Informazioni personali

Cerca nel blog

Translate

Visualizzazione post con etichetta the email files. Mostra tutti i post
Visualizzazione post con etichetta the email files. Mostra tutti i post

sabato 19 febbraio 2022

The email Files: La posta secondo la posta

Dopo aver parlato per un po di posta elettronica discorrendo di “safe” e “block” list incomincio a rendermi conto che forse un passo indietro si rende necessario, e quindi mi pongo la domanda: ma tu sai come funziona la posta?

La risposta varia generalmente in funzione di chi riceve la domanda e, nella maggior parte dei casi, è sbagliata.

Questo basso livello di comprensione di come funziona la posta elettronica è in realtà una delle ragioni del suo successo. Mandare email è facile per un utente qualsiasi, persino per un manager IT, non c’è molto apparentemente da capire.

Purtroppo, non capire come funziona un sistema apre la porta anche ad errori gestionali, incomprensioni, aspettative errate, mostruosità da DPO e amenità associate.

Ora per capire un minimo come funziona la posta ho deciso di partire dal livello di comprensione di un utente medio, per poi passare dalla visione di un IT manager per finire al è punto di vista della posta medesima.

Introduciamo quindi i primi soggetti che ci introdurranno nel dorato mondo della posta elettronica.

Siccome vorrei che la lettura di questo articolo fosse accessibile ai più, proprio per venire incontro alle nuove esigenze linguistiche, analogamente all’uso di safe e bloc list ho deciso di rendere aperto il mondo dei nostri test non definendo nessun orientamento di sorta.

Per cui i nostri generici soggetti saranno Ann* e Ug*

Siccome confesso di avere problemi di dizione quando occorre citare i soggetti, eviterò di nominarli se non in qualche riferimento obbligatorio che mi rifiuterò di leggere ad alta voce. (ROTFL)

La posta secondo gli utenti

Immaginiamo ora che i nostri due tester (il vantaggio di uso di un termine inglese qui è puramente linguistico) siano usi mandarsi reciprocamente dei messaggi di posta elettronica.

Entrambi i soggetti usano probabilmente un programma per la posta elettronica (ad esempio Microsoft outlook) o una interfaccia web (Gmail, Microsoft OWA, Libero scegliete voi). Probabilmente non sono in grado di distinguere il fatto che è una app, un software o una interfaccia web sempre di client parliamo, ma si sa, queste sono cose da tecnici.

Di quale sia il contorno ed il contesto della posta ai nostri due utenti importa molto poco.

A loro è stato insegnato che per mandare un messaggio di posta occorrono 3 cose:

  1. dire a chi si manda la posta con un indirizzo del tipo nome@unarobadopo.xx
  2. mettere un oggetto, insomma il titolo della email.
  3. scrivere qualsiasi cosa, aggiungere testo immagini, file, cotechini e via dicendo

Tutto il resto è assimilabile alla magia ed alle categorie della magia si associano le percezioni ed aspettative relative, in particolare:

  1. la posta è istantanea, come mando arriva
  2. se leggo che il messaggio arriva da “pippo” deve essere “pippo” che la ha mandata
  3. se c’è un allegato prima clicco e poi penso, che se “pippo” me lo manda un motivo ci sarà
  4. se c’è un link ci clicco, del resto anche il web è magico (e le pagine sono pagine vere)

Questa percezione è estremamente radicata, del resto chi di noi conosce in dettaglio come funzionano gli SMS (ok non si usano più) o uazzap?

In compenso l’uso è così semplice che con la posta si mandano messaggi, appuntamenti, si gestiscono contenuti sensibili, si archiviano informazioni sensibili, personali, coperti da Proprietà Intellettuale e via dicendo.

Insomma, nella nostra posta viene raccolta la maggior parte delle informazioni che coprono la nostra vita lavorativa ed in parte privata e la gestiamo con la consapevolezza di chi utilizza uno strumento magico.

