Spiegati i misteriosi protocolli SPF, DKIM e DMARC

Tratto da: Security Blog Libraesva
Autore: Rodolfo Saccani – 2 novembre 2020
 
 

 

La posta elettronica è una cosa antica, è nata molto più tempo prima di Internet.

Il primo sistema di posta elettronica è nato nel 1965 al MIT. A quel tempo la comunicazione e-mail era limitata entro i confini di un unico mainframe, quei computer multiutente enormi, molto costosi e delicati che occupavano intere stanze climatizzate e richiedevano una supervisione continua.

Nel 1971 avvenne la prima trasmissione di un’e-mail tra computer collegati. È stato un piccolo passo per una singola email, ma un primo enorme passo per l’umanità.

Nel 1982 nacque il protocollo SMTP, questo è il protocollo che utilizziamo ancora oggi per lo scambio di email su Internet.

Il problema principale dell’email (e dell’SMTP) è che, essendo nato in un ambiente collaborativo in cui la sicurezza non era affatto un problema, essendo progettato in un momento in cui l’abuso non era nemmeno un’opzione teorica, il protocollo non aveva alcuna sicurezza a tutto tra i suoi requisiti di design.
Nessuna autenticazione del mittente: chiunque potrebbe fingere di essere chiunque.
Nessuna riservatezza : i messaggi sono stati scambiati e archiviati in chiaro.
Nessun controllo di integrità : non è stato possibile impedire o addirittura rilevare la manipolazione del contenuto dell’email lungo il percorso.
Nessuna protezione sui messaggi non richiesti : chiunque può inviare qualsiasi quantità di e-mail a qualsiasi destinatario.

Poi la posta elettronica è diventata popolare e questi problemi hanno iniziato a comparire rapidamente.

È diventato chiaro che dovevamo fare qualcosa per affrontare questa mancanza di sicurezza nel protocollo. Nessuno ci aveva pensato prima perché nessuno immaginava che l’e-mail sarebbe diventata ciò che è oggi: la principale forma di comunicazione elettronica su cui si basano le nostre società , qualcosa su cui tutte le organizzazioni, le imprese e gli individui fanno affidamento ogni giorno per gestire la propria vita .

Come tutti abbiamo imparato a nostre spese negli anni seguenti, aggiungere la sicurezza in seguito è molto più difficile che inserirla in fase di progettazione. Questo è uno dei principi più importanti del GDPR: se vuoi una sicurezza reale, ne hai bisogno fin dalla progettazione.

Aggiungere la sicurezza come ripensamento è difficile. È ancora più difficile se devi garantire la compatibilità con le versioni precedenti. La posta elettronica è l’esempio più chiaro di quanto sia difficile aggiungere sicurezza a qualcosa che è già distribuito in tutto il mondo, dove è necessario garantire che la posta elettronica possa ancora essere scambiata con server che non sono stati aggiornati ai nuovi standard.

È qui che entrano in gioco gli acronimi che si trovano nel titolo di questo articolo: SPF , DKIM e DMARC sono tre standard che sono stati aggiunti all’email nel tentativo di renderla più sicura.

SPF ha un compito molto semplice: prevenire lo spoofing del dominio. La tua organizzazione può dichiarare al mondo un sottoinsieme di indirizzi IP autorizzati a inviare email per conto del dominio della tua organizzazione. Definendo questo criterio, è possibile impedire ad attori malintenzionati di inviare e-mail fingendo di essere la tua organizzazione.
La configurazione di una policy SPF è molto semplice e relativamente priva di rischi: è sufficiente mappare tutti gli indirizzi IP che la tua organizzazione utilizza per inviare email. Un piccolo sforzo per ciò che ricevi in ​​cambio e se hai enumerato correttamente tutti i tuoi indirizzi IP legittimi da cui invii email, nessuna email andrà persa.
SPF non è perfetto, però, e non è sufficiente per prevenire tutti i tipi di spoofing, ma è comunque molto meglio di niente.

DKIM ha uno scopo principale: garantire l’integrità del contenuto dell’email. Integrità significa che il destinatario può rilevare se l’email è stata modificata o manomessa lungo il percorso. Questo avviene tramite una firma elettronica: se la firma è valida, sai che puoi fare affidamento sul contenuto dell’email. Se la firma non è valida, è probabile che il messaggio sia stato manomesso. Questa firma viene aggiunta e controllata automaticamente dai server di posta e l’utente non deve fare nulla.
L’impostazione di DKIM richiede un po ‘più di sforzo rispetto a SPF ma è sicuro: se lo si configura male, l’email non andrà persa.

