Come sono organizzati “i grandi”? Ce lo dice, in parte, il DNS
Mentre preparavo il post sui metodi di autenticazione dei messaggi e-mail e provavo sul campo quanto descritto, mi sono reso conto che l’analisi della voce DNS di un dominio registrato e, in particolare, dei record di tipo TXT[1]Consultare una voce DNS non è un’azione illegale né tantomeno da nerd o da ethical hacker. Basta aprire il prompt dei comandi di Windows e digitare “nslookup -q=TXT <nome del … Continue reading, consente di aver un’idea (indiretta e non deterministica, ben inteso) sugli strumenti informatici in uso presso l’organizzazione titolare del nome di dominio.
Ci si può dunque togliere qualche curiosità su come sono organizzati “i grandi”.
Ricordo: nei record TXT di una voce DNS si trovano informazioni, per esempio, su come è configurato il SPF, cioè i server/soggetti autorizzati a inviare email provenienti dal dominio internet dell’organizzazione stessa. I record TXT rivelano anche altro circa gli strumenti in uso. Ecco di seguito qualche esempio, senza giudizi di merito, ma giusto per dare l’idea di quanto chiunque possa ottenere informazioni apparentemente “segrete” semplicemente leggendo con consapevolezza dati che sono pubblici[2]In ambito cybersecurity si usa il termine OSInt (Open Source Intelligence) per indicare questa attività che consente di ricavare informazioni a partire da dati pubblicamente disponibili..
PagoPA spa
PagoPA spa manda email con Google e tramite altri server indicati tramite indirizzo IP:
nslookup -q=TXT pagopa.gov.it
[...]
"v=spf1 ip4:193.203.229.121/32 ip4:193.203.230.121/32 include:_spf.google.com -all"L’indirizzo IP 193.203.229.121, con un “reverse DNS lookup” risulta associato al dominio (di terzo livello) csmr02.sia.eu. Questo risulta registrato da Nexi Payments (https://whois.eurid.eu/en/search/?domain=sia.eu).
Ragionevolmente in casa PagoPA spa si usa Google Workspace come strumento di produttività aziendale. E c’è qualche legame con Nexi.
Dipartimento per la trasformazione digitale
In zona Dipartimento per la trasformazione digitale, l’SPF appare così:
nslookup -q=TXT innovazione.gov.it
[...]
"v=spf1 include:_spf.google.com include:mailgun.org include:spf.protection.outlook.com include:_spf_w_o365.palazzochigi.it include:_spf.salesforce.com -all"Si direbbe che l’operatività del Dipartimento poggi sulla suite Microsoft in versione cloud (Office 365), oltre che sul CRM (Customer Relationship Manager) Salesforce, su un servizio di mailing massivo come Mailgun e sull’onnipresente Google.
Altri record di tipo TXT
innovazione.gov.it text =
"MS=ms91832207"
innovazione.gov.it text =
"atlassian-domain-verification=Gx4N52MU0Iq9RhCvMDuaHGfrPrYbZ7TTLvBgRJpGFjazq2VauWDx1Qw8kf0wPrRr"sembrano indicare che il DTD sia titolare di un tenant dedicato di Microsoft Office 365 e che usi anche il prodotto Atlassian come “software di collaborazione fra team”.
Garante per la protezione dei dati personali
L’articolo sul valore documentale della posta elettronica, trattando di metadati, citava anche il Garante per la protezione dei dati personali. Cosa avviene in casa del Garante, che ha anche un dominio storico?
nslookup -q=TXT garanteprivacy.it
[...]
"v=spf1 ip4:93.63.133.114/32 ip4:93.63.133.113/32 -all"
nslookup -q=TXT gpdp.it
[...]
"v=spf1 ip4:93.63.133.114/32 ip4:93.63.133.113/32 include:_spf.salesforce.com include:amazonses.com include:_spf.internetsoluzioni.it -all"
[...]
gpdp.it text =
"MS=ms17447093"
[...]
gpdp.it text =
"amazonses:lmOmSfNQ4S4g1fdrFSQGx6Z/z6+db2t/jmGZzsSVH58="Si direbbe che il Garante abbia un server email proprio (i due indirizzi IP nel record SPF) e che si appoggi anche lui su Salesforce per le “relazioni con i clienti”. L’invio di mail massive (immagino newsletter) sembrerebbe utilizzare il servizio Amazon Simple Email. internetsoluzioni.it rimanda all’impresa isweb s.p.a. che offre soluzioni informatiche per la pubblica amministrazione, inclusi siti web (a colpo d’occhio e sentimento si direbbe la mano che ha creato il sito del Garante, dal quale probabilmente partono messaggi email in caso di compilazione di form o simile). Anche il Garante dovrebbe avere un tenant dedicato per Office 365 di Microsoft.
