E-mail Spoofing


Lo spoofing, ovvero la falsificazione dell'identità di un indirizzo e-mail, è diverso dallo SPAM, anche se accade spesso che gli autori di SPAM ricorrano a questa tecnica per inviare la loro posta indesiderata. Per i motivi spiegati verso la fine di questo articolo, lo spoofing di solito non dura a lungo.


L'e-mail spoofing consiste semplicemente nel far sembrare che un'e-mail sia stata inviata da una persona specifica (o da un indirizzo specifico) quando in realtà non lo è.

NetRelay richiede un'autenticazione (un nome utente e una password) per connettersi al server e inviare un messaggio di posta elettronica. Questo può ridurre lo spoofing delle e-mail, ma non prevenirlo completamente.


Spieghiamoci meglio con un esempio.


Mario Rossi dispone dell'indirizzo e-mail di NetRelay mario@rossi.com. I server e-mail di NetRelay richiedono un nome utente per inviare un messaggio di posta elettronica, ma Mario conosce un modo per accedere al server di NetRelay usando il proprio account e modificare l'indirizzo del mittente in modo che non sia più mario@rossi.com ma, ad esempio, fabio@verdi.com. Questo è un vero e proprio caso di spoofing: Mario Rossi accede al server di NetRelay con il suo indirizzo e-mail mario@rossi.com e la sua password, ma invia varie e-mail usando fabio@verdi.com come indirizzo del mittente.

Varie persone ricevono queste e-mail, e si lamentano con il loro provider della SPAM inviata da fabio@verdi.com (spedita, in realtà, da Mario Rossi). Qualcuno fa delle ricerche più approfondite e scopre che Fabio Verdi non usa il servizio e-mail di NetRelay, ma che, comunque, tutti i messaggi ricevuti da fabio@verdi.com vengono originati dai server di NetRelay. La cosa sembra sospetta. Queste e-mail vengono inoltrate a NetRelay, che confronta gli accessi al server con le e-mail fornite e scopre che mario@rossi.com è l'indirizzo che ha inviato tutti questi messaggi spacciandosi per fabio@verdi.com. NetRelay sospende i privilegi per il servizio e-mail di Mario Rossi, perché l'e-mail spoofing va contro Temini & Condizioni del suo contratto, e, se ciò dovesse continuare, i server di e-mail di NetRelay verrebbero inseriti in una blacklist. In quest'ultimo caso, ciò si ripercuoterebbe su tutti gli altri clienti di NetRelay.

Fabio Verdi sospetta che dietro a tutto ci sia Mario Rossi e decide allora di vendicarsi con la stessa moneta, inviando delle e-mail (spoofing) come Mario Rossi, ma spedendole attraverso un server che non necessita di nome utente e password, nella speranza che questo lo preservi dall'essere individuato. In questo modo Fabio Verdi può effettuare un accesso anonimo e inviare e-mail di SPAM spacciandosi per mario@rossi.com. Dopo molte ricerche, Fabio Verdi trova un server che non richiede nome utente o password e invia 100.000 e-mail usando mario@rossi.com come indirizzo del mittente. Come nel caso precedente, molti degli utenti destinatari dell'e-mail si lamentano di aver ricevuto da mario@rossi.com della SPAM (che in realtà è stata spedita da Fabio Verdi). Questa volta, però, 1.000 degli indirizzi che avrebbero dovuto ricevere l'e-mail non sono indirizzi reali. Il tutto si traduce in un diluvio di 1.000 e-mail nell'account di mario@rossi.com. Questi 1.000 messaggi informano che gli indirizzi a cui avrebbero dovuto essere spediti non esistono, e le e-mail non possono quindi essere recapitate. Tutte e 1.000 queste e-mail sono generate automaticamente dal provider che le ha ricevute, e "rimandate" a mario@rossi.com, perché è da quell'indirizzo mittente che in principio le e-mail sono state inviate. Mario Rossi controlla il proprio account e-mail, trova i 1.000 nuovi messaggi ed è confuso, perché di recente non ha mandato nessuna e-mail che avrebbe richiesto una risposta. Teme quindi che qualcuno possa aver scoperto la sua password e sia riuscito ad accedere al suo account per inviare un sacco di e-mail di SPAM. Mario Rossi cambia la sua password sperando in questo modo di risolvere il problema.

Sfortunatamente, Fabio Verdi potrebbe continuare a inviare queste e-mail tramite il server aperto spacciandosi per Mario Rossi e, per ogni indirizzo inesistente, Mario Rossi riceverebbe "di ritorno" al suo account e-mail un avviso che lo informa del fatto che il messaggio non può essere recapitato. Dal momento che gli utenti che invece RICEVONO le e-mail le segnalano come SPAM, il server aperto che Fabio Verdi sta usando verrà inserito in una blacklist. La prossima volta che Fabio Verdi cercherà di inviare 100.000 e-mail da questo server inserito (ora) nella blacklist spacciandosi per Mario Rossi, tutte e 100.000 le e-mail non saranno recapitate, e in questo caso Mario Rossi sarà inondato da 100.000 messaggi che lo informano del fatto che le e-mail sono state rifiutate perché il server risulta inserito in una blacklist, anche se in realtà Mario Rossi non ha mandato nessuno di questi messaggi.

Mario Rossi contatta NetRelay e spiega di aver cambiato la propria password ma di ricevere ancora questi messaggi di consegna non riuscita. Sospetta però che Fabio Verdi si stia vendicando con lo spoofing.

L'addetto all'assistenza di NetRelay conferma che qualcuno ha contraffatto il suo indirizzo e-mail basandosi sulle informazioni contenute in uno dei messaggi di mancata consegna. Sfortunatamente, NetRelay non può fare molto al riguardo. Il server che Fabio Verdi ha usato per inviare la SPAM non richiede nome utente o password, e il proprietario non vigila sugli accessi. Come se non bastasse, questo server è già stato inserito in una blacklist. Ma anche se non lo fosse, non c'è modo in cui Mario Rossi possa evitare di ricevere i messaggi di mancata consegna. Può inserire nella propria blacklist gli indirizzi che gli inviano queste notifiche, ma così facendo semplicemente sposterà quelle e-mail nella cartella SPAM della sua casella di posta, che alla fine sarà piena (e comunque non le bloccherà). Ciò si rivelerebbe scomodo nel caso in cui tentasse di inviare in futuro un'e-mail legittima che, per qualche motivo, non raggiungesse la destinazione; la notifica di mancata consegna finirebbe infatti direttamente nella cartella SPAM.


Cosa si può fare?

Alla fine altri troveranno server di e-mail che possano essere usati per falsificare i messaggi e ne abuseranno perché non richiedono un nome utente o una password. Quante più persone approfitteranno di uno di questi server, tanto più spesso quest'ultimo verrà inserito in una blacklist, o alla fine verrà bloccato in modo definitivo in caso di trasgressioni ripetute. Dopo l'inserimento permanente nella blacklist, il proprietario del server sarà obbligato a richiedere agli utenti un nome utente e una password per inviare e-mail perché il server stesso sia rimosso dalle blacklist o, più semplicemente, chiuderà il server a causa dei ripetuti blocchi.

Di conseguenza, non ci sono molti server aperti che non richiedono un nome utente o una password, e quelli che sono aperti di solito non lo rimangono a lungo.


Sfortunatamente non c'è molto da fare se non segnalare i server responsabili alle blacklist fino a quando il proprietario non li chiude o non richiede un'autenticazione impedendo agli utenti che abusano del servizio e-mail di inviare messaggi.