Informazioni personali

La mia foto
Vistarino, Lombardy, Italy

Cerca nel blog

Translate

Visualizzazione post con etichetta email. Mostra tutti i post
Visualizzazione post con etichetta email. Mostra tutti i post

giovedì 15 febbraio 2024

Posta: nel frattempo nel mondo reale SPF, DKIM e DMARC

Mentre ci deliziamo a discutere, da opposte condizioni, le deliziose notizie generate dal garante sui metadati il mondo va avanti anche senza di noi e le nostre velleità.

Mi ero ripromesso di scrivere delle nuove richieste di Yahoo e Google inerenti i protocolli di autenticazione della posta dopo avervi tenuto piu di un webinar. Purtroppo sono stato distratto da varie ed eventuali e i miei ultimi post sono stati “leggermente” polemici su cose del mondo italico.

Visto che non ho fatto in tempo a scrivere, il mondo non ha avuto la decenza di aspettarmi e le cose si sono messe in moto anche senza che io aveessi modo di delirarci sopra.

Di che si parla?

Si parla di SPF, DKIM e DMARC se non sapete cosa siano male, moolto male, anzi malillimo.

Si parla della richiesta di impementarli correttamente altrimenti google e yahoo non accettano più le vostre preziose email.

Non è roba nuova ma si sa da noi ad un avvertimentno si reagisce in maniera per lo più scomposta e sconclusionata, mai affrontando la radice del problema.

Ah, il mondo delle email è diventato un po’ più “piccante” nel 2024, quando Google e Yahoo, i guardiani della nostra tranquillità digitale, hanno deciso di dare una bella stretta alle regole dell’autenticazione email. Preparati a un viaggio nel bizzarro mondo dell’autenticazione, dove DMARC non è il nome di un DJ svedese e SPF non si riferisce alla tua crema solare!

Google e Yahoo Diventano i Bouncer dell’Email Club

Immagina Google e Yahoo come due buttafuori all’ingresso di un esclusivo club di email. Dal 2024, se non sei sulla lista (leggi: se le tue email non sono autenticate secondo le loro nuove regole super sofisticate), non entrerai. E non importa quanto tu sia convincente, non c’è modo di corromperli con una mancia.

I Codici di Errore: “Non Sei sulla Lista, Amico”

Se le tue email provano a intrufolarsi senza l’autenticazione adeguata, Google e Yahoo risponderanno con dei codici di errore equivalenti a un “Mi dispiace, amico, non puoi entrare”. Questi codici di errore saranno il tuo biglietto d’addio, un gentile promemoria che è ora di aggiornare le tue pratiche di autenticazione.

Apple Si Unisce alla Festa

E per non essere da meno, anche Apple ha deciso di unirsi alla festa, imponendo regole simili. Ora, immagina Apple come quel VIP che arriva alla festa e alza ulteriormente il livello. Se pensavi che aggirare Google e Yahoo fosse difficile, aspetta solo di vedere cosa ha in serbo Apple.

Altri Provider seguiranno l’Esempio

Come se non bastasse, altri provider di posta come Outlook, Hotmail, e magari anche Zoho, decidono che vogliono essere parte di questo esclusivo club dell’autenticazione. Ognuno con le proprie regole, perché, sai, più regole, più divertimento!

Cosa Fare per Non Restare Fuori dalla Festa

  • SPF1: Anche qui, non stiamo parlando di protezione solare, ma di un record che dice a tutti che sei chi dici di essere.
  • DKIM2: Un altro pass VIP per mostrare che le tue email non sono travestite.
  • DMARC3: Non è un nuovo tipo di drink, ma dovrai assicurarti di averlo per passare i controlli all’ingresso.

Ora italicamente la reazione è: ma si tanto poi cambieranno idea, figurati se lo fanno adesso, ma cosa vogliono questi e via dicendo.

Nuntio vobis magno cum gaudio

La cosa è iniziata:

chi manda la posta inizia a vedere

🔎 errori𝐒𝐌𝐓𝐏

E si su un piccolo numero ancora, ma google ha iniziato a fare throottling e rigettare le email non alliineate alle loro indiczioni (che cattivoni), ma la cosa è destinata a crecere che vi piaccia o meno.

Le date iniziali sono state rilassate, ma il D day (DMARC Day) si avvicina.

👉 Se vedi repliche SMTP che iniziano con un 4, si tratta di un errore temporaneo e significa che il sistema può inviare nuovamente il messaggio per la consegna; ma se inizia con 5, è un fallimento permanente, e significa che viene rifiutato e non verrà mai consegnato.

Queste sono alcune delle risposte SMTP di Google che possiamo vedere ora:

🔵 421-4.7.26 𝘛𝘩𝘪𝘴 𝘮𝘢𝘪𝘭 𝘩𝘢𝘴 𝘣𝘦𝘦𝘯 𝘳𝘢𝘵𝘦 𝘭𝘪𝘮𝘪𝘵𝘦𝘥 𝘣𝘦𝘤𝘢𝘶𝘴𝘦 𝘪𝘵 𝘪𝘴 𝘶𝘯𝘢𝘶𝘵𝘩𝘦𝘯𝘵𝘪𝘤𝘢𝘵𝘦𝘥. 𝘎𝘮𝘢𝘪𝘭 𝘳𝘦𝘲𝘶𝘪𝘳𝘦𝘴 𝘢𝘭𝘭 𝘴𝘦𝘯𝘥𝘦𝘳𝘴 𝘵𝘰 𝘢𝘶𝘵𝘩𝘦𝘯𝘵𝘪𝘤𝘢𝘵𝘦 𝘸𝘪𝘵𝘩 𝘦𝘪𝘵𝘩𝘦𝘳 𝘚𝘗𝘍 𝘰𝘳 𝘋𝘒𝘐𝘔

🔵 421 4.7.30 𝘛𝘩𝘪𝘴 𝘮𝘢𝘪𝘭 𝘩𝘢𝘴 𝘣𝘦𝘦𝘯 𝘳𝘢𝘵𝘦 𝘭𝘪𝘮𝘪𝘵𝘦𝘥 𝘣𝘦𝘤𝘢𝘶𝘴𝘦 𝘋𝘒𝘐𝘔 𝘥𝘰𝘦𝘴 𝘯𝘰𝘵 𝘱𝘢𝘴𝘴. 𝘎𝘮𝘢𝘪𝘭 𝘳𝘦𝘲𝘶𝘪𝘳𝘦𝘴 𝘢𝘭𝘭 𝘭𝘢𝘳𝘨𝘦 𝘴𝘦𝘯𝘥𝘦𝘳𝘴 𝘵𝘰 𝘢𝘶𝘵𝘩𝘦𝘯𝘵𝘪𝘤𝘢𝘵𝘦 𝘸𝘪𝘵𝘩 𝘋𝘒𝘐𝘔. 𝘈𝘶𝘵𝘩𝘦𝘯𝘵𝘪𝘤𝘢𝘵𝘪𝘰𝘯 𝘳𝘦𝘴𝘶𝘭𝘵𝘴: 𝘋𝘒𝘐𝘔 = 𝘥𝘪𝘥 𝘯𝘰𝘵 𝘱𝘢𝘴𝘴

🔵 421 4.7.32 𝘛𝘩𝘪𝘴 𝘮𝘢𝘪𝘭 𝘩𝘢𝘴 𝘣𝘦𝘦𝘯 𝘳𝘢𝘵𝘦-𝘭𝘪𝘮𝘪𝘵𝘦𝘥 𝘣𝘦𝘤𝘢𝘶𝘴𝘦 𝘵𝘩𝘦𝘳𝘦 𝘪𝘴 𝘯𝘰 𝘋𝘔𝘈𝘙𝘊 𝘢𝘭𝘪𝘨𝘯𝘮𝘦𝘯𝘵

o la ben più temuta:


