E-mail (posta elettronica) utilizzo avanzato

Gabriele Riva
www.plcforum.it
© Associazione PLC Forum
E-mail (posta elettronica)
utilizzo avanzato
(firma digitale e posta elettronica certificata)
Presentazione
L'e-mail o in italiano "posta elettronica", e' un
potentissimo mezzo di comunicazione, immediato
ed economico.
A livello aziendale, è ormai fondamentale, sia per le
comunicazioni interne all’azienda che per quelle
esterne, verso clienti e partner.
Ma conoscere la posta elettronica non vuol dire
semplicemente sapere come si invia un messaggio,
bisogna conoscere alcuni aspetti tecnici per evitare
spam e virus.
2
Funzionamento sistema di posta
Prima di tutto è importante sapere che i computer coinvolti nella spedizione di un messaggio di posta
elettronica sono molti, infatti, oltre al computer del mittente e del destinatario, vi sono i server di
posta elettronica, detti anche server e-mail. Il server e-mail del destinatario è un computer su cui
risiede fisicamente la casella di posta elettronica dell’utente a cui si sta inviando il messaggio. Su
di esso risiedono anche le caselle di posta di altri utenti ed è importante che sia sempre attivo e
collegato alla rete. Esso ha il compito di ricevere e conservare i messaggi degli utenti fino a
quando questi non vorranno visualizzarli o scaricarli sul proprio computer.
Questo server è chiamato server POP o IMAP, in base al protocollo che usa. Mittente e destinatario, di
solito, dispongono di un programma detto client di posta. Tale programma è in grado di gestire i
messaggi in arrivo e in partenza, di archiviarli sul disco locale, di scaricare la posta in arrivo tramite
il protocollo POP o IMAP e di spedire i messaggi in partenza tramite il protocollo SMTP.
I server di posta normalmente vengono gestiti dai provider. Il mittente non contatta direttamente il
server e-mail del destinatario per recapitargli un messaggio. In teoria sarebbe possibile, ma in
pratica non accade, è molto più comodo che il client di posta sia configurato in modo da dialogare
sempre con lo stesso server (normalmente quello del provider di appartenenza). Sarà questo
server a preoccuparsi di inoltrare il messaggio al server e-mail destinatario.
3
Tipo di server
POP3 server (Post Office Protocol versione 3) porta 110
serve per la ricezione dei messaggi
SMTP server (Simple Mail Transfer Protocol) porta 25
serve per l'invio dei messaggi
IMAP server (Internet Message Access Protocol) porta 143
Offre la possibilità di amministrare l'e-mail direttamente sul server.
Questo significa che esse non verranno più scaricate nel computer, bensì si
riceverà una lista delle e-mail con l’oggetto, visto che normalmente viene
trasmessa solo l´intestazione di un’e-mail (Header) (questa opzione può
essere cambiata a seconda del programma di posta utilizzato). Si potrà inoltre
creare delle cartelle direttamente sul server e spostarvi le e-mail.
Con un doppio-clic sull’oggetto l'e-mail corrispondente verrà completamente
visualizzata.
Per copiare una e-mail sul computer, basta selezionarla e trascinarla
semplicemente nella cartella di posta in entrata. Per cancellare una e-mail
scelgliere, ad esempio in Outlook, "Modifica" -> "Cancella e-mail in modo
permanente", altrimenti verrà solamente mostrata come cancellata ma resterà
sul server.
4
Vantaggi dell’utilizzo dell’IMAP:
Ha la possibilità di disporre dell'e-mail in diversi computer
Ha la possibilità di condividere con più utenti una casella di posta
comune
IMAP permette di creare rapidamente cartelle e sottocartelle
direttamente sul server.
Utilizzando programmi di posta elettronica,
queste verranno "proiettate"; ciò significa che tutte le cartelle e
sottocartelle create si trovano in realtà sul server.
In questo modo si avrà la possibilità di eseguire azioni come "Cerca" o
"Classifica" anche con un computer dalle basse prestazioni, poiché
l’elaborazione delle e-mail avviene sul server e non sul computer.
Il nostro IMAP possiede la cosiddetta estensione IDLE. Ciò significa che
non appena riceverà un’e-mail, questa verrà inserita nella Sua cartella di
posta in entrata e verrà contrassegnata come non letta. Non è inoltre
necessario cliccare su "Ricevere" o attivare un intervallo di polling.
Questa funzione è normalmente contenuta nei più recenti programmi di
posta elettronica (Outlook, Outlook Express, Thunderbird, etc.) ed è già
attivata.
5
Antivirus e antispamming
Antivirus
In ogni computer che può accedere alla casella e-mail è
"obbligatorio" utilizzare un sistema antivirus presente sul PC,
sempre aggiornato (se non è aggiornato serve a ben poco) e che
abbia l'opzione di elaborare l'email in ricezione.
Alcuni provider hanno già un sistema antivirus sul server, ma per
sicurezza si consiglia comunque la presenza di un sistema
antivirus sul PC.
Antispamming
Alcuni provider hanno un sistema antispamming sul server.
Esso di solito marca solo l'intestazione delle email come SPAM.
Alcuni hanno la possibilità di configurazioni personalizzate.
