Spiegati i misteriosi protocolli SPF, DKIM e DMARC

Tratto da: Security Blog Libraesva
Autore: Rodolfo Saccani – 2 novembre 2020
 
 

 

La posta elettronica è una cosa antica, è nata molto più tempo prima di Internet.

Il primo sistema di posta elettronica è nato nel 1965 al MIT. A quel tempo la comunicazione e-mail era limitata entro i confini di un unico mainframe, quei computer multiutente enormi, molto costosi e delicati che occupavano intere stanze climatizzate e richiedevano una supervisione continua.

Nel 1971 avvenne la prima trasmissione di un’e-mail tra computer collegati. È stato un piccolo passo per una singola email, ma un primo enorme passo per l’umanità.

Nel 1982 nacque il protocollo SMTP, questo è il protocollo che utilizziamo ancora oggi per lo scambio di email su Internet.

Il problema principale dell’email (e dell’SMTP) è che, essendo nato in un ambiente collaborativo in cui la sicurezza non era affatto un problema, essendo progettato in un momento in cui l’abuso non era nemmeno un’opzione teorica, il protocollo non aveva alcuna sicurezza a tutto tra i suoi requisiti di design.
Nessuna autenticazione del mittente: chiunque potrebbe fingere di essere chiunque.
Nessuna riservatezza : i messaggi sono stati scambiati e archiviati in chiaro.
Nessun controllo di integrità : non è stato possibile impedire o addirittura rilevare la manipolazione del contenuto dell’email lungo il percorso.
Nessuna protezione sui messaggi non richiesti : chiunque può inviare qualsiasi quantità di e-mail a qualsiasi destinatario.

Poi la posta elettronica è diventata popolare e questi problemi hanno iniziato a comparire rapidamente.

È diventato chiaro che dovevamo fare qualcosa per affrontare questa mancanza di sicurezza nel protocollo. Nessuno ci aveva pensato prima perché nessuno immaginava che l’e-mail sarebbe diventata ciò che è oggi: la principale forma di comunicazione elettronica su cui si basano le nostre società , qualcosa su cui tutte le organizzazioni, le imprese e gli individui fanno affidamento ogni giorno per gestire la propria vita .

Come tutti abbiamo imparato a nostre spese negli anni seguenti, aggiungere la sicurezza in seguito è molto più difficile che inserirla in fase di progettazione. Questo è uno dei principi più importanti del GDPR: se vuoi una sicurezza reale, ne hai bisogno fin dalla progettazione.

Aggiungere la sicurezza come ripensamento è difficile. È ancora più difficile se devi garantire la compatibilità con le versioni precedenti. La posta elettronica è l’esempio più chiaro di quanto sia difficile aggiungere sicurezza a qualcosa che è già distribuito in tutto il mondo, dove è necessario garantire che la posta elettronica possa ancora essere scambiata con server che non sono stati aggiornati ai nuovi standard.

È qui che entrano in gioco gli acronimi che si trovano nel titolo di questo articolo: SPF , DKIM e DMARC sono tre standard che sono stati aggiunti all’email nel tentativo di renderla più sicura.

SPF ha un compito molto semplice: prevenire lo spoofing del dominio. La tua organizzazione può dichiarare al mondo un sottoinsieme di indirizzi IP autorizzati a inviare email per conto del dominio della tua organizzazione. Definendo questo criterio, è possibile impedire ad attori malintenzionati di inviare e-mail fingendo di essere la tua organizzazione.
La configurazione di una policy SPF è molto semplice e relativamente priva di rischi: è sufficiente mappare tutti gli indirizzi IP che la tua organizzazione utilizza per inviare email. Un piccolo sforzo per ciò che ricevi in ​​cambio e se hai enumerato correttamente tutti i tuoi indirizzi IP legittimi da cui invii email, nessuna email andrà persa.
SPF non è perfetto, però, e non è sufficiente per prevenire tutti i tipi di spoofing, ma è comunque molto meglio di niente.

DKIM ha uno scopo principale: garantire l’integrità del contenuto dell’email. Integrità significa che il destinatario può rilevare se l’email è stata modificata o manomessa lungo il percorso. Questo avviene tramite una firma elettronica: se la firma è valida, sai che puoi fare affidamento sul contenuto dell’email. Se la firma non è valida, è probabile che il messaggio sia stato manomesso. Questa firma viene aggiunta e controllata automaticamente dai server di posta e l’utente non deve fare nulla.
L’impostazione di DKIM richiede un po ‘più di sforzo rispetto a SPF ma è sicuro: se lo si configura male, l’email non andrà persa.