La posta secondo gli IT manager

Per fortuna gli IT manager hanno una visione della posta ben più complessa ed articolata. Introducono nella equazione il concetto di Mail Server.

Ora cosa sia un mail server non è comunque chiarissimo, è un oggetto che colleziona le caselle di posta degli utenti e che manda e riceve posta su internet.

I più tecnicamente savi hanno anche la percezione che tra il client di posta, outlook ad esempio, e il mail server (ad esempio Exchange) esista una comunicazione gestita da un protocollo con un nome esoterico, tipo MAPI nel caso di server di posta Microsoft. Non cito Office365 volutamente per non creare angosce emotive (dover citare Exchange online come componente va al di là della percezione di molti)

Intendiamoci, prima che si levi l’ondata di indignazione per aver osato citare un prodotto Microsoft esistono diversi protocolli che possono gestire la transazione client server, se nel mondo Microsoft MAPI va alla grande (fa tutto lui, anche la configurazione del client) in altri casi si devono usare cose più complesse tipo SMTP per l’outbound e IMAP o POP per l’inbound (se volete posso anche parlare di queste cose in un post futuro, chiedete e vi sarà dato).

Una delle maggiori differenze tra un utente standard ed un IT manager è la percezione, da parte di un IT manager, che il fatto che un messaggio sembri arrivare da un certo mittente perché presente nel campo “FROM: ” non è una garanzia.

Egli, ella, el* è consapevole che vi siano anche casi in cui può arrivare posta “pericolosa”. Una volta si chiamava SPAM, oggi si è scoperto che la posta è anche vettore di ben altri pericoli di cui, se volete, parleremo in seguito.

Dal punto di vista del funzionamento del sistema spesso la comprensione del mondo legato alla posta elettronica solitamente si ferma al mail server.

Già questo potrebbe dare adito a concetti interessanti in ottica gestionale, ad esempio:

  1. quanto importanti sono i servizi di posta elettronica all’interno dei miei processi di business?
    1. uso la mail con i miei clienti?
    2. uso la mail con i miei fornitori?
    3. uso la mail per fini marketing?
  2. quale è la mia esposizione al rischio su questo canale?
  3. quanti dati business critical sono contenuti nello store del mio mail server?
    1. quanta proprietà individuale è contenuta nel datastore del mail server?
    2. quante informazioni “critiche” per il business?
  4. come differenzio la gestione dei dati personali rispetto quelli aziendali contenuti nel mio mailserver?
  5. Che impatti ci sono sul GDPR collegati alla gestione delle caselle di posta elettronica?

Ovviamente sono sicuro che queste ed altre osservazioni sono comuni in fase di disegno e manutenzione dei sistemi postali da parte del management.

Il problema è che dopo il mail server la percezione di cosa sia la posta elettronica ritorna a quella magica dell”utente finale.

La percezione di “istantaneità” ad esempio è comune, la idea di “non posso bloccare in nessun modo la posta” anche. Ma avendo una scarsa comprensione dei meccanismi che governano la posta difficilmente sono in grado di fare analisi coerenti.

La posta secondo la posta

Se dovessimo chiedere ai sistemi di posta elettronica cosa sia la posta elettronica probabilmente avremmo una descrizione un poco più complessa.

La visione che la posta ha di sé stessa sicuramente è più complessa.

Questa “complessità” copre quasi tutte le cose viste prima, da come sia formattata una e-mail a come sia gestita la distribuzione dei messaggi di posta.

Purtroppo, questa comprensione è fondamentale per poter gestire e securizzare correttamente i sistemi, quindi occorrerebbe capire almeno le basi.

La prima cosa che balza all’occhio è che il mondo della posta non si ferma al server di posta elettronica. tutti i sistemi di posta elettronica, infatti, hanno bisogno di una componente che formatti i messaggi in una modalità trasmissibile su internet.

Il protocollo utilizzato per trasportare la posta si chiama SMTP (Simple Mail Transfer Protocol) ed ha caratteristiche specifiche che vanno considerate su cui farò considerazione dopo.

