Tanti utenti utilizzano oggi servizi Web per la gestione della posta elettronica, quelli che un tempo chiamavamo webmail. In un altro articolo abbiamo visto quando usare un client email e quando preferire una webmail.
Se si utilizza un client email come Outlook, Thunderbird, MailBird e così via, per ciascun account di posta che si configura va impostato l’indirizzo del server SMTP.
Il protocollo SMTP (Simple Mail Transfer Protocol) è uno standard che risale ai primi anni ’80 ed è utilizzato per disporre l’invio dei messaggi di posta elettronica. È infatti utilizzato per impostare il server di posta in uscita ed è uno dei parametri che vanno verificati per primi quando le email non partono.
SMTP può a sua volta basarsi su meccanismi di cifratura dei dati tanto che oggi è altamente sconsigliato usare server di posta che non supportano il protocollo TLS (Transport Layer Security).
I protocolli che accettano email in arrivo si chiamano POP e IMAP: abbiamo visto le differenze tra POP3 e IMAP nella ricezione della posta.
Cos’è SMTP relay
Con il termine SMTP relay si fa riferimento alla procedura che permette di trasferire un’email dal mittente al destinatario sulla rete Internet.
Quando si invia un’email il server SMTP del provider cui ci si appoggia o quello della propria azienda si collega con il server indicato nel record MX (Mail eXchanger) del dominio del destinatario. A livello di record DNS di ciascun dominio sono indicate le istruzioni per tutti coloro che desiderano inviare email usando il protocollo SMTP.
Come abbiamo visto nell’articolo citato poco sopra, con il comando nslookup -q=mx google.com
impartito al prompt dei comandi di Windows si può leggere l’indirizzo del server di posta di Google.
Si può anche premere Windows+R
quindi digitare cmd /c nslookup -q=mx google.com & pause
per ottenere lo stesso risultato.
Dietro le quinte c’è qualche passaggio in più ma quanto descritto dà un’idea generale su come funziona un SMTP relay.
Ovviamente se si inviasse un’email a un indirizzo di posta appartenente allo stesso dominio non vi sarebbe alcun relay perché il server SMTP non deve smistare il messaggio di posta inviandolo a un diverso server SMTP.
I server SMTP correttamente configurati sono di tipo smarthost: prendono in carico soltanto le email provenienti da utenti autorizzati all’invio che sono inoltre autenticati.
Viceversa i cosiddetti Open Mail Relay non eseguono l’autenticazione degli utenti che chiedono di inviare email attraverso il server SMTP. Sono quindi spesso utilizzati, una volta individuati dagli spammer, per inviare email indesiderate.
I sistemi configurati come Open Mail Relay vengono rapidamente posti in blacklist e classificati quale fonte di spam: anche le email legittime non verranno quindi più recapitate nelle caselle di posta dei destinatari.
La reputazione di un server di posta può essere verificata con strumenti come MX Toolbox e Sender Score.
Ormai tutti dovrebbero essere consapevoli che il mittente di un’email può essere facilmente falsificabile: tutti i clienti di posta e lo stesso comando telnet
da riga di comando permettono di dialogare con un server SMTP specificando un indirizzo email a proprio piacimento come mittente (email spoofing).
In un altro articolo abbiamo visto come stabilire da dove arriva un’email e chi l’ha spedita.
Ovviamente se un’email è stata spedita da un server o un indirizzo IP che non hanno nulla a che vedere con il mittente indicato nell’email è immediato concludere che si tratta di un attacco o di un tentativo di phishing.
Di solito i sistemi antispam si accorgono della “trappola”, si rifiutano di consegnare l’email oppure la salvano temporaneamente nella casella della posta indesiderata.
A dimostrazione di quanto sia delicato gestire SMTP relay, ad aprile 2022 Avanan ha scoperto che i server di Google sono utilizzati dagli spammer per rendere più credibili le loro email.
All’interno di Gmail qualsiasi utente del servizio di posta Google può usarlo per presentarsi a terzi come un altro utente Gmail: non solo privati, quindi, dotati di account gratuiti @gmail.com
ma anche professionisti e aziende che si servono di Google Workspace e di domini personalizzati.
L’aggressione funziona se il dominio che l’attaccante imposta come mittente nel campo “Da:” ha il sistema di validazione dei messaggi di posta elettronica DMARC (Domain-based Message Authentication, Reporting & Conformance) impostato su none. Questa impostazione è molto comune anche tra le aziende di più grandi dimensioni.
Attenzione, quindi, perché se gli aggressori hanno ormai gioco non facile nell’utilizzo di Open Mail Relay, ci possono essere situazioni come quella descritta dai tecnici di Avanan che agli occhi del destinatario possono contribuire a legittimare il contenuto di un’email che in realtà è assolutamente malevola.
Record SPF, DKIM e DMARC impostati a livello di DNS aiutano molto nella lotta contro le email di spam veicolate attraverso server SMTP.