DMARC, SPF e DKIM per proteggere la tua identità

Se hai un dominio, poco importa se sei un’azienda o sei un privato, devi leggere questo post: ti spiegherò perché ti interessa.

Uno dei difetti storici del sistema di posta su internet è la scarsa capacità di autenticazione del mittente di una email. Lo spam, da decenni, gioca su questa incapacità per tentare di raggiungere la vittima/destinatario.

Quante volte avete visto nella cartella dello spam delle email apparentemente inviate da persone a voi note o addirittura da voi stessi?

Il campo FROM di una mail, infatti, non è strettamente legato alla casella di posta del mittente, ma il protocollo SMTP ne permette lo spoofing, la falsificazione. Per farla breve, tecnicamente io potrei tentare di inviare una email apparentemente inviata tramite il vostro indirizzo email.

I sistemi di posta si sono evoluti nel tempo ed hanno cercato di trovare soluzioni a questa vulnerabilità. SPF, DKIM e ultimamente DMARC sono sistemi nati per cercare di riconoscere e limitare i tentativi di spoofing dell’indirizzo email. Non eliminano lo spam, ma aiutano i filtri antispam a lavorare meglio.

Perché è importante farne uso?

  • Se sei un’azienda una mail a tuo nome potrebbe essere considerata vera da un cliente e in base al contenuto potresti perderlo.
  • Se sei un privato le tue mail recapitate ad un familiare o ad un amico potrebbero rappresentare la chiave d’accesso ai loro sistemi. Quante fiducia in più abbiamo nel cliccare un link proveniente da una mail familiare?

La loro sicurezza passa anche dalla vostra capacità di proteggere l’uso indiscriminato dei vostri indirizzi di posta o del vostro dominio.

Come funzionano?

Non entrerò molto nel tecnico perché sarebbe utile un post per ognuna di queste tecnologie ma quel che vi importa sapere è il seguente:

  • SPF specifica quali server di posta autorizzate ad inviare per conto vostro. Solitamente qui vanno indicati gli indirizzi IP del vostro provider di posta.
  • DKIM specifica la chiave pubblica che verrà confrontata con la chiave inviata dal vostro provider per firmare la vostra email. Se la crittografia che sta alla base di questo concetto (chiave pubblica-chiave privata) è verificata, allora DKIM è valido.
  • DMARC è l’ultimo tassello, ratificato nel 2015, che aiuta il provider di posta del destinatario. Attraverso di esso infatti potrete consigliare al ricevente come trattare le mail in caso di fallimento di SPF o DKIM (“non fare nulla“, “invia nello spam“, “rifiuta totalmente la mail“).

Tool utili per il setup:

  • Per iniziare il processo potete utilizzare questo strumento della GlobalCyberAlliance. Cliccando su ognuna delle 3 tecnologie avvierete una procedura guidata utile alla configurazione dei vostri parametri.
  • Per verificare che le vostre mail partano con i corretti header DMARC mail-tester.com vi tornerà utile.
  • Infine, per un monitoring nel tempo dell’andamento delle vostre impostazioni potrete fare uso di DMARCian.
DMARCian - DreamsWorld

Qui sopra, ad esempio, le statistiche del mio account, con evidenti (in rosso) usi fraudolenti del mio nome e l’azione di reject segnalata ai provider dei riceventi.

Tutti i principali provider di posta odierni supportano DMARC. Utilizzarlo protegge i destinatari, protegge il vostro brand, fa risparmiare risorse spazio e banda ai sistemi di posta.

Domande? Scrivetemi nei commenti.

Emanuele

«Uccidiamo la gente basandoci sui metadati».

Venti anni fa la gente la si incontrava al bar, si chiacchierava una mattinata intera e al massimo lo sapeva il barista. Oggi le nostre comunicazioni sono per lo più digitali e siamo tutti continuamente schedati e catalogati. Ha senso sottostare ad un regime simile? In nome di cosa?

Perché ogni volta che io e te ci scriviamo dobbiamo far sapere a terzi che ci stiamo sentendo? Perché dobbiamo comunicare per quanto tempo e a che ora siamo soliti farlo? Perché dobbiamo comunicargli la posizione quando scriviamo? Perché quest’informazione deve rimanere un record a disposizione di analisi future da parte di vari privati?

In un mondo in cui le nostre comunicazioni sono sempre più digitali avere cura e rispetto della privacy è un dovere (cit.).