Esistono anche dei programmi da installare sul proprio PC.
6
Spam - Spamming
Indica la cattiva abitudine di mandare messaggi non richiesti nelle caselle postali (mailbox)
di tante persone, oppure di collocare lo stesso messaggio in diverse liste, forum o
newsgroup così che la stessa persona lo riceve più volte.
Quasi tutti in rete conoscono il termine spam, ma pochi sanno come è nato.
Spam (spiced pork and ham) è un impasto di carne di maiale in scatola, diffuso negli Stati
Uniti, che non è considerato una raffinatezza gastronomica. (Vedi Spam).
Nella seconda serie di Monty Python’s Flying Circus (1970) c’era una scenetta dedicata allo
spam.
Si svolge in un bar-ristorante in cui un tavolo è occupato da un gruppo di vichinghi, con
tanto di elmi cornuti.
Entrano marito e moglie (lui è Eric Idle, lei è Graham Chapman travestito da donna; la
cameriera è Tery Jones, anche lui travestito da donna, in maniera malconcia e
trasandata).
(Il testo originale si trova sul sito Berkeley).
7
Spam - storia
Marito: Siediti qui, cara.
Moglie: Va bene.
Marito (alla cameriera): Buongiorno!
Cameriera: Buongiorno!
Marito: Bene, che cosa c’è di buono?
Cameriera: Be’, c’è uova e bacon; uova salsiccia e bacon; uova e spam; uova bacon e spam; uova bacon salsiccia e spam;
spam bacon salsiccia e spam; spam uova spam spam bacon e spam; spam salsiccia spam spam bacon pomodoro e spam;
Vichinghi (cominciano a cantare): Spam spam spam spam
Cameriera: Spam spam spam uova e spam; spam spam spam spam spam spam fagioli stufati spam spam spam...
Vichinghi (cantano): Spam! Splendido spam! Splendido spam!
Cameriera: ... o aragosta Thermidor à Crevette con salsa mornay servita alla provenzale con scalogno e melanzane,
guarnita con paté ai tartufi, brandy e con sopra un uovo fritto e spam.
Moglie: Avete qualcosa senza spam?
Cameriera: Be’, nello spam uova salsicce e spam non c’è molto spam.
Moglie: Non voglio spam!
Marito: Perché non può avere uova bacon spam e salsiccia?
Moglie: Ma in quello c’è lo spam!
Marito: Ma non c’è così tanto spam come in spam uovo salsiccia e spam, vero?
Vichinghi (cantano in crescendo): Spam spam spam spam
Moglie: Potete farmi uova bacon spam e salsiccia senza lo spam?
8
Spam - storia
Cameriera: Urgghh!
Moglie: “Urgghh” cosa? Non mi piace lo spam!
Vichinghi (ancora in crescendo): Splendido spam! Magnifico spam!
Cameriera: Zitti!
Vichinghi: Splendido spam! Magnifico spam!
Cameriera: Insomma, zitti! (i vichinghi smettono) maledetti vichinghi! Signora,
non posso darle uova bacon salsiccia e spam senza lo spam.
Moglie (strilla): Non mi piace lo spam!
Marito: Calmati, cara, non litighiamo. Mangerò io il tuo spam. Mi piace tanto.
Voglio spam spam spam spam spam spam spam fagioli stufati spam spam spam e spam!
Vichinghi (cantano): Spam spam spam spam. Splendido spam! Magnifico spam!
Cameriera: State zitti! I fagioli stufati sono finiti.
Marito: Be’ allora posso avere lo spam invece dei fagioli?
Cameriera: Allora vuole spam spam spam spam spam spam...?
(ma è troppo tardi, la sua voce è sopraffatta dal canto dei vichinghi)
Vichinghi (cantano in coro): Spam spam spam spam. Splendido spam! Magnifico spam!
Spam spa-a-a-a-a-am spam spa-a-a-a-a-am spam. Splendido spam! Splendido spam! Splendido spam!
Splendido spam! Splendido spam! Spam spam spam spam!
Questa ossessionante scenetta (scritta dai Monty Python per tutt’altri motivi)
descrive efficacemente lo stato d’animo di chi frequenta la rete quando si trova davanti a un tentativo di spamming.
9
SPAM
Secondo le ultime
stime, nell'anno scorso,
si è raggiunta
percentuale record di
spam pari al 92%, circa
9 e-mail su 10 erano
spam.
Il risultato per l'utente
finale è una completa
disaffezione verso
questo strumento di
comunicazione molto
utile e potente.
10
SPAM
Esso viene ritenuto ormai opprimente e non molto
affidabile e spesso si teme che l'e-mail inviata si perda
o venga filtrata per errore da qualche sistema antispam
o peggio ancora cancellata per errore da ricevente.
11
FILTRI ANTISPAM – filtro statico
Esistono diversi tipi di filtri, i più usati sono:
Statico
Euristico
Statistico o probabilistico (filtri bayesiani)
Un filtro statico funziona confrontando il messaggio in arrivo con un
elenco di parole chiave, impostate dall'utente, che sono tipiche
dello spam. Se il messaggio contiene una di queste parole viene
classificato come spam. Tale filtro presenta un lato negativo ossia
e-mail valide potrebbero essere identificate come spam in quanto
presentano le suddette parole chiave.
