Vai al contenuto
Vai al menu di navigazione
Vai all'indice del modulo

Posta Elettronica

Architettura e funzionamento

Il sistema di posta elettronica è basato su un modello client-server e presenta una architettura basata su tre elementi fondamentali:

  • Client di posta elettronica

in gergo denominati Mail User Agent (MUA), costituiscono lo strumento di accesso al servizio, analogamente a come un web-browser rappresenta il mezzo per la navigazione del web.
Esempi di MUA sono il Microsoft Outlook Express, fornito assieme al sistema operativo Windows, Thunderbird ed Eudora.
Alcuni fornitori del servizio di posta elettronica, in modalità esclusiva o per fornire un ulteriore metodo di accesso, prevedono la possibilità di inviare e ricevere posta elettronica per mezzo di un comune browser web. Questo tipo di servizio, denominato web mail, generalmente non offre protezioni aggiuntive dal punto di vista della sicurezza.

  • Agenti di trasporto delle e-mail

denominati Mail Transport Agent (MTA), sono i componenti del sistema che si occupano di trasportare i messaggi di posta dal mittente al destinatario attraverso Internet.

  • Agenti di consegna delle e-mail

denominati Mail Delivery Agent (MDA), ricevono la posta dai MTA e procedono allo smistamento ed alla consegna verso gli utenti destinatari, quando questi ultimi ne fanno richiesta.

I passaggi fondamentali che si susseguono nel trasporto della posta elettronica, prevedono l'interazione dei seguenti elementi:

  • Il mittente crea un messaggio, per mezzo del proprio MUA (client di posta elettronica), e specifica oltre al suo indirizzo (necessario per le risposte) l'indirizzo di posta elettronica del destinatario.
  • Quando l'utente richiede al proprio client di posta l'invio del messaggio, il MUA provvede a contattare il primo MTA (agente di trasporto delle email), che solitamente risulta essere un computer di proprietà dell'Internet Service Provider (ISP) con il quale l'utente ha sottoscritto l'abbonamento per la connettività ad Internet ¹.
  • Effettuata la connessione con il primo MTA, il MUA procederà ad inoltrare il messaggio di posta e, se l'operazione ha successo, a comunicare all'utente la conclusione dell'attività.
  • Il messaggio di posta elettronica sarà quindi preso in consegna dal primo MTA contattato e sarà inoltrato attraverso Internet verso altri MTA che coopereranno per recapitarlo al MDA (agente di consegna delle email) dell'ISP con il quale il destinatario ha sottoscritto l'abbonamento per la connettività.
  • Il destinatario del messaggio di posta, quando avvierà il proprio MUA controllando la presenza di nuovi messaggi, preleverà dal MDA tutte le e-mail a lui dirette.

Il trasferimento della posta elettronica utilizza, principalmente, tre differenti protocolli di comunicazione: SMTP, POP3 e IMAP.

  • Simple Mail Transfer Protocol (SMTP)

Utilizzato per l'invio dei messaggi di posta, dal MUA al primo MTA e per i trasferimenti da MTA a MTA.

  • Post Office Protocol versione 3 (POP3)

Utilizzato, per la ricezione della posta, dai MUA per contattare il MDA.

  • IMAP (Internet Message Access Protocol)

Ha le stesse funzionalità di POP3, ed è alternativo a quest'ultimo.
È importante capire che questi protocolli sono estremamente carenti dal punto di vista della sicurezza:

  • trasmettono i dati in chiaro sulla rete, ivi comprese le credenziali di autenticazione;
  • non prevedono alcun meccanismo per garantire la consegna;
  • non prevedono l'autenticazione del mittente. Sebbene sia richiesta l'autenticazione per utilizzare il servizio di posta elettronica:
    • l'indirizzo di posta elettronica del mittente, differente dal nome utente utilizzato per l'autenticazione al servizio, non subisce particolari verifiche e può facilmente essere contraffatto;
    • il MDA che riceve i messaggi per conto dell'utente, non ha modo di verificare opportunamente la correttezza dell'indirizzo di posta del mittente.

Come conseguenza:

  • non si dovrebbero mai inviare messaggi contenenti informazioni riservate o sensibili;
  • per aspetti particolarmente cruciali, non si dovrebbe far troppo affidamento sul servizio di posta elettronica. Anche se la qualità delle connessioni attuali è elevata, ed esistono dei meccanismi in grado di aggiungere un certo grado di affidabilità al servizio (e.g.: conferma di avvenuta ricezione), la natura del servizio di posta elettronica rimane best effort;
  • il mittente dei messaggi di posta potrebbe non essere chi dice di essere. La falsificazione dell'indirizzo del mittente (in gergo denominato spoofing) è alla base del Phishing e dello SPAM;
  • non solo i messaggi di posta sono trasmessi o ricevuti in chiaro ma anche le credenziali di accesso al servizio (i.e.: nome utente e password) sono inviate senza alcuna protezione.

In ambienti di rete insicuri, come ad esempio reti wireless non opportunamente protette, questa vulnerabilità può portare al furto d'identità. Ad aggravare la situazione può intervenire una politica scorretta di utilizzo delle password.

Per venire incontro alle nuove esigenze che lo sviluppo di Internet ha portato con sè, i protocolli SMTP, POP3 ed IMAP sono stati, nel corso degli anni, arricchiti di funzionalità non previste durante la loro progettazione.
Analogamente a quanto avviene per il protocollo HTTPS, SMTP, POP3 e IMAP utilizzando il protocollo TLSv1 sono in grado di garantire integrità e riservatezza dei messaggi e consentono anche la protezione delle credenziali di accesso al servizio di posta.

¹ È importante osservare che alcuni provider del servizio di posta elettronica – tra i più noti Gmail, Yahoo! ed Hotmail – non sono ISP.