L'avviso che indica se un'email proviene dall'esterno dell'organizzazione può essere rimosso

Le principali soluzioni per la sicurezza aziendale, compresi i gateway utilizzati in ambito enterprise, permettono la visualizzazione – da parte di qualunque client di posta – di un messaggio di allerta ogniqualvolta gli utenti dovessero ricevere email da utenti al di fuori dell’organizzazione.

Il fatto è che questi avvisi vengono inseriti all’interno del corpo del messaggio in modo da essere automaticamente mostrato non appena l’utente apre l’email dalla sua casella di posta.

Il ricercatore Louis Dion-Marcil ha fatto notare che bastano poche righe di codice HTML e CSS per nascondere l’avviso o addirittura per modificarlo. Un aggressore potrebbe inserire in un’email phishing il codice utile a nascondere il messaggio esposto da tutte le principali soluzioni di sicurezza usate in ambito aziendale addirittura sostituendolo con un falso avviso (ad esempio confermando la legittimità del messaggio).

Questo tipo di aggressioni potrebbero essere utilizzate per sferrare attacchi spear phishing così da tendere una trappola agli utenti meno attenti e farsi largo all’interno dell’infrastruttura aziendale.
Negli articoli Da dove arriva una mail e chi l’ha inviata? e Come riconoscere email phishing di qualche tempo fa avevamo offerto qualche indicazione per smascherare in proprio eventuali email pericolose.

Una possibile soluzione potrebbe essere una verifica sulla provenienza dell’email effettuata direttamente dal client di posta.
A marzo 2021 Microsoft ha aggiunto in Exchange la possibilità di mostrare un apposito messaggio nell’interfaccia dell’applicazione di posta per evidenziare tutti i messaggi provenienti da mittenti esterni all’organizzazione.

Le cmdlet PowerShell Get-ExternalInOutlook e Set-ExternalInOutlook PowerShell messe a punto da Microsoft consentono, rispettivamente, di visualizzare lo stato del meccanismo che permette di evidenziare la provenienza esterna del messaggio e di richiederne l’utilizzo in Exchange.

Microsoft ha spiegato che dopo l’attivazione, nel giro di 24-48 ore, gli utenti di Exchange cominceranno a vedere comparire l’indicazione “Esterno” accanto alle email provenienti da soggetti non appartenenti all’organizzazione, su desktop, notebook e dispositivi mobili Android/iOS.

Trattandosi di messaggi gestiti a livello del client di posta, essi non potranno essere alterati utilizzando codice HTML/CSS come spiegato da Dion-Marcil.