🔴 550 5.7.26 𝘛𝘩𝘪𝘴 𝘮𝘦𝘴𝘴𝘢𝘨𝘦 𝘥𝘰𝘦𝘴 𝘯𝘰𝘵 𝘩𝘢𝘷𝘦 𝘢𝘶𝘵𝘩𝘦𝘯𝘵𝘪𝘤𝘢𝘵𝘪𝘰𝘯 𝘪𝘯𝘧𝘰𝘳𝘮𝘢𝘵𝘪𝘰𝘯 𝘰𝘳 𝘧𝘢𝘪𝘭𝘴 𝘵𝘰 𝘱𝘢𝘴𝘴 𝘢𝘶𝘵𝘩𝘦𝘯𝘵𝘪𝘤𝘢𝘵𝘪𝘰𝘯 𝘤𝘩𝘦𝘤𝘬𝘴 (𝘚𝘗𝘍 𝘰𝘳 𝘋𝘒𝘐𝘔). 𝘛𝘰 𝘣𝘦𝘴𝘵 𝘱𝘳𝘰𝘵𝘦𝘤𝘵 𝘰𝘶𝘳 𝘶𝘴𝘦𝘳𝘴 𝘧𝘳𝘰𝘮 𝘴𝘱𝘢𝘮, 𝘵𝘩𝘦 𝘮𝘦𝘴𝘴𝘢𝘨𝘦 𝘩𝘢𝘴 𝘣𝘦𝘦𝘯 𝘣𝘭𝘰𝘤𝘬𝘦𝘥. 𝘗𝘭𝘦𝘢𝘴𝘦 𝘷𝘪𝘴𝘪𝘵 𝘗𝘳𝘦𝘷𝘦𝘯𝘵 𝘮𝘢𝘪𝘭 𝘵𝘰 𝘎𝘮𝘢𝘪𝘭 𝘶𝘴𝘦𝘳𝘴 𝘧𝘳𝘰𝘮 𝘣𝘦𝘪𝘯𝘨 𝘣𝘭𝘰𝘤𝘬𝘦𝘥 𝘰𝘳 𝘴𝘦𝘯𝘵 𝘵𝘰 𝘴𝘱𝘢𝘮 𝘧𝘰𝘳 𝘮𝘰𝘳𝘦 𝘪𝘯𝘧𝘰𝘳𝘮𝘢𝘵𝘪𝘰𝘯.

Cosa sono le “Nuove” Richieste di Google e Yahoo?

I nuovi requisiti di Google e Yahoo mirano a garantire che le email inviate siano autentiche e desiderate dai destinatari. Ecco un riassunto delle principali novità e dei requisiti previsti:

Google

  • Autenticazione delle Email: A partire da febbraio 2024, Google richiederà che i mittenti di email massive autentichino le loro comunicazioni seguendo le best practice stabilite.
  • Facilità di Disiscrizione: I mittenti dovranno fornire un meccanismo semplice, tipicamente un clic, per consentire ai destinatari di disiscriversi dalle comunicazioni email.
  • Controllo del Tasso di Spam: I mittenti dovranno mantenere il tasso di segnalazioni spam al di sotto di una determinata soglia (.3%) per evitare che le loro email vengano marcate come indesiderate​​.

Yahoo

  • Yahoo, insieme a Google, ha sottolineato l’importanza di queste nuove misure per migliorare l’affidabilità e la sicurezza delle comunicazioni email, enfatizzando l’esigenza di un impegno collettivo per proteggere gli utenti da spam e frodi email​​.

Motivazioni dietro le Nuove Richieste

Le motivazioni dietro queste nuove richieste includono la necessità di combattere lo spam e migliorare la sicurezza delle comunicazioni email. Google ha segnalato che le sue difese basate sull’intelligenza artificiale bloccano quotidianamente più del 99,9% di spam, phishing e malware, ma nonostante questo, le minacce sono diventate più complesse e pressanti. Queste nuove misure sono volte a colmare le lacune che permettono agli attaccanti di nascondersi tra i mittenti legittimi, migliorando l’autenticazione delle email e rendendo più semplice per gli utenti gestire le iscrizioni​​.

Requisiti Tecnici e RFC Richiamate

RFC Richiamate

Le richieste di Google e Yahoo si basano su standard definiti nelle seguenti RFC (Request for Comments):

  • Autenticazione Email: Le pratiche di autenticazione si basano su standard come SPF (RFC 7208), DKIM (RFC 6376) e DMARC (RFC 7489).
  • Link di Disiscrizione: L’implementazione di un meccanismo di disiscrizione semplice e diretto può riferirsi agli standard definiti in RFC 8058, che descrive il metodo “One-Click” per la disiscrizione dalle email commerciali.

Queste RFC forniscono le linee guida tecniche su come implementare correttamente l’autenticazione delle email e i meccanismi di disiscrizione, assicurando che i mittenti aderiscano ai livelli richiesti di sicurezza e affidabilità nelle loro comunicazioni email.

<5000

Richieste

Protocolli di autenticazione

implementare

SPF

DKIM

Spam rate <.3%

>5000

Richieste

Protocolli di autenticazione + unsubscribe link

Implementare SPF

DKIM

DMARC (anche in p=none)

allineati4

+ Unsubscribe Link

Spam rate <.3%

Quando

Timeline

Febbraio

Implementare i rotocolli di autenticzione, primi enforcement con throttling

Aprile

Enforcement nuove regole per tutti

Giugno

Termine per i mass sender per unsubscribe link

In breve, il 2024 sarà l’anno in cui l’email si metterà in tiro per entrare nel club più esclusivo del mondo digitale. Google, Yahoo, e ora anche Apple, hanno alzato il livello, e se non vuoi restare fuori a guardare, è ora di iniziare a prendere sul serio questi protocolli di autenticazione. Mettiti in coda, mostra i tuoi ID digitali e preparati a ballare al ritmo dell’autenticazione email!

Ricorda, in questo mondo digitale in evoluzione, avere le giuste credenziali è come avere il biglietto d’oro per il club più esclusivo. Non essere quel tipo alla porta che non riesce a entrare perché indossa le scarpe sbagliate!

buon divertimento 🙂

NOTE a margine, se non lo sai sallo!

Posted by at Nessun commento:
Labels: , , , , , , , , , , ,

mercoledì 14 febbraio 2024

Di Log in Log: un garante è per sempre

Visto che monta la discussione su metadati e posta credo che occorra fare un minimo di chiarezza su alcune cose.

Lo so in parte ho già scritto in merito, ma:

semel in anno licet ribadire 🤣

insomma piu o meno

Vi ricordo che tutto parte dalle indicazioni garantite dal garante di cui parlo qui sotto:

Garante & email: se 7 giorni vi sembran pochi

in cui è solita la crisi sul:

ma allora i metadati?
e l’altra metà dei dati?

I legal e DPO

Insomma la favola dei 7+2 che sta appassionando l’etere.

La questione sarebbe semplice se si sapesse di cosa si parla, ma visto le evoluzioni correnti, dubbi, imprecazioni e salamelecchi vari occorre seguire la cosa con un pochino più di attenzione.

Ora mi balza all’occhio un altra nota del garante su un provvedimento contro un sito di incontri:

https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9983384#2

in questo provvedimento sembrerebbe che il garante chieda esattamente l’opposto di quanto espresso per le email.

Si legge infatti:

Insomma come a dire che i log non li devi tenere ma li devi tenere, ed oltretutto inalterabili, per non tracciare ma tracciare quello che fanno i dipendenti.

Ed oltretutto tracciare anche l’accesso ai Log stessi e medesimi.

Operazione illegittima di modifica dei Log 😂

Altro che monitoraggio delle attività del lavoratore 🤣

Ora il fatto che si tratti di un provvedimento verso un sito che vive di incontri da tenere segreti non credo sia il punto dirimente.

(e comunque lo so con che account vi siete registrati 😂)

l’acaro

Il punto dirimente è che la giustificazione delle motivazioni di ritenzione di log e metadati è, paradossalmente, data dal garante stesso quando fa queste richieste.

