Riflessione: è ora di spostare la mail?

A differenza di altri articoli, questo non è un howto, ma una sorta di riflessione ad alta voce.

Premessa: sono un consulente IT e gestisco clienti sia con mail on premises sia con mail online; non sono in alcun modo legato a nessuno dei marchi citati, né ho accordi di provvigione per la vendita dei prodotti citati. Leggi tutto “Riflessione: è ora di spostare la mail?”

Perché la mail non viene recapitata?

Royal Mail buildingSpesso gli utenti si chiedono come mai i loro messaggi di posta elettronica rimbalzino o non vengano recapitati istantaneamente ai destinatari.

Chiariamo subito un concetto base: la posta elettronica NON è un instant message.

Un messaggio di posta elettronica una volta uscito dal client può trovarsi in questi stati: in transito, in coda, recapitato, rimbalzato, scartato silenziosamente.  Leggi tutto “Perché la mail non viene recapitata?”

Attenzione alle finte richieste via mail

Ho notato un ritorno di fiamma delle mail con allegati compressi con ZIP che contengono eseguibili mascherati.

L’ultimo di questa mattina ha come presunto mittente comunicazioni@staff.aruba.it e come oggetto Invio copia bollettino. Anche il testo è abbastanza verosimile e privo di errori evidenti che caratterizzavano i primi tentativi di questo tipo, non fosse altro che non ho debiti pendenti con la ditta di Arezzo:

Gentile cliente,
come da lei richiesto in allegato potrà trovare copia del bollettino postale con cui effettuare il pagamento.

Saluti
______________________________
Aruba S.p.A.
Servizio Clienti - Aruba.it
http://www.aruba.it
http://assistenza.aruba.it
Call center: 0575/0505
Fax: 0575/862000
______________________________

Prima di buttare la mail ho voluto fare qualche analisi. Leggi tutto “Attenzione alle finte richieste via mail”

Protocolli S nella posta elettronica

Incontro all'alba / Sunrise meetingAlcuni utenti credono che l’utilizzo di HTTPS possa da solo risolvere i problemi di tutela dei dati nelle comunicazioni Internet.

Tralasciando i protocolli proprietari di app modaiole che non sono l’oggetto di questo articolo, molti dati viaggiano tramite la posta elettronica.

Un messaggio di posta elettronica viene inviato dal client al primo server (server di posta in uscita) con il protocollo SMTP, i server parlano tra di loro in SMTP e alla fine un client scarica un messaggio con IMAP o POP3 (server di posta in arrivo).

Le trasmissioni SMTP tra server di posta elettronica sono sempre più su canali cifrati, il punto debole restano la parte iniziale e finale del trasporto della mail dal server al client. Leggi tutto “Protocolli S nella posta elettronica”

SMTP STARTTLS in crescita

Sottopasssaggio con cavi / Subway with cablesUn rapporto di Facebook dimostra che la cifratura della posta elettronica ha raggiunto una “massa critica”.

Questa è senza dubbio una buona notizia per la tutela dei dati personali perché il normale protocollo SMTP, figlio di quando Internet era un’altra cosa, dialoga in chiaro.

L’estensione STARTTLS consente anche ad SMTP di passare ad una connessione cifrata utilizzando la medesima connessione TCP.

I dati presentati da Facebook evidenziano che tre quarti dei mail server con cui dialoga il social network supportano STARTTLS, anche se solamente poco più della metà delle mail vengono cifrate con successo. Leggi tutto “SMTP STARTTLS in crescita”

Spam nell’oggetto

SPAM nell'oggettoOgni tanto gli spammer riescono ancora a stupirmi.

Ieri sera ho ricevuto una mail di spam riprodotta a lato il cui messaggio di spam era tutto nell’oggetto.

Analizzando gli header, risulta che la mail è partita effettivamente da un account di Yahoo! giapponese, la cui validità è verificata anche dal DKIM, con buona pace di chi si illude che questa tecnologia possa servire ad evitare lo SPAM.