SPF e DKIM non risolvono ancora completamente il problema del phishing. L’e-mail è un po ‘come una semplice lettera di carta: il mittente e il destinatario scritti sulla busta vengono utilizzati per la consegna, ma il destinatario non vede la busta. Il destinatario vede semplicemente la lettera all’interno della busta e in quella lettera il nome e l’indirizzo del mittente possono essere falsificati. Fondamentalmente, il client di posta mostra il mittente che è scritto nella lettera, non quello sulla busta (che può essere protetta con SPF).

DMARC è stato progettato esattamente per questo scopo: assicurarti che il mittente mostrato dal tuo client di posta elettronica sia affidabile. Ciò viene eseguito pubblicando un criterio DMARC che istruisce i destinatari a verificare se il mittente visualizzato dal destinatario corrisponde a SPF o DKIM. L’email deve essere inviata da un indirizzo IP autorizzato per quel dominio (SPF è ok), oppure deve essere firmata con una chiave legittima di quel dominio (la firma DKIM è ok), altrimenti non verrà consegnata.

DMARC deve essere configurato dominio per dominio dall’amministratore di posta elettronica del dominio di invio. Fornisce un’ottima protezione contro lo spoofing e la rappresentazione, ma la configurazione non è semplice e gli errori nella configurazione possono portare alla perdita della posta elettronica . Pertanto, la configurazione di DMARC deve essere eseguita con competenza, senza improvvisare.

Ci sono altri standard che sono stati introdotti nell’email, come TLS (per crittografare l’email in transito) e S / MIME o PGP per la crittografia end-to-end. Queste sono cose di cui non devi preoccuparti. TLS è gestito automaticamente dai server di posta. S / MIME e PGP hanno un’adozione minuscola a causa delle complessità legate alla gestione delle chiavi da parte degli utenti finali.

Ti interessa SPF, DKIM e DMARC per la tua organizzazione? Dovresti.
Inizia con SPF, quindi procedi con DKIM e infine valuta DMARC.

Queste configurazioni non risolveranno tutti i problemi di sicurezza della posta elettronica, ma renderanno la tua comunicazione e-mail molto più sicura e affidabile.

3 Novembre 2020

NUOVE patch Zimbra: 9.0.0 Patch 8 + 8.8.15 Patch 15

Tratto da: Blog Zimbra
Autore: Urvi Mehta – 26 ottobre 2020
 
 
 

 

 

Zimbra 9.0.0 “Kepler” Patch 8 e 8.8.15 “James Prescott Joule” Patch 15 sono ora disponibili.

Per Zimbra 8.8.8 e versioni successive, non è necessario scaricare alcuna build di patch.

I pacchetti di patch possono essere installati utilizzando i comandi di gestione dei pacchetti Linux.

Occorre fare riferimento alle rispettive note di rilascio per l’installazione delle patch sulle piattaforme Red Hat e Ubuntu.

Nota: l’installazione di un pacchetto zimbra-patch aggiorna solo i pacchetti principali di Zimbra.

 

 

Zimbra 9.0.0 “Kepler” Patch 8

La patch 8 è disponibile per la versione GA di Zimbra 9.0.0 “Kepler” e include novità, problemi risolti e problemi noti elencati nelle note di rilascio.

Installazione della patch

Fare riferimento alle note di rilascio per l’installazione di Zimbra 9.0.0 Patch 8 su piattaforme Red Hat e Ubuntu.

 

 

Zimbra 8.8.15 Patch 15 “James Prescott Joule”

La patch 15 è disponibile per la versione GA di Zimbra 8.8.15 “James Prescott Joule” e include Novità, Problemi risolti e Problemi noti elencati nelle note di rilascio.

Installazione della patch

Fare riferimento alle note di rilascio per l’installazione di Zimbra 8.8.15 Patch 15 su piattaforme Red Hat e Ubuntu.

 

2 Novembre 2020

MTA Queue come scegliere la durata del Lifetime

MTA Queue Lifetime è il numero di giorni che un messaggio che non è stato consegnato a business-man-1002781_1920causa di un errore temporaneo, deve rimanere in coda di consegna, in modo che quando il sistema del destinatario riprende a funzionare possiamo consegnare il messaggio.

Come dicevamo nell’articolo riferito alla configurazione di LibraESVA il valore di default di 5 giorni è stabilito dal RFC 5321 che regola gli standard di funzionamento del protocollo SMTP, ma che per esigenze particolari LibraESVA ci permette di estenderlo o ridurlo.

La modifica di un parametro definito da un RFC non andrebbe mai fatta, perché rende il comportamento del nostro sistema inatteso ed incomprensibile, tuttavia ci sono dei pro e dei contro da analizzare, sia nel ridurre che nell’estendere questo tempo.

Riducendo il parametro MTA Queue Lifetime abbassiamo la dimensione delle code di consegna e di conseguenza l’impiego di risorse della macchina ma corriamo il rischio di non consegnare dei messaggi di posta nel caso il servizio non venisse ripristinato per tempo.