La prima cosa importante da capire è che la gestione delle caselle di posta è cosa diversa dalle problematiche di invio e ricezione dal server stesso.

La trasmissione della posta verso l’esterno è, invece, gestita da connettori che utilizzano il protocollo SMTP.

Quando scriviamo una mail sul nostro client questo la formatta e invia al mail server, che si incarica della sua gestione (storage, distribuzione interna, distribuzione esterna). Se il messaggio deve essere mandato al di fuori del server di posta, questo incarica la componente di gateway SMTP per trasferire il messaggio verso la destinazione prevista.

I nodi SMTP possono essere molteplici e seguono una catena che arriva fino alla destinazione finale: il connettore SMTP del mail server che contiene la casella dell’utente cui è stato inviato il messaggio.

Per garantire questa transazione occorrono diversi elementi: la presenza sui DNS di elementi che consentano la “traduzione” del dominio di posta in un server (tipicamente gli MX record) protocolli accessori che permettano la identificazione dei mittenti (SPF o DMARK) o la firma di contenuti (DKIM), fino a sistemi di encryption (SMIME) ed altro.

La trasmissione di un’email è quindi una questione relativamente complessa. Relativamente significa che molti di questi elementi sono però “opzionali” ed alla fine il protocollo SMTP permette l’invio di un messaggio semplicemente inviando i comandi manualmente senza effettuare controllo alcuno di veridicità.

Come è fatto un messaggio di posta.

Iniziamo a capire come sia realmente fatto un messaggio di posta. L’email di posta che riceviamo ed apriamo in outlook è molto più complesso di quello che sembra.

Ma capire cosa sia realmente ci permette di capire quali possano essere le problematiche di gestione e sicurezza di un sistema di posta sia lato utente, che lato IT manager ed infine (ma si spera lo sappiano già) di coloro che si occupano di sicurezza informatica.

PS: L’e-mail nella immagine è indirizzata a me e ne autorizzo la visione, non sto violando quindi i miei diritti e la mia confidencialita.

Quello che dobbiamo capire è che tra quello che vediamo e quello che c’è in background ci sono delle differenze sensibili.

Quando apriamo un messaggio su outlook, webmail o client di vostra preferenza quello che vediamo è una rappresentazione delle informazioni contenute nel reale messaggio.

le prime cose che solitamente si notano sono:

chi manda il messaggio, rappresentato dal campo FROM: (Da:)

a chi è inviato il messaggio rappresentato dal campo TO: (A:)

l’oggetto del messaggio, solitamente del testo che dà indicazioni dei contenuti, ma oggi in grado anche di mostrare elementi grafici.

Il corpo del messaggio, che contiene immagini, link, colori.

Eventuali attachment (allegati) che espandono i contenuti dei messaggi di posta elettronica in formati di qualsiasi tipo.

La vera struttura del messaggio la possiamo vedere nella immagine seguente.

Se vediamo nel dettaglio cosa contenga questa roba complessa possiamo sentirci intimiditi, per la vostra tranquillità quindi evidenzierò le componenti che servono.

iniziamo da chi manda la email.

Nell’esempio di outlook vediamo un mittente, ma se guardiamo nella struttura reale della email vediamo che il mittente è

From: “=?UTF-8?B?UHJpbWEgQXNzaWN1cmF6aW9uaQ==?=” <support@offertemadeinitaly.it>

Come da aspettarci troviamo il campo TO: che in questo caso coincide con quello visibile su outlook.

To: antonio.ierano@ierano.it

interessante è notare che dopo il campo TO: troviamo il campo Reply-to:

Questo campo

Reply-To:

Serve a indicare in caso di risposta a chi deve essere mandata la risposta INDIPENDENTEMENTE da quanto contenuto nel campo FROM:

infine, abbiam il subject, l’oggetto.