12
FILTRI ANTISPAM – filtro Euristico
Filtro Euristico
Questo tipo di filtro si basa nel creare una lista di parole o frasi, tipiche dello
spam, ad ognuna delle quali viene assegnato un punteggio numerico. Questo
compito è a carico dell'amministratore del sistema il quale in base alle proprie
esigenze decide le parole o frasi tipiche dello spam da inserire nella lista con il
relativo punteggio.
Quando arriva un messaggio esso viene analizzato ricercando al suo interno le
parole chiave definite dall'amministratore, il risultato di tale analisi è un valore
numerico calcolato facendo la somma di ogni punteggio di frase o parola
trovata. A questo punto se il risultato ottenuto supera il valore di soglia, fissato
in precedenza dall'amministratore, il messaggio viene classificato come spam.
Sebbene tale filtro risulti abbastanza efficiente comporta un onere a carico
dell'amministratore nell'inizializzare e aggiornare la lista delle parole e frasi
chiave. L'aggiornamento della lista è necessaria in quanto gli spammer
potrebbero usare nuove parole o frasi (es. "f-r-e-e" al posto di "free") causando
falsi positivi (e-mail legittime erroneamente scambiate per spam). E' evidente
quindi la necessità di avere una lista quanto più aggiornata possibile.
13
FILTRI ANTISPAM – filtro Bayesiano
I filtri Bayesiani sono basati sul principio che molti eventi sono dipendenti e che la probabilità di un
evento futuro si può dedurre dagli eventi passati.
Per realizzare tale filtro si parte con un insieme di messaggi di spam e un insieme di messaggi che
non sono spam. Si effettua una scansione contando il numero di volte che ogni termine appare in
ogni insieme, ottenendo così due database (Spam e Ham). Un terzo database contiene per ogni
termine la probabilità che esso sia spam.
La probabilità di ogni termine X é calcolata come segue:
dove:
S = numero di e-mail di tipo SPAM
OS = numero di volte in cui X è presente nei messaggi di SPAM
H = numero di e-mail di tipo HAM
OH = numero di volte in cui X è presente nei messaggi di HAM
Uno dei vantaggi del filtro Bayesiano è che considera l'intero messaggio, infatti, riconosce oltre alle
parole chiave che identificano lo spam anche le parole che contraddistinguono le e-mail valide
Un altro vantaggio del filtro bayesiano è che si adatta costantemente in modo autonomo imparando dal
nuovo spam e dalle nuove e-mail in uscita valide tenendo aggiornato i database di HAM e SPAM,
inserendo nuovi termini non presenti in precedenza oppure aggiornando quelli già esistenti.
14
FILTRI ANTISPAM – Language classification
E' un processo attraverso il quale si identificano parole e termini contenuti
all'interno di un'e-mail per stabilire se si tratta di possibile Spam oppure No.
Questo processo ha 3 componenti principali che sono:
Historical Dataset: è un database di tutti i termini rilevati all'interno di un'e-mail.
Tokenizer: è il responsabile della lettura e interpretazione dell'e-mail, ha il
compito di dividere l'e-mail in elementi più piccoli chiamati token attraverso un
processo chiamato tokenizzazione. Il tokenizer è istanziato ogni volta che un
nuovo messaggio è processato. I token saranno poi utilizzati dall'Analysis
Engine ed eventualmente memorizzati nel database (Historical Dataset).
Questo approccio è usato anche nel filtro Bayesiano.
Analysis Engine: E' il cuore del processo, stabilisce infatti se il messaggio è
Spam oppure No attraverso una matrice di decisione. Questa matrice è
costruita inserendo al suo interno tutti i token individuati in un'e-mail e il relativo
valore di probabilità.
15
Evitare lo SPAM
Lo spam è ormai diventato un fenomeno molto comune e
spesso frustrante per chiunque sia in possesso di un
account e-mail. Sebbene non sia facile debellare questo
fenomeno, esistono dei modi per ridurlo.
Come si può ridurre lo spam ?
I consigli che seguono possono aiutare a limitare la quantità
di spam nella casella di posta elettronica :
16
Regole per combattere lo spam
Non dare l’indirizzo e-mail in modo arbitrario
l’indirizzo e-mail è diventato ormai così comune, che compare in tutti i form dove si richiedono i
propri dati personali. Tutto questo a prima vista potrebbe sembrare innocuo, ma bisogna
considerare che l’indirizzo e-mail è un dato personale da proteggere e non comunicare con
leggerezza. Le società registrano gli indirizzi di posta elettronica nei propri database clienti allo
scopo di tracciarne usi e preferenze. Può capitare però che violando le leggi sulla privacy, queste
liste siano vendute o condivise con altre società o che cadano in mano a malintenzionati.
Non scrivere l'indirizzo e-mail in chiaro su forum o newsgroup
scrivendo sul web (forum, newsgroup, sito personale ecc.) riportare il proprio indirizzo e-mail in
forma anti-spam, omettendo il carattere “@” o aggiungendo testi da eliminare. (Esempi:
info[at]plcforum[dot]it - [email protected] {togliere NOSPAM}).
