Gli utenti Gmail sono tra i meno tartassati dalla spam sebbene non manchi talvolta un messaggio indesiderato o che si debba ripescare di quando in quando una missiva più che lecita, finita inspiegabilmente nel girone dei cattivi. Eppure, come spiega a Punto Informatico l’hacker italiano Alessio Porcacchia , sysadmin per Brandmail Solution , consulente Debian, anche in un servizio apparentemente sicuro come Gmail si annida qualche rischio.
La scorsa settimana, Porcacchia aveva individuato un potenziale problema sulla piattaforma di posta di Google. Il server sembrava accettare email provenienti da qualsiasi dominio, anche se non esistente: “Eppure basta una entry mx sul DNS e un token di postifix affinché il server di posta rifiuti automaticamente la posta di uno spammer proveniente da un dominio inesistente”. Un problema, comunque, segnalato immediatamente agli admin di Gmail e subito risolto .
Per Porcacchia, però, la faccenda non finisce qui: “Secondo Google basta un Sender Policy Framework ( SPF ) vale a dire un record da aggiungere nella configurazione DNS del dominio con lo scopo di combattere teoricamente la contraffazione degli indirizzi email e individuare più facilmente i messaggi di spam”. Il problema è che, apparentemente, non sempre questo meccanismo sembra dimostrarsi efficiente : “Il funzionamento è basato sull’utilizzo più ampio possibile di tutti i gestori DNS: cosa che sembrerebbe non accadere, e che rende l’SPF poco efficace e facilmente aggirabile”.
Sebbene l’email in arrivo da un dominio noto o sconosciuto venga attentamente vagliata dal server di posta, le discrepanze tra l’effettiva provenienza della missiva, l’IP di partenza e l’indirizzo da mostrare nel client di posta, vengono in un certo senso ignorate: “L’SPF verifica soltanto l’indirizzo fornito nel campo mail from del protocollo SMTP – spiega Porcacchia – mentre non verifica mai gli indirizzi forniti nelle intestazioni del messaggio inviato. Un utente poco smaliziato nei normali client di posta vede soltanto l’indirizzo dall’intestazione from del messaggio, mentre non visualizza l’indirizzo verificato dal SPF dal campo mail from “.
Accade dunque che, se il campo mail from non passa la verifica del SPF, Gmail mostri comunque la missiva nella casella di posta : e lo fa mostrando come indirizzo del mittente quello indicato nel campo from , pur avendo verificato – come segnalato nell’ header completo – che questi due indirizzi non collimano e che l’IP di partenza non è valido: “Il metodo di filtraggio di Gmail funziona in molti casi, ma basterebbe un lamer con tanta voglia di perdere tempo e qualche botnet per ritrovarci una mattina con la casella inondata di posta indesiderata” avverte Porcacchia.
Per Mountain View, si tratta di un problema di minore entità : come spiegato da Google Italia, in una nota inviata a Punto Informatico , “da quando è stata lanciata Gmail, abbiamo prestato particolare attenzione alla lotta contro gli abusi del sistema, attraverso la progettazione di strumenti utili ad individuare lo spam e prevenire azioni future”.
Il filtro anti-spam attuale è molto apprezzato: “Gmail consente agli utenti di segnalare i messaggi indesiderati come spam, e questi feedback vengono poi associati ad alcuni elementi che compongono l’infrastruttura del sistema di ricerca di Google”. Inoltre, prosegue la nota, “i nostri ingegneri sono costantemente al lavoro per migliorare il sistema anti spam: il risultato è che, rispetto all’incremento di spam su Internet che vediamo ogni giorno, gli utenti Gmail ne ricevono sempre meno nella loro casella di posta”.
D’altro avviso Porcacchia : “Pensiamo ad esempio ad un utente interessato ad un prodotto che perde un oggetto ad un asta: un malintenzionato potrebbe inviare una email sfruttando l’indirizzo del venditore, dichiarando che l’oggetto non è stato aggiudicato e rioffrendolo alla vittima ad un prezzo scontato. Chi riceve la email andrà a controllare l’header? Probabilmente no”. Il rischio è che si trovi invischiato in un caso di phishing ben orchestrato, nonostante il filtro antispam: “La mia speranza – conclude Porcacchia – è che Google risolva presto anche questa questione”.
a cura di Luca Annunziata