Occorre infatti ripetere, repetita iuvant sed secant, che le indicazioni del garante (che in quanto indicazioni NON sono un obbligo) in merito ai metadati della posta elettronica facevano riferimento ad un aspetto specifico inerente lo statuto dei lavoratori

Per quello che concerne il GDPR già l’articolo 32 darebbe ampia giustificazione alla retention di metadati e log nelle esigenze di sicurezza e ripristino:

Art 32: “Sicurezza del trattamento”

  1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
    => Articolo: 24
    a) la pseudonimizzazione e la cifratura dei dati personali;
    => Articolo: 4
    b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
    c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
    d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

E tali richieste sono rimarcate nella esigenza di avere un controllo puntuale dei dati e di chi vi accede.

Ma, per tornare al punto della posta, tali richieste coincidono sia con il doversi tenere i metadati 

/che ricordo sono in gran parte, parte integrante del messaggio di posta /

che di gestire con precisione ed efficacia il tracciamento di chi a questi dati accede.

In altre parole, a meno di non voler limitare a 7+2 giorni, le caselle di posta elettronica la risposta alle indicazione del garante è, mi sento di poter affermare con confidenza:

Teneteli questi dati se servono alla sicurezza e mantenimento del sistema (ex Art. 32 GDPR), dati che si trovano NON solo nei log delle soluzioni ma condivisi anche e sopratutto per motivi di sicurezza (pensate anche ai SIEM1 magari)

Ma, come dovreste comunque fare, giustificate il tutto in maniera sensata.

PS: e ricordatevi del DLP già che ci siete.

Salute
Posted by at Nessun commento:
Labels: , , , , , , , , , ,

venerdì 14 gennaio 2022

The email Files: Blocklisting, la sottile arte di farsi del male da soli

Nel post precedente ho iniziato a dissertare della gestione della posta elettronica soffermandosi sul problema annoso delle safelist (allowlist, whitelist o come preferite chiamarle).

Non sarebbe una trattazione esaustiva se non affrontassi il duale delle safelist, le blocklist.

Se ricordiamo la genesi della safelist questa è legata ai uno dei due problemi legati ai filtri di sicurezza che qui riporto per completezza:

1) il filtro non blocca qualcosa che dovrebbe bloccare (ci si riferisce a questa evenienza come falso negativo)

The email Files

2) il filtro blocca qualcosa che non andrebbe bloccato (ci si riferisce a questa evenienza come falso positivo)

The email Files

Ora nel primo capitolo mi sono soffermato sul secondo punto come origine delle safelist, adesso come seconda uscita mi sembra opportuno di occuparmi del primo punto che dà origine al fenomeno delle “blocklist” .

Il problema che vogliamo indirizzare è quello del “falso negativo” che soffre di problematiche affini a quello del falso positivo di cui abbiamo parlato nel post precedente.

Certo un falso negativo può avere un effetto psicologico devastante sul ipreparato ricettore di tale oggetto:

Immaginiamoci la scena di sgomento quando un utente riceve una mail la cui sola presenza è origine di panico e terrore tremebondo. Immaginiamoci la giusta ira di coloro che a fronte dei potenti mezzi messi a disposizione dalla tecnica comunque riceve qualcosa che, nelle migliori ipotesi, non dovrebbe arrivare in casella.

Come proteggersi? possiamo fare qualcosa? Riusciamo a sopperire a tali tremebonde evenienze?

è difficile, ma per fortuna l’universo ci ha fornito uno strumento dai poteri quasi magici per affrontare il problema: le blocklist

Blocklist: cosa è

Il significato di una blocklist è quello di creare una serie di regole che bloccano le email basandosi sull’indirizzo del mittente.

Credo sia chiaro ai più che questo approccio ha senso solo se il mittente manda solo ed esclusivamente messaggi malevoli.

Questa evenienza è estremamente rara se consideriamo le email malevole: difficilmente un threat actor registra un dominio ed usa email dedicate in maniera statica.

Certo sarebbe bello se i cattivi fossero così gentili da usarci la cortesia di mandare messaggi malevoli usando email del tipo spam@evilactor.org ma, credeteci o meno, così non è.

Allora cosa finisce dentro una blocklist?

Email scappate ai filtri con basso profilo di pericolosità e media persistenza quali:

  • Email di spam
  • Email di marketing che l’utente si dimentica di aver sottoscritto

Questo tipo di messaggio è tipicamente segnalato dall’utente che, come è noto, ha poca dimestichezza o comprensione di cosa sia in realtà una email o la sua pericolosità.

Per evitare di generare errori queste blocklist andrebbero portate, esattamente come le safelist, il più vicino all’utente. In altre parole, gli utenti dovrebbero poter gestire in maniera autonoma (e solo per le mail a loro indirizzate ovviamente) questo livello di blocco.

Email scappate ai filtri con alto profilo di pericolosità ma bassissima o one shot persistenza quali

  • spoofing illegale di email o domini legittimi scappati
  • email provenienti da account legittimi ma compromessi

Purtroppo, la seconda categoria di email finisce molto raramente nelle blocklist ed il motivo sembra essere legato al fatto che riconoscere tali email non è facile nemmeno per un occhio semi esperto, figuriamoci un utente standard.

Ma anche nel caso queste fossero riconosciute è difficile che tali mittenti rimangano compromessi a lungo. I criminali tendo a cercare di aggirare blocchi elementari, ed il protocollo SMTP offre moltissime opzioni in merito.

Occorre quindi, onde evitare di bloccare email buone con quelle “sospette” o “malevole, una manutenzione attenta e continua di questo tipo di filtro.

Questo comporta in genere l’uso di quarantene (meglio se amministrative nel caso si sospettino attacchi pericolosi) che permettano eventualmente il rilascio del messaggio una volta verificato che non sia pericoloso.

Si ritorna ancora una volta al concetto, di difficile comprensione, che tutti i sistemi richiedono una opportuna manutenzione e monitoraggio.

Blocklist e Content Filtering

Lavorare con le sole email mittenti è di solito difficilmente scalabile ed efficace. In particolare al di furi di spam o newsletter, spesso ci si accorge che il tasso di errore da questo tipo di filtro è molto alto.

Per ovviare al problema, spesso alle blocklist tradizionali si aggiunge da parte di molti amministratori l’uso di content filtering più o meno avanzati.

L’uso del content filtering è più un problema di compliance che di “email security”, ma spesso questa tecnologia si presta ad un uso “improprio”.

A differenza di una blocklist che “ragiona” principalmente in termini di indirizzo o dominio di posta elettronica, e quasi per nulla sui contenuti del messaggio una blocklist che usa tecniche di content filtering fa riferimento, principalmente, a contenuti del messaggio: parole, URL, frasi…

Insomma la idea di base è:

non voglio ricevere email che contengano la parola “Cippirimerlo” quindi scrivo una regola del tipo:

se ne corpo della email o nell'oggetto appare la parola "Cippirimerlo" allora blocco la email.

Il ragionamento è evidententemente limpido e lineare. Certo occorre che “Cippirimerlo” sia usato solo in email malevoli e non in transazioni comunicative legittime (ok! ok! chi usa oggi come oggi “Cippirimerlo” se non un Hacker?).

Ma perché mai un attore malevolo dovrebbe imitare comunicazioni legittime, così rischia che la vittima non si accorga che è un attacco…

come? questo è lo scopo? aaaahhhhh

Cosa può andare storto?

Il problema delle blocklist anche in questa forma è analogo a quello delle safelist, nel senso che l’assunzione alla base è che un filtro statico possa indirizzare in maniera efficace ed efficiente un sistema dinamico come la posta elettronica.

Non voglio dire che questo non sia vero, ma solo che se fosse vero perché investire in sistemi di email security quando basta una semplice lista statica?

Diciamo che nel caso delle blocklist il problema risiede spesso nella gestione amministrativa dei sistemi di posta. Ho visto cose che voi umani … er..no ho visto però filtri estremamente complessi che utilizzano strutture che richiedono un livello di competenza elevato:

  • regular expressions
  • operatori booleani
  • orazioni e abluzioni

Purtroppo, questa profusione di esternazione tecnologica rimanda sempre al problema della staticità di questi filtri e della loro rapida obsolescenza.