Fare attenzione alle opzioni all’atto della sottoscrizione di servizi
a volte può capitare che per default le caselle che contemplano l’invio di posta da parte di terzi o la
pubblicazione dell’indirizzo su determinate liste, etc.. siano spuntate. In tal caso rimuovere il segno
di spunta. Verificare anche le regole per quanto riguarda la privacy.
Usare i filtri anti- spam
Non cliccare sui link all’interno delle e-mail spam
Disabilitare l’opzione di visualizzazione grafica in HTML
utilizzando il formato testo, vengono inibiti tutti gli script (potenzialmente pericolosi) che potrebbero
attivarsi all'interno del linguaggio html.
17
Come opera uno SPAMMER
Lo spammer può inviare un alto numero di e-mail nei seguenti modi:
Tramite ISP: Lo spammer usa i server di posta di un ISP consenziente, cioè che gli
mette a disposizione i propri server dietro pagamento o per altre convenienze.
Tramite il Relay aperto: Il relay aperto è una particolare impostazione del server e-mail
che consente di accettare e trasmettere messaggi di posta a chiunque senza che il
mittente ed il destinatario dell’e-mail appartengano al sistema locale. Lo spammer,
tipicamente collegato attraverso un provider in qualche altra parte del mondo, si collega
al relay aperto e invia un’unica e-mail con tantissimi destinatari andando così ad
intasare e ad esaurire le risorse del server.Questa persona a tutti gli effetti ruba risorse
altrui, e l'unica traccia che può in linea di principio permettere di identificarlo è il numero
IP da cui si è connesso. Nella maggior parte dei casi si tratta di un numero IP dinamico
che lo spammer utilizza in modalità "usa e getta", e l'identificazione del mittente è di
fatto impossibile o comunque onerosa. Per risolvere il problema gli ISP hanno imposto
ai loro server l’autenticazione dell’utente verificando così la sua reale autorizzazione
all’invio dei messaggi di posta elettronica.
Tramite Relay multihop: È molto simile al relay aperto, ma sfrutta server SMTP
secondari. Tipicamente, infatti, le reti complesse si affidano a più server di posta, uno
dei quali gestisce le comunicazioni tra interno ed esterno (server principale o
smarthost). Se uno dei server secondari non è ben configurato, esso può essere
sfruttato da uno spammer per inviare messaggi di spam tramite lo smarthost, che
accetta di rispedirli verso l’esterno perché gli sembra che provenga da un host
18
autorizzato. Il messaggio di spam arriva poi al server SMTP del destinatario.
SPAMMER: come reperisce gli indirizzi e-mail?
Gli spammer possono reperire gli indirizzi e-mail in vari modi:
Generando gli indirizzi in modo automatico. Per fare ciò si
servono di domini noti, come per esempio hotmail.com o libero.it,
ai quali premettono una stringa casuale (es. [email protected],
[email protected], [email protected]). Vengono così generati migliaia di
indirizzi, tra cui molti non validi. Validi o no, allo spammer non
interessa, il costo di tale operazione non è molto elevato (serve
solo del tempo per permettere al computer di calcolare tutte le
possibilità).
Utilizzando i programmi chiamati "spider", sono programmi che
attraversano le pagine web sfruttando i link. Quando uno di questi
programmi visita un sito, un blog, un forum, ecc ., fa il check di
tutte le pagine linkate in cerca di indirizzi e-mail.
Acquistando gli indirizzi direttamente dagli ISP consenzienti
19
Lo SPAM è illegale?
In Italia lo spamming a fini di profitto è un reato, lo ha stabilito il
garante della privacy con una serie di provvedimenti.
www.garanteprivacy.it
Inviare e-mail pubblicitarie senza il consenso del destinatario è
vietato dalla legge. Se questa attività, specie se sistematica, è
effettuata a fini di profitto si viola anche una norma penale e il
fatto può essere denunciato all’autorità giudiziaria. Sono previste
varie sanzioni e, nei casi più gravi, la reclusione. La normativa
sulla privacy non permette di utilizzare indirizzi di posta elettronica
per inviare messaggi indesiderati a scopo promozionale o
pubblicitario anche quando si omette di indicare in modo chiaro il
mittente del messaggio e l’indirizzo fisico presso il quale i
destinatari possono rivolgersi per chiedere che i propri dati
personali non vengano più usati.
20
Regole per scrivere una corretta e-mail
Scrivere sempre l'oggetto in modo dettagliato
un'e-mail senza oggetto potrebbe essere scartata
Evitare l'uso di html, utilizzare preferibilmente il formato testo
Se si manda l'email a più persone le quali non si conoscono tra
loro, per la loro riservatezza e privacy, utilizzare la copia carbone
nascosta CCN (o in inglese BCC blind carbon copy).