Il malfattore ha utilizzato l’IP 41.207.194.14 della Costa D’Avorio per collegarsi al webmail di Yahoo! e inviare la mail.

Se il sistema di filtro della posta elettronica lo permette e questo tipo di protezione non è già attiva, si potrebbe limitare la lunghezza dell’oggetto delle mail ad una dimensione ragionevole. Per la cronaca, la dimensione totale dell’header Subject della mail qui riprodotta è di 3501 byte.

La posta elettronica

Honeywell Electronic MailCorreva l’Anno Zero dell’Era Star Wars, noto a molti anche come 1977, e Honeywell pubblicava negli USA questa pubblicità.

Tomorrow’s automated office will clearly include Electronic Mail.

Su questo bisogna dire che la pubblicità ci ha azzeccato, anche se nessuno avrebbe potuto mai prevedere lo SPAM. E, a parte il posacenere e l’assenza di un computer, la scrivania da impiegato quadratico medio maniaco dell’ordine non è cambiata molto.

Sette anni dopo quella pubblicità Tom Jennings attivava su una macchina MS-DOS Fido BBS e gettava le basi della FidoNet, palestra informatica e telematica per molti di noi prima dell’Era di Internet. La FidoNet era una rete di scambio di messaggi privati denominati netmail (in Italia era meglio non chiamarla posta elettronica per via del monopolio delle Poste) e solamente dopo è diventata una rete di scambio di messaggi pubblici divise in aree: molti ricorderanno il famoso mantra “l’echomail si appoggia sulla netmail” derivato dal fatto che i messaggi pubblici non erano altro che allegati compressi spediti tramite l’infrastruttura della netmail (espressioni come “tossare i messaggi echo” erano all’ordine del giorno). Leggi tutto “La posta elettronica”

Se l’attacco è mirato

MinervaLe mail di phishing arrivano quasi quotidianamente, nonostante le protezioni antispam e alcune sono talmente grossolane da strapparci qualche secondo di ilarità.

La storia cambia notevolmente se una persona o un’organizzazione viene presa di mira con un attacco mirato, detto tecnicamente spear phishing.

A differenza del phishing che pesca a strascico (come le notifiche da banche in cui non solo non abbiamo un conto, ma di cui ignoriamo l’esistenza), un attacco mirato avviene al termine di un’indagine sulla vittima.

Nel caso in cui la vittima sia un’organizzazione, l’attaccante conosce molte cose tra cui (a titolo di esempio) la regola con cui vengono assegnate le mail (nome.cognome@, ncognome@, eccetera), i nomi di alcuni dipartimenti o di alcuni manager, la firma standard in fondo alle mail. Sono tutte informazioni che aiutano ad aumentare la percezione che una comunicazione sia legittima.

Alcune di queste informazioni sono facilmente reperibili sul sito dell’organizzazione, altre possono essere raccolte con poco sforzo, come (sempre a titolo di esempio) sui social network, chiedendo informazioni sui prodotti venduti e facendo in modo di scambiare alcune mail con il personale della forza vendite.

Leggi tutto “Se l’attacco è mirato”

Forward secrecy in Postfix

È possibile implementare la forward secrecy anche nelle sessioni TLS di Postfix.

Questa guida parte dal presupposto che Postfix abbia TLS configurato e funzionante, non importa se con un certificato auto-emesso o rilasciato da un’autorità PKI, e si applica alla versione 2.10, le versioni precedenti potrebbero aver bisogno di qualche aggiustamento dei parametri, come indicato nel readme apposito.

Lo scopo è di avere delle chiavi di sessione effimere con una vita relativamente breve al fine di rendere più ardua la cosiddetta retrospective decryption attraverso una rigenerazione periodica dei parametri p e g dell’algoritmo Diffie-Hellman per lo scambio di chiavi.