Esattamente come nel caso delle safelist, infatti, le blocklist soffrono del problema che il filtro applicato ha senso solo nella finestra temporale in cui l’eventuale attacco viene erogato, dopo quel tempo il risultato è di rischiare di bloccare con il filtro email invece legittime.

é infatti impensabile, proprio come si diceva prima per le email mittente, che un attore malevolo utilizzi sempre la stessa esatta struttura di messaggio, sempre la stessa URL e via dicendo.

Anzi proprio per questi motivi la possibilità di catturare in maniera errata messaggi legittimi è estremamente alta.

Il workaround per evitare di incorrere in problemi in questo caso è di

  • modificare il filtro
  • cancellarlo
  • creare una safelist

Lascio ai più immaginare quale sia la soluzione meno indicata e vieppiù una delle più usate.

Blocklisting che fare:

cerchiamo di riassumere un po di indicazioni rapide che quindi possano aiutarci a gestire in maniera efficace le Blocklist

meno è meglio

Esiste un acronimo inglese che dovrebbe sempre guidare le nostre scelte: KISS (Keep It Simple Stupid.) e questo vale anche nella gestione di safelist e blocklist. Intendiamoci in questo caso la semplicità è legata, in primis, alla minimizzazione di queste liste in quanto più sono grandi maggiore è l’effetto negativo che possono avere sul sistema.

In particolare, gli elementi in blocklist se fanno riferimento ad email vanno considerati in funzione della loro pericolosità:

le email a bassa pericolosità (spam, marketing) possono essere bloccate, ma data la loro natura tali blocchi è opportuno che siano gestiti direttamente dall’utente finale in una sua lista personale alfine di minimizzare interferenze verso altri utenti.

le email invece di natura più pericolosa vanno gestite e monitorate con attenzione: è opportuno creare blocchi amministrativi e quarantene ma che siano monitorate costantemente per rilasciare le email legittime, i filtri di blocco dovrebbero essere rimossi non appena l’attacco si esaurisce.

Riportare al vendor del security gateway tutti gli incidenti

Per quanto possa sembrare tedioso aprire un ticket in caso di falso positivo e falso negativo è il sistema migliore per indirizzare e minimizzare certe problematiche.

E sia chiaro, l’apertura del ticket richiede anche il poter fornire un campione della mail completo di intestazioni. Senza questo la analisi diventaestremamente difficile.

Vorrei però che fosse chiaro che l’apertura di un incidente non sempre porta alla risoluzione desiderata, richiedere di categorizzare come email malevola una email che malevola non è non porta solitamente a generazione di un blocco generalizzato, contestualmente la modifica fatta da un vendor non può influire su filtri statici quali blocklist o safelist. L’apertura di un incidente, quindi, è solo una componente di un processo che deve comprendere la periodica revisione dei filtri statici quali safe e block list.

Non confidare ciecamente dei feedback degli utenti

Come per il whitelisting il blocklisting è tanto più efficace quanto i feedback degli utenti sono contestualizzati, analizzati e controllati. Il fatto che il megadirettoregalattico al cubo richieda un blocco o un safe non significa né che abbia ragione né che debba essere fatto. La sicurezza è una cosa che trascende le strutture gerarchiche proprio perché è al servizio del business.

Pianificare bene significa risparmiare tempo e risorse

Regole chiare, processi testati, analisi e verifiche cicliche servono anche nella gestione della posta elettronica.

Ragionare in anticipo su come gestire livelli di filtro associati alle varie tipologie di utenza, come gestire safe e blocklist dovrebbe essere parte integrante del disegno di un processo di gestione corretto ed efficace. Lavorare in perenne emergenza, aggiungendo e non manutenendo questi semplici aspetti rende i sistemi di posta estremamente vulnerabili.

E non esiste tecnologia che possa dare risultati se usata non correttamente.

Safelist e blocklist sono aspetti relativamente semplici e quindi sono un ottimo modo per far capire che “semplice” non vuol dire che non sia richiesta comprensione del fenomeno.

Nei prossimi post affronterò altri aspetti più complessi, ma mi sto chiedendo, quanti sanno come funziona la posta elettronica in realtà? Va a finire che negli email files mi toccherà anche cercare di spiegare almeno in maniera base come è fatto un messaggio di posta elettronica e come viene distribuito, altrimenti un sacco di cose mi sa che non si capiscono.

(se vi interessa qualcosa di specifico chiedete e vi sarà dato)

Ma del resto sono anni che sostengo che sapere qualcosa sui sistemi che usiamo non è proprio una cosa cattiva.

alla prossima

Meditate gente meditate

Epiodio precedente:

The Email Files: Safelisting email? Poi non lamentarti

Posted by at Nessun commento:
Labels: , , , , , , , ,

venerdì 10 settembre 2021

The email Files: Safelisting email? Poi non lamentarti!

Ok sotto il cappello degli email files inizierò a scrivere riflessioni semiserie (come mio solito) sugli errori ed orrori di gestione della posta elettronica.

L’idea nasce da anni di militanza nel settore, ove ho realizzato 3 cose fondamentali:

  1. la maggior parte degli utilizzatori non sa cosa sia e come funzioni la posta elettronica
  2. la maggior parte degli amministratori non sa cosa sia e come funzioni la posta elettronica
  3. i “cattivi” hanno capito benissimo come funziona la posta elettronica ed approfittano dei punti 1 e 2 per farne uno dei veicoli più efficaci ed efficienti di attacco.

Cercherò quindi in funzione di quel che mi passa per la mente, in maniera aperiodica e non regolare di scrivere quello che mi viene.

Oggi parlo di un argomento banale, il safelist o allowlist (una volta detto whitelist prima delle purghe del politically correct estremo).

Safelist: che cosa è

Iniziamo a capire di cosa parliamo.

Tutti gli strumenti di posta moderni hanno una serie di filtri più o meno evoluti che servono ad evitare che messaggi malevoli e pericolosi vengano consegnati alla mailbox dell’utente.

I motivi validissimi di questo approccio sono legati al fatto che:

  1. gli utenti difficilmente hanno gli strumenti cognitivi per distinguere cosa sia pericoloso e cosa no (altrimenti non ci sarebbe questo successo devastante dell’uso delle email come veicolo di attacco)
  2. la mail per le sue specifiche caratteristiche (vedetevi cosa sia l’SMTP, cosa significhi protocollo in chiaro, cosa significhi protocollo asicrono, cosa significhi protocollo unreliable cosa significhi avere doppie intestazioni tecniche e visibili…)

Il problema è che questi filtri non sono perfetti e si può incorrere in 2 spiacevoli estremi:

  1. il filtro non blocca qualcosa che dovrebbe bloccare (ci si riferisce a questa evenienza come falso negativo)
  2. il filtro blocca qualcosa che non andrebbe bloccato (ci si riferisce a questa evenienza come falso positivo)

Il punto 2 è quello di cui andiamo a parlare or ora.

Per evitare che i filtri non blocchino quello che non andrebbe bloccato tutti i sistemi e soprattutto tutti gli utenti invocano un rimedio che è stato identificato nel Safelosting.

Il procedimento è semplicissimo, si tratta di dire al sistema di non applicare questi filtri a specifici flussi di email. Il riconoscimento di questi flussi è di solito legato a:

uno specifico indirizzo di posta elettronica esempio: sonobuono@lasciamipassare.com

un dominio di posta elettronica come, ad esempio: @laciamipassare.com

Quindi una safelist consiste un una serie di voci: domini di posta e\o indirizzi che non vengono analizzati dai filtri di protezione del sistema

La base di questo approccio procedurale è basato dall’assunto: “non so cosa faccio, non ne capisco la tecnicalità dietro ma mi permetto di saltare, in pura incoscienza, i filtri di sicurezza confidando nella mia sopravvalutazione di essere capace di riconoscere eventuali rischi.”

