app spamstop
La posta elettronica è il principale canale per gli attacchi informatici.
La falsificazione dell’indirizzo del mittente, chiamata anche “spoofing”,
può essere rilevata dalle informazioni di autenticazione delle email.
L’app “spamstop” di RealSender mostra i risultati delle verifiche di autenticità
direttamente nell’oggetto dei messaggi ricevuti.
È un’efficiente soluzione anti-spam, se associata ad un filtro
che divide i messaggi in base ai mittenti che NON sono nella vostra rubrica.
È attivabile per tutto il dominio o anche solo qualche indirizzo email.
Caratteristiche principali:
controllo del mittente dell'email basato su spf
controllo del mittente e del sigillo dell'email basato su dkim
almeno uno dei domini deve essere allineato con il dominio From del mittente
due SPAM tag aggiunti all'oggetto per evidenziare le frodi
per ricevere nella posta in arrivo solo i mittenti che avete precedentemente autorizzato
per ricevere messaggi email solo dai mittenti che avete precedentemente autorizzato
per proteggere le caselle email da mittenti indesiderati ed allegati pericolosi
Sottosezioni di app spamstop
1 - controllo spf
Vogliamo essere sicuri che l’indirizzo email non sia stato falsificato/spoofed*.
* = far sembrare che il messaggio provenga da un mittente diverso da quello effettivo
L’autenticazione SPF ci aiuta ad identificare se il messaggio è stato spedito attraverso un server autorizzato.
Il dominio del mittente (envelope sender) contiene queste informazioni, che sono al sicuro, all’esterno della mail.
Solo se il messaggio NON è stato autenticato correttamente,
il simbolo !! (attenzione) viene aggiunto all’oggetto,
una delle seguenti note esplicative è inserita nella testata messaggio, riga “X-RealSender”:
:: spf-none :: se il dominio del mittente non contiene informazioni per autenticare la mail
:: spf-softfail :: se il server smtp non è elencato tra quelli autorizzati ma ciò va considerato come un "softfail"
:: spf-fail :: se il server smtp non è elencato tra quelli autorizzati e la mail deve essere rifiutata o scartata
A volte le informazioni registrate a livello di dominio non risultano corrette/comprensibili:
:: spf-permerror :: se si è verificato un errore permanente (ad esempio record SPF formattato in modo errato)
Il controllo SPF viene effettuato rispetto all’indirizzo email “envelope sender”.
In questo caso chi riceve il messaggio potrebbe vedere un altro indirizzo “Da:” (from) e viene riportato questo avviso:
:: spf-diff :: se gli indirizzi "envelope sender" e "from" sono diversi
Maggiori informazioni
2 - controllo dkim
DKIM (DomainKeys Identified Mail) consente ai mittenti di dimostrare che l’email è stata effettivamente inviata da loro e che non è stata modificata dopo l’invio.
Ciò si ottiene apponendo una firma digitale (sigillo), collegata ad un nome di dominio, a ciascun messaggio email spedito.
Solo se il messaggio NON è stato firmato correttamente,
il simbolo !! (attenzione) viene aggiunto all’oggetto,
una delle seguenti note esplicative è inserita nella testata messaggio, riga “X-RealSender”:
:: dkim-none :: non sono state trovate intestazioni DKIM-Signature (valide o non valide)
:: dkim-fail :: è stata trovata un'intestazione DKIM-Signature valida, ma la firma non contiene un valore corretto per il messaggio
A volte non è possibile eseguire il controllo:
:: dkim-invalid :: c'è un problema nella firma stessa o nel record della chiave pubblica. La firma non può essere verificata
:: dkim-temperror :: è stato rilevato un errore che è probabilmente di natura transitoria, come l'incapacità temporanea di recuperare la chiave pubblica
Quando il messaggio è stato firmato utilizzando un dominio diverso, viene aggiunto un avviso “diff”.
Questo avviso NON verrà visualizzato se il mittente supera il controllo SPF:
:: dkim-diff :: il messaggio NON è stato firmato dal dominio del mittente
Maggiori informazioni
3 - allineamento dmarc
DMARC significa: autenticazione, reportistica e conformità dei messaggi basata sul dominio.
È uno standard di autenticazione delle email, sviluppato per combattere la posta elettronica falsificata.
Nel capitolo “3.1. Identifier Alignment” dice:
DMARC autentica l'utilizzo del dominio RFC5322.From richiedendo
che corrisponda (è allineato con) un identificatore autenticato.
