Email Spoofing: Perchè altri ricevono email dal mio indirizzo che io non ho inviato

L’email spoofing è una tecnica utilizzata per inviare messaggi email con un indirizzo mittente diverso da quello reale. Di solito viene utilizzata nelle email di spam o per veicolare attacchi facendo credere alla vittima di ricevere email da una persona di fiducia. Sebbene si possa pensare che falsificare il mittente di un messaggio email sia complicato nella realtà è molto semplice.

In questo articolo vi spiegheremo come funziona l’email spoofing e come difendersi per evitare che altri ricevano messaggi email dal vostro indirizzo senza che siano stati effettivamente inviati da voi.

Per capire come mai è possibile falsificare il mittente di un messaggio email in maniera molto semplice è necessario prima ricordare che i protocolli che regolano il funzionamento delle email sono nati più di 30 anni fà. A quei tempi i problemi di spam o delle truffe via Internet non esistevano, anzi Internet era un luogo ristretto ai soli ricercatori universitari. Di fatto il protocollo SMTP, quello che definisce lo scambio di messaggi email fra server, non prevede nessun metodo di verifica che l’indirizzo email mittente, dichiarato da chi invia il messaggio, sia effettivamente il mio.

In sostanza quando invio una email posso specificare come mittente qualsiasi indirizzo, anche non mio.

Per fare un paragone è come quando inviate un pacco tramite un corriere o una lettera all’ufficio delle poste. Alla voce “Mittente” potete scrivere quello che volete, nessuno vi chiederà un documento per verificarlo. E pensandoci bene questo ha un senso in quanto se dovete spedire l’unica cosa che conta è l’indirizzo del destinatario.

Specificare anche un mittente corretto è utile solo se avete interesse a ricevere una notifica se la spedizione non è andata a buon fine. Ed è per questo che in caso di attacco email spoofing il “falso” mittente riceve avvisi di mancata consegna di email che lui non ha mai inviato, i così detti messaggi di bounce o mailer-daemon.

Abbiamo quindi capito come è possibile che qualcuno invii email a vostro nome senza autorizzazione.

Ma perchè stanno utilizzando proprio il mio di indirizzo email per inviare questi messaggi?

Chi invia email di spam è sempre alla ricerca di indirizzi email di possibili vittime, ed è molto più probabile che la vittima legga l’email se il mittente è una persona che conosce. Di solito queste informazioni (mittente e destinatario che si conoscono) sono recuperati da virus che hanno infettato in precedenza i PC delle vittime ed a cui hanno sottratto la Rubrica del programma email (ad esempio tutti i contatti presenti in Outlook).

I truffatori a quel punto prendono un indirizzo email a caso dalla Rubrica e lo usano come mittente per inviare email a tutti gli altri contatti presenti.

Questo spiega come mai le email a nostro nome sono ricevute sia da persone che conosciamo sia da persone che non ci conoscano.

Se questi messaggi email contengono anche pezzi di conversazioni reali è probabile che siano state rubate da qualche PC infetto da una recente versione del malware Emotet.

Come difendere il proprio indirizzo email o dominio aziendale dall’attacco dell’email spoofing?

Come detto il protocollo SMTP non prevede un meccanismo per evitare che qualcuno mandi email a nostro nome, ma nel corso degli anni sono stati aggiunti alcuni meccanismi per evitare che i messaggi con mittente falso arrivino a destinazione:

• SPF
• DKIM
• DMARC

L’idea è quella di aggiungere al DNS del proprio dominio alcune informazioni che indichino al server destinatario se quel messaggio email è stato effettivamente inviato dai server del mittente oppure no.

1° Record SPF

La prima precauzione da attivare sul DNS proprio dominio, per proteggere le email aziendali, è un record SPF. Sostanzialmente un record SPF contiene gli indirizzi IP dei sevrer SMTP che sono autoirzzati ad inviare email a vostro nome. Il record SPF è fornito dal proprio email provider e deve essere inserito nel DNS del vostro dominio.

Un record SPF è simile a questo:

v=spf1 include:spf.qboxmail.com mx a -all

La parte “include:” cambia da provider a provider. Quello a cui dovete fare attenzione è che la parte finale contenga “-all”. Molti fornitori infatti indicano un record SPF che termina con “~all” ma non è sufficiente a proteggersi.

• ~all significa che se anche il messaggio arriva da un server SMTP non autorizzato può essere accerrato ugualmente
• -all indica, al server destinatario, che se il messaggio non arriva dal vostro preciso SMTP deve essere respinto

E’ quindi importante verificare che il proprio record SPF termini con -all e contenga esattamente le informazioni corrette degli IP dei vostri server SMTP. Il vostro fornitore di servizi email saprà indicarvi cosa inserire.

2° Firma DKIM

La seconda misura tecnica da adottare è assicurarsi che le proprie email siano firmate tramite DKIM. La firma DKIM di per se non aiuta ad evitare che qualcuno possa mandare email a vostro nome ma permette di identificare, appunto grazie alla firma digitale che contiene, se un messaggio è stato effettivamente inviato dai server SMTP del vostro provider. Avere una firma DKIM su tutte le email inviate può essere molto utile in caso di analisi a seguito di un incidente informatico in quanto permette di stabilire se il messaggio è stato effettivamente inviato da voi e che non sia stato modificato dopo il vostro invio.

Per avere una firma DKIM sulle proprie email è necessario richiederlo al proprio fornitore, oggi quasi tutti i provider email forniscono questo servizio già incluso.

3° Policy DMARC

La terza misura che è possibile adottare è dichiarare una policy DMARC per il proprio dominio. In sostanza DMARC indica cosa deve fare chi riceve i vostri messaggi email nel caso in cui il record SPF e la firma DKIM non siano corrispondenti a quanto da voi indicato nel DNS del vostro dominio, ad esempio potete indicare che i messaggi siani respinti oppure messi in quarantena. Le specifiche DMARC permettono inoltre di ricevere dei report, in formato XML, qualora qualcuno stia inviando email, di spam o truffa, a vostro nome. Essendo una misura di sicurezza nata di recente DMARC non è ad oggi ancora molto diffuso fra i fornitori di servizi email. Ma è sempre bene andare ad inserire un record DMARC nel DNS del vostro dominio.

Una policy DMARC da mettere nel DNS è simile a questa:

v=DMARC1; p=quarantine; rua=mailto:dmarcrua@qboxmail.com; ruf=mailto:dmarcruf@qboxmail.com

Sebbene queste misure non impediscono ad altri di inviare email con mittente il vostro indirizzo email sono di sicuro un deterrente, infatti fra un dominio senza queste misure di sicurezza ed uno con attivo SPF, DKIM e DMARC, i truffatori preferiscono utilizzare quello senza o con meno protezioni.

Consigli finali

Ci sono infine alcuni consigli sempre validi:

• utilizzare per le proprie caselle email delle password robuste e generate casualmente
• dotare tutte le postazioni di lavoro di un buon software Antivirus o Endpoint Protection
• installare a protezione dell’azienda un firewall di nuova generazione (Next Generation Firewall)

Se volete maggiori informazioni o supporto tecnico per mettere al sicuro le vostre email e la vostra azienda da possibili rischi potete contattare Qboxmail, saremo a vostra disposizione per darvi tutto il supporto necessario.