Non intendo dire, con questo, che il safelisting sia una attività inutile, ma che va usata, per la sua natura di saltare i filtri di sicurezza, in maniera oculata e responsabile.

Ora non nego che le persone del marketing, sales, HR, Management assortito non abbiano la giusta preoccupazione di non avere mail importanti bloccate, il discutibile è che siano loro, privi delle competenze specifiche, a dettare vincoli che minano alla base la sicurezza di uno dei primi veicoli di attacco utilizzati dai threat actor.

Discutibile è anche il fatto che vi siano aspettative sulla posta elettronica ben lontane dalla realtà dello strumento. Aspettative legate, appunto, alla non conoscenza dello strumento stesso.

Se non si conosce uno strumento non lo si usa correttamente ne si è in grado di capire e valutare gli eventuali rischi connessi.

A fronte di questo oggettivo scenario, quindi, si decide arbitrariamente di mettere in sospensione i filtri? Non proprio la mossa più lungimirante se si guarda la cosa dal punto di vista della sicurezza informatica.

Ma allora che fare?

Falso positivo: ma di cosa si tratta davvero?

Il primo punto è capire cosa sia davvero un falso positivo:

Il falso positivo si ha quando i filtri di protezione individuano erroneamente un messaggio “buono” come “malevolo”

Raramente questa identificazione ha a che fare con la reputazione del mittente o la struttura delle intestazioni, proprio perchè stiamo parlando di falsi positivi. Questo significa che con grande probabilità la ragione del blocco è legata al contenuto del messaggio. Questo contenuto è per sua natura variabile e, a meno che non vi siano dei pattern ripetuti che incappano per qualche motivo nei filtri in essere, difficilmente provoca blocchi ripetuti e frequenti.

Esistono eccezioni a queste considerazioni, spesso newsletter o email marketing sono “malformate” (spoofing mittente, struttura HTML, componenti attivi, similitudine con campagne di attacco in corso e via dicendo)

A fronte di un evento puntuale, peròil safelisting pone una soluzione “statica” che blocca l’analisi dei contenuti di quei flussi di email in maniera permanente, questo di fatto aumenta sensibimente l’esposizione al rischio.

Procedimenti come il safelisting o il blocklisting non possono quindi non considerare le condizioni al contorno e specifiche del singolo messaggio. Il che non significa che non abbiano uso e scopo, ma che vanno gestiti in maniera coerente con la loro natura.

Safelisting: che fare

siamo onesti, in un mondo ideale con utenti preparati, consapevoli e capaci di gestire il rischio, emettitori di posta che fanno le cose per bene sapendo come si deve gestire lo strumento, gestori di mailserver e gateway che utilizzano approcci sensati e coerenti il safelisting non sarebbe quasi in uso.

Ma il mondo non è cosi, anzi.

La poca conoscenza del mondo delle email è imbarazzante, cosi come la scarsa comprensione delle esigenze di sicurezza di questo canale comunicativo quindi le liste di abilitazione ci accompagneranno per lungo lungo tempo.

Ma cosa fare allora per limitarne i danni?

Ci sono alcuni processi da mettere in piedi per gestire il safelisting che possono aiutare a diminuire la superficie di rischio.

Diminuire le voci in whitelist al minimo

questo sembra ovvio ma è il primo elemento da considerare.

Metter in whitelist tuttte le richieste provenienti dalle varie voci incoscenti dell’azienda non ha senso. Prima di safelistare qualcosa occorrerebbe verificare che non sia un evento ripetitivo. Un atteggiamento sensato consite nel sbloccare la email eventualmente bloccata, NON fare nessun safelisting ma iniziare a monitorare il comportamento di quel flusso di posta e procedere all’evetuale safelist solo in seguito a ripetuti blocchi errati.

Non mettere in whitelist interi domini

Se il safelisting espone ad un maggiore rischio, è evidente che inserire un intero dominio in whtelist significa aumentare il rischio in funzione del numerodi email generabili per quel dominio. Si deve considerare quindi che un dominio aperto significa tanti potenziali vettori di rischio.

Non mettere MAI in safelist domini di email pubbliche

Lo so che nessuno lo farebbe mai, ma allora perchè mi capita di vedere in queste liste robe tipo “gmail.com”, “yahoo.com”, “libero.it” e via dicendo?

Le email consumer free sono un veicolo ideale per sviluppare in maniera semplici attacchi anche sofisticati, il solo richiedere di “liberare” un tale dominio è dimostrazione più che evidente che il richiedente non ha idea di cosa sia la posta elettronica ne come si usi. Non importa se è il figlio del direttore HR, il cognato del vicepresidente del marketing, o il cane dell’amministratore delegato. Semplicemente queste richieste devono essere negate fermamente senza se, senza ma e senza forse. In alternativa ci si fa dare una bella mail che impone il cambio da poter mostrare al soggetto al primo attacco ransomware dicendo: “te lo avevo detto ma tu…” 🙂

Se proprio devi fare safelist almeno limita i danni

Uno dei primi concetti che impari quando si parla di sicurezza è che minore è la superficie di esposizione minore il rischio. Essendo il safelisting una procedura che espone a rischio gli utenti è buona norma spostarla il più vicino al richiedente in maniera da ridurre la esposizione per gli altri utenti.

Mi spego: abilitare un mittente a bypassare i filtri per l’intero numero di utenti della azienda non ha molto senso se la richiesta proviene da una risorsa specifica. Molti sistemi oggigiorno consentono di creare policy specifiche per singoli utenti e gruppi di utenti ristretti. Una scelta opportuna è operare safelisting a questi livelli piuttosto che per tutta la organizzazione.

Ha senso spostare il safelisting quindi nella struttura più vicina al richiedente, utente o gruppo di utenti che sia.

Sopratutto in caso di gestioni estremamente statiche del safelist questo consente di controllare un minimo la superficie di rischio.

Un safelist NON è per sempre

Diciamocelo chiaro, non esistono motivi per tenere una lista che permetta l’ingresso di “la qualunque” per sempre in maniera immutabile. Già le considerazioni precedenti dovrebbero aver aperto un minimo di consapevolezza sul fatto che il safelisting non è una panacea dal punto di vista della sicurezza.

Per evitare che queste liste crescano a dismisura e calcifichino email e domini in maniera perenne è opportuno periodicamente procedere ad una revisione delle voci della lista.

Questo significa che dopo un certo periodo di tempo sarebbe opportuno eliminare le voci (in modalità FIFO, First In First Out). Difficilmente gli errori, se la piattaforma di filtering è gestita correttamente, si ripeteranno.

Sapere come usare i propri strumenti non è una brutta cosa.

Mi si conceda una ultima battuta.

Come tutti gli strumenti anche la posta elettronica ha le sue specificità che andrebbero conosciute da chiunque la utilizzi, la pessima idea di sapere come usarla e non avere bisogno di formazione è tanto stupida quanto, purtroppo, radicata.

E non si pensi che la cosa sia limitata ai soli utenti o al magnifico management, spesso anche chi si occupa di IT e persino di posta non ha le competenze corrette per gestire questo strumento al meglio.

Ne sia un esempio questa domanda:

quanti sanno cosa siano

  • SPF
  • DKIM
  • DMARC

e quali siano vantaggi e debolezze di ogniuno di questi protocolli di autenticazione della posta?

Antonio "Puchi" Ieranò
Meditate gente Meditate
Posted by at Nessun commento:
Labels: , , , , , ,

martedì 26 marzo 2013

FW SPAM: Dear friend

As usual I like to post some daily spam as reference, but of course you can always try to answer and, if you got all those million, would you please give me some? 🙂

—–Original Message—–
From: win Tep [mailto:tepsereya@gmail.com]
Sent: Tuesday 19 March 2013 02:48
To: nomestes.ingando@gmail.com
Subject: Dear friend

 

Dear friend

 

Please permit me to make your acquaintance in so informal a manner. This is necessitated by my urgent need to reach you. This request may seem strange and unsolicited but I will crave your indulgence and pray that you view it seriously.