I metadati dicono praticamente tutto riguardo la vita di qualcuno. Se hai sufficienti metadati, non hai neanche bisogno dei contenuti. […] Uccidiamo la gente basandoci sui metadati.

Stewart Baker – NSA General Counsel

Nell’Ottobre 2016, la società che sviluppa Signal ricevette un’ordine da parte di un giudice americano affinché consegnasse i dati in loro possesso per un determinato utente.

Open Whisper Systems, l’azienda in questione, fu in grado di comunicare:

  • la data di registrazione
  • la data di ultima connessione

Nient’altro. Esattamente come il barista di venti anni fa.

Software rispettosi della nostra privacy evidentemente esistono e la distanza che ci separa da essi è semplicemente il tempo necessario ad installarli e consigliarli.

Emanuele

PS: ecco il link per Signal su iOS o Signal su Android, così non hai più scuse.

Mandi.

Botti vino

Ho passato la settimana in Friuli, tra frico, frasche e tocai. Ho fatto il sacrificio di riempire il baule della macchina di ottimo vino.

Emanuele

Privacy e blog

Riprendere possesso dei propri dati, passa anche dai propri siti web.

Hai un blog? Ti sei mai domandato quanti servizi esterni hai integrato sul tuo sito per il bene di chissà cosa?

I bottoni di like, fav, ❤ dei vari social, oltre ad essere degli strumenti di voto, sono delle cimici utilizzate dai vari provider per monitorare le attività sul web “esterno” (il web interno, la “gabbia dorata” di ogni social, è monitorata in maniera molto più agevole e intensa. Ad esempio, Facebook registra anche i vostri movimenti del mouse sulla pagina).

Questo blog è Facebook Free da sempre e Google Free da circa una settimana.

La stesura di questa rubrica mi è servita da sprone per eliminare due strumenti di Google: Google Analytics e Google AdSense. Del secondo, dati gli introiti ormai relativamente bassi (il traffico sui blog si è decimato rispetto a 6-7 anni fa) non sentirò la mancanza. Di Analytics, il tool di monitoring degli accessi, non volevo fare del tutto a meno.

La domanda che mi sono posto durante la sua rimozione è stata: a me serve precisamente Google Analytics o un tool moderno di analisi degli accessi?

La risposta era scontata.

Ho colto così l’occasione per installare Matomo, una piattaforma di web analytics rispettosa della privacy e compliant con il GDPR e col Do Not Track. In pratica se impostate il vostro browser con il DNT attivo, la vostra visita qui non viene registrata e io vi vorrò bene ugualmente. 🙂

Matomo è divenuto velocemente il più grosso progetto OpenSource di web analytics al mondo ed è utilizzato anche nei siti della Commissione Europea che ne parla così:

“Europa Analytics is based on Matomo which is the leading open-source analytics platform that provides relevant and reliable insights into user behaviour. The data and information collected by Matomo is 100% owned and controlled by the European Commission. This guarantees compliance with strict privacy regulations and laws. Matomo is used by more than 1,000,000 websites worldwide, including large corporations, SMEs, governments & non-profit organisations.”​

Se avete un hosting che supporta Softaculous, l’installazione si effettua con pochi click e senza troppe difficoltà. Se amate consultare le vostre statistiche in mobilità, è disponibile anche l’app di Matomo.

Un altro aspetto spesso sottovalutato dai webmaster, è quello relativo ai contenuti multimediali dei blog (font, immagini, video). Personalmente ho sempre preferito evitare i Google Fonts e le CDN. Se da un lato possono velocizzare il caricamento dei contenuti (per il visitatore che capita qui la prima volta, per gli altri in realtà la cache del browser fa già un buon lavoro!), dall’altro (anch’essi, sigh!) sono metodi per monitorare la navigazione sul web.

Il web, vi sarà evidente, è diventato un ambiente di tracking incredibile. Strumenti apparentemente innocui (font, pulsanti di like) sono stati trasformati in strumenti di marketing. Perché regalare a questi giganti del web tali informazioni? Per cosa poi? Per guadagnare un numero incrementale chiamato “like” e gioire come bambini?

Io dei “like” me ne sono sempre bellamente fregato e da oggi se utilizzate un buon browser, potete star tranquilli che né Google né Facebook sapranno mai che siete capitati da queste parti.