-- https://tools.ietf.org/html/rfc7489#section-3.1
Che significa semplicemente:
quando un mittente autentica la propria email utilizzando SPF e/o DKIM,
almeno uno dei domini deve essere allineato con il dominio From del mittente
Questo approccio è ampiamente accettato e generalmente considerato
una buona pratica per identificare domini mittente attendibili.
**RealSender MX Protect verifica l'allineamento "relaxed", quello di default in dmarc:**
-
Per l’autenticazione SPF
il dominio di base (root) dell’indirizzo Mail From deve corrispondere al dominio di base (root) dell’indirizzo From del mittente.
L’allineamento “relaxed” consente di utilizzare qualsiasi sottodominio e di soddisfare comunque i requisiti di allineamento del dominio.
-
Per l’autenticazione DKIM
il dominio di base (root) utilizzato per la firma dkim deve corrispondere al dominio From del mittente.
L’allineamento “relaxed” consente di utilizzare qualsiasi sottodominio e di soddisfare comunque i requisiti di allineamento del dominio.
**Risultati possibili:**
-
entrambe le regole sono rispettate
il dominio del mittente è completamente attendibile,
il messaggio arriva a destinazione invariato
-
viene soddisfatta solo una delle due regole
il simbolo ~ (tilde) viene aggiunto all’oggetto,
una delle seguenti note esplicative è inserita nella testata messaggio
~ ... oggetto ...
X-RealSender: ~ | spf=pass (domain NOT aligned) | dkim=pass | ~
~ ... oggetto ...
X-RealSender: ~ | spf=pass | dkim=pass (domain NOT aligned) | ~
- nessun allineamento
gli avvisi “:: spf-diff ::” e “:: dkim-diff ::”
vengono visualizzati nell’oggetto
Maggiori informazioni
4 - doppio spam tag
DMARC viene usato da sempre più aziende per proteggere i loro mittenti dallo spoofing.
Il suo utilizzo richiede la corretta autenticazione con SPF o DKIM e l’allineamento dei domini From / Mail-From.
Per maggiori informazioni:
<dmarc> agisce sulle email fasulle
I messaggi provenienti da mittenti con il record _dmarc,
se NON sono autenticati, vengono segnalati con due tag [ SPAM ] nell’oggetto:
[ SPAM ] ... message subject ... [ SPAM ]
I messaggi senza il record _dmarc, che falliscono sia l’autenticazione SPF che DKIM,
vengono segnalati con un tag [suspicious] nell’oggetto:
[suspicious] ... message subject ...
Prova gratuita di RealSender
filtro mittenti lato client
L’app “spamstop” diventa un’efficiente soluzione anti-spam
se associata ad un filtro che scarta i messaggi ricevuti
in base ai mittenti che NON sono nella vostra rubrica.
La maggior parte dei moderni client email offre questa possibilità.
Ecco alcuni esempi di configurazione:
nelle impostazioni di Outlook abilitare: considera attendibili i messaggi inviati dai miei contatti
in Thunderbird creare un filtro con condizioni 'Mittente non è nella Rubrica'
Sottosezioni di filtro mittenti lato client
Microsoft 365 Outlook
Qui sotto riportiamo la schermata delle “Impostazioni” di Outlook.
In “Posta indesiderata” spuntare “Considera attendibili i messaggi inviati dai miei contatti”.
Premere [Salva] per registrare le modifiche.
Prova gratuita di RealSender
Mozilla Thunderbird
Qui sotto riportiamo la schermata dello strumento “Filtri messaggi” in Thunderbird.
Aggiungere le condizioni con l’opzione “Soddisfano TUTTE le condizioni”:
- Mittente non è nella Rubrica, Rubrica personale
- Mittente non è nella Rubrica, Indirizzi collezionali
Esegui queste azioni:
Sposta il messaggio in: Spam.
Prova gratuita di RealSender
filtro mittenti lato server
Non tutti i client di posta elettronica forniscono sistemi sofisticati per filtrare le email.
In questi casi è possibile agire a monte.
La funzione “Mittenti autorizzati” consente di ricevere messaggi
solo dai mittenti che avete precedentemente autorizzato
(potete indicare anche l’intero dominio, es. @nomedidominio.it):
Tutti i messaggi corretti arriveranno come al solito nella vostra casella email.
Tutti i messaggi di spam andranno in una diversa casella di posta
oppure nella cartella “Posta indesiderata” dell’utente di Microsoft 365 Exchange.
Nessuna email andrà persa.