Se si risponde ad un'email, lasciare il testo originale, in modo che
il destinatario si ricordi i riferimenti
Anche in questo caso l'oggetto è importantissimo (alcuni e-mail
client utilizzano l'oggetto per la visualizzazione ad albero, quindi
una modifica all'oggetto comporterebbe una scorretta
visualizzazione). Se si cambia l'argomento, conviene allora
modificare anche l'oggetto
Non inviare allegati in formato proprietario se non espressamente
richiesti (.doc .xls ecc.), allegare sempre un formato .pdf
Firmare sempre l'e-mail
21
E-mail client (client di posta elettronica)
Esistono numerosissimi e-mail client disponibili per i più svariati
sistemi operativi.
Il più diffuso è Outlook Express in quanto esso è già preinstallato
su tutti i sistemi operativi Windows.
Perché l'utente medio non utilizza un client di posta diverso?
a) si trova bene con quello attuate (non ne ha mai provati altri)
b) non conosce l'esistenza di altri client di posta
c) crede che altri client di posta siano solo a pagamento e/o
quelli free siano poco affidabili
Altre ottime alternative di programmi di posta elettronica:
Thunderbird
Foxmail
Opera
Eudora
Pegasus mail
Pimmy
Kmail
Lotus notes
22
Pimmy il tuo postino personale
Un prodotto Italiano di tutto rispetto è Pimmy attualmente in
versione 4.2 b4 (a pagamento 20€), esiste la vecchia versione
free 3.5 che attualmente non è più scaricabile dal sito ufficiale,
ma è possibile trovarla cercandola con un motore di ricerca.
Alcune caratteristiche:
Pimmy è un mailreader portatile, ti segue sul tuo dischetto o la tua chiavetta
USB, occupa solo 600 Kbyte (900kbyte per l'ultima versione)
Gestisce la tua posta su caselle POP3 e IMAP4
E' un newsreader portatile e ti fa seguire le discussioni sui newsgroup
Scarica ed invia contemporaneamente da/a tutti i server
Gestisce un'infinito numero di account
Visualizzazione dell'email in POP3 direttamente sul server con possibilità di
cancellazione della posta indesiderata direttamente sul server, anche tramite
i filtri
Filtri predefiniti per estensioni virus pericolose
Visualizzazione e-mail in formato testo e conversione html->testo del solo
html standard, tutto ciò che non è standard non viene decodificato.
23
Come scegliere un programma e-mail client
Sicurezza - è uno degli aspetti più importanti. Alcuni programmi molto conosciuti
sono anche famosi per le loro vulnerabilità. Funzionalità importanti sono la presenza di
opzioni per disabilitare la apertura/visualizzazione automatica della posta e degli
allegati, così come la integrazione con il programma antivirus e la presenza di filtri
anti-SPAM. Verificare se possiede l'opzione di trasmettere e ricevere traffico cifrato;
Privacy - nel momento in cui si usa il client web-based, verificare le policy di sicurezza
e chi può avere accesso ai dati. Privilegiare i siti che forniscono l'accesso sicuro tramite
il protocollo https e controllare se sono disponibili filtri anti-SPAM;
Funzionalità - verificare se il vostro client, trasmette, riceve ed interpreta le e-mail in
modo corretto, per i client web-based sono importanti i tempi di risposta e lo spazio di
memoria reso disponibile;
Affidabilità - per quanto riguarda i client web-based, è importante che sia garantita la
continuità del servizio e siano limitate al massimo le interruzioni del servizio per
manutenzioni.
Disponibilità - alcuni utenti hanno la necessità di accedere alla propria casella di
posta da più postazioni;
Facile da usare - verificare che il client sia facile da usare e da capire oltre che da
configurare.
24
Posta elettronica e sicurezza
Nel protocollo SMTP, la cosa curiosa, e sicuramente per molti inaspettata, è che le
specifiche originali non prevedono nessuna forma di autenticazione.
Ancora oggi vi sono alcuni server SMTP che funzionano in questo modo e ciò significa che
chiunque può utilizzarli per spedire messaggi. I dati relativi al mittente (nome, cognome,
indirizzo e-mail ecc.) sono inseriti, a cura del mittente stesso, nel proprio programma di posta
e quindi possono tranquillamente essere falsi.
Per fortuna nelle e-mail sono presenti tutta una serie di indicazioni aggiunte dai vari server
attraversati dal messaggio. Analizzandole è possibile almeno capire da quale server
proviene la missiva e quale indirizzo IP aveva l'utente che ha effettuato la spedizione.
Inoltre, visto che la posta viaggia in chiaro, chiunque abbia accesso completo ai computer
attraversati dal messaggio (e ancora di più ai nodi di rete, specie quelli più importanti), può
leggere il contenuto dei pacchetti dati e riassemblarli in modo opportuno, per accedere al
contenuto delle e-mail.
Nei protocolli POP3 e IMAP, che, al contrario di SMTP, prevedono una forma di
autenticazione, la comunicazione avviene anch'essa in chiaro, per cui i pacchetti che il server
ci spedisce possono essere intercettati su uno qualsiasi dei computer attraversati. In questo
modo può essere carpita perfino la stessa password.
Solo per il fatto che si riceve un messaggio da un nome di utente conosciuto non significa
che tale messaggio provenga veramente da tale persona.