SPF e DKIM non risolvono ancora completamente il problema del phishing. L’e-mail è un po ‘come una semplice lettera di carta: il mittente e il destinatario scritti sulla busta vengono utilizzati per la consegna, ma il destinatario non vede la busta. Il destinatario vede semplicemente la lettera all’interno della busta e in quella lettera il nome e l’indirizzo del mittente possono essere falsificati. Fondamentalmente, il client di posta mostra il mittente che è scritto nella lettera, non quello sulla busta (che può essere protetta con SPF).

DMARC è stato progettato esattamente per questo scopo: assicurarti che il mittente mostrato dal tuo client di posta elettronica sia affidabile. Ciò viene eseguito pubblicando un criterio DMARC che istruisce i destinatari a verificare se il mittente visualizzato dal destinatario corrisponde a SPF o DKIM. L’email deve essere inviata da un indirizzo IP autorizzato per quel dominio (SPF è ok), oppure deve essere firmata con una chiave legittima di quel dominio (la firma DKIM è ok), altrimenti non verrà consegnata.

DMARC deve essere configurato dominio per dominio dall’amministratore di posta elettronica del dominio di invio. Fornisce un’ottima protezione contro lo spoofing e la rappresentazione, ma la configurazione non è semplice e gli errori nella configurazione possono portare alla perdita della posta elettronica . Pertanto, la configurazione di DMARC deve essere eseguita con competenza, senza improvvisare.

Ci sono altri standard che sono stati introdotti nell’email, come TLS (per crittografare l’email in transito) e S / MIME o PGP per la crittografia end-to-end. Queste sono cose di cui non devi preoccuparti. TLS è gestito automaticamente dai server di posta. S / MIME e PGP hanno un’adozione minuscola a causa delle complessità legate alla gestione delle chiavi da parte degli utenti finali.

Ti interessa SPF, DKIM e DMARC per la tua organizzazione? Dovresti.
Inizia con SPF, quindi procedi con DKIM e infine valuta DMARC.

Queste configurazioni non risolveranno tutti i problemi di sicurezza della posta elettronica, ma renderanno la tua comunicazione e-mail molto più sicura e affidabile.

3 Novembre 2020

Attacchi informatici, il 90% parte da una email

Lo specialista di email security Libraesva presenta le evidenze di un’analisi condotta in seno al settore bancario, nazionale ed europeo, con riferimento alla cyber sicurezza con focus sulle email, da anni canale prioritario di veicolazione di attacchi e infezioni malevoli.

Attacchi informatici, il 90% parte da una email

Strettamente intrecciato alla quotidianità delle persone in tutto il mondo, il settore finanziario è al centro delle economie globali e per questo è bersaglio dei cyber criminali che mostrano in misura crescente particolare interesse nel perpetrare i propri attacchi informatici contro le aziende di questo settore, tra le più colpite nell’area EMEA. L’incremento degli attacchi perpetrati contro le banche è cresciuto del +238% dal mese di febbraio 20201 (contro un incremento medio degli attacchi informatici che si attesta solitamente intorno all’80%) e sono oltre 3000 i dipendenti bancari ad avere subito un attacco da inizio anno.

In piena pandemia, Internet ha conosciuto un aumento d’uso per effettuare pagamenti e operazioni finanziarie, incentivando un notevole incremento dei cyber-attacchi. Se aziende e privati rimangono l’obiettivo preferito dei criminali informatici, le banche non sono quindi da meno e sono chiamate a reagire con piani di intervento su più fronti. Un recente studio di Moody’s1 identifica in tre modi come le banche mitigano il rischio informatico. Il primo è una forte governance aziendale, che comprende framework di sicurezza informatica, applicazione di policy e reporting. Il secondo è la prevenzione e la risposta al rischio, e la prontezza di recupero. Il terzo è la condivisione di informazioni con altre banche e l’adozione di standard e protocolli internazionali come strumento per fare fronte comune contro gli attacchi.

“Dal phishing al malware, passando per il Business Email Compromise, non si arresta il flusso delle minacce contro gli istituti di credito di tutto il mondo. In Italia la situazione è in linea con gli altri Paesi Europei e l’auspicio che in qualità di esperti di security possiamo fare è che si concretizzi la definizione di standard comuni utili ad affrontare in modo coeso la minaccia informatica in tutte le sue forme” afferma Paolo Frizzi, Ceo di Libraesva.