Aumentando il parametro MTA Queue Lifetime, abbiamo maggiori probabilità che il servizio venga ripristinato e quindi riuscire a consegnare effettivamente il messaggio, ma aumentiamo la dimensione della coda, aumentiamo le risorse impegnate sulla macchina (visto che avvengono continui tentativi di consegna) ed infine non notifichiamo per molto tempo al mittente che il messaggio che ha spedito non è stato consegnato pur essendo stato accettato.

26 Agosto 2016

Cryptshare per inviare allegati di grandi dimensioni

Quando è nata la posta elettronica i file pesavano pochissimi kilobyte, con l’evoluzione tecnologica e cryptsharela conseguente riduzione dei costi, le dimensioni dei file sono aumentate ed anche l’esigenza di spedirli tramite posta elettronica.

Purtroppo non sempre è possibile inviarli, non esistendo un limite massimo standard alla dimensione degli allegati, ciascun amministratore può dare un proprio limite alla dimensione massima.
Questa dimosogeneità ha come conseguenza immediata l’impossibilità di prevedere con certezza se il messaggio verrà consegnato.

Questa situazione è particolarmente fastidiosa, perché dopo aver trascorso molto tempo nel tentativo di inviare il messaggio, potrebbe tornare indietro un messaggio che indica il rifiuto.

Il file sharing su Cloud ha ridotto in parte questo problema, ma ne ha introdotti di diverso tipo, l’operazione non è trasparente ma deve essere fatta in tre fasi: il caricamento, la concessione dei diritti e l’inserimento del link nel messaggio, ed inoltre non garantisce la privacy.11-0

Cryptshare invece è la soluzione ideale a questo problema, integrato nei più diffusi client di posta (ad esempio Outlook) permette di allegare il file di qualsiasi dimensione al messaggio.

Quando il messaggio viene inviato, i file in allegato vengono salvati sul proprio server Cryptshare e crittografati in modo da garantire la privacy.

Il destinatario potrà scegliere di scaricare direttamente dal server cryptshare i file di grandi dimensioni, utilizzando una password che verrà fornita dal mittente, senza dover necessariamente far recapitare il messaggio sul proprio mailserver.

Cryptshare è la soluzione completa per rendere moderna la posta elettronica.

argonavislab

Argonavis ed i suoi tecnici sono a tua disposizione. Contattaci per richiedere una demo del prodotto e rendere moderna la tua posta elettronica.

Richiedi Informazioni

22 Aprile 2016

Cryptshare

La posta elettronica nonostante alcune previsioni nel passato l’hanno data per obsoleta e che cryptsharein breve tempo sarebbe stata superata da nuovi strumenti: IM (whatsapp, telegram, facebook) e cloud storage su tutti, è ancora particolare presente e fondamentale nelle nostre abitudini, nonostante qualche limite emerga.

In particolare sono quattro le problematiche a cui si vorrebbe porre rimedio: privacy, allegati di grandi dimensioni, sicurezza e controllo del flusso del messaggio.

Cryptshare è una piattaforma che può essere utilizzata sia come servizio, sia installata sui propri server, che permette di inviare dei messaggi di posta elettronica crittografando sia il contenuto del messaggio che gli allegati presenti.

making_e-mail_better

Il messaggio anziché essere consegnato direttamente nella casella, viene conservato sul server

Cryptshare in maniera sicura e garantire la privacy del contenuto viene crittografato usando l’algoritmo AES a 256 bit, mentre al destinatario arriva una notifica che lo avvisa della presenza di un messaggio inviato in maniera sicura che attende di essere scaricato.

Quando l’utente preme sul link presente nella notifica, può accedere al contenuto del messaggio incluso l’allegato, e può scaricarlo direttamente dalla piattaforma Cryptshare oppure farsi consegnare il messaggio sulla propria casella. In questo modo non avremo difficoltà nello scambiare allegati di grandi dimensioni.

Le operazioni di consultazione del messaggio vengono loggate ed è così possibile superare un noto problema dei classici messaggi email, ovvero avere la certezza che il destinatario abbia anche letto il messaggio. In questo caso avremo evidenza di data ed ora in cui il messaggio è stato aperto.

Cryptshare può essere utilizzato anche per ricevere messaggi, utilizzando o strumenti automatici resi disponibili da API, oppure tramite interfaccia web. Su tutti gli allegati può essere effettuata una scansione anti-malware, per garantire maggior sicurezza.

Cryptshare è il prodotto giusto per dare una risposta efficace e migliorare il funzionamento della posta elettronica.

argonavislab

Argonavis ed i suoi tecnici sono a tua disposizione per rispondere a quesiti tecnici e/o commerciali, contattaci subito per avere informazioni.

Richiedi Informazioni

20 Aprile 2016