Leggi tutto “Forward secrecy in Postfix”

Come gestisci la tua mail?

Fortunately it's a bug!Negli anni ho visto tante modalità di gestione della posta elettronica.

Grazie alle nuove versioni di Outlook, al fatto che altri programmi gestiscono serenamente mailbox voluminose e alla sempre maggiore diffusione di IMAP, adesso è facile tenere molti messaggi, ma ciascuno ha un proprio metodo di archiviazione.

Leggi tutto “Come gestisci la tua mail?”

Bambini, andate a giocare altrove!

Un cliente decide di attivare una linea Internet di terra (SHDSL) con Vodafone.

A livello di pure linee di terra business per il collegamento a Internet sono abbastanza neutrale: una volta che ho la mia classe di IP pubblici non nattata sulla porta ethernet dell’apparato del provider e non ho filtri sulle porte o cazzate come il bandwidth throttling a me vanno bene tutte. È più un problema commerciale del cliente che altro.

Il /29 che è stato assegnato probabilmente faceva parte di un vecchio blocco pubblico ad assegnamento dinamico che è stato riciclato perché due o tre mail server rifiutano di ricevere la posta dal mail server aziendale dietro la nuova connessione.

Dal momento che sono abituato a questo comportamento, avevo lasciato come al solito Postfix con il soft bounce attivo in modo tale da poter intervenire guardando la coda della posta in uscita reindirizzando a botte di transport la mail che rimaneva in coda sul mail relay del provider indicato nella documentazione allegata all’attivazione della linea.

Dopo due giorni la cosa si è normalizzata. Qualche giorno più tardi un utente mi dice che la posta verso Alice.it rimbalza e mi inoltra questo:

while talking to smtp.aliceposta.it.:
>>> MAIL From:<xxx@xxx.it> SIZE=63750 BODY=7BIT
<<< 550 mail not accepted from blacklisted IP address [91.80.36.102]
<<< 554 5.0.0 Service unavailable

91.80.36.102 non è un IP della classe /29 assegnata al cliente, ma l’IP del relay esterno di Vodafone che mi è stato detto di utilizzare e che ha funzionato correttamente fino a poche ore prima anche con Alice.it

Leggi tutto “Bambini, andate a giocare altrove!”

Svuotate quell’accidente di cestino!

Waste binQualche giorno fa ho migrato un mail server con storage maildir e client in IMAP di un cliente su una nuova macchina virtuale.

Nonostante siano configurati relativamente pochi utenti, /var/spool/mail è di 30 Gb. Non è un problema, su Linux la limitazione è solamente lo spazio disco e, come per i file server, parto sempre dal presupposto che se una persona conserva un messaggio di posta elettronica ha motivo di farlo.

Analogamente ai file server, ogni tanto eseguo delle analisi statistiche sui mail server per vedere come è utilizzato lo spazio.

Uno scriptino stupido come questo permette di vedere quanto occupano i cestini in una struttura maildir in cui ogni dominio è una directory con dentro le varie mailbox (/var/spool/mail/example.com/user/var/spool/mail/acme.com/user, eccetera):

#!/bin/bash
for D in $(find /var/spool/mail/ -mindepth 2 -maxdepth 2 -type d) ; do
   du -sh $D/.Trash* ;
done

Quando ho eseguito questo script sullo storage del cliente di cui sopra mi sono accorto che circa 1/3 delle mail era nei cestini.

Leggi tutto “Svuotate quell’accidente di cestino!”

Email: come aumentare la produttività in azienda

Fortunately it's a bug!La posta elettronica può rappresentare un pericolo alla produttività aziendale, ecco tre semplici regole per evitare che ciò avvenga.

