Nel corso delle discussioni con i team di sicurezza di molti nostri clienti enterprise, gli esperti di Retarus riscontrano spesso un rischio comunemente sottovalutato. Il problema \u00e8 che alcune soluzioni di sicurezza per la posta elettronica attivano, per impostazione predefinita, il tag DKIM \u201cl=\u201d (length tag). Se in passato questa opzione era giustificata, oggi rappresenta una fonte di rischi significativi per la sicurezza.<\/p>\n\n\n\n
DKIM (Domain Keys Identified Mail) \u00e8 una tecnologia affidabile che consente di garantire l\u2019integrit\u00e0 dei messaggi di posta elettronica durante il loro transito. Il destinatario utilizza una chiave pubblica per verificare che il contenuto del messaggio e determinate intestazioni non siano stati alterati.<\/p>\n\n\n\n
Il tag \u201cl=\u201d definisce fino a quale byte del testo del messaggio si estende la firma, lasciando non protetta la parte restante del messaggio. In origine, questa opzione risultava utile in contesti come le mailing list o l\u2019inoltro dei messaggi, nei quali il corpo dell\u2019email viene modificato (ad esempio con l\u2019aggiunta di footer), permettendo comunque al testo principale di essere riconosciuto come valido.<\/p>\n\n\n\n
Tuttavia, questo meccanismo amplia in modo significativo la superficie di attacco, ad esempio consentendo l\u2019inserimento di link di phishing o di contenuti indesiderati senza che venga attivata la verifica DKIM. Poich\u00e9 la firma resta formalmente valida, anche i controlli DMARC perdono efficacia. Inoltre, si crea un ulteriore vettore di attacco tramite l\u2019inoltro dei messaggi, al punto che alcuni grandi provider di posta elettronica hanno reagito introducendo avvisi o rifiutando tali email.<\/p>\n\n\n\n
Ci\u00f2 che rende questa situazione particolarmente insidiosa \u00e8 il fatto che alcune soluzioni di sicurezza attivano il tag \u201cl=\u201d per impostazione predefinita, spesso all\u2019insaputa degli utenti. Nel frattempo, i nostri clienti ritenevano che le loro email fossero completamente firmate e quindi pienamente sicure. Non si tratta di un rischio puramente teorico: le analisi condotte dai nostri esperti mostrano che in alcune organizzazioni sono ancora in uso firme DKIM con il tag \u201cl=\u201d, con la conseguente esposizione delle email a possibili manipolazioni senza alcun impatto sulla verifica DKIM.<\/p>\n\n\n\n
\u00c8 consigliabile che i destinatari esaminino con particolare attenzione le email che includono il tag \u201cl=\u201d. Una possibile misura consiste nel mettere inizialmente in quarantena questi messaggi tramite le proprie soluzioni di sicurezza per la posta elettronica; in alternativa, si pu\u00f2 scegliere di ignorare la firma DKIM, mantenendo cos\u00ec l\u2019email soggetta ad altri meccanismi di sicurezza, come SPF o DMARC.<\/p>\n\n\n\n
I mittenti dovrebbero evitare l\u2019utilizzo del tag \u201cl=\u201d e preferire la firma digitale dell\u2019intero contenuto del messaggio. Il livello di sicurezza pu\u00f2 inoltre essere rafforzato mediante la rotazione periodica delle chiavi DKIM, l\u2019impiego di selettori differenti per i vari flussi di posta e, ove opportuno, la definizione di date di scadenza per le firme.<\/p>\n","protected":false},"excerpt":{"rendered":"
Nel corso delle discussioni con i team di sicurezza di molti dei nostri clienti enterprise, gli esperti di Retarus riscontrano spesso un rischio comunemente sottovalutato. Il problema \u00e8 che alcune soluzioni di sicurezza per la posta elettronica attivano, per impostazione predefinita, il tag DKIM \u201cl=\u201d (length tag). Se in passato questa opzione era giustificata, oggi rappresenta una fonte di rischi significativi per la sicurezza.<\/p>\n","protected":false},"author":12,"featured_media":9541,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-9540","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news"],"acf":[],"yoast_head":"\n