Google ha iniziato a potenziare l’antispam su Gmail, bloccando in automatico le mail contraffatte ovvero inviate da mittenti massivi. I bulk sender sono coloro non rispettano soglie di spam più severe e non autenticano i loro messaggi, come invece richiedono le nuove linee guida.
“Le azioni intraprese da Google”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “sottolineano gli sforzi dell’azienda nell’incrementare la sicurezza della posta elettronica di Gmail attraverso l’implementazione di politiche anti-spam più rigorose per quei mittenti che inviano mail in massa”.
“L’annuncio di Google è senz’altro positivo, perché interviene su uno dei maggiori vettori d’attacco informatico: l’email”, aggiunge Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit: “Due numeri per spiegare ciò. Ogni giorno nel mondo vengono inviate oltre 350 miliardi di email. E l’email – ancora oggi – , secondo Cert-Agid, rappresenta il 76% dei vettori d’attacco utilizzati per le campagne di phishing nel 2023″.
Ecco come la società, guidata dal Ceo Sundar Pichai, rafforza le difese contro lo spam, il malvertising e gli attacchi di phishing.
Come annunciato lo scorso ottobre, ora il motore di ricerca richiede, a chi vuole inviare più di 5.000 messaggi al giorno ad account Gmail, di impostare l’autenticazione SPF/DKIM e DMARC per i propri domini.
Le nuove linee guida richiedono inoltre ai mittenti di mail di massa di evitare l’invio di messaggi non richiesti o indesiderati. Offrono inoltre un’opzione di cancellazione con un solo clic, oltre a rispondere alle richieste di cancellazione entro due giorni.
“L’autenticazione dei messaggi mediante SPF/DKIM e DMARC”, spiega Paganini, “il contenimento del numero di messaggi sotto determinate soglie e l’inclusione di opzioni di disiscrizione mirano a fornire maggiore sicurezza e migliore esperienza agli utenti”.
“Ritengo che questa misura risulterà particolarmente utile per gli utenti privati, che utilizzano la versione di Gmail gratuita e non hanno la possibilità di installare sistemi antispam evoluti in grado di gestire i protocolli di controllo SPF, DKIM e DMARC”, conferma Sbaraglia, “sistemi implementati negli antispam aziendali, che richiedono architetture client/server, ma ovviamente l’utente privato non può averli e deve utilizzare esclusivamente i controlli offerti gratuitamente dal provider di posta”.
Anche i tassi di spam devono mantenersi al di sotto dello 0,3% e le intestazioni “Da” non devono impersonare Gmail. “Le intestazioni “Da” (quello che sull’header dell’email è il “Received: from”) non devono impersonare Gmail (cioè fare spoofing)”, aggiunge Sbaraglia.
La mancata osservanza può causare problemi di consegna delle mail. Comprese le mail rifiutate o inviate automaticamente alle cartelle spam dei destinatari.
“La posta elettronica è un ‘reperto archeologico’ di Internet, uno dei primi strumenti creati, addirittura nel 1971, quando Ray Tomlinson scrisse la prima email della storia e quando la rete si chiamava ancora Arpanet”, spiega Sbaraglia.
“Il protocollo SMTP (Simple Mail Transfer Protocol) che è il protocollo standard per la trasmissione via internet delle email fu poi perfezionato da Jonathan B. Postel. È stato pensato per la massima semplicità ed interoperabilità: la RFC 821 che l’ha standardizzato riporta infatti ‘SMTP è indipendente dal particolare sottosistema di trasmissione e richiede solo un canale di flusso dati ordinato e affidabile’”, continua Sbaraglia.
“Tutto ciò ha reso il protocollo SMTP estremamente vulnerabile e poco sicuro. Tra le maggiori criticità di SMTP c’è quella d rendere possibile lo spoofing, cioè la falsificazione del mittente di una email. Questa tecnica è evidentemente utilizzata per il phishing“, evidenzia il consulente aziendale cyber security, membro del Comitato Direttivo Clusit.
“I mittenti massivi che non soddisfano i nostri requisiti di mittente inizieranno a ricevere errori temporanei. I codici di errore appariranno su una piccola parte dei messaggi che non soddisfano i requisiti”, afferma Google.
“Questi errori temporanei aiutano i mittenti a identificare le mail che non soddisfano le nostre linee guida. Così possono risolvere i problemi che impediscono la conformità“.
“A partire da aprile 2024, inizieremo a rifiutare il traffico non conforme. Il rifiuto sarà graduale e riguarderà solo il traffico non conforme. Raccomandiamo vivamente ai mittenti di utilizzare il periodo temporaneo di mancata applicazione per apportare le modifiche necessarie per diventare conformi“.
Il motore di ricerca, di cui Alphabet è capofila, prevede inoltre di applicare questi requisiti a partire da giugno. Google ha accelerato il calendario per i domini utilizzati per l’invio di mail di massa dal primo gennaio 2024.
Come ha dichiarato Google, annunciando le nuove linee guida, le sue difese basate sull’AI sono in grado di bloccare con successo quasi 15 miliardi di mail indesiderate al giorno. Infatti impedisce ad oltre il 99,9% di spam, tentativi di phishing e malware di infiltrarsi nelle caselle di posta degli utenti. “Un importante passo avanti per chi non può dotarsi di antispam avanzati”, aggiunge Sbaraglia. “Un caso che riguarda tutte le caselle email ad uso personale, che sono sicuramente le più vulnerabili”.
Infatti, “Google sottolinea come l’intelligenza artificiale implementata sia già in grado di bloccare già la maggior parte dello spam e degli attacchi di phishing”, mette in risalto Paganini. “Ma sappiamo quanto siano abili gli attaccanti nel trovare nuove tecniche per cercare di eludere i filtri“, mette in guardia il nostro esperto di cyber security.
“Non dovreste preoccuparvi delle complessità degli standard di sicurezza delle mail, ma dovreste essere in grado di fare affidamento sulla fonte di una mail“. Lo ha dichiarato a ottobre Neil Kumaran, Group Product Manager di Gmail Security & Trust.
“In ultima analisi, ciò consentirà di colmare le lacune sfruttate dagli aggressori che minacciano tutti coloro che utilizzano le mail”, ha sottolineato Kumaran.
“Si tratta di un passo in avanti nella lotta allo spam e al malvertising, a cui sicuramente seguiranno nuove iniziative da parte del colosso”, conclude Paganini.
“Tutto questo contribuirà sicuramente a ridurre lo spoofing ed il phishing massivo”, conferma Sbaraglia. “Ma non è del tutto chiaro se agirà anche sul singolo messaggio, cioè sul phishing mirato (lo spear phishing)“.
Tuttavia “sembrerebbe che, se per i domini utilizzati per l’invio di mail di massa il provvedimento è già attivo dal 1° gennaio, a partire da giugno dovrebbe estendersi a tutti i casi”, conclude Sbaraglia.