  1. Le mail intra-aziendali vengono recapitate con un ritardo casuale base che va dai 400 agli 800 secondi; la stocasticità del recapito evita che qualcuno ne tragga beneficio.
  2. Per ciascun destinatario (to) o destinatario in copia palese (cc) dopo il primo si aggiunge un ritardo casuale dai 40 agli 80 secondi; per ciascun destinatario in copia nascosta (bcc) si aggiunge un ritardo casuale dai 300 ai 600 secondi. Contano solamente i destinatari della medesima azienda, non contano i contatti esterni.
  3. Se il messaggio viene inviato entro i 90 minuti che precedono l’inizio dell’orario di lavoro o entro i 90 minuti che seguono il termine dell’orario di lavoro si applica un ulteriore ritardo casuale da 200 a 400 secondi; i messaggi inviati fuori dell’orario di lavoro oltre quei limiti verranno recapitati all’inizio dell’orario di lavoro del primo giorno disponibile. Anche in questo caso le regole si applicano ai messaggi intra-aziendali.

Chi utilizza il proprio account personale per aggirare le regole è passibile di lettera di richiamo.


Aggiornamenti dopo la prima pubblicazione:

Interbusiness chiude il mail relay

Vuoto / EmptyCome annunciato nei mesi scorsi, dal prossimo 15 ottobre mail.cs.interbusiness.it non sarà più operativo.

Nei nuovi contratti business di Telecom il servizio di mail relay è a pagamento.

Chi ha dei mail server dietro una linea Interbusiness che sfruttano come relay mail.cs.interbusiness.it dovrebbe recapitare direttamente la mail ai destinatari o contattare il servizio clienti business e concordare un’alternativa, preparandosi, ovviamente, ad aprire i cordoni della borsa.

Nel comunicato inviato ai clienti Telecom adduce come motivazione della chiusura una non meglio precisata “obsolescenza tecnologica della piattaforma”.

Bloccare le conferme di lettura con Postfix

Alcune organizzazioni vogliono impedire che vengano inoltrate le conferme di lettura dei messaggi.

Con Postfix questo blocco si attua attraverso la funzione header_checks. Nel file main.cf si specifica qualcosa tipo

header_checks = regexp:/etc/postfix/header_checks

La distribuzione standard di Postfix contiene un file header_checks senza direttive ma con alcune istruzioni sommarie nei commenti.

Tenendo presente che le conferme di recapito hanno generalmente tra gli header la direttiva MIME che indica che il contenuto è di tipo Multipart/Report (RFC6522), è sufficiente aggiungere una riga di questo tipo a /etc/postfix/header_checks

/^Content-type: Multipart\/report/   DISCARD

Il file va quindi compilato con

postmap /etc/postfix/header_checks

e alla fine si ricarica Postfix per attivare la configurazione.

Quando gli spammer strappano un sorriso

Ogni tanto qualche mail di spam riesce a penetrare le difese e ogni tanto butto un occhio alle mail di spam per ragioni professionali.

Questa settimana una mail di spam mi ha divertito, ve la riporto in formato testuale non formattato:

From: "Welcome to Western Union®"
Subject: SPAM VICTIMS COMPENSATION NOTICE !

Welcome to Western Union®
Send Money Worldwide
www.westernunion.com

Attention: E-mail Address Owner

The International Monetary Fund (IMF) is compensating all the spam victims and your email address was found in the spam victim's list. This Western Union® office has been mandated by the IMF to transfer your compensation to you via Western Union® Money Transfer.

However, we have concluded to affect your own payment through Western Union® Money Transfer, $5,000 twice daily until the total sum of $200,000.00USD is completely transferred to you.

We can not be able to send the payment with your email address alone, thereby we need your information as to where we will be sending the funds, such as;

Seguono le richieste dei dati la firma e altri yadda yadda.

Email privacy tester

Kraun WiFi detectorMike Cardwell ha aggiornato il suo email privacy tester.

Si tratta di un sito che ospita un’applicazione (i cui sorgenti sono disponibili) per verificare quando un client di posta elettronica riveli a terzi.