 

I want you to partner with me in getting back the money left behind in a fixed deposit account in our bank by a citizen of your country. If this will endanger your position and reputation, I would not have contacted you. This is safe and beneficial. I am presently the Branch manager of our bank,here is South East Asia, please do not expose this transaction for any reason, I will give you more information of myself, our bank and the transaction itself once you write again.

 

I wait to hear from you,

 

Regards,

TEP SEREYA

Related articles
Posted by at Nessun commento:
Labels: , , , , , , , , , ,

FW SPAM: A BUSINESS PROPOSAL LETTER

Guys THIS is something I am really more comfortable, I mean this is something I know how to handle, ol’fashion email scam.

I recently experienced how it feel to be really scammed and it make you feel really dumb, believe me. J

 

 

From: mrwahid2 [mailto:mrwahid2@yeah.net]
Sent: Tuesday 26 March 2013 18:28
To: undisclosed-recipients:
Subject: A BUSINESS PROPOSAL LETTER

Dear Friend.

My name is Mr Traore Wahid. I got your contact email address from the internet Business directory and decided to contact you for this transaction that is based on trust. I need your urgent assistance in transferring the sum $19.300.000.00(Nineteen million three hundred thousand dollars) to your account. The transfer is risk free on both sides hence you are going to follow my instruction till the fund is transferred to your account.

Having gone through a methodical search, I decided to contact you hoping that you will find this proposal interesting. Please on your confirmation of this message and on indicating your interest, I will furnish you with more information as i get our reply.

If You Accept This Offer To Work With Me, And You Find This Proposal Suitable For You Do Furnish Me With The Following Information.

Your Full Name……………….
Your Country…………….
Your Private Telephone……………
Your Age and Sex………………..
Your Occupation……………

I Will Appreciate It Very Much, If This Proposal Is Acceptable By You, Do Not Make Undue Advantage Of The Trust I Have Bestowed On You, And I Assure You We Can Achieve It Successfully.You can reply me on my yahoo address.(traorewahid5).

Respectfully
Mr.Traore Wahid,
Bill and Exchange Manager

Related articles
Posted by at Nessun commento:
Labels: , , , , , , , , , , ,

FW SPAM: A BUSINESS PROPOSAL LETTER

Guys THIS is something I am really more comfortable, I mean this is something I know how to handle, ol’fashion email scam.

I recently experienced how it feel to be really scammed and it make you feel really dumb, believe me. J

 

 

From: mrwahid2 [mailto:mrwahid2@yeah.net]
Sent: Tuesday 26 March 2013 18:28
To: undisclosed-recipients:
Subject: A BUSINESS PROPOSAL LETTER

Dear Friend.

My name is Mr Traore Wahid. I got your contact email address from the internet Business directory and decided to contact you for this transaction that is based on trust. I need your urgent assistance in transferring the sum $19.300.000.00(Nineteen million three hundred thousand dollars) to your account. The transfer is risk free on both sides hence you are going to follow my instruction till the fund is transferred to your account.

Having gone through a methodical search, I decided to contact you hoping that you will find this proposal interesting. Please on your confirmation of this message and on indicating your interest, I will furnish you with more information as i get our reply.

If You Accept This Offer To Work With Me, And You Find This Proposal Suitable For You Do Furnish Me With The Following Information.

Your Full Name……………….
Your Country…………….
Your Private Telephone……………
Your Age and Sex………………..
Your Occupation……………

I Will Appreciate It Very Much, If This Proposal Is Acceptable By You, Do Not Make Undue Advantage Of The Trust I Have Bestowed On You, And I Assure You We Can Achieve It Successfully.You can reply me on my yahoo address.(traorewahid5).

Respectfully
Mr.Traore Wahid,
Bill and Exchange Manager

Related articles
Posted by at Nessun commento:
Labels: , , , , , , , , , , ,

mercoledì 11 aprile 2012

Daily Spam

here we are on a new issue of our daily spam. I keep saying that the most amusing part of reading the amount of emails I receive is spam, and I want to share once again with you the craziest one I got. remember those are spam email so please keep you mind open and your mailbox clean, lol and do not answer to them Winking smile

(but I admit that I would like to answer to some Nigerian scams, just to see what and how the approach me, but I would need some protection…tv? police? my mom?)

 

what can I say,I find it amusing and amazing when I receive something like this

From:
“Stevie Hutchinson” <plungerp1@anbid.com.br>

Envelope Recipient:
bit-bucket@printers.ironport.com, anierano@cisco.com

To:
<alerts@ironport.com>, <dnscheck@ironport.com>, <bwoodward@ironport.com>, <aierano@ironport.com>

Subject:
Re: End of Aug. Statement Required[IronPort SPAM]

Date:
10 Apr 2012 00:30 (GMT -07:00)

Good day, as reqeusted I give you inovices issued to you per february (Internet Explorer format).RegardsDonn Gay

 

when I would have requested something like that? I do not recall, Smile but of course could be my memory. meanwhile why someone called Steve from brazil send a mail and then sign as Donn Gay?  ok ok I’, too suspicious Devil

but now I have another doubt: how many profile exists that I don’t know about? just because is long time I receive mails like this one:

From:
nasr anibe <nasr.anibe@yahoo.it>

Envelope Recipient:
anierano@cisco.com

To:
“nasr.anibe@yahoo.it” <nasr.anibe@yahoo.it>

Subject:
www.yatedo.com

Date:
10 Apr 2012 23:25 (GMT -07:00)

Hello, my name is Nasr Anibe , is my pleasure to communicate with you
after seeing your profile here . it will be better if you can confirm
this message by writing me back via my email so that i will detail you
my purpose of writing you . i have something very important to share
with you . i will be waiting to hear from you. have a blessed day.

and I did not know to be so cool, lol Hot smile. well at least yatedo is a real site…

 

but wait a moment, after a light disappointment because iìm still waiting for the money I found in the last daily spam issue I have had another great opportunity, look at this:

 

From:
UKYAHOOMAILLOTTERY <merssss@hotmail.co.za>

Envelope Recipient:
anierano@cisco.com

To:
undisclosed recipients: ;

Subject:
PLEASE OPEN ATTACH YOUR EMAIL HAS(£1,000,000.00) KINDLY VIEW THE ATTACH FILE CONTACT DR FRANK BRYAN

Date:
09 Apr 2012 23:39 (GMT -07:00)

[attachment: “NOTIFICATION LETTER.doc”]

I won nothing less than £1,000,000.00 Party smile let’s partyyyyyyy

just why ukyahoomaillottery comes form an hotmail account? o well probably they work together Angel. just again I do not remember to ever played this lottery, but well, probbaly is my memory that has problems.

From:
Michele Ghigliotti <micheleghigliotti@hotmail.com>

Envelope Recipient:
anierano@cisco.com

To:
<enricoc71@gmail.com>, <luca.bellucci@autonomy.com>, <jumogiz@gmail.com>, <spupuz@gmail.com>, <cornalba70@hotmail.com>, <fusi.elena@gmail.com>, <stefano.crivelli@gmail.com>, <mv.franzini@gmail.com>, <aierano@ironport.com>

Subject:

Date:
09 Apr 2012 16:13 (GMT -07:00)

ok no the question is what the hell is this?  I mean man come on at least put a subject or a reason to click this link……….but I am curious you think I should click it? …..

about problems in understanding:

From:
<aierano@ironport.com>

Envelope Recipient:
anierano@cisco.com

To:
<aierano@ironport.com>

Subject:
U kunt in uw vrije tijd niet alleen geld verdienen, maar ook mensen in uw stad helpen

Date:
09 Apr 2012 12:59 (GMT -07:00)