Subject: =?UTF-8?B?UkMgYXV0byBhIHBhcnRpcmUgZGEg?=
 =?UTF-8?B?c29saSAxNDIgZXVyb3==?=

Come si vede è abbastanza diverso da quello che si vede nel messaggio aperto su outlook.

cosa significa questo?

Significa, semplicemente, che quello che si vede nelle intestazioni tecniche della e-mail non corrisponde a quello visibile.

In effetti le email hanno due intestazioni una tecnica in uso al protocollo SMTP ed una visibile rappresentata dal client di posta.

La relazione tra le due intestazioni è nulla, nel senso che le due sono indipendenti e non esiste nessun vincolo di relazione tra i campi equivalenti delle due intestazioni.

La intestazione tecnica, quindi, non è visibile a livello di client di posta, ma a che serve?

Gli header tecnici sono il frutto della conversazione che hanno i gateway SMTP di posta. Ne riporto in basso una versione semplificata.

I limiti ed i pregi dell’SMTP

Come scrivevo sopra la trasmissione tra i nodi di posta viene gestita dal protocollo SMTP che, prima di ogni invio, deve gestire un Handshake.

Lo scopo di questa transazione è quello di preparare la comunicazione tra mittente e destinatario e di fornire un responso in merito alla transazione stessa.

Tutte le informazioni trasferite sono in chiaro, il protocollo non esegue nessuna forma di encryption o offuscamento, né di controllo di veridicità delle informazioni trasmesse se non in maniera estremamente limitata.

La mancanza di controllo da parte del protocollo sulla veridicità dei dati trasmessi implica che tali controlli, opzionali, siano interamente in carico al nodo di destinazione.

La mancanza di verifica o certificazione del mittente consente la trasmissione di traffico da parte di qualunque sorgente, le specifiche di protocollo, infatti, non vincolano nessuna caratteristica specifica in carico al mittente.

Ogni voce dello scambio genera da parte del server di destinazione, un codice che identifica la corretta trasmissione della componente di informazione che serve a costruire la mail, o l’eventuale errore.

Una osservazione che dovrebbe destare l’interesse di chi vuole capire come funziona il meccanismo è che una mail viene considerata consegnata da parte del mittente solo se a sequito del QUIT ottiene un 250 come codice di risposta. Questo significa che una mail viene considerata “consegnata” dal mittente solo ed esclusivamente quanto l’intero flusso del messaggio viene accettato dal destinatario.

Tutto chiaro, peccato che…

  • il mail from della sessione SMTP non è quello che legge l’utente  
  • il dominio dichiarato in HELO\EHLO può non corrispondere al dominio visibile nel mail from dell’utente
  • il protocollo non esegue nessun controllo di veridicità sui dati trasmessi dal mittente, questi sono eventualmente in carico a servizi opzionali del destinatario
  • il protocollo non esegue nessun controllo sulla identità del mittente
  • i comandi trasmessi in una sessione SMTP sono in chiaro
  • la transazione SMTP può contenere campi ulteriori tra cui «reply to:» e cose del genere  
  • dopo DATA si può mandare di tutto e di più, ivi compresi mittente e destinatario visibili nel client di posta  
  • l’integrazione di Mime nel campo DATA consente di mandare formati non testuali, ecco come ci arrivano l’e-mail in HTML  
  • l’HTML ci consente grafica, caratteri diversi, componenti di codice attivo non visibile…

Ok non ho spiegato tutto, ma lo scopo non è darvi il dettaglio ma fornire una base per poter postare in futuro osservazioni, indicazioni, suggerimenti analoghi a quelli fatti per “safe” o “block” list con un minimo di confidenza che se manca abbiate un riferimento per comprendere il quadro tecnico di cui si parla.

