Spoof mail - Inviare email da un mittente diverso dal proprio indirizzo

L'email spoofing (o spoof mail) è una tecnica che consente di inviare un'email facendo apparire al destinatario un indirizzo diverso dal proprio, anche irreale, a scelta.

Ci sono vari metodi, l'unico requisito è quello di utilizzare un indirizzo con un dominio esistente, di primo livello (TLD).

Il più semplice consiste nell'utilizzare questo sito web, compilare i campi ed inviare. Cliccando su Advanced, è possibile personalizzare gli headers, il tipo di mailer, cioè il programma usato per inviare la mail, criptazione PGP, etc.:

https://emkei.cz/

Non è però una scelta molto "tecnica", dato che l'email può finire nello spam, o comunque Gmail ed altri programmi di messaggistica email segnalano come possibile mittente falso quello da cui proviene la mail. L'alternativa è pagare, utilizzando Spoofbox, in particolare il servizio "Email Spoofing".

Oppure, è possibile farlo a gratis, ricorrendo a siti e programmi destinati alle campagne marketing aziendali, come SendBlaster o iContact. Questi strumenti sono stati creati per le aziende, che necessitano di inviare contemporaneamente un numero elevato di email, provenienti dall'indirizzo della ditta o da un no-reply per evitare un ritorno eccessivo di messaggi. Se impostati correttamente, consentono di inviare una mail senza score spam elevato e senza far comparire l'avviso che il mittente non è autentico, a chi riceve il messaggio. SendBlaster (nell'immagine sottostante) è un programma che dispone di un server SMTP interno, utilizzato per inviare email senza necessità di autenticazione da parte del mittente. Questo significa che è possibile inserire qualsiasi indirizzo di invio, senza che esso debba esistere per forza e senza dover inserire la password per autenticarsi sul server.

E' inoltre possibile, sarebbe anzi lo scopo della sua produzione, inviare molte email a gruppi di destinatari diversi, come nell'invio di aggiornamenti agli iscritti ad una mailing list, o newsletter.

Chi utilizza Horde o Roundcube come webmail, avrà notato che è possibile aggiungere nuove identità associate all'account principale. E' dunque possibile aggiungere un indirizzo qualunque connettendolo ed utilizzarlo per inviare email (attenzione! non ricevere), impostando un indirizzo (esistente, proprio) per ricevere la risposta. In questo caso si evita che il messaggio finisca nello spam o venga segnalato come inviato da mittente non verificato.

Esistono quindi molti modi per inviare una fake mail (email anonima, spoofed email). Se ricevete quindi una mail sospetta, controllate sempre gli headers (si vedrà come analizzarli in uno dei prossimi post), assicurandovi che provenga realmente dal dominio che appare.

Molti utilizzano questa tecnica per effettuare phishing, ovvero rubare dati e informazioni personali sensibili, utilizzando identità finte, fake, come possono essere l'assistenza di Facebook, Google, il servizio sicurezza clienti di una banca, della carta di credito. In genere, però, non vengono mai chiesti dati personali sensibili dagli operatori. Se qualcuno chiede di comunicare questi dati, approfondite la provenienza del messaggio prima di rispondere.