Appena trascorso il mese dedicato alla Computer Security, non possiamo non parlare di sicurezza e in generale adeguatezza dell’email rispetto al mondo digitale in cui viviamo. Nello specifico parleremo di Cybersecurity, che pur essendo un sottoinsieme degli aspetti generali della sicurezza, comprende al proprio interno aspetti sia tecnologici che giuridici.
Sul fronte tecnico si parte dai principi base di riservatezza, integrità e disponibilità, ma anche di non ripudiabilità, di autenticazione e di controllo degli accessi.
Su quello giuridico si parla sempre più spesso di adeguatezza delle misure adottate per la tutela delle persone e dei loro dati (privacy) ma anche di riservatezza di informazioni confidenziali.
L’argomento è di indubbio interesse, vista la porta dell’escalation di attacchi rilevati nell’ultimo anno a livello globale. Il recente rapporto Clusit parla di un “spettacolare incremento degli attacchi informatici, sia a livello quantitativo che qualitativo” con “impatti profondi, duraturi e sistemici su ogni aspetto della società, della politica, dell’economia e della geopolitica” e perdite stimate in 6 trilioni di dollari per il 2021, rispetto ad una cifra già molto preoccupante di “soli” 1 trilione di dollari per il 2020.
Proviamo ora a concentrarci sul “piccolo” mondo delle email.
L’email è elemento spesso onnipresente nella trasformazione digitale dei servizi e della società. Questo la rende, come tanti altri asset informatici, un bersaglio estremamente interessante per portare a termine attacchi in grado di provocare ingenti danni di varia natura: economica, reputazionale, sociopolitica, etc.
Analizzare i rischi, e quindi comprendere minacce e vulnerabilità e saperle valutare in termini di impatti e probabilità che si verifichino, diventa fondamentale per ogni soggetto che ne fa uso.
Come abbiamo visto nei precedenti episodi, l’email è nata in un contesto ben lontano, in cui la sicurezza era sicuramente un aspetto da considerare, ma non così complesso e esigente come lo conosciamo oggi.
Partiamo dal descrivere in modo sintetico come funziona l’architettura dei sistemi di posta elettronica.
— parentesi nerd — per chi non è interessato GOTO paragrafo successivo!
Tutto poggia naturalmente sulla rete, che abilita la comunicazione, i client (detti in gergo MUA, Mail User Agent), che vengono utilizzati per accedere a una casella di posta elettronica e per inviare messaggi, i server, che svolgono due funzioni principali: immagazzinare i messaggi per uno o più utenti nella rispettiva casella di posta (detti in gergo MS, Message Store) e gestire i messaggi in arrivo e in partenza e smistarli (detti in gergo MTA, Mail Transfer Agent e MSA, Mail Submission Agent).
Le regole del gioco sono definite attraverso protocolli, che orchestrano lo scambio di messaggi email. Si parla di SMTP (Simple Mail Transfer Protocol), usato per l’invio, la ricezione e l’inoltro dei messaggi tra server, di POP (Post Office Protocol) e di IMAP (Internet Message Access Protocol), utilizzati per la ricezione e consultazione dei messaggi da parte dei destinatari.
Questi protocolli non prevedevano in origine alcuna forma di cifratura, ed hanno quindi visto una chiara evoluzioni oltre che sul profilo delle funzionalità anche della sicurezza.
Siamo quindi passati al ESMTP (Extended SMTP), per inviare allegati (MIME, Multipurpose Internet Mail Extensions) e usare codifiche non ASCII (American Standard Code for Information Interchange), al SMTP AUTH per l’autenticazione, ma anche SMTPs, POP3s e IMAPs, che poggiano su un protocolli di cifratura come SSL (Secure Sockets Layer) e il suo successore TLS (Transport Layer Security).
Non dimentichiamo infine che l’email, già alla fine degli anni ‘90, si è prestata a utilizzi basati su crittografia robusta, a scapito però della semplicità e immediatezza di utilizzo. Si pensi ad esempio allo standard OpenPGP (nato dal software PGP “Pretty Good Privacy” e poi implementato anche su altri software free come GPG “GNU Privacy Guard”), fondato sul “web of trust” (rete di fiducia degli utenti) e su una tecnica di cifratura cosiddetta asimmetrica, perché basata su una coppia di chiavi pubblica e privata.
