Email privacy tester

Kraun WiFi detectorMike Cardwell ha aggiornato il suo email privacy tester.

Si tratta di un sito che ospita un’applicazione (i cui sorgenti sono disponibili) per verificare quando un client di posta elettronica riveli a terzi.

Un normale messaggio di posta elettronica senza oggetti incorporati o richieste di conferme non può rivelare molto perché l’azione di apertura del messaggio da parte del client di posta elettronica (Outlook, Thunderbird, un webmail o altro) non comporta alcuna interazione aggiuntive con Internet che non sia l’atto di scaricare il messaggio stesso, azione che avviene con il proprio mail server, senza che il mittente abbia traccia di alcunché.

Un messaggio però può contenere una richiesta di conferma di lettura. Ogni client può essere configurato in modo da onorare automaticamente la richiesta, chiedere all’utente se onorarla oppure ignorarla del tutto (scelta consigliata).

Se viene incorporata nel messaggio una risorsa (immagine, css, video…) prelevata da Internet, l’URL di richiesta può contenere una parte che rende univocamente riconoscibile il messaggio che ha effettuato la richiesta e collega l’informazione all’indirizzo IP del dispositivo che ha eseguito la richiesta.

Per eseguire il test immettere il proprio indirizzo di posta elettronica e lasciare aperta la pagina che compare. Quando il messaggio arriva, l’apertura dello stesso non dovrebbe provocare alcuna segnalazione nella pagina lasciata aperta. Solamente se si chiede al client di caricare le risorse esterne (il messaggio esatto dipende dal client), alcuni dei test passano da grigio a rosso. Se il solo atto di aprire una mail fa passare a rosso alcuni test, il vostro client di posta elettronica non è configurato per il massimo livello di tutela della vostra riservatezza. Potrebbe essere un atto deliberato o un errore, in ogni caso questo test dice che tipo di informazioni state rivelando a terzi.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

13 pensieri riguardo “Email privacy tester”

    1. E’ per questo che è scaricabile il sorgente del programma.
      In ogni modo, ho usato come test l’indirizzo con cui sono iscritto a decine di mailing list di mezzo mondo e con cui sono stato iscritto anceh alla ML del Kernel.
      In ogni modo, un vero SysAdmin non ha problemi a creare e distruggere email per fare dei test.

      1. Se uno vuol essere paranoico, non basta verificare i sorgenti. Occorre ricompilarli in proprio, ed ospitarli su un proprio sito 😉

          1. Se sono paranoico, si 😉

            In realta` di solito mi limito a non dare l’indirizzo email su nessuna pagina web, o a darne uno fatto apposta.

  1. Test dall’email d’ufficio: bloccata come minaccia 😉

    Test dal mio indirizzo usuale: finisce in spam (e vabbe`…), poi mi chiede se voglio mandare la conferma (visto che cosi` e` configurato) e non manda altri segnali a casa.

    Test da un indirizzo su mailinator: si fa fregare dal meta-refresh. Ma chi se ne frega se mi sgamano un indirizzo su mailinator, ovviamente 😉 😉 😉

      1. Si, infatti quegli indirizzi vanno su client diversi.

        Pero` ti devo correggere: quel sistema verifica la combinazione server+client; puo` anche darsi che il server filtri le email di Email Privacy Tester, o fermandole o depurandole da alcune caratteristiche “spiose”

Spazio per un commento