Email spoofing è una tecnica di attacco informatico che consiste nella creazione di mail con indirizzo del mittente contraffatto.
Viene comunemente usata per Email spam e phishing al fine di ingannare il destinatario circa l'origine del messaggio.
Dettagli tecnici
All'invio di un messaggio SMTP la connessione iniziale prevede la specifica di due indirizzi:[1]
MAIL FROM: di default non ci sono controlli che il sistema sia autorizzato ad inviare per conto dell'indirizzo specificato.
RCPT TO: specifica l'indirizzo di destinazione.
Queste informazioni vengono tipicamente definite "envelope" del messaggio mail. Il sistema di invio inserisce diversi altri header, tra cui: "From", "Reply-to" ed alcune volte "Sender".
Di default non è previsto nessun controllo su questi header.
Utilizzo in Spam e Worm
Molti malware cercano gli indirizzi mail contenuti nel computer infettato e li utilizzano sia come obiettivi sia come mittenti credibili, in questo modo aumenta la probabilità che la mail inviata venga letta.
Ad esempio se il computer di Alice è stato infettato da un worm, il codice di questo va a cercare la rubrica degli indirizzi mail di Alice.
Una volta trovati gli indirizzi di Charlie e Bob, il worm invia dal computer di Alice una mail infetta a Bob inserendo come mittente Charlie.
In questo caso Alice rimane ignara di tutto e Bob riceve una mail contenente malware vedendo come mittente Charlie, anche se la mail in realtà proviene dal computer di Alice.
Identificazione del mittente
L'Email Spoofing è un tecnica efficace per falsificare l'indirizzo mittente di una mail. Tuttavia l'indirizzo IP del computer da cui la mail è stata inviata può essere generalmente rintracciato nell'header "Received" del messaggio.
In molti casi questo appartiene ad un terzo soggetto, affetto da malware, ignaro della cosa.
Contromisure
Soluzioni utilizzabili per effettuare un'autenticazione sulle mail evitando di rimanere vittime di email spoofing sono:
SPF (Sender Policy Framework): prevede la pubblicazione nei record del DNS di un determinato dominio di una lista degli host autorizzati ad inviare mail. L'autenticazione di una mail viene effettuata confrontando l'indirizzo ricevuto come mittente con la lista degli host autorizzati per quel dominio.[2]
Sender ID: protocollo Microsoft che deriva da SPF, funziona in modo analogo.[2]
DKIM (DomainKeys Identified Mail): prevede che header e body del messaggio siano protetti da crittografia. In un dominio protetto con una tecnica di questo tipo vengono inserite in record all'interno del DNS le chiavi pubbliche relative agli host autorizzati ad inviare messaggi. Coloro che ricevono un messaggio possono quindi utilizzare la chiave per verificarne l'autenticità.[2]
DMARC (Domain-based Message Authentication, Reporting and Conformance): utilizza SPF e DKIM e permette ai destinatari l'invio di segnalazioni al fine di monitorare la protezione del dominio da mail fraudolente.[2]