I problemi di sicurezza nell’ambito della posta elettronica sono materialmente difficili da
risolvere, si può però ridurre il problema usando connessioni protette con l’ISP tramite SMTP
+SSL e POP+SSL
25
Firma digitale
La firma digitale è un metodo per attestare che l’e-mail ricevuta sia stata
effettivamente inviata dal mittente e che il contenuto non sia stato
alterato, dato che ogni minima modifica comprometterebbe la validità
della firma.
Essa viene rilasciata da appositi certificatori, di solito a pagamento.
Quando si firma digitalmente un messaggio, si aggiungono una firma digitale e una chiave pubblica.
I destinatari possono utilizzare la firma digitale per verificare l'identità del mittente. Possono inoltre
utilizzare la chiave pubblica del mittente per inviare posta crittografata che soltanto il mittente può
leggere mediante la chiave privata.
Per inviare messaggi crittografati, è necessario che la Rubrica contenga gli ID digitali dei destinatari.
In tal modo si potranno codificare i messaggi utilizzando le chiavi pubbliche dei destinatari.
Quando un destinatario riceve un messaggio crittografato utilizza la chiave privata per
decodificarlo e leggerlo.
Prima di iniziare a inviare messaggi firmati digitalmente è necessario avere un ID digitale e impostare
il proprio account di posta elettronica per utilizzarlo. Se si inviano messaggi crittografati, è
necessario che la Rubrica contenga un ID digitale per ciascun destinatario.
26
Firma digitale
Certificati digitali e firma digitale di un messaggio di posta elettronica
Certificati digitali e verifica di una firma digitale di un messaggio di posta elettronica
27
Crittografia del messaggio e-mail
Certificati digitali e crittografia di un messaggio di posta elettronica
Certificati digitali e decrittografia di un messaggio di posta elettronica
28
Come richiedere un certificato di firma digitale in modo gratuito:
https://www.thawte.com/secure-email/personal-email-certificates/
> Join e procedere alla registrazione
Charset For Text Input: ISO-8859-1 (Latin 1)
Charset Preference: ISO-8859-1 (Latin 1)
Verrà inviata un'email con un link da cliccare con 2 codici da inserire:
Probe: xxxyyyzzz
Ping: yyyxxxwww
Completare la procedura
> request a certificate > request (selezionare il browser/email client) > accept (tutto di default)
in e-mail verrà inviata un'email con la conferma dell'avvenuta richiesta.
Successivamente dopo alcuni minuti (anche mezz'ora) riceverete un'e-mail con un link per
l'installazione del certificato.
Il certificato nel caso di Firefox, viene installato nel browser, per poterlo utilizzare con
Thunderbird occorre esportarlo e poi importarlo in Thunderbird.
In Firefox: > Opzioni > Avanzate > Mostra certificati (selezionare il certificato) > Archivia
In Thunderbird: > Strumenti > Opzioni > Avanzate > Certificati > Mostra certificati > Importa
29
Gestione certificati con Internet Explorer
Menù strumenti
> Opzioni Internet
> Contenuto
> Certificati
30
Gestione certificati con Firefox
Menù strumenti
> Opzioni
> Avanzate
> Mostra certificati
31
Gestione certificati con Thunderbird
Menù strumenti
> Opzioni
> Certificati
> Mostra certificati
Dispositivi di sicurezza:
Permette di installare
dispositivi di firma
hardware (smart-card,
Pen-drive)
32
La Firma Digitale a norma di legge in Italia
CNIPA (Centro Nazionale per l'Informatica nella Pubblica Amministrazione)
http://www.cnipa.gov.it/
33
La Firma Digitale a norma di legge in Italia
L’Italia si è posta all’avanguardia nell’uso legale della firma digitale, essendo il primo paese ad avere
attribuito piena validità giuridica ai documenti elettronici. Fin dal lontano 1997 l’articolo 15 della L.
59/97 stabilisce infatti che "gli atti, dati e documenti formati dalla Pubblica amministrazione e dai
privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la
loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di
legge". In base a tale norma, un documento siglato con firma digitale ha lo stesso valore del suo
omologo cartaceo. Le implicazioni sono notevoli anche per il settore privato: dalla validità dei
contratti on line alla possibilità di emettere fatture commerciali o ordini di acquisto. La normativa
pre-direttiva sulla firma digitale, la firma elettronica e la conservazione del documento elettronico,
prevedeva un’unica tipologia di certificato, di certificatore e di firma digitale. Con il recepimento
della Direttiva 1999/93/CE e l’emanazione del D. lgs n. 10/02 e del DPR 7 aprile 2003 n. 137, il
quadro normativo di riferimento ha subito una profonda trasformazione; in particolare, l’articolo 6
del decreto di recepimento ha modificato l’articolo 10 del DPR n. 445/00, stabilendo che il
documento informatico (da intendersi, ai sensi del Testo unico del 2000, come la rappresentazione
informatica di atti, fatti o dati giuridicamente rilevanti e, quindi, non recante alcuna sottoscrizione
elettronica), ha l’efficacia probatoria prevista dall’articolo 2712 del codice civile. Con l'entrata in
vigore del Codice dell'amministrazione digitale (gennaio 2006), attraverso il Decreto legislativo 7
marzo 2005, n. 82, il valore probatorio del documento informatico ha subito una ulteriore modifica,
difatti con il comma 2 dell'articolo 21, come modificato dal D.Lgs. 4 aprile 2006, n. 159, è stabilito
che "Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica
qualificata, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma
si presume riconducibile al titolare, salvo che questi dia prova contraria.