Wij bieden u de mogelijkheid als een ver verwijderd assistent te werken.
Dit werk neemt 1-2 uur per week in beslag en u hoeft helemaal niets te investeren.
Het werk bestaat uit het verwerken van inkomende aanvragen van de klanten van uw stad.
Dit werk is niet moeilijker dan het betalen van gemeentelijke voorzieningen.
Voor elke aanvraag verkrijgt u de som van 90 tot 350 euro groot.
U krijgt de betaling elke vrijdag!
Indien gewenst kunt u het aantal aanvragen geleidelijk verhogen.
Wij garanderen het werk voor alle gegadigden. Maar het aantal werkplaatsen is beperkt!
Daarom moet u uw aanvraag nu meteen gaan sturen.
U begint dan vanaf de volgende week geld te verdienen.
Gelieve in uw aanvraag de volgende gegevens te vermelden:
Uw naam:
Uw e-mail:
Woonplaats:
Stuur uw aanvraag naar mijn e-mail: Mclaughlin@tophollandjob.com,en ik zal u persoonlijk binnen 2 werkdagen antwoorden.
Met hoogachting,
Dokter Mclaughlin

 

 

hey I have no idea what is this about…….. can you translate it to me?Disappointed smile

From:
“Mr. Marais”<hendrick_marais@yahoo.com.hk>

Envelope Recipient:
anierano@cisco.com

To:
undisclosed-recipients:;

Subject:
[MODIFIED FOR PROTECTION] Your Urgent Respond from Malaysia !![IronPort SPAM] [IronPort SPAM]

Date:
09 Apr 2012 09:04 (GMT -07:00)

Dear friend,
I’m Hendrick Marais, 52yrs, branch manager of one of the international Banks here in Malaysia. I have been the personal Fund Manager to the late Libyan President Muammar Gaddafi for many years. Total sum of Ten Million United State Dollars (US$10,000,000.00) was deposited under Escrow Account on behalf of the late president under a SECRET CODE DEPOSIT where none of his personal information was used for the deposit. This is known between two of us before his death in 2011.
And not even our bank head office has information about the owner of the fund. Now that President Muammar Gaddafi is DEAD, I can not be directly have access to this fund as an officer in our bank. So my aim of contacting you is to seek for your partnership to team up with me and receive this fund with your bank account by claiming the title holder/depositor and get 35% of the total fund as commission for your partnership.
There is no risk attached and the funds in question can never be traced. You may wish to read more about late Muammar Gaddafi’s death on the below link to confirm.
http://www.guardian.co.uk%2Fworld%2F2011%2Foct%2F20%2Fmuammar-gaddafi-dies-city-birth
Kindly get back to me urgently so as to furnish you further details. Also, you can call me on +60166991309 for voice conversation
Regards,
Mr. Marais.
Tel: +60166991309.
Email: hendrick_marais1@yahoo.com.hk

yappy again “money money money” Geez I attract money as a magnet Smile look below to understand it, and the fact is that all this people trust me even if I have no idea on who they are Smile. just a suggestion Roseline, next time add a photo of yourself, I mean I’m sure you’re single (you wrote it) and probably hot, but a pic would have made memove more quickly, don’t you think?

From:
Roseline <Nzete@jinbo.net>

Envelope Recipient:
anierano@cisco.com

To:
antonio.ierano@ironport.com

Subject:
[MODIFIED FOR PROTECTION] Hello from, Miss. ROSELINE.

Date:
09 Apr 2012 09:00 (GMT -07:00)

Hello my dearMy name is Miss ROSELINE NZETE. I am single, working in a bank. I need a very Good relationship with you and open minded so that we can work together as one family. I want you to go through this message and get back to me as soon as possible so that, we can discuss more on how it is going to be executed without any problem.

I feel quite safe dealing with you in this business proposition though, this medium (Internet) has been greatly abused; I chooses to reach you through it because it still remains the fastest, easiest, surest and most secured medium of communication. I know that this mail will come to you as a surprise as we have never met before. With due respect and regard; I have decided to contact you on a business transaction that will be very beneficial to both of us at the end of the transaction.

During my investigation and auditing in this Bank, in my department I came across a very huge sum of money belonging to one of our deceased foreign customer. He died along with his entire family members in a plane crash here in Africa as they where traveling for Holidays. I want to let you know that, this fund has been dormant in his account with this bank without any claim of the fund in our Custody either from his family or relation before my discovery to this development. Although personally, it happened that I am his personal account adviser.

I keep this information secret to my self to enable the whole plans and idea be Profitable and successful during the time of execution, the said amount is Nine million five hundred thousand United States Dollars ( $9.5 Million USD ), as it may interest you to know, I contacted you to be my partner and person to be reliable and capable to champion a business of such magnitude without any problem.

Meanwhile all the arrangement to put claim over this fund as the next of kin to the deceased, get the required approval and transfer this money to a foreign account has been put in Place and directives and needed information will be relayed to you as soon as you indicate your interest and willingness to assist me and also benefit your self to this great business opportunity. In fact I could have done this deal alone but because of my position in this country as a civil servant and we are not allowed to operate a foreign account and would eventually raise eye brow on my side during the time of transfer because I work in this bank.

I will not fail to inform you that this transaction is 100% risk free, on smooth conclusion of this transaction, you will be entitled to 30% of the total sum as gratification, while 5% will be set aside as a compensation after the transaction has been completed, for the taken care of expenses that was arise during the time of transfer, while 65% will be for me.

Please you have been advised to keep the business to the highest ” Top Secret ” as I am still in service with the bank and intend to retire from my work with the bank and relocate to your place after we concluded this deal with our bank and the money has been into your account.

I will be monitoring the whole situation here in this bank Until you confirm the money in your account, and ask me to come down to your country for subsequent sharing of the fund according to percentages previously indicated and further Investment, either in your country or any country you advice me to invest in and all other necessary vital information will be send to you as soon as I hear from you.

Please my dear, with my position as his personal account adviser when he was still alive, both of us can make this fortune come to us, only if you will follow up with every of my guide lines and direction and do what I ask you to do. I will not fail to bring to your notice that, this business is 100% hitch free on both sides and don ‘ t ever have any atom of negative impact. You should not entertain any Fear as all modalities for the smooth and easy transfer of these funds has been finalized before I contacted you. This transaction will be completed within 10 bank working Day immediately you applied to the Bank as relation to the deceased Customer.

I am given you every assurance today that, the source of this money is very legitimate and it dose not have anything to do with money laundering or what so ever of such. I want you to get back to me as soon as possible and also include your personal phone / mobile and fax numbers for easy communication. It is very important that, you call me as soon as you go through this mail for more directive and guide lines in this transaction.

What I want to inform you is that, this business is 100% real, sure, legal and legitimate. The business cannot affect your and your family. It cannot affect your personality, it cannot affect your work or any kind of activities you are doing any where in the world but, it is going to bring a very big joy and luck in both of our family as soon as the money transfer into your account.

Your response to me after reading this message, will determine if I will go ahead with you in this business or not. So, I want you to get back to me and, indicate your full interest and your capability of handling this business with me so that, I will know what next to do and tell you for us to move ahead without any delay.

And please, I want you to tell me more about you. Your age and occupation so that, I will know about the person I am going to hand over this business to you because, the business will be handed over to you to conclude it with our bank management hence, I cannot make myself known or available to our bank in this business because of my own security and safety of this money.

Meanwhile, if you have any question to ask me about me, the deposit, the late depositor or any other information you wanted to know, you are free to ask me and, I will give you the answer to your full understandings.

Here is my telephone number where you can reach me with : +22549870528

Please, I want you to reply me to this email account id at : roselinenzete555@zoho.com

Thanks for your co-operation and understanding.

Best regards.

MISS. ROSELINE.

