L’articolo di Fanpage sulla scoperta di una una grave vulnerabilità che consente di replicare mail istituzionali identiche a quelle originali è falso, ecco perché. L’analisi di Paolo Dal Checco, Consulente Informatico Forense.
Volevo solo tranquillizzare i miei 25 lettori che non è stato clonato nessun governo, né scoperta una falla nella sicurezza dello Stato come ci ha raccontato Fanpage.it nell’articolo intitolato “Abbiamo clonato la mail di Giorgia Meloni: scoperta una falla nella sicurezza dello Stato”.
Il motivo è semplice, come si può osservare nell’immagine generata con il tool Dmarc Forensics di cui ho scritto l’altro giorno i domini di governo, camera e giustizia sono configurati correttamente tramite DMARC (ok, il terzo si potrebbe migliorare) e quindi il server ricevente è istruito a scartare le email che non risultano inviate dagli IP autorizzati via SPF o firmate tramite chiave privata DKIM del server mittente.
Per dimostrarlo, ho generato la stessa identica mail di spoofing (cioè che impersona abusivamente un indirizzo originale) utilizzata nel video tramite il servizio emkei inserendo come mittente l’indirizzo “meloni_g@camera.it” e l’ho inviata a due miei indirizzi, Google Workspace e Microsoft MS365.
Posso confermare che i miei due account non mostrano in inbox la mail “clonata” e neanche è finita nello spam: è stata cancellata dai server tanto che per scoprire che fine ha fatto ho dovuto accedere alle console di reporting Google Email Log Search” e Microsoft Message Trace, verificando come si vede nelle due immagini che essendo fallite le verifiche DMARC, SPF e DKIM il messaggio è stato rifiutato.
Massimo rispetto per il lavoro dei reporter, di Fanpage e di Elisabetta Rosso -ottima e seria giornalista – e comprendo persino il punto di vista di Andrea Mavilla: è correttissimo pretendere una gestione sicura dei domini istituzionali e avvisare dei pericoli dei protocolli obsoleti ma questo servizio forse è andato un po’ oltre e ora mi tocca tranquillizzare chi sta chiudendo i propri account di posta elettronica perché teme una crisi di Stato.
I principali provider rispettano infatti le regole RFC7489 ed eliminano i messaggi “falsi”, come ha mostrato Andrea Draghetti alcuni sono più tolleranti e li spostano nello spam: se quello testato da Fanpage ha fatto passare per buoni anche i messaggi “clonati” mi offro volentieri per dare una mano a verificarne le impostazioni antispam e antispoofing perché, in tal caso, i rischi ci sono davvero, ma non per lo Stato.
Per approfondire, l’articolo del Direttore:
Falsificazione dell’email di Meloni, perché l’email spoofing non è una novità e cosa insegna il clamore mediatico