34
La Firma Digitale a norma di legge in Italia
Il citato decreto legislativo rivede anche le tipologie di firma elettronica previste contemplando tre
tipologie di firma:
firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione
informatica.
firma elettronica qualificata: la firma elettronica ottenuta attraverso una procedura
informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il
firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in
modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia
basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la
creazione della firma.
firma digitale: un particolare tipo di firma elettronica qualificata basata su un sistema di
chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare
tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di
rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di
un insieme di documenti informatici.
Le norme continuano a contemplare due tipologie di certificato (qualificato e non qualificato) e
tre di certificatore (che rilascia certificati qualificati: accreditato o notificato; che rilascia
certificati non qualificati). Istanze e dichiarazioni inviate per via telematica da e verso la PA
sono valide se sottoscritte mediante firma digitale basata su un certificato qualificato
rilasciato da un certificatore accreditato e generata mediante un dispositivo sicuro per la
creazione di firme elettroniche.
35
Firma digitale nei file formato pdf
Ai sensi della normativa italiana vigente, il formato PDF è riconosciuto valido per
la firma digitale a tutti gli effetti di Legge
In riferimento alla Deliberazione CNIPA n. 4/2005, il formato PDF è stato
riconosciuto pienamente valido per la firma digitale ai sensi dell'Art. 12, comma
9, mediante la stipula di un Protocollo d'Intesa sottoscritto il 16 Febbraio 2006
dal CNIPA e da Adobe Systems Inc. Le specifiche del formato PDF sono
disponibili pubblicamente e gratuitamente sul sito Web di Adobe Systems (in
inglese).
L'add-on per la firma digitale con Adobe Acrobat e Adobe Reader è uno
strumento gratuito offerto da Adobe Systems Italia che consente di verificare
firme digitali apposte a documenti Adobe PDF ai sensi della normativa vigente
in Italia. Installa anche l'Elenco Pubblico dei Certificatori e permette di
aggiornarlo nel tempo. Nuova versione compatibile con le versioni 7 e 8 di
Adobe Acrobat e Adobe Reader.
http://www.adobe.com/it/security/italiandigsig.html
36
Altri modi per firmare digitalmente
Il formato PDF non è l'unico modo per certificare con firma digitale un documento. Sul mercato
esistono altre modalità come ad esempio:
l'IRM (Information Right Management) di Microsoft Office attraverso il quale si può impedire la
visualizzazione, modifica, stampa, copia e inoltro di un documento
P7M, formato usato per la “busta crittografica”, ovvero un file unico che contiene i documenti,
creato in base alle norme del CNIPA (standard RFC2315-PKCS7 1.5) che ne garantiscono la
validità. Può essere creato da diverse applicazioni professionali per la firma digitale, come Trust
Italia Verisign, solitamente tramite hardware con SmartCard
PEC (Posta Elettronica Certificata), sorta di “raccomandata RR digitale” che garantisce con valore
legale l'invio e la ricezione di documenti allegati ad una e-mail, si utilizza con i normali software di
posta elettronica, ma è accessibile solo sottoscrivendo un contratto con un Gestore PEC
accreditato
37
Firma digitale in Open office
Per firmare un documento di OpenOffice.org usando il certificato,
scegliere ->File -> Firme digitali, premere il tasto aggiungi,
selezionare il vostro certificato e premere Ok per chiudere i
dialoghi e per firmare il documento. Dovreste vedere un'icona
molto piccola
nella barra di stato, che indica che il
documento ora digitalmente è stato firmato. Altri utenti possono
osservare il certificato facendo doppio click sull'icona e
selezionando Visualizza certificato.
L'icona nella barra di stato indica che il documento non è stato
alterato in nessun modo. La modifica del documento firmato sulla
vostra macchina rimuove automaticamente la firma digitale e
dovete firmare nuovamente il documento una volta che e' stato
completato il lavoro.
38
Firma digitale in Microsoft Office (da Office 2003)
Per firmare un documento di Office:
Scegliere Opzioni dal menù Strumenti, quindi fare clic sulla scheda
Protezione.
Fare clic su Firme digitali.
Fare clic su Aggiungi.
Selezionare il certificato che si desidera aggiungere, quindi fare clic su
Apri.
39
Firma digitale in Office (Office 2007)
Creare un proprio ID digitale
Se non si desidera acquistare un certificato digitale da un'autorità di certificazione di terze parti o se si desidera
inserire subito una firma digitale nel documento, è possibile creare il proprio certificato digitale selezionando
l'opzione Creare un proprio ID digitale nella finestra di dialogo Ottenere un ID digitale.
Per creare il proprio certificato digitale
1. Nella finestra di dialogo Ottenere un ID digitale selezionare Creare un proprio ID digitale.
Importante: La finestra di dialogo Ottenere un ID digitale viene visualizzata solo se si tenta di firmare
digitalmente un documento senza utilizzare un certificato digitale.