Potreste leggere la casella dei messaggi scartati una o più volte al giorno.
Risparmierete così tanto tempo prezioso.
Prova gratuita di RealSender
Sottosezioni di filtro mittenti lato server
Microsoft 365 Exchange
Questa configurazione consente di spostare correttamente la posta
proveniente dai mittenti NON autorizzati alla cartella Posta indesiderata dell’utente.
I messaggi filtrati dall’app SpamStop arriveranno con le intestazioni
ed il seguente valore di protezione dalla posta indesiderata:
X-Forefront-Antispam-Report: SFV:SKB
(messaggio contrassegnato come posta indesiderata dal filtro della posta indesiderata
a causa dell’indirizzo di posta elettronica o del dominio di posta elettronica del mittente
NON presente nell’elenco dei mittenti autorizzati)
Occorre attivare la seguente Azione: impostare il livello di attendibilità della posta indesiderata
detto anche “spam confidence level” (SCL) di questi messaggi su 6 (posta indesiderata)
Il valore predefinito del parametro SCLJunkThreshold è 4, ovvero un SCL pari o superiore a 5
deve recapitare il messaggio alla cartella Posta indesiderata dell’utente.
-
Nell’interfaccia di amministrazione di Exchange passare a “Mail flow” (Regole flusso).
-
Nella pagina “Rules” (Regole) selezionare “Add a rule” (Aggiungi)
> “Create a new rule” (crea una nuova regola) nel menu a tendina.
-
Nella pagina “New transport rule” (Nuova regola),
configurare le seguenti impostazioni:
Name (Nome): SpamStop
Apply this rule if (Applicare questa regola se): ‘X-Forefront-Antispam-Report-Untrusted’
message header matches (un’intestazione del messaggio contiene): ‘SFV:SKB’
Do the following (Eseguire le operazioni seguenti):
Modify the message properties (Modifica le proprietà del messaggio)
Set the spam confidence level “SCL” to: ‘6’
(Impostare il livello di attendibilità della posta indesiderata) a: ‘6’
Salvare ed attivare la regola.
Prova gratuita di RealSender
impostazioni di sicurezza
Aggiungono un ulteriore livello di sicurezza alle vostre email.
Proteggono le caselle di posta elettronica
da mittenti fasulli ed allegati pericolosi.
Opzioni di sicurezza che vengono attivate a richiesta:
per ricevere email solo da mittenti che hanno superato i controlli di autenticazione
per rimuovere tutti gli allegati potenzialmente dannosi dalle email
Sottosezioni di impostazioni di sicurezza
solo mittenti autenticati
È utile quando si desidera ricevere messaggi solo da mittenti verificati.
Tutte le mail che non superano i controlli, vengono eliminate o rimbalzate.
Occorre essere certi che l’indirizzo email del mittente non sia stato falsificato.
Questo controllo si esegue mettendo insieme l’autenticazione SPF e DKIM.
SPF convalida l’indirizzo del mittente e la sua relazione con il server che ha inviato il messaggio.
DKIM garantisce che i messaggi email (compresi gli allegati) non vengano modificati
dopo che sono stati “firmati” in fase di spedizione.
In teoria è tutto qui, in pratica sia SPF che DKIM possono fare riferimento
ad un dominio diverso rispetto all’indirizzo email del mittente.
Noi controlliamo che l’autenticazione SPF e la firma DKIM siano associate al dominio del mittente.
Così nessun altro può autenticare la mail. Questo ne garantisce la provenienza.
Prova gratuita di RealSender
elimina gli allegati pericolosi
L’opzione “elimina gli allegati pericolosi” rimuove tutti gli allegati potenzialmente dannosi
tranne alcune estensioni sicure come pdf, txt, gif, jpg e png.
Il destinatario riceve il messaggio senza l’allegato.
Un avviso viene inserito all’inizio del contenuto, come questo:
ATTENZIONE: Questa email ha violato la politica di sicurezza della vostra azienda
ed e' stata modificata. Per ulteriori informazioni, contattate l'Amministratore IT.
L'allegato "esempio.zip" e' stato rimosso perche' potrebbe essere pericoloso.
Se vi occorre questo documento, contattate il mittente.
Su Internet è pubblicato un caso di studio interessante, che termina con questa frase:
“Per noi, il filtro degli allegati ha avuto molto successo”
– web.mit.edu/net-security/Camp/2004/presentations/reillyb-mit2004.ppt (presentazione PowerPoint - in inglese)
Prova gratuita di RealSender