Di fatto questa soluzione prevede la cifratura, attraverso algoritmo forte, di tutto il contenuto del messaggio con una chiave pubblica (del destinatari), che solo il destinatario riesce a decifrare attraverso la propria chiave privata. La limitata diffusione di questo approccio è legata in buona parte nella scomodità per chi invia l’email di reperire e conservare in modo affidabile la chiave pubblica di ogni destinatario, e per chi la riceve di andare poi ogni volta a decifrare il messaggio con la propria chiave privata (da conservare con estrema attenzione).
Oggi alcuni provider hanno adottato una crittografia S/MIME che si base sulla stessa metodologia di cifratura, ma appoggiandosi a una struttura gerarchica di certificazione (Certification Authoirity) e tentando di agevolare la gestione delle chiavi durante le fasi di invio e ricezione.
— fine parentesi nerd —
La diffusione dello strumento e gli ambiti di utilizzo dello stesso hanno via via spinto quindi all’adozione di misure di sicurezza in grado di aumentare la riservatezza dell’email stessa, sia in termini di accesso non autorizzato alle caselle di posta, sia durante il transito delle informazioni tra mittente e destinatario.
Negli ultimi anni si è affermato l’utilizzo del TLS per una cifratura trasparente dell’email in transito, che ci tutela da accessi non autorizzati o da manomissione del contenuto trasmesso. Sempre più provider di caselle di posta si stanno organizzando per supportarlo sia in ingresso che in uscita.
Google ad esempio ha posto ben in evidenza questi aspetti attraverso l’utilizzo di icone a fianco alle singole email inviate o ricevute, per evidenziare il livello di cifratura applicato:
- Lucchetto verde (crittografia avanzata S/MIME): opportuno quando si trattano informazioni sensibili e che può funzionare solo quando si è in possesso delle chiavi pubbliche dei destinatari. Tipicamente utilizzato per scambi tra utenti dello stesso provider di posta.
- Lucchetto grigio (crittografia standard TLS): la scelta migliore nella maggior parte dei casi. Viene utilizzato per i messaggi scambiati con altri servizi email, in assenza di S/MIME.
- Lucchetto rosso (nessuna crittografia): la posta non viene cifrata e non è quindi sicura.
Addirittura, il lucchetto rosso può apparire anche mentre si scrive un messaggio, proprio per valutare, in baso allo storico degli invii, se sia il caso di rimuovere gli indirizzi di determinati destinatari o di eliminare le informazioni riservate.
Lo stesso Google pubblica online un report aggiornato sullo stato rilevato rispetto alle email ricevute e spedite.
Ad oggi si rilevano rispettivamente un 91% e un 84% per le email in ingresso e uscita e osservando i trend storici degli ultimi anni appare un rapido incremento del tasso in ingresso e un incremento più lineare per quello in uscita.
Una possibile interpretazione di questo dato è che i provider di caselle di posta si stiano progressivamente adeguando allo standard, mentre a dover recuperare terreno siano state principalmente piattaforme ESP o comunque sistemi per invii automatizzati di email.
Piattaforme ESP professionali supportano il TLS da anni e tipicamente sono configurate per tentare un primo invio in modalità cifrata per poi optare per un invio non cifrato solo qualora il server destinatario non supporti tale protocollo.
Magnews, ad esempio, si comporta proprio in questo modo, perseguendo l’obiettivo di consegnare il maggior numero di messaggi e nella modalità più sicura possibile, ma consente anche una personalizzazione di queste logiche andando a verificare la validità dei certificati TLS piuttosto che inibendo gli invii verso server che non supportano la cifratura, a favore ad esempio di logiche automatizzate di fall back su altri canali.
Trovo corretto citare anche una piccola parentesi, tutta “made in Italy”. Spesso si parla di sicurezza anche quando si valuta l’utilizzo della PEC (Posta Elettronica Certificata).