Tra gli argomenti che vorrei toccare prossimamente negli E-mail files ci sono:

  • E-mail design for dummies: le 4 o 5 cose che devi assolutamente sapere
  • I protocolli di autenticazione, da SPF a DMARC
  • Cosa serve e come funziona un security gateway,
  • Il caso per l’encryption: come, dove, cosa e perché
  • Perché se temete che i servizi di reputation blocchino le e-mail non avete capito nulla di come funziona il protocollo SMTP né dei vincoli di legge sulla accettazione obbligatoria di messaggi di posta elettronica
  • Perché se non capite la differenza tra E-mail gateway e server di posta non siete in gradi di fare nessuna considerazione in merito al GDPR (ma solo perché non potete fare valutazioni di rischio se non avete idea di cosa state valutando)
  • Dal Phishing alla sicurezza
meditate gente meditate

venerdì 14 gennaio 2022

The email Files: Blocklisting, la sottile arte di farsi del male da soli

Nel post precedente ho iniziato a dissertare della gestione della posta elettronica soffermandosi sul problema annoso delle safelist (allowlist, whitelist o come preferite chiamarle).

Non sarebbe una trattazione esaustiva se non affrontassi il duale delle safelist, le blocklist.

Se ricordiamo la genesi della safelist questa è legata ai uno dei due problemi legati ai filtri di sicurezza che qui riporto per completezza:

1) il filtro non blocca qualcosa che dovrebbe bloccare (ci si riferisce a questa evenienza come falso negativo)

The email Files

2) il filtro blocca qualcosa che non andrebbe bloccato (ci si riferisce a questa evenienza come falso positivo)

The email Files

Ora nel primo capitolo mi sono soffermato sul secondo punto come origine delle safelist, adesso come seconda uscita mi sembra opportuno di occuparmi del primo punto che dà origine al fenomeno delle “blocklist” .

Il problema che vogliamo indirizzare è quello del “falso negativo” che soffre di problematiche affini a quello del falso positivo di cui abbiamo parlato nel post precedente.

Certo un falso negativo può avere un effetto psicologico devastante sul ipreparato ricettore di tale oggetto:

Immaginiamoci la scena di sgomento quando un utente riceve una mail la cui sola presenza è origine di panico e terrore tremebondo. Immaginiamoci la giusta ira di coloro che a fronte dei potenti mezzi messi a disposizione dalla tecnica comunque riceve qualcosa che, nelle migliori ipotesi, non dovrebbe arrivare in casella.

Come proteggersi? possiamo fare qualcosa? Riusciamo a sopperire a tali tremebonde evenienze?

è difficile, ma per fortuna l’universo ci ha fornito uno strumento dai poteri quasi magici per affrontare il problema: le blocklist

Blocklist: cosa è

Il significato di una blocklist è quello di creare una serie di regole che bloccano le email basandosi sull’indirizzo del mittente.

Credo sia chiaro ai più che questo approccio ha senso solo se il mittente manda solo ed esclusivamente messaggi malevoli.

Questa evenienza è estremamente rara se consideriamo le email malevole: difficilmente un threat actor registra un dominio ed usa email dedicate in maniera statica.

Certo sarebbe bello se i cattivi fossero così gentili da usarci la cortesia di mandare messaggi malevoli usando email del tipo spam@evilactor.org ma, credeteci o meno, così non è.

Allora cosa finisce dentro una blocklist?

Email scappate ai filtri con basso profilo di pericolosità e media persistenza quali:

  • Email di spam
  • Email di marketing che l’utente si dimentica di aver sottoscritto

Questo tipo di messaggio è tipicamente segnalato dall’utente che, come è noto, ha poca dimestichezza o comprensione di cosa sia in realtà una email o la sua pericolosità.

Per evitare di generare errori queste blocklist andrebbero portate, esattamente come le safelist, il più vicino all’utente. In altre parole, gli utenti dovrebbero poter gestire in maniera autonoma (e solo per le mail a loro indirizzate ovviamente) questo livello di blocco.

Email scappate ai filtri con alto profilo di pericolosità ma bassissima o one shot persistenza quali

  • spoofing illegale di email o domini legittimi scappati
  • email provenienti da account legittimi ma compromessi

Purtroppo, la seconda categoria di email finisce molto raramente nelle blocklist ed il motivo sembra essere legato al fatto che riconoscere tali email non è facile nemmeno per un occhio semi esperto, figuriamoci un utente standard.

