Perchè è importante usare il proprio server per inviare le email

Perchè è importante usare il proprio server per inviare le email

email_worldUltimamente il problema dello spam sta passando dalla fase “incredibile rottura di scatole” a quello di “piaga biblica”, e purtroppo proteggere noi stessi e gli altri da questo fenomeno è diventata una guerra difficilissima da vincere.
Oltretutto è cosa risaputa che le email sono il vettore primario di infezione di qualunque attacco alla nostra sicurezza.

Basta aprire la mail e rendersi conto che e’ estremamente difficile che la nonna ci abbia mandato il link a un sito di cortesi donzelle russe che cercano l’amore della loro vita in Italia, o chiedersi quando e’ stato che ci siamo mandati da soli una mail con la pubblicità del Viagra pre renderci conto che c’e’ qualcosa che non va nella posta elettronica.

In effetti il problema è ben conosciuto e di vecchia data: il protocollo che permette l’invio delle email (per i tecnici l’SMTP, Simple Mail Transfer Protocol) è datato e non richiede nessuna autenticazione, per cui se al server di posta “medio” io dico di essere il presidente degli stati uniti che vuole mandare una mail a tizio lui se la beve senza mezzo problema. Se il sistema è ben configurato potrà fare qualche controllo, per esempio controllare se la casella di email che sta dichiarando di inviare il messaggio esiste, se esiste il dominio relativo ecc.

Ma comunque difficilmente si possono fare i miracoli, e qualunque sistema metteremo in piedi potrà mitigare il fenomeno ma difficilmente risolverlo.

Però ci sono delle cose che comunque possiamo fare e che “aiutano tanto”: una di queste è la messa in opera del protocollo SPF, o Sender Policy Framework per chi odia le sigle.

Questo sistema si basa su un assunto: io che sono il titolare del mio dominio (quella parte dell’email che viene dopo il simbolo @ , per esempio adigitali.it) posso rendere noto al mondo quali sono i server da cui invio la posta, e dire a tutti cosa fare di una email che, pur essendo marcata come proveniente da me ( cioè che termina con @adigitali.it ) non proviene in realtà dal mio server.

In questo modo, a fronte di una piccola limitazione, cioè accettare di spedire email solo dai miei server, posso permettere a tutti gli altri di sapere se una mail che è stata spedita da me è effettivamente “vera” o spam. Ovviamente l’impiego di questo sistema proteggerà anche me “al contrario”, permettendomi di marcare come spam qualunque mail che mi sia stata inviata è “buona o no” utilizzando lo stesso sistema… e visto che è pratica comune per gli spammer inviare molte mail di spam dallo stesso indirizzo del ricevente, se si collega questo sistema al più antico “vuoi inviare una mail da me? dimmi la password…” si inizia a cestinare un bel quantitativo di spam in più.

Ovviamente rendere più difficile allo spammer di turno spacciarsi per me aumenta notevolmente il mio livello di sicurezza, rendendo più difficile impersonarmi, e se pensate a quante cose si basano su una email capirete che questo piccolo “sacrificio”, cioè non usare per spedire le mie email il server del primo che passa, è cosa buona e giusta.

Peraltro c’è sempre da chiedersi anche un’altra cosa:
Se sto usando il server SMTP di un altro mio account di posta, e quindi sono comunque “protetto” da una accoppiata username/password per spedire la posta, ancora va tutto bene, ma un server che accetti in invio le mail di chiunque tecnicamente si chiama “open relay” ed e’ MOLTO, ma MOLTO male… perche’ oltre alle mie email spedirà quelle di chiunque altro, ivi compreso quelle di chi si spaccia per il presidente degli stati uniti.

Siamo sicuri di volere che la nostra posta giri insieme a quella di questo personaggio?

Tagged: , , ,

1 Comments

  1. Pietro10 maggio 2013 at 10:03

    Robyn, la tecnica dell’SPF e’ senz’altro una di queste, e tecnicamente “non è un antispam”, ma un modo in cui “stai indicando agli altri come comportarti contro chi si spaccia per te”, cosa che dovrebbe essere estremamente vantaggiosa per tutti.
    Per questo la considero preferibile ad altri strumenti come quelli da te citati (per parlare in tecnichese, spamassassin, RBL e dintorni).
    Se infatti oggetti come SpamAssassin sono comunque “lato utente” e pertanto controllabili e controllati, i sistemi delle Remote Blocking List nella mia esperienza stanno tendendo sempre più ad assomigliare a una “velata forma di ricatto” che non mi piace per niente. Esistono infatti, a fronte di una certa percentuale di “gente seria”, fin troppe RBL, anche fornite da “nomi giganteschi”, che si basano sul fatto che tu abbia comprato il tal apparato o meno o che tu sia disposto a pagare una certa cifra per toglierti dalla list in cui sei finito spesso e volentieri “a cavolo”.
    Oltretutto nelle RBL si inseriscono NON i domini ma gli IP dei server, il che vuol dire spesso “colpirne 100 per educarne 1″ cosa che non trovo proprio sensata.
    Questo è il motivo per cui questi sistemi ancora non mi convincono, e per cui gli preferisco sistemi meno “assassini” come l’SPF

Leave a Reply

Back to top