Riprendiamoci i nostri dati.

Emanuele

Criminale digitale

“Criminale digitale”: è così che un rapporto parlamentare britannico definisce Facebook. L’espressione è particolarmente dura e insolita in un contesto simile, ma la commissione parlamentare, presieduta da un conservatore, ha deciso di evitare qualsiasi ambiguità.


Fonte: Internazionale – Facebook sotto accusa nel Regno Unito come criminale digitale

Il rapporto ritiene che Facebook abbia agito “in totale consapevolezza e intenzionalmente”.

In questo periodo io non riesco più ad accettare silenziosamente tutto questo. E’ giusto informare, è giusto offrire consapevolezza.

Come scrisse Giovanni Falcone, un concittadino a me per sempre caro, «Chi tace e chi piega la testa muore ogni volta che lo fa, chi parla e chi cammina a testa alta muore una volta sola».

Non siate pecore, abbiate il coraggio di osare. L’abitudine uccide, cambiate i vostri schemi, le alternative esistono.

Emanuele

Smartphone e privacy: meglio iPhone o Android?

Questo è uno dei temi più difficili da discutere. Non tanto perché non esistano differenze quanto perché è molto molto facile passare per faziosi, morsicati, schierati e così via.

Per questa ragione vi dico già che l’ideale non è nessuno dei due, probabilmente lo sarà /e/ che ancora non è pronto e che, presumo difficilmente invaderà il mercato.

Nel frattempo torna la scelta: quale smartphone protegge meglio la privacy dell’utente? L’EFF ci ricorda che la maggior parte dei privacy-leak (diffusione di dati non voluta) avviene attraverso le applicazioni (ad esempio Whatsapp), per cui la piattaforma sottostante può far poco.

In ogni caso, personalmente, vi direi di utilizzare un iPhone. A seguire le mie ragioni:

  1. Senza entrare nel tecnico, le privacy policy dei dispositivi Apple sono molto più rispettose dei dati dell’utente rispetto a quelle di Google. Provate a leggerle.
  2. Apple è un’azienda il cui core business è la vendita di hardware, la fetta più grossa dei suoi ricavi viene dalla vendita di iPhone. Il core business di Google (sebbene non lo dia a vedere) è quello dell’advertising. Google è un’azienda pubblicitaria. Oltre l’80% dei suoi introiti deriva da lì, così chiaramente deve far di tutto per sostenere quel business. E cosa serve ad un’azienda del genere? Profilazione e analisi. Prodotti (voi!) che poi vende alle aziende che vogliono farsi pubblicità.

Se vi offrissero un device prodotto da un’azienda pubblicitaria da portare ogni giorno in tasca, voi lo comprereste?

La strategia di Google è chiara e semplice: offrire servizi gratis e rivendere informazioni su di voi. Lo stesso sistema operativo è stato diffuso gratuitamente ai vari vendor (Samsung, Huawei, LG, Sony e così via…) per la stessa ragione.

Qualche esempio sui punti critici di Android?

Anche sullo smartphone Chrome informa Google circa la vostra navigazione: dove andate, cosa cercate, quanto tempo rimanete su un sito e così via. Ad Apple la nostra navigazione non interessa, al contrario le ultime versioni di Safari implementano sistemi anti-fingerprinting (tecniche avanzate anti-tracciamento).

Google Maps informa Google circa la vostra posizione, la vostra destinazione e il percorso che state seguendo. Quando usate Apple Maps, la richiesta per generare il percorso viene “anonimizzata” (non è possibile associarla al vostro account) e vi viene fornito il percorso.

Come per le mail Messaggi (l’app di messaggistica di default di Android) permette a Google di leggere e analizzare interamente le vostre conversazioni (oltre ai famosi metadati). iMessage su iOS è cifrato end-to-end (sebbene alcuni metadati tecnici siano disponibili ad Apple per garantire il funzionamento del sistema e vengano eliminati dopo 30 giorni).

Quando scattate una foto, Google salva le informazioni dello scatto (data, ora, posizione…) anche se non utilizzate Google Photos. Su iOS, a meno che non abilitiate iCloud Photos, le foto non abbandonano il dispositivo.

Quando effettuate domande all’assistente vocale di Google, ogni vostra richiesta viene catalogata nel vostro profilo: è associata a voi. Le richieste verso Siri vengono anonimizzate prima di lasciare il vostro cellulare. Apple non ha modo di costruire una cronologia delle vostre richieste.