Ma anche nel caso queste fossero riconosciute è difficile che tali mittenti rimangano compromessi a lungo. I criminali tendo a cercare di aggirare blocchi elementari, ed il protocollo SMTP offre moltissime opzioni in merito.

Occorre quindi, onde evitare di bloccare email buone con quelle “sospette” o “malevole, una manutenzione attenta e continua di questo tipo di filtro.

Questo comporta in genere l’uso di quarantene (meglio se amministrative nel caso si sospettino attacchi pericolosi) che permettano eventualmente il rilascio del messaggio una volta verificato che non sia pericoloso.

Si ritorna ancora una volta al concetto, di difficile comprensione, che tutti i sistemi richiedono una opportuna manutenzione e monitoraggio.

Blocklist e Content Filtering

Lavorare con le sole email mittenti è di solito difficilmente scalabile ed efficace. In particolare al di furi di spam o newsletter, spesso ci si accorge che il tasso di errore da questo tipo di filtro è molto alto.

Per ovviare al problema, spesso alle blocklist tradizionali si aggiunge da parte di molti amministratori l’uso di content filtering più o meno avanzati.

L’uso del content filtering è più un problema di compliance che di “email security”, ma spesso questa tecnologia si presta ad un uso “improprio”.

A differenza di una blocklist che “ragiona” principalmente in termini di indirizzo o dominio di posta elettronica, e quasi per nulla sui contenuti del messaggio una blocklist che usa tecniche di content filtering fa riferimento, principalmente, a contenuti del messaggio: parole, URL, frasi…

Insomma la idea di base è:

non voglio ricevere email che contengano la parola “Cippirimerlo” quindi scrivo una regola del tipo:

se ne corpo della email o nell'oggetto appare la parola "Cippirimerlo" allora blocco la email.

Il ragionamento è evidententemente limpido e lineare. Certo occorre che “Cippirimerlo” sia usato solo in email malevoli e non in transazioni comunicative legittime (ok! ok! chi usa oggi come oggi “Cippirimerlo” se non un Hacker?).

Ma perché mai un attore malevolo dovrebbe imitare comunicazioni legittime, così rischia che la vittima non si accorga che è un attacco…

come? questo è lo scopo? aaaahhhhh

Cosa può andare storto?

Il problema delle blocklist anche in questa forma è analogo a quello delle safelist, nel senso che l’assunzione alla base è che un filtro statico possa indirizzare in maniera efficace ed efficiente un sistema dinamico come la posta elettronica.

Non voglio dire che questo non sia vero, ma solo che se fosse vero perché investire in sistemi di email security quando basta una semplice lista statica?

Diciamo che nel caso delle blocklist il problema risiede spesso nella gestione amministrativa dei sistemi di posta. Ho visto cose che voi umani … er..no ho visto però filtri estremamente complessi che utilizzano strutture che richiedono un livello di competenza elevato:

  • regular expressions
  • operatori booleani
  • orazioni e abluzioni

Purtroppo, questa profusione di esternazione tecnologica rimanda sempre al problema della staticità di questi filtri e della loro rapida obsolescenza.

Esattamente come nel caso delle safelist, infatti, le blocklist soffrono del problema che il filtro applicato ha senso solo nella finestra temporale in cui l’eventuale attacco viene erogato, dopo quel tempo il risultato è di rischiare di bloccare con il filtro email invece legittime.

é infatti impensabile, proprio come si diceva prima per le email mittente, che un attore malevolo utilizzi sempre la stessa esatta struttura di messaggio, sempre la stessa URL e via dicendo.

Anzi proprio per questi motivi la possibilità di catturare in maniera errata messaggi legittimi è estremamente alta.

Il workaround per evitare di incorrere in problemi in questo caso è di

  • modificare il filtro
  • cancellarlo
  • creare una safelist

Lascio ai più immaginare quale sia la soluzione meno indicata e vieppiù una delle più usate.

