Un aspetto importante dell'architettura di sicurezza dell'e-mail aziendale è rappresentato dalle contromisure preventive in uso. Queste difese hanno il compito di ostacolare un'ampia gamma di minacce, dallo spam al phishing per arrivare al malware, come trojan e rootkit.
L'ispezione del messaggio
La “prima linea” di contromisure si basa sull'analisi del contenuto del messaggio. Questo tipo di sistema di controllo si basa su motori di segnature e database di note frasi di spam e di phishing. Ulteriori tecniche di prevenzione impiegano il filtro del dominio attraverso l'uso di blacklist e whitelist. I più efficaci i filtri combinano tecniche euristiche con analisi statistiche tramite filtri Bayesiani per analizzare le e-mail basandosi su raccolte di contenuti. Tuttavia, questi metodi di rilevamento spesso cadono in errore, perché devono sottostare alla lentezza degli aggiornamenti dovuta a una quantità di dati limitata e, di conseguenza, forniscono un inaccettabile numero di falsi positivi. Inoltre, la contraffazione delle identità e il domain hopping dei mittenti malintenzionati hanno indebolito l'efficacia di tali contromisure.
Come risposta, sono state sviluppate diverse tecnologie di autenticazione e-mail, fra le quali si segnalano i metodi di autenticazione che impiegano metodi "path-based" o crittografici.
Sistemi di autenticazione path-based o IP-based analizzano il percorso di rete usato dall'e-mail e si basano su record DNS che, per la convalida del mittente, identificano gli indirizzi IP affidabili. Questo semplice approccio che prevede la verifica del percorso di un messaggio dal mittente al destinatario è stato ampiamente adottato per la sua facile implementazione.
Sender ID e Sender Policy Framework sono i metodi path-based più utilizzati. Entrambi si avvalgono di record di policy DNS, che però utilizzano in modo differente. L'autenticazione SPF confronta il record DNS con l'header dell'indirizzo di ritorno dell'email; il Sender ID, oltre all'autenticazione del record SPF, utilizza un metodo di validazione dell'header Purported Responsible Address.
I sistemi di autenticazione crittografici o signature-based utilizzano messaggi a firma digitale con la verifica tramite PKI. Il mail server del destinatario esegue la convalida della firma con chiavi pubbliche recuperate dai record del DNS. Questo metodo è utilizzato dal framework di autenticazione DomainKeys Identified Mail (DKIM), recentemente adottato da eBay e PayPal, le due società maggiormente oggetto di attacchi di phishing in questi ultimi anni.
Nonostante entrambi i sistemi IP-based e segnature-based si basino su infrastrutture DNS, fondamentalmente si differenziano per il loro approccio all'analisi dell'e-mail. I sistemi path-based esaminano dove il messaggio ha origine, mentre i metodi di crittografia controllano chi ha inviato il messaggio.
Vantaggi e svantaggi dei sistemi path-based e signature-based
L'implementazione aziendale di questi due diversi metodi di autenticazione ne ha rivelato i punti di forza e di debolezza. Tra i vantaggi che comporta l'impiego di un approccio path-based troviamo anzitutto una facile e rapida implementazione, senza l'impatto dele soluzioni crittografiche sulle prestazioni del server. Pertanto, i sistemi path-based possono essere vantaggiosi per tutte quelle aziende che cercano di velocizzare un semplice sistema con il minimo di risorse.
Gli standard signature-based offrono un valore aggiunto: forniscono un messaggio di integrità e una maggiore resistenza alle limitazioni di inoltro della posta. L'e-mail firmata digitalmente è un ottimo metodo quando bisogna proteggere mail "critiche" con informazioni sensibili e confidenziali. Infine, è importante notare che queste diverse soluzioni di autenticazione possono lavorare in tandem (sono attualmente in corso di valutazione diverse combinazioni di sistemi IP/signature, con risultati promettenti).
Un'esauriente analisi del rischio dei dati sensibili, affiancata a una corretta misurazione dei parametri inerenti il traffico mail, è essenziale per definire in modo adeguato i requisiti e le risorse necessarie all'implementazione di un'efficace strategia di sicurezza della posta elettronica.
Dal momento che i protocolli e gli standard per l'autenticazione sono cambiati di recente per adeguarsi alla più recenti minacce, è importante adottare tecnologie di autenticazione con compatibilità retroattiva e scalabili.
