DMARC possono essere impostate su tre livelli:
- Nessuna azione (none): i messaggi che falliscono i controlli vengono consegnati normalmente, ma vengono generati report per l’analisi.
- Quarantena: i messaggi che falliscono vengono spostati nella cartella di spam o in una quarantena specificata dal ricevente.
- Rifiuto (reject): i messaggi che falliscono vengono rifiutati e non consegnati al destinatario.
DMARC aiuta le organizzazioni a combattere phishing e spoofing. Riduce il rischio di abuso dei loro domini. Così, protegge la reputazione e gli utenti. La sua efficacia dipende però dalla corretta configurazione. Anche la cooperazione tra mittenti e destinatari è cruciale.
DMARC fornisce una difesa robusta contro l’abuso di identità via e-mail. Tuttavia, non copre tutti i problemi di sicurezza e-mail. Ad esempio, non blocca gli attacchi di phishing con domini simili ma legittimi. Perciò, DMARC va visto come parte di una strategia di sicurezza e-mail più ampia. Questa strategia include educazione degli utenti, monitoraggio continuo e altre tecnologie di sicurezza.
In conclusione, DMARC è un passo importante contro l’abuso di e-mail. Offre strumenti per autenticare le comunicazioni e proteggere i marchi. Migliora anche la fiducia nell’ecosistema dell’e-mail.
Quindi, implementato con SPF e DKIM, DMARC rafforza la sicurezza delle comunicazioni e-mail.