Questa, per chi non lo sapesse, è una delle ragioni per cui la capacità di risposta dell’assistente di Google è più raffinata di quella di Siri: la Apple, per preservare la privacy, sta facendo un lavoro ingegneristico molto più complesso. Sta istruendo un’IA con dati anonimi invece che basarsi sul profilo dell’utente. E’ una scommessa tecnologica che Apple sta giocando nel lungo periodo.

Tutti gli iPhone degli ultimi anni hanno un file system cifrato al punto che l’NSA chiese a Apple di sbloccarne uno (Apple rifiutò, nel famoso caso di San Bernardino). Buona parte dei cellulari Android non ha un file system cifrato, dopo poco tempo non ricevono aggiornamenti e rimangono in balia del destino. Domandatevi perché non esista un corrispettivo caso San Bernardino su device Android.

E’ strano come mi stia praticamente ritrovando a difendere un’azienda a scopo di lucro, che notoriamente è molto antipatica a tanti per la sua attitudine a fare margini.

«Gli iPhone sono cari, dunque sono brutti» disse la volpe all’uva.

Gli iPhone non sono perfetti, possono non piacere per il loro sistema operativo poco flessibile, ci sono ancora margini di migliorabilità dal punto di vista della privacy (iCloud ad esempio è perfettamente leggibile da Apple) ma tra le due piattaforme principali odierne tutto sommato è quella con un setup migliore. Senza dubbio, come per la mail, è lecito fare scelte anche in base al proprio portafoglio.

Gli iPhone offrono ugualmente ad un privato una serie di dati aggregati, ma rispetto ad Android sono in quantità inferiore e meno “puntuali”. Inoltre, fin ora, Apple sta utilizzando quei dati principalmente nell’ottica di migliorare i propri servizi e non come strumento per advertising.

Il mio intento non è quello di convertire ma, semplicemente, di offrire consapevolezza.

Emanuele

Privacy, Whatsapp e alternative.

Cercare nuovi paradigmi, non vivere più come prodotti.

La ricerca di nuovi strumenti non è concentrata solo all’ambito desktop. Anche su mobile cerco di limitare la dispersione dei miei dati.

Nell’adolescenza, quando avevo voglia di sentire un’amica ma non volevo che i miei sapessero della telefonata andavo, con un gettone in mano, alla cabina più vicina. Nessuno monitorava nulla tranne i miei che notavano la mia assenza per 20 minuti.

Sono un grande fan delle soluzioni di instant-messaging alternative a Whatsapp.

Come segnalato da Electronic Frountiers il fatto che quest’ultimo da qualche anno cifri il contenuto delle nostre conversazioni non è sufficiente ad evitare che si possa costruire una storia su di noi. Ne avevo scritto tempo fa, Snowden propone di rinominare la parola metadati (che suona abbastanza anonima) con una più esplicita “registrazione delle attività“. Vi consiglio di andare a leggere nuovamente.

Whatsapp fa uso massivo dei metadati. Quello che gli interessa sono le interconnessioni che esistono, gli orari d’uso, la quantità d’uso, la posizione, i device da dove scriviamo. Ultimamente inoltre incrocia i database di Whatsapp con quelli di Facebook e Instagram per completare il disegno. Chi siamo, in ogni caso, si può ricostruire statisticamente.

Ho iniziato ad usare Telegram quando avevo meno di una dozzina di contatti al suo interno. La sua privacy policy è molto più rispettosa di quella di Whatsapp. Tutta la mia famiglia e gran parte dei miei amici adesso ne fanno uso.

Purtroppo non reputo neanche Telegram perfetto. Al momento lo stato dell’arte dal punto di vista della privacy è Signal che esteticamente è leggermente più indietro ai primi due (Telegram e Whatsapp) ma garantisce by design un altissimo livello di privacy.

iMessage (disponibile solo tra utenti Apple) è anch’esso un buon sistema.

Il mio workflow è ormai questo qui: quando il mio contatto è disponibile su Signal uso questo, altrimenti provo su Telegram. Infine vado – mestamente – su Whatsapp.

«Ma tutti i miei contatti sono su Whatsapp!». E’ vero, anche per me era così. Le cose però sono cambiate nel tempo e se non iniziamo funzioneremo anche noi da freno per gli altri. Cerchiamo di essere presenti. Installare queste app (gratuite entrambe e disponibili per chattare anche tramite PC) è semplicissimo.