 

so since I have a lot of money here I’m absolutely not in need of a job, so may be you could be interested in this:

From:
“Tejas Cobert Uralita”<noreply@tejascobert.com>

Envelope Recipient:
anierano@cisco.com

To:

Subject:
Job Openings – Hiring Now

Date:
09 Apr 2012 08:31 (GMT -07:00)

If you have access to a computer, and have up to three hours spare time per-week. you can get paid, would you like to work part or full time online, and get paid weekly? If yes,then please read carefully.
_____________________________________________________________________
ABOUT US
______________________________________________________________________
Uralita is a Spanish multinational company that deals in building materials.With over 100 years of experience in the field, it has occupied a leading position in the markets and sectors in which it operates for several decades now.
Uralita’s strategic business areas cover items such as Insulation materials, Plasters, Tiles and Piping. Indeed, its manufacturing and marketing of these products has made it the main reference point in the Spanish and Portuguese building sectors, and it is the third largest manufacturer of insulation materials in Europe and USA.
______________________________________________________________________
JOB POSITION
_______________________________________________________________________
We are currently seeking part or full time employees for our ever-growing accounts receivable department. Through extensive demographic research, we have discovered a wealth of untapped human resources that, for one reason or another, need the freedom to work from home. If this sounds like you, please read on, and consider becoming part of our company family.
as part of our ongoing Multi Level Marketing Network,we seek capable individuals to work for us as our representative.You can easily make $700-$2000 or more in a week by working for us as Sub-contractor in your geographical location, you will be in charge of collecting payments from our U.S.A customers.
Does it sounds like your dream job? Well, it certainly for 670+current members who are making $700- $2,000 weekly online with this system.
Note that no form of investment of is needed from you and this job will take only 1-3 hours of your time per week.
______________________________________________________________________
JOB RESPONSIBILITY
_______________________________________________________________________
The position of Accounts Receivable officer entails the following duties: coordinate payments from our clients, receive payments which come in form of wire transfers, process payments at your local bank, and forward 90% of funds received to the proper branch office, as instructed. The remaining 10% is your wage. Since this position is need-based, you will have plenty of free time while enjoying a good income.
___________________________________________________________
REMUNERATION
___________________________________________________________
Every assignment in form of payment received from clients, you’re entitled to 10% which excludes the cost of processing western union to any regional office accountant
________________________________________________________________________
INTERESTED APPLICANTS (HOW TO APPLY)
Interested applicants should simply reply this e-mail or send an e-mail to javier_uralita@contractor.net
Once received, one of our Human Resource Managers can contact you through
Email, with an approval letter if the management decides you are a successful
candidate. Please specify the best way to contact you in your reply email.
NOTE: This offer is not for U.S.A citizens.

 

do you think could ever be a money mule recruitment? naaah those things cold not happen to me Smile have to be real.

hey can you also explain this to me? I was a young lady? Rolling on the floor laughing come on……

From:
beaky ibb <beaky_ibb@indiatimes.com>

Envelope Recipient:
anierano@cisco.com

To:
undisclosed-recipients:;

Subject:
hi

Date:
08 Apr 2012 13:42 (GMT -07:00)

My name is a blessing
I was a young lady with an open heart,
I enjoy my life, but life is not complete if you do not have one to share it
Hope to hear from you
Your blessings

and just to go on on this look here, I mean I don’t know you and you want my photo? dressed or naked? lol Nyah-Nyah

From:
Jessica Alex <jessicaalexluv101@yahoo.co.uk>

To:
undisclosed-recipients:;

Subject:
Greetings

Date:
07 Apr 2012 03:48 (GMT -07:00)


*Greetings,
I’m contacting you for friendship, having the same desire kindly reply me
back at jessicaalexluv101@yahoo.co.uk ‘ with your photo and a little bit of
your self. hope to read from you soon. From Jessica.
Bye***

but at the end I like more talking about business, so here you are another offer I cannot refuse Smile

From:
traore sekou <traore.seko115@msn.com>

Envelope Recipient:
anierano@cisco.com

To:
“.” <.>

Subject:

Date:
07 Apr 2012 00:18 (GMT -07:00)

Dear Friend,
Good day and sorry for the way this email came to you as I’m in desperate need of your help to transfer the sum of $20.5 Million Dollars belonging to an aid to Colonel Gadahafi whose name I cannot mention for security reasons who also died in the fierce fighting in Sirte Libya and before his death I was his personal accounts Manager here in Burkina Faso where He secretly lodged this money without anyone else knowledge except me and the Bank.
I want you to apply to my Bank as the next of kin hence I can provide you with all the informations that can lead to the release of the money into your account as long as you can bear the cost of procuring certain legal certificates that will be needed to change the fund in your name which must be presented to the Bank before the fund is released to you as the nearest person and in confrmation of your interest, I will like you to furnish me with the below informations as 60% of the fund will be for me and 40% for you :
Your Name………………….
Your occupation………………..
Your Country of origin…………..
Your age and contact number……….
I shall furnish you with the details of the deal once I receive the above requirements and please feel free to delete the message if you are not interested and do keep the secret for me so that I can look for another reliable person.
Thanks in Anticipation.
Traore Sekou.

 

last but not least, have you heard about facebook spam? no?

well may be you can explain me this:

From:
Facebook <notification+62979H4P2IAN@facebookmail.com>

Envelope Recipient:
bit-bucket@printers.ironport.com, anierano@cisco.com

To:
cpappas@ironport.com

Subject:
KAM SWANSON wants to be friends on Facebook.

Date:
05 Apr 2012 06:42 (GMT -07:00)

Facebook facebook KAM SWANSON wants to be friends with you on Facebook. KAM SWANSON Confirm Friend Request See All Requests This message was sent to cpappas@ironport.com. If you don’t want to receive these emails from Facebook in the future or have your email address used for friend suggestions, please click: unsubscribe. Facebook, Inc. Attention: Department 415 P.O Box 10005 Palo Alto CA 94303

And I’m not even a facebook user Smile

ah just as an hello another request to give me money, guys I’m buy so I’ll let you have this millions all for you Smile

From:
“KIM SIMON”<kimsimonnn@yahoo.com>

Envelope Recipient:
anierano@cisco.com

To:

Subject:
MY PROPOSAL – KIM SIMON [IronPort SPAM]

Date:
05 Apr 2012 04:30 (GMT -07:00)

Dear Friend;
I must begin by thanking you so much for the time and opportunity given to me to express my personal issues. I am 23yrs of age and was brought up in London by my late mother who was married to my father Dr. Lucas Simon even though I have never known him but I hear from relations that he is a good man and now residing in Russia.
My mother passed away on the 28th of January 2012 after a brief illness. The death of my mother (Late Dr. Hanan Fiddah Simon) has brought about so many setbacks in my life with my late mothers relations not helping matters not to mention the government that is restricting me from having access to my mother’s wealth. Before her death she deposited USD$7,500,000.00 (Seven Million Five Hundred Thousand United States Dollars) with a private blue chip company called The Clearing House authorizing them to release the money to me when she has passed on and I have come of age to handle the money myself. Without wasting much of your time, I need you to stand in for me as my friend and investor to receive this money before my uncles and aunties take all of it away from me leaving me with nothing. I do not intend to stay in this country any longer because I am already fed up with the environment and the way things are going at the moment I can sacrifice coming over to your country to be with you. I have discussed this
I need to hear from you as soon as possible if you are going to stand on my behalf and I promise to give back to you 40% of the money for your kind gestures. I do not need any financial assistance from you but your honest understanding and positive mind until the money gets to you. My email address is stated below so you can write me as soon as you get this message letting me have the below information’s as my attorney has specified for record purposes; I guarantee you that your information will be safe with me.
First Name………….
Surname…………….
Address……………
City……………………
State/Province…….
Country………………
Telephone No……..
Occupation ……….
Date of Birth (date/m/yr)
Copy of International Passport
Thank you and God bless
Sincerely,
Kim Simon

cheers

Antonio Ierano

EMEAR SECURITY CONSULTING SYSTEMS ENGINEER

EMEAR Security Architecture Team

anierano@cisco.com

Phone: +39 039 629 5092

Mobile: +39 331 628 9653

Check my security blogs: AITechupdate, News From the world

Follow me on Twitter: @antonioierano

Check my profile on Linkedin or add me here

Related articles
Posted by at Nessun commento:
Labels: , , , , , , , ,
Iscriviti a: Post (Atom)