Di fatto questo tipo di servizio di posta elettronica ha l’obiettivo di dare all’email lo stesso valore legale di una tradizionale raccomandata con avviso di ricevimento, garantendo in questo modo la prova degli avvenuti invio e consegna, con tanto di marca temporale, che viene mantenuta per un periodo predefinito e normato (30 mesi). Tutto si basa sulla firma elettronica e su un tessuto nazionale di gestori autorizzati, sotto la vigilanza e il coordinamento dell’AGID (AGenzia per l’Italia Digitale), che è l’organo pubblico preposto in Italia alla vigilanza dei servizi digitali.
A livello di sicurezza, possiamo quindi avere certezza del mittente (gestore della casella PEC e casella email mittente), integrità del messaggio trasmesso e riservatezza della comunicazione, attraverso l’utilizzo di protocolli sicuri.
Pur trattandosi di un contesto locale, i numeri in gioco sono tutt’altro che trascurabili, Il sito dell’AGID riporta i volumi di domini, caselle attive e messaggi inviati; nell’ultimo bimestre disponibile, luglio-agosto 2021, abbiamo oltre 13 milioni di caselle PEC per quasi 350 milioni di messaggi.
Anche in questo caso, Magnews può supportare i propri clienti nell’utilizzare una propria casella PEC per semplificare l’invio di questo tipo di email, anche quando i volumi in gioco sono importanti.
Unica cosa da verificare è che il gestore della casella PEC preveda la possibilità di un utilizzo della stessa attraverso sistemi automatizzati.
Concludo ricordando un celebre aneddoto che “solo un computer spento è un computer sicuro” (cit. Kevin Mitnick – hacker Condor), e ricordando che anche nel mondo delle email è bene affidarsi sempre a specialisti e soluzioni professionali.
#TIPS 8
Mail Sicure, Mail Certificate.
Siccome un computer spento, per quanto sicuro, è certamente poco utile alle finalità di Marketing e di Business di ogni azienda, in questa tips (una delle ultime di questa interessantissima serie dedicata ai 50 anni del canale a noi più caro, l’email..) voglio raccontarvi due funzionalità di magnews non troppo conosciute, ma certamente fondamentali nell’ambito della email Security e email Certification.
Secure Email
Con la sempre più diffusa sensibilità per la tematica di sicurezza in ambito email, i mail provider – come ci ha spiegato Fabio – già da diversi anni hanno iniziato a gestire l’invio e la ricezione delle email in transito attraverso un canale sicuro e cifrato mediante TLS.
L’adozione di questa modalità, come raccontato da Fabio, oggi è molto elevata (tra l’85% e il 91%) ma abbiamo una fetta comunque importante di provider e di sistemi che ancora NON gestiscono questa cifratura e quindi il traffico email da e verso questi sistemi viaggerà in chiaro.
La piattaforma magnews come logica di base, ogni volta che deve inviare una mail, TENTA di inviarla utilizzando il canale più sicuro (anche in termini di versione del protocollo) e se non vi riesce scala fino ad arrivare a protocolli meno sicuro o non sicuri affatto a seconda di quello che il provider del ricevente è in grado di supportare. Questa è la logica di base, ma ovviamente – data la sempre crescente sensibilità al tema security (considerando che all’interno delle email viaggiano spesso anche dati personali e – in alcuni casi – sensibili) non a tutti un simile comportamento può stare bene).
Per questo, già da molti anni, magnews ha introdotto una funzionalità denominata Secure Email che in automatico permette di NON inviare email a destinatari i quali provider non supportano protocolli di sicurezza e cifratura adeguati: di fatto, quindi, con Secure Email magnews NON spedirà email se queste dovranno viaggiare in chiaro e non cifrate. Queste mail verranno trattate e identificate con uno specifico Bounce dedicato proprio all’inaffidabilità del canale e – i relativi destinatari – potranno essere successivamente recuperati e identificati per poter essere gestiti diversamente.
Come i nostri clienti utilizzano Secure Email:
- nella maggior parte dei casi, i nostri clienti utilizzano Secure Email per poter attivare, in maniera automatica o in maniera manuale a seconda dei casi, delle logiche di fall-back. Per tutte le email che non vengono consegnate a causa del canale non sicuro, viene impiegato un canale sostitutivo ritenuto invece più sicuro. Nella maggior parte dei casi viene utilizzato l’SMS, in altri viene utilizzato il canale push, in altri ancora si ricorre addirittura al cartaceo.
