Email spoofing

Email spoofing è una tecnica di attacco informatico della categoria genericamente nota come spoofing che consiste nella creazione di email con indirizzo del mittente contraffatto. Viene comunemente usata per email spam e phishing al fine di ingannare il destinatario circa l'origine del messaggio.

Dettagli tecnici

All'invio di un messaggio SMTP la connessione iniziale prevede la specifica di due indirizzi:^[1]

• MAIL FROM: di default non ci sono controlli che il sistema sia autorizzato ad inviare per conto dell'indirizzo specificato.
• RCPT TO: specifica l'indirizzo di destinazione.

Queste informazioni vengono tipicamente definite envelope del messaggio mail, in analogia con la busta usata nel servizio postale tradizionale.^[1] Il sistema di invio inserisce diversi altri header, tra cui: "From", "Reply-to" ed alcune volte "Sender". Di default non è previsto nessun controllo su questi header.

Utilizzo in spam e worm

Molti malware cercano gli indirizzi mail contenuti nel computer infettato e li utilizzano sia come obiettivi sia come mittenti credibili, in questo modo aumenta la probabilità che la mail inviata venga letta. Ad esempio se il computer di Alice è stato infettato da un worm, il codice di questo va a cercare la rubrica degli indirizzi mail di Alice. Una volta trovati gli indirizzi di Charlie e Bob, il worm invia dal computer di Alice una mail infetta a Bob inserendo come mittente Charlie. In questo caso Alice rimane ignara di tutto e Bob riceve una mail contenente malware vedendo come mittente Charlie, anche se la mail in realtà proviene dal computer di Alice.

Identificazione del mittente

L'email spoofing è un tecnica efficace per falsificare l'indirizzo mittente di una mail. Tuttavia l'indirizzo IP del computer da cui la mail è stata inviata può essere generalmente rintracciato nell'header "Received" del messaggio. In molti casi questo appartiene ad un terzo soggetto, affetto da malware, ignaro della cosa.

Contromisure

Soluzioni utilizzabili per effettuare un'autenticazione sulle mail evitando di rimanere vittime di email spoofing sono:

• SPF (Sender Policy Framework): prevede la pubblicazione nei record del DNS di un determinato dominio di una lista degli host autorizzati ad inviare mail. L'autenticazione di una mail viene effettuata confrontando l'indirizzo ricevuto come mittente con la lista degli host autorizzati per quel dominio.^[2]
• Sender ID: protocollo Microsoft che deriva da SPF, funziona in modo analogo.^[2]
• DKIM (DomainKeys Identified Mail): prevede che header e body del messaggio siano protetti da crittografia. In un dominio protetto con una tecnica di questo tipo vengono inserite in record all'interno del DNS le chiavi pubbliche relative agli host autorizzati ad inviare messaggi. Coloro che ricevono un messaggio possono quindi utilizzare la chiave per verificarne l'autenticità.^[2]
• DMARC (Domain-based Message Authentication, Reporting and Conformance): utilizza SPF e DKIM e permette ai destinatari l'invio di segnalazioni al fine di monitorare la protezione del dominio da mail fraudolente.^[2]

Note

1. (EN) Chris Siebenmann, A quick overview of SMTP, su cns.utoronto.ca, University of Toronto. URL consultato il 10 gennaio 2018.
2. (EN) Sender Policy Framework, su openspf.org. URL consultato il 10 gennaio 2018 (archiviato dall'url originale il 21 ottobre 2018).

Collegamenti esterni

• (EN) RFC 4021 - Registration of Mail and MIME Header Fields, su tools.ietf.org, Internet Engineering Task Force.
• (EN) SPF: Project Overview, su openspf.org. URL consultato il 4 luglio 2016 (archiviato dall'url originale il 25 febbraio 2019).
• (EN) Domain Message Authentication Reporting & Conformance, su dmarc.org.

  Portale Informatica

  Portale Sicurezza informatica