2. Nella finestra di dialogo Creare un proprio ID digitale digitare le informazioni seguenti da includere nell'ID
digitale:
* Nella casella Nome digitare il proprio nome.
* Nella casella Indirizzo di posta elettronica digitare il proprio indirizzo di posta elettronica.
* Nella casella Organizzazione digitare il nome della propria organizzazione o società.
* Nella casella Posizione digitare la propria posizione geografica.
3. Fare clic su Crea.
Nota Se si firma digitalmente un documento utilizzando un certificato digitale creato personalmente e quindi si
condivide il file firmato, altri utenti non potranno verificare l'autenticità della firma digitale. Tale operazione è
infatti consentita solo nel computer sul quale è stata creata la firma digitale.
40
InfoCamere e firma digitale
http://www.card.infocamere.it/
La smart card o la pen-drive consentono di conservare in
modo protetto le chiavi private del titolare.
Per poter gestire il sistema di firma digitale è necessario installare il programma Dike (dopo
aver installato il lettore di smart-card) (la pen-drive non necessita di lettore).
Dike, sviluppato e distribuito gratuitamente da InfoCamere, è il software che consente di
apporre e verificare una o più firme digitali su qualunque tipo di file, nonché verificare e
apporre marcature temporali.
La marcatura temporale di un documento informatico, consiste nella generazione, di una
firma digitale del documento cui è associata l'informazione relativa ad una data e ad
un'ora certa. Un file marcato temporalmente ha estensione .p7m: al suo interno
contiene il documento del quale si è chiesta la validazione temporale e la marca emessa
dall'Ente Certificatore InfoCamere.
41
PEC Posta Elettronica Certificata - funzionamento
Provider di Posta
Certificata A
Provider di Posta
Certificata B
Casella di
posta
Ricevuta di
accettazione
Ricevuta di
consegna
Destinatario
Mittente
42
PEC Posta Elettronica Certificata
PEC è l'acronimo di Posta Elettronica Certificata: e' un sistema di "trasporto"
di documenti informatici che presenta delle forti similitudini con il servizio di
posta elettronica "tradizionale", cui però sono state aggiunte delle
caratteristiche tali da fornire agli utenti la certezza, a valore legale, dell’invio e
della consegna (o meno) dei messaggi e-mail al destinatario.
Perché "certificata"
Il termine "certificata" si riferisce al fatto che il gestore del servizio rilascia al
mittente una ricevuta che costituisce prova legale dell’avvenuta spedizione del
messaggio ed eventuali allegati.
Allo stesso modo, il gestore del destinatario invia al mittente la ricevuta di
avvenuta consegna.
I gestori certificano quindi con le proprie "ricevute":
che il messaggio è stato spedito
che il messaggio è stato consegnato (al provider del destinatario)
e che non è stato alterato
43
PEC Posta Elettronica Certificata
In ogni avviso inviato dai gestori e' apposta anche una
marca temporale che certifica data ed ora di ognuna
delle operazioni descritte.
I gestori inviano ovviamente avvisi anche in caso di
errore in una qualsiasi delle fasi del processo
(accettazione, invio, consegna) in modo che non ci
siano mai dubbi sullo stato della spedizione di un
messaggio.
Se il mittente dovesse smarrire le ricevute, la traccia
informatica delle operazioni svolte, conservata dal
gestore per 30 mesi, consente la riproduzione, con lo
stesso valore giuridico, delle ricevute stesse.
44
PEC Posta Elettronica Certificata
Vantaggi:
Semplicità: il servizio PEC si usa come la normale posta elettronica sia tramite
programma client (Es. Outlook Express) che via web.
Sicurezza: Il servizio utilizza i protocolli sicuri POP3s, IMAPs, SMTPs ed HTTPs. Tutte
le comunicazioni sono protette perché crittografate e firmate digitalmente. Per questo
avrete sempre la certezza che i messaggi inviati o ricevuti non possano essere
contraffatti.
Valore legale: a differenza della tradizionale posta elettronica, alla PEC e' riconosciuto
pieno valore legale e le ricevute possono essere usate come prove dell'invio, della
ricezione ed anche del contenuto del messaggio inviato. Le principali informazioni
riguardanti la trasmissione e la consegna vengono conservate per 30 mesi dal gestore e
sono anch’esse opponibili a terzi.
No Virus e Spam : l'identificazione certa del mittente di ogni messaggio ricevuto ed il
fatto che non si possano ricevere messaggi non certificati, rendono il servizio PEC
pressoché immune dalla fastidiosa posta spazzatura.
Risparmio: Confrontando i costi di una casella PEC con quello di strumenti quali fax e
raccomandate e' evidente il risparmio che si può ottenere non solo in termini economici,
ma anche di tempo.
Costo fisso: il prezzo annuale di una casella PEC non prevede costi aggiuntivi in base
all'utilizzo.
45
Conclusioni
La posta elettronica è un mezzo di comunicazione senza
confronti.
Una firma digitale ed un'e-mail certificata sono ora i nostri
obbiettivi per combattere lo Spam e diminuire la posta
cartacea.
Ringrazio tutti per la partecipazione
Gabriele Riva
www.plcforum.it
46