Quando installai Signal la mia rubrica era vuota. Vuota. Oggi ho 19 contatti. Sono 19 occasioni in cui non disperdo gratuitamente i miei dati (e altrettanto fanno gli interlocutori).

Nell’ottica di eliminare definitivamente Whatsapp entro il 2019, da qualche settimana la mia immagine è stata sostituita da questa qui (copiala e usala anche tu se vuoi).

Riprendiamoci i nostri dati. In certi casi, come vedete, è semplice come installare un’app.

Emanuele

Aggiornamento del 19 Marzo: per rendere più chiara la mia scelta ai miei contatti e far conoscere l’ultimo giorno disponibile nel quale sarò su Whatsapp, da inizio Marzo ho sostituito la mia immagine con questa (puoi prenderla come riferimento, volessi seguire la mia scelta).

Cosa cerco sono affari miei.

Come scrivevo nel precedente post, da circa un anno ho cambiato browser e impostazioni.

Il mio motore di ricerca è diventato da tempo DuckDuckGo. Dopo un iniziale “senso di smarrimento” dovuta alla grafica leggermente diversa da quella di Google sul lungo periodo la stessa è diventata invisibile (come quella di Google: sapete com’è e il vostro occhio non vi bada più di tanto).

Le ricerche su DuckDuckGo sono completamente anonime. Ogni volta che effettuate una ricerca con loro, è come se fosse la prima ricerca che fate: non costruiscono una storia delle vostre ricerche.

Sono così concentrati sulla privacy che oltre a non registrare nulla che possa identificare voi personalmente, non registrano nulla che possa, anche se in forma anonima, essere raggruppato in un unico profilo. E’ evidente infatti come, certe ricerche, possano far risalire a noi anche se i metadati sono anonimi (ad esempio se provassimo a cercare il nostro nome e cognome e/o altri dati relativi noi stessi).

Al contrario su Google, ogni vostra ricerca è tracciata, analizzata e impacchettata nel vostro profilo affinché gli advertiser possano riconoscervi e inseguirvi nelle varie pagine web e nelle applicazioni dei vostri cellulari al fine di presentarvi “pubblicità su misura”.

A me la “pubblicità su misura” sa tanto di topo cui viene dato il formaggio al punto che non sta più a pensare se esista dell’altro ugualmente buono da mangiare.

Io non voglio essere un topo. Non voglio una visuale ristretta (la chiamano profilata”) del mondo.

Sfortunatamente alcuni pensano che la soluzione a tutto questo sia la “navigazione anonima”. Probabilmente gli sviluppatori dei browser non sono stati bravi anni fa a presentare queste nuove funzionalità dei browser moderni.

La navigazione anonima semplicemente evita che le tracce delle vostre visite rimangano salvate sul computer in uso. Google, anche durante la “navigazione anonima” ha la possibilità di costruire un profilo delle vostre ricerche. Allo stesso modo l’opzione “Non tracciarmi” presente sui browser fu un tentativo in pieno fair-play per segnalare al sito che non si voleva esser tracciati. In realtà, le piattaforme che rispettano questa opzione sono pochissime (sparo sulla Croce Rossa: Facebook se ne infischia, Google se ne infischia) al punto che la Apple sta pensando di rimuovere del tutto l’opzione nei prossimi aggiornamenti di Safari.

Una cosa molto carina di DuckDuckGo inoltre sono i !Bang, degli shortcut del motore di ricerca che vi spediscono al volo dove vorreste arrivare. Quando imparate ad usarli non potete più farne a meno.

Un piccolo hint finale (poi cambiate anche voi homepage): avete notato mai che gli indirizzi che Google presenta nei risultati delle ricerche spesso passano da un dominio Google e non sono link diretti alla pagina web? Ecco, Google in quel modo, oltre a sapere quali link seguite tra quelli proposti, vi fa anche perdere tempo: il vostro browser dovrà prima raggiungere il loro servizio e solo successivamente sarà rimbalzato sul sito che avevate richiesto. Insomma, con DuckDuckGo la navigazione è anche più veloce!

Riprendiamoci i nostri dati.

Emanuele

PS: se volete una navigazione veramente anonima per ricerche altamente confidenziali, utilizzate TOR, Brave lo integra al suo interno.