Che il Sender Policy Framework non sia qualcosa di ufficiale sono d'accordo, che non tutti i server lo supportino anche. Ma metterlo sicuramente aiuta, laddove il server di destinazione lo supporta, al corretto riconoscimento dell'e-mail come falsa o meno. Se non lo supporta poco male, ma per quanto ne sò circa l'80% dei sistemi di e-mail convenzionalmente utilizzati supporta questo protocollo, quindi utilizzarlo male non fa.

L'adozione significa semplicemente configurare con una stringa di testo aggiuntiva il record DNS del dominio utilizzato.

Ora, che questo non lo facciano le società posso in un certo qual senso pure passarci sopra, ma che addirittura le nostre istituzioni non si ragguaglino in merito con i fior fiori di quattrini che vengono spesi ogni anno per i servizi IT, questo è decisamente ridicolo.
Scartando poi l'ipotesi - proprio perchè si tratta di istituzioni - che usino sistemi da 4 soldi (e mi fermo per evitare polimiche assurde), direi che con una minima percentuale di dubbio mi posso sbilanciare nel dire che i loro sistemi supportino tale sistema (che ribadisco durante la ricezione serve solo per verificare che il mittente sia sicuro).

Giusto ora ho infatti ricevuto un'e-mail forgiata da parte del Ministero degli Affari Esteri. Ai tempi in cui ci ho lavorato, usavano come provider Cineca, a Bologna, oggi non sò, ma qualunque sia il provider, sono davvero così occupati i sistemisti di turno a non preoccuparsi di questo semplice ma importante aspetto?

image

Del resto oggi l'e-mail è diventata un canale ufficiale di comunicazione, e dubito che ai Ministeri l'abbiano sottovalutato, e che quindi questo mezzo di veicolazione sia utilizzato anche a carattere istituzionale anche per comunicazione di un certo spessore. Almeno voglio sperare che sia così. E quindi, davvero le nostre istituzioni si possono permettere il lusso di subire attacchi di identity forging?

A quanto pare al MAE, sembra che questa cosa non interessi. Infatti l'imaggine che sotto riporto non mostra alcuna configurazione del record SPF in questione.

image

Contrariamente, una query del genere, per un dominio dove l'SPF risulta configurato ritornerebbe qualcosa tipo quello che si vede nell'immagine di destra. image

Se non siete troppo pratici con il comando Nslookup, potete utilizzare questo strumento on-line per la verifica del record SPF.

 

No Comment. Intanto marco l'e-mail come mittente non desiderato.

Technorati Tags: ,