Quando si invia una e-mail a qualcuno, il messaggio viene trasferito attraverso qualcosa chiamato Simple Mail Transfer Protocol (SMTP), uno standard che è stato sviluppato nel 1980 e che non ha la capacità di crittografare completamente i messaggi. Proprio per questo, un gruppo di ingegneri provenienti da diverse compagnie – tra cui Microsoft, Google, Comcast e LinkedIn – stanno lavorando su una nuova proposta che aggiorna lo standard per garantire una crittografia completa per tutti i messaggi di posta elettronica scambiati.
Si chiama SMTP Strict Transport Security (SMTP STS) il nuovo standard che secondo alcuni dei più importanti fornitori di servizi mail potrebbe ridefinire le regole per la crittografia delle mail scambiate. La proposta è stata sottoposta alla Internet Engineering Task Force, un organismo internazionale composto da esperti e ricercatori che si occupano di sviluppare e promuovere standard internet.
La proposta, che delineerebbe un nuovo standard denominato al completo Simple Mail Transfer Protocol Strict Transport Security (SMTP STS), ha come obiettivo principale quello di prevenire gli attacchi man-in-the-middle, che hanno compromesso gli sforzi passati di fare dell’SMTP un protocollo più sicuro.
L’IETF osserva che secondo i protocolli attuali qualsiasi malintenzionato può cancellare parti di una sessione SMTP o può reindirizzare l’intera sessione SMTP ed eseguire un declassamento o intercettare tutti i messaggi inviati attraverso la sessione violata.
Al protocollo SMTP originale del 1982, che non prevede crittografia, vent’anni dopo, nel 2002, è stata aggiunta un’estensione per crittografare i messaggi di posta, chiamata Starttls, che si è iniziato ad usare su larga scala solo dopo il 2013, post scandalo Datagate (le rivelazioni di Edward Snowden sull’operato della NSA). La proposta andrebbe a sostituire lo Starttls, vulnerabile ad attacchi informatici che compromettono la crittografia delle mail.
Con la nuova proposta, l’idea è quella di dare al gestore che si occupa del trasferimento del messaggio del mittente la possibilità di controllare se il destinatario utilizza un sistema che non supporta il nuovo standard, e quindi avvisare che il messaggio è a rischio intercettazione o comunque non è completamente protetto da eventuali attacchi man-in-the-middle. Si potrebbe anche evitare la consegna del messaggio, nel caso in cui non può essere consegnato in modo sicuro.
Stando alle statistiche di Google, l’83% delle email inviate da Gmail ad altri fornitori di posta sono criptate, e solo il 69% dei messaggi inviati da altri fornitori a Gmail. In Tunisia, per esempio, i ricercatori hanno scoperto che il 96 per cento delle e-mail inviate a Gmail sono prive di protezione.
Lo standard SMTP STS è ancora solo una proposta e ci sono molti dettagli che devono ancora essere definiti prima che venga implementato da tutti i servizi.