Le buone pratiche cominciano dai singoli

Se le banche stanno attuando misure e infrastrutture di protezione dedicate, d’altro canto gli stessi clienti possono contribuire a ridurre l’impatto potenziale degli attacchi via email. Gli esperti degli ESVAlabs, i laboratori di ricerca e sviluppo di Libraesva, grazie alla loro quotidiana attività di verifica e analisi di dati e informazioni trasmesse via email hanno stilato un vademecum di buone pratiche d’uso del canale email che consentono di elevare il livello di protezione dalla crescente e mutevole minaccia informatizzata che si articola in 5 principali punti:

  1. ATTENDIBILITA’ – Quando si eseguono operazioni bancarie, è opportuno operare direttamente dall’applicazione mobile dell’Istituto Bancario o cercando il sito ufficiale tramite i motori di ricerca web, senza selezionare alcun link fosse invece presente in comunicazioni email o SMS. Le mail legittime delle banche infatti solitamente non contengono link, cosa che invece si evidenzia nelle email di phishing
  2. ATTENZIONE – Quando si accede al sito della banca dal browser, assicurarsi che nella barra di ricerca compaia https://www… e che, quindi, la connessione al sito sia sicura. La forma http:// è oggi obsoleta e da considerarsi non attendibile
  3. TUTELA DEI DATI – Nel ricevere email che sembrano provenire dalla propria banca, controllare anzitutto se l’indirizzo email del mittente sia scritto correttamente, senza errori o elementi che destano sospetti, quindi non rispondere ad alcuna email fornendo dati personali relativi al proprio conto bancario o carte di pagamento
  4. SUPERVISIONE – Utilizzare password lunghe e complesse, evitando di ricorrere a quelle utilizzate già per altri siti
  5. CAUTELA – Non eseguire transazioni mentre si è connessi a reti Wi-Fi pubbliche, sia da pc che da mobile

“Questo elenco di piccoli seppur fondamentali accorgimenti consente di attivare un primo filtro umano che abbiamo constatato cooperare perfettamente con i filtri tecnici che i fornitori di servizi email mettono a disposizione degli istituti e degli utenti spiega Rodolfo Saccani, R&D Security Manager di Libraesva. Le tattiche di ingegneria sociale messe in atto dagli attaccanti puntano proprio a cogliere in fallo i più disattenti o noncuranti per varie ragioni. Eppure il fattore umano è in grado anche oggi con le minacce di nuova generazione di fare la differenza e di boicottare le iniziative malevoli degli aggressori”.

Redazione BitMAT – 17/09/2020

18 Settembre 2020

Rilasciato LibraESVA 3.7

Il 18 aprile 2016 è stato rilasciato LibraESVA 3.7

Logo_EsvaLa nuova versione include correzione a problemi noti, nuove funzionalità e migliorie a funzionalità esistenti.

Correzioni di bug noti

  • Problema nella visualizzazione dell’Audit Log
  • Problema sui valori di default della sezione Notification and Dangerous Content
  • Problema nella ricerca sulla Quarantena
  • Problema su filtraggio dei risultati della sezione SMTP Rejected con pagine multiple
  • Aggiunto timeout per le connessioni MySQL
  • Problema sull’interfaccia durante il trascinamento delle finestre
  • Problema su Domain Transport maps
  • Problema sul file hosts della macchina
  • Problema su Cluster Outbound Queue Visualization
  • Problema su POP3S Auth in Office365
  • Problema con il link di rilascio per messaggi con più destinatari
  • Problema su Avira e BitDefender AV Output Strings
  • Problema su BCC Content Filtering Action
  • Altri piccoli errori sono stati risolti

Nuove funzionalità

  • Nuove firme rilasciate da Sane Security per l’individuazione dei malware nelle Macro sono state aggiunte
  • Nuovo Plugin di identificazione ha come punteggio standard 5
  • Interfaccia di monitoraggio per ISP
  • Supporto all’autenticazione tramite IMAP
  • Aggiunto log FTP Backup
  • Funzionalità di Import/Export di White/Black Lists per Domain Admins
  • Gestione degli utenti da parte di Domain Admin

Miglioramenti

  • Aggiornato il protocollo SSL
  • Aggiornato Postfix alla versione 3.0.4
  • Aggiornato MailScanner all’ultima versione disponibile
  • Aggiornato Unrar all’ultima versione disponibile
  • Nuovo wizard di prima configurazione
  • Migliorata la visualizzazione delle impostazioni in ambiente multi tenant
  • API amministrative migliorate
  • Migliorate le impostazioni in User Auto-creation

Tutti i clienti LibraESVA sono incoraggiati a procedere all’aggiornamento.

