Oggi rispondo ad una chiamata di cortesia di un cliente che ha ricevuto diverse e-mail contenenti variegate comunicazioni illegali, apparentemente provenienti dal mio indirizzo e-mail professionale.
Come da tempo cerco di spiegare, per i messaggi e-mail standard non esiste la certezza che chi ha inviato il messaggio sia chi dice di essere.
Il vetusto protocollo smtp consente di forgiare messaggi ad-hoc, apparentemente provenienti da uno specifico mittente ma inviato da malintenzionati per scopi illeciti; è anche possibile far apparire il messaggio come se sia stato inviato da noi stessi, tentando in tale modo di far credere che l’account sia stato compromesso (quando non addirittura il pc dell’utente, ne avevo gia scritto in altri post, ad esempio qui e qui).
Nell’attesa che chi decide il funzionamento dei protocolli (in questo caso smtp) decida di introdurre funzioni di autenticazione-certificazione del mittente, gli utenti possono adottare alcune accortezze per accorgersi dei messaggi falsi.
Tutti i messaggi che sono da me inviati vengono firmati digitalmente (la coccardina rossa che si evidenzia nel client di posta elettronica); in sua assenza, il messaggio non è autentico.
Per le comunicazioni importanti utilizzo esclusivamente la posta elettronica certificata (non che sia la panacea di tutti i mali, anzi); in alternativa propongo l’adozione di ProtonMail.