Un normale messaggio di posta elettronica senza oggetti incorporati o richieste di conferme non può rivelare molto perché l’azione di apertura del messaggio da parte del client di posta elettronica (Outlook, Thunderbird, un webmail o altro) non comporta alcuna interazione aggiuntive con Internet che non sia l’atto di scaricare il messaggio stesso, azione che avviene con il proprio mail server, senza che il mittente abbia traccia di alcunché.

Leggi tutto “Email privacy tester”

PEC, firme, certificati…

Posta KodakOramai ci siamo: tutte le aziende costituite in forma societaria devono dotarsi di un indirizzo PEC entro martedì 29 novembre p.v.

Nell’ultimo mese ho, però, notato che c’è molta confusione in merito al valore probatorio della PEC; le improvvide affermazioni esternate qualche tempo fa da qualche (ora ex) Ministro della Repubblica in qualche trasmissione televisiva non hanno fatto che peggiorare la situazione, dal momento che qualcuno ha dato valore di legge a quelle affermazioni tirate a caso.

Partiamo dal mondo reale. Una raccomandata con avviso di ricevimento è formata da tre documenti cartacei distinti: la lettera vera e propria, il tagliando con la ricevuta di presentazione della raccomandata allo sportello e l’avviso di ricevimento timbrato dall’ufficio postale e firmato dal destinatario.

Nell’analogia PEC, la lettera è il messaggio di posta elettronica, tagliando e avviso trovano i loro omologhi nell’avviso di accettazione e consegna.

Ma qual è  il valore probatorio di tutto questo cinema? Solamente il fatto che il tal giorno alla tal ora un messaggio con un tal oggetto è stato spedito dall’utente di PEC tale all’utente di PEC tal altro, il quale ha ricevuto il messaggio. Punto.

La PEC non certifica il contenuto o il mittente (inteso come persona fisica) del messaggio. La PEC non è un sostituto della firma digitale forte (o qualificata, o estesa, o pesante che dir si voglia, grazie alla schizofrenia dei legislatori).

Leggi tutto “PEC, firme, certificati…”

Blackberry e sistemi complessi

Te l'avevo detto... / I told you...Ieri molti server di RIM sono finiti a gambe all’aria lasciando milioni di possessori di BlackBerry senza servizi Internet.

Molti operatori hanno avvisato i loro clienti via Twitter e mi risulta che Vodafone Italia abbia inviato anche un SMS (se il BlackBerry non va su Internet difficilmente l’utente apprende la notizia via Twitter).

In questo caso la tecnologia su cui si basa la rete di BlackBerry ha mostrato il suo punto debole: va giù un data centre a causa di un aggiornamento andato male e i BlackBerry della zona EMEA tornano ad essere dei semplici telefoni cellulari.

Questo perché tutte le comunicazioni dati dei terminali mobili avvengono in maniera criptata tramite dei data centre di RIM. Quando viene configurato un account di posta su un BlackBerry, sono i server di RIM a scaricare la posta dal server, o a riceverla tramite BES, e ad inviarla al terminale.

Queste feature sono comode in alcune situazioni e l’uso del BES torna utile nelle aziende sia per la possibilità di impostare delle policy che limitano l’abuso del terminale, sia per la possibilità di cancellare da remoto un terminale connesso alla rete cellulare senza dover passare tramite il call centre del provider di telefonia.

Ma l’utente home o anche SOHO ha davvero bisogno di un dialogo crittografato con RIM? Non è sufficiente una connessione IMAPS anche con un certificato auto generato? In questo modo si toglie una variabile dall’equazione e la si rende più semplice.

Tantopiù  che il protocollo del BlackBerry non è un protocollo di sincronizzazione, ma di aggiornamento a coda di transazioni. Il che significa che se il vostro terminale si perde gli aggiornamenti che spedisce RIM, quei dati non li vedrete mai sul telefono.