NOTE: Questo aggiornamento può impiegare oltre 5 minuti di tempo per completarsi e richiede il riavvio del sistema al termine.
Prima di installare l’aggiornamento è buona prassi effettuare uno snapshot della macchina virtuale.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-3-6-5-0-to-3-7-0-0-upgrade-script

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

Richiedi Informazioni

18 Aprile 2016

Rilasciato LibraESVA 3.6.0.0

E’ stato rilasciato l’aggiornamento di LibraESVA alla versione 3.6.0.0.

Questa versione include importanti aggiornamenti di sicurezza e tutti i clienti sono fortemente incoraggiati ad installarlo.

Bug corretti

  • Corretto un problema che potrebbe causare il blocco della replica dei file
  • Eliminante le vulnerabilità: POODLE e LOGJAM
  • Corretto un problema che potrebbe permettere un attaco DoS contro MailScanner
  • Corretto parzialmente un problema di Syslog che causa un blocco del servizio
  • Velocizzata l’identificazione di Graymail (13 volte più veloce)
  • Corretto un possibile problema con il rilascio dei messaggi.
  • Corretto un possibile problema con whitelist e blacklist

Nuove funzionalità a cambiamenti

  • La funzione cancellazione nel Message Operations Report cancella solo il messaggio ma tiene l’informazione sul database.
  • AV permette di bloccare file di Office con Macro
  • Migliorata l’individuazione dello spam proveniente da nuovi TLD
  • Opzione di abilitazione/disabilitazione del IP Plugin
  • Possibilità di far effettuare l’autenticazione sul server Smarthost
  • PHP aggiornato alla versione 5.4
  • Paginazione risultati LDAP
  • Nuova funzionalità di Supporto Remoto
  • Nuovo motore Quarantine Report con nuove azioni (rilascio, segna per il rilasciom non rilasciare, anteprima messaggio)
  • Semplificata la gestione Mailbox/Alias (in License Settings)
  • Nelle regole Filename/Filetype può essere specificato il verso (To, From, Both)
  • Opzione RevDNS Check nel menu Relay
  • RIlascio di contenuti Pericolosi verso un indirizzo alternativo
  • Nel Grafico della Dashboard sono stati inclusi i dati di SMTP Reject
  • Possibilità di scaricare il Maillog
  • Domain Administrator e Multi Domain Administrator mostrano i grafici nella Dashbord
  • Possibilita di scegliere il formato della data (ddmmyyyy / mmddyyyy)
  • Opzione per rimuovere le intestazioni da messaggi specifici

NOTE: Questo aggiornamento può impiegare oltre 10 minuti di tempo per completarsi (devono essere generate le chiavi DH a 2048 bit) e richiede il riavvio del sistema al termine.
Prima di installare l’aggiornamento è buona prassi effettuare uno snapshot della macchina virtuale.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-3-5-1-0-to-3-6-0-0-upgrade-script

7 Settembre 2015

LibraESVA azioni da intraprendere su un messaggio di spam

LibraESVA è un sistema estremamente elastico che permette di personalizzare e configurare quali azioni da intraprendere quando viene ricevuto un messaggio di spam.

Le azioni possibili sono:

  • Store: Conserva una copia nella quarantena per un periodo fissato dalla policy, permettendo durante questo periodo la consultazione ed il rilascio.
  • Deliver: Consegna il messaggio al destinatario.
  • Modifica l’oggetto del messaggio: Aggiunge la stringa {Spam?} all’inizio dell’oggetto del messaggio.
  • Notifica: Notifica al mittente che il messaggio è stato bloccato
  • Cancella: Il messaggio viene definitivamente cancellato e non sarà più possibile consultarlo o rilasciarlo.
  • Respingi: Il messaggio viene respinto al mittente, indicando nel messaggio di errore la presenza di spam nel messaggio.
  • Inoltro: Il messaggio viene inoltrato ad un indirizzo da specificare.
  • Converti HTML in testo: Converte la parte HTML del messaggio in linee di testo, rendendo visibili eventuali tentativi di frode.
  • Allega originale: Il messaggio originale viene trasformato in un allegato.
  • Modifica header: Aggiunge una stringa alle intestazioni del messaggio

libraesva azioni spam

E’ possibile combinare diverse azioni, ad esempio Deliver + Modifica l’oggetto del messaggio, permette di ricevere il messaggio con l’oggetto modificato.

Le azioni sono distinte fra le due soglie di Spam dove cè qualche possibilità di trovare dei falsi positivi ed allora è possibile creare delle policy meno restrittive, rispetto ai messaggi di Hi-Spam che hanno totalizzato un punteggio molto elevato e sono da considerarsi messaggi sicuramente di spam.

5 Settembre 2015

Blog & News

Categorie