Blocklisting che fare:

cerchiamo di riassumere un po di indicazioni rapide che quindi possano aiutarci a gestire in maniera efficace le Blocklist

meno è meglio

Esiste un acronimo inglese che dovrebbe sempre guidare le nostre scelte: KISS (Keep It Simple Stupid.) e questo vale anche nella gestione di safelist e blocklist. Intendiamoci in questo caso la semplicità è legata, in primis, alla minimizzazione di queste liste in quanto più sono grandi maggiore è l’effetto negativo che possono avere sul sistema.

In particolare, gli elementi in blocklist se fanno riferimento ad email vanno considerati in funzione della loro pericolosità:

le email a bassa pericolosità (spam, marketing) possono essere bloccate, ma data la loro natura tali blocchi è opportuno che siano gestiti direttamente dall’utente finale in una sua lista personale alfine di minimizzare interferenze verso altri utenti.

le email invece di natura più pericolosa vanno gestite e monitorate con attenzione: è opportuno creare blocchi amministrativi e quarantene ma che siano monitorate costantemente per rilasciare le email legittime, i filtri di blocco dovrebbero essere rimossi non appena l’attacco si esaurisce.

Riportare al vendor del security gateway tutti gli incidenti

Per quanto possa sembrare tedioso aprire un ticket in caso di falso positivo e falso negativo è il sistema migliore per indirizzare e minimizzare certe problematiche.

E sia chiaro, l’apertura del ticket richiede anche il poter fornire un campione della mail completo di intestazioni. Senza questo la analisi diventaestremamente difficile.

Vorrei però che fosse chiaro che l’apertura di un incidente non sempre porta alla risoluzione desiderata, richiedere di categorizzare come email malevola una email che malevola non è non porta solitamente a generazione di un blocco generalizzato, contestualmente la modifica fatta da un vendor non può influire su filtri statici quali blocklist o safelist. L’apertura di un incidente, quindi, è solo una componente di un processo che deve comprendere la periodica revisione dei filtri statici quali safe e block list.

Non confidare ciecamente dei feedback degli utenti

Come per il whitelisting il blocklisting è tanto più efficace quanto i feedback degli utenti sono contestualizzati, analizzati e controllati. Il fatto che il megadirettoregalattico al cubo richieda un blocco o un safe non significa né che abbia ragione né che debba essere fatto. La sicurezza è una cosa che trascende le strutture gerarchiche proprio perché è al servizio del business.

Pianificare bene significa risparmiare tempo e risorse

Regole chiare, processi testati, analisi e verifiche cicliche servono anche nella gestione della posta elettronica.

Ragionare in anticipo su come gestire livelli di filtro associati alle varie tipologie di utenza, come gestire safe e blocklist dovrebbe essere parte integrante del disegno di un processo di gestione corretto ed efficace. Lavorare in perenne emergenza, aggiungendo e non manutenendo questi semplici aspetti rende i sistemi di posta estremamente vulnerabili.

E non esiste tecnologia che possa dare risultati se usata non correttamente.

Safelist e blocklist sono aspetti relativamente semplici e quindi sono un ottimo modo per far capire che “semplice” non vuol dire che non sia richiesta comprensione del fenomeno.

Nei prossimi post affronterò altri aspetti più complessi, ma mi sto chiedendo, quanti sanno come funziona la posta elettronica in realtà? Va a finire che negli email files mi toccherà anche cercare di spiegare almeno in maniera base come è fatto un messaggio di posta elettronica e come viene distribuito, altrimenti un sacco di cose mi sa che non si capiscono.

(se vi interessa qualcosa di specifico chiedete e vi sarà dato)

Ma del resto sono anni che sostengo che sapere qualcosa sui sistemi che usiamo non è proprio una cosa cattiva.

alla prossima

Meditate gente meditate

Epiodio precedente:

The Email Files: Safelisting email? Poi non lamentarti