- in alcuni casi, per i clienti più attenti e sensibili a queste tematiche, in particolar modo nel mondo bancario e assicurativo, queste informazioni di canale non sicuro vengono perfino utilizzate dai sistemi interni dell’azienda attività di data cleaning. Il cliente viene ricontattato direttamente (tramite contact center, ad esempio) con l’obiettivo di farsi fornire un indirizzo email differente (questa volta gestito da un provider affidabile e sicuro) al quale poter inviare comunicazioni in tutta sicurezza.
Se ve lo steste chiedendo, la risposta è Sì: Secure Email funziona indistintamente sia per le comunicazioni massive (quindi le classiche campagne, newsletter e promo), per i messaggi all’interno dei workflow di automation che avete definito (dove è possibile automatizzare logiche di fall-back su altri canali in maniera piuttosto facile) e anche in tutte le comunicazioni transazionali e di servizio inviate tramite API o modalità dedicate e automatizzate di invio … una sicurezza, quindi, applicata a 360°
PEC Manager
Sicuramente una prerogativa italiana, ma “presto” diverrà uno standard comune e condiviso a livello Europeo (seppur con qualche adeguamento), la PEC si appresta nei prossimi anni a diventare il nuovo canale di posta sicuro e certificato per le aziende da utilizzare non solo all’interno dei confini nazionali, ma anche all’interno di tutta la comunità europea.
Di certo, per chi ha mai dovuto aver a che fare con l’invio della PEC, sa bene che – al netto delle varie ricevute aggiuntive che il protocollo prevede – il tutto non si discosta poi più di tanto dall’invio di una mail normale come si farebbe utilizzando gmail o yahoo.
Così come però ne sono altrettanto chiare le limitazioni e le tematiche pratiche quando:
- dobbiamo spedire un numero elevato di email ad un target numeroso di destinatari: spedire 10 email PEC è un conto, doverne spedire 10.000 o 500.000 è sicuramente tutto un altro tema
- vero che abbiamo le ricevute di ritorno, ma queste non ci dicono se effettivamente il destinatario ha aperto o ha clickato la nostra comunicazione
- da ultimo, ma non per importanza, anche l’occhio vuole la sua parte soprattutto per determinate tipologie di email, una mail testuale può essere meno efficace rispetto ad una HTML alla quale oramai siamo tutti abituati
Grazie al PEC Manager di magnews tutti questi limiti vengono superati, mantenendo però tutte le caratteristiche fondamentali del canale PEC (validità legale e certificazione di invio e ricezione).
Utilizzando il PEC Manager:
- si può decidere e definire quali email spedire tramite i canali normali e standard e quali email invece gestire tramite i canali PEC. Queste decisioni vengono prese sulla base di regole che possono essere facilmente configurate
- l’invio PEC poggia sul tuo / i tuoi provider che già utilizzi: tutte le ricevute saranno quindi gestite e presenti all’interno della tua casella PEC e, da li, facilmente consultabili
- se hai più provider si può selezionare a quale affidare ogni singolo invio, a seconda – anche qui – di regole che ti permettono di indicare quale provider utilizzare, sulla base della tipologia di comunicazione che devi spedire
- da qui in poi, tutto il resto, è same-old magnews
- costruisci le email, massive, transazionali o messaggi di automation che siano, utilizzando tutte le funzionalità classiche e avanzate alle quali sei già abituato (dall’editor drag & drop, ai placeholder, alle condizioni di visibilità)
- seleziona il target di destinatari ai quali spedire e sui quali personalizzare il messaggio (qui uno o centomila non fa troppa differenza
) - spedisci con le classiche modalità che utilizzi sempre (immediata, schedulata, a onde, secondo il time zone del contatto o all’orario migliore per ogni contatto)
- guarda i report in piattaforma per verificare le performance del tuo invio (funnel, analisi bounce, etc.) tutto come se fosse una comunicazione normale
Al resto, pensa magnews
Tutto è bene, quel che si “spedisce” bene … in sicurezza e certificato, con magnews.
Alla prossima e ultima tips 🙂
