SMTP Scam & e-mail indesiderate

" class="img-responsive"/>

Virus, anomalie di sistema, BYOD. Che valore ha la posta elettronica per l'Impresa? Che succede se si lascia una gestione "anarchica" della situazione?

La posta elettronica ha assunto un valore enorme per le Imprese, a volte la percezione dello strumento e' esagerata, ma non si puo' negare che abbia un peso determinante nella produttivita' quotidiana. Tralasciando il "fenomeno PEC" (tipicamente Italiano) gestire un servizio di Posta Elettronica ha delle complessita' non indifferenti.

La "reputazione" di un relay SMTP e' vitale per il corretto funzionamento del meccanismo di comunicazione, e la gestione di questo aspetto e' molto sottovalutato. Basti vedere cosa succede quando un servizio di spedizione della posta di un ISP (anche di quelli piu' grandi) finisce in black-list di qualche servizio. Ci capita di ricevere diverse volte nell'arco di una settimana al Service Desk chiamate di Clienti che non riescono a consegnare messaggi ai propri destinatari perche' il loro IP o il relay SMTP dell'operatore finisce in una lista di SPAM. Purtroppo sono cose che capitano.

Nel "piccolo" delle imprese che hanno una classe di indirizzi IP assegnati direttamente esistono modi per ridurre i rischi di "SCAM" o di "SPAM" uscente dal perimetro della propria Azienda. Trattandosi - appunto - di impresa, regole e procedure sono i primi tasselli che consentono di affrontare e risolvere il problema (la strategia). L'inserimento di un apparato perimetrale che controlli la posta uscente puo' applicare tali regole e renderle efficaci e proteggere il perimetro aziendale dalla maggior parte di rischi che consentono la propagazione di messaggi maliziosi.

Inviare un messaggio di posta elettronica e' un processo estremamente semplice e banale (per chi ha come obiettivo tale operazione). E' sufficiente qualche riga di codice, un firewall "scarnamente" configurato (avanti-avanti-avanti-OK), un elenco di potenziali vittime. Un antivirus inefficiente o sfruttando un exploit non ancora gestito dai sistemi di sicurezza (o addirittura un codice scritto ad-hoc), successivamente si modifica l'indirizzo e-mail del mittente (header From:) e si comincia a tentare di spedire messaggi direttamente ai destinatari. Basta che il firewall abbia la porta 25/tcp aperta in uscita (e ce l'hanno quasi tutti) e si e' un potenziale candidato perche' questo accada. Del resto chi chiuderebbe la porta che serve all'invio di posta elettronica?

Esitono metodi che consentono di limitare i "danni" di un possibile contagio o malfunzionamento. Se si ha un server di posta in casa potrebbe essere utile limitare il traffico sulla porta 25/tcp al solo server di posta (in uscita), tuttavia questo problema lascia lo "spiraglio" per tutto cio' che transita dal SMTP del server di posta stesso. Per meglio specificare, se un host della rete usa il server interno per l'inoltro, e' sufficiente che il messaggio malizioso sia prima inviato al server di posta interno per poi essere propagato, e il problema torna ad essere presente.

Una soluzione che sto trovando efficace, e che genera meno effort amministrativo di quanto pensassi, e' utilizzare Proxy SMTP. Banalmente si tratta di un host (trasparente o meno) inserito nel perimetro aziendale che valida il messaggio di posta in uscita, e se valido lo lascia uscire. Esistono diverse soluzioni di questo genere, nel mio caso si tratta di regole Proxy dei firewall Watchguard XTM, di appliance XCS o - nei casi di laboratorio - anche box Linux con Postfix.

La regola "salvavita" che mi sta dando maggiore soddisfazione (mi riferisco alle regole Proxy XTM in questo caso) sono quelle che controllano il campo "From:". A livello di Azienda e' facile avere l'elenco dei domini di posta da cui si spediscono messaggi, pertanto lasciando una proxy rule abbastanza "larga" da consentire la stragrande maggioranza di messaggi in uscita, possiamo quantomeno controllare che partano dal dominio dell'azienda, filtrando (tagliando) tutto il resto.

Questo processo, di contro, crea delle limitazioni in quei casi in cui alla rete LAN aziendale possano collegarsi anche host esterni alla rete (ospiti, BYOD, ecc.). In quel caso possono essere adottate metodologie piu' raffinate (come per esempio l'autenticazione in Active Directory per gli utenti "trusted", lasciando una regola piu' stretta per tutti gli altri) grazie ad altre funzionalita' interne ai firewall XTM, ma naturalmente vanno verticalizzate sulla singola realta'. Il risultato, tuttavia, e' estremamente efficace e permette di evitare sgradevoli situazioni di black-list all'interno di sistemi antispam sempre piu' evoluti, che potrebbero compromettere il recapito di e-mail, in alcuni casi, anche per giorni.