ACN – Agenzia per la cybersicurezza nazionale
nslookup -q=TXT acn.gov.it
Server: UnKnown
Address: 2001:b07:2eb:baf4:c644:7dff:fec1:ce64
Risposta da un server non autorevole:
acn.gov.it text =
"MS=ms63862681"
acn.gov.it text =
"v=spf1 ip4:195.66.10.0/24 ip4:195.66.9.224/27 ip4:195.66.14.128/25 ip4:217.175.52.161/32 ip4:217.175.52.162/32 include:spf.protection.outlook.com -all"Anche l’Agenzia per la cybersicurezza nazionale (ACN) usa Office 365 su un tenant dedicato. La posta elettronica, oltre che tramite i server Microsoft, parte anche da server propri, indicati dagli indirizzi IP (dei quali, due classi fanno riferimento al dominio “palazzochigi.it”, una a “finanze.it”).
Trenitalia
nslookup -q=TXT trenitalia.it
Server: UnKnown
Address: 2001:b07:2eb:baf4:c644:7dff:fec1:ce64
Risposta da un server non autorevole:
[...]
trenitalia.it text =
"MS=ms76176299"
[...]
trenitalia.it text =
"v=spf1 mx a ip4:193.138.162.83 ip4:129.35.117.23 ip4:129.35.117.24 include:spf-002e6a01.pphosted.com ~all"Il tenant Microsoft dedicato va per la maggiore anche nel mondo privato, come mostra il DNS di trenitalia.it.
La posta di Trenitalia parte da server “propri”, alcuni con IP riferibili direttamente a domini collegati all’azienda (es.: fsitaliane.it), oltre che dai server di Proofpoint, azienda statunitense specializzata in cybersecurity. Un paio di IP si riferiscono a un dominio registrato dalla società Global Services Spa di Torino (che, stando all’onniscente Google, si occupa di servizi di “direct mail advertising” e, forse, per altra pagina web, ha cessato l’attività).
Non sono riuscito a trovare record riferibili a DMARC e DKIM per Trenitalia. Anche la mail con l’ultimo biglietto ferroviario acquistato sembra non contenere intestazioni riferibili a DKIM e DMARC. Viene da chiedersi se i viaggiatori che usano gmail possano avere dei problemi, visto che da febbraio 2024 Google intende dare una stretta alla ricezione di messaggi non autenticati, almeno da chi invia molti messaggi al giorno verso indirizzi gmail: Gmail introduces new requirements to fight spam (blog.google)
INPS
Tornando in ambito pubblico, diamo un’occhiata al DNS dell’INPS (mittente abbastanza impersonificato dai truffatori telematici):
nslookup -q=TXT inps.it
Server: UnKnown
Address: 2001:b07:2eb:baf4:c644:7dff:fec1:ce64
Risposta da un server non autorevole:
inps.it text =
"v=spf1 include:spf.protection.outlook.com ip4:89.97.177.19 ip4:89.97.177.3 ip4:93.63.43.112 ip4:93.63.43.115 ip4:93.63.43.113 ip4:93.63.43.114 ip4:89.97.59.100 ip4:89.97.59.101 -all"
inps.it text =
[...]
"MS=ms70335819"Anche INPS usa Office 365 su un tenant dedicato e da lì parte anche la posta, oltre che da diversi server “propri” (gli IP del record SPF sono riferibili al dominio inps.it).
Unicredit
E il mondo bancario. Ecco Unicredit:
>nslookup -q=TXT unicredit.it
Server: UnKnown
Address: 2001:b07:2eb:baf4:c644:7dff:fec1:ce64
Risposta da un server non autorevole:
unicredit.it text =
"MS=ms53006370"
unicredit.it text =
"v=spf1 include:eu.spf.unicreditgroup.eu exists:%{i}.spf.hc210-93.eu.iphmx.com exists:%{i}.spf.hc437-5.eu.iphmx.com ip4:81.29.204.31 ip4:93.62.176.70 -all"Anche qui un tenant Microsoft dedicato. Le e-mail partono da server “propri” riferibili al dominio unicreditgroup.eu. Il dominio iphmx.com dovrebbe, stando a ricerche sul web, riferirsi a un sistema di posta sicuro offerto da Cisco. Curiosi i due indirizzi IP che si riferiscono a due soggetti che si occupano di comunicazione: Zodiak Active e Magnolia TV (riferibili al gruppo Zodiak Media Group, controllato dal gruppo De Agostini – secondo Wikipedia dovrebbero aver cessato l’attività).
Intesa San Paolo
>nslookup -q=TXT intesasanpaolo.com
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 2001:b07:2eb:baf4:c644:7dff:fec1:ce64
Risposta da un server non autorevole:
intesasanpaolo.com text =
"zoho-verification=zb53226749.zmverify.zoho.eu"
[...]
intesasanpaolo.com text =
"v=spf1 include:spf.intesasanpaolo.com include:spf.protection.outlook.com include:service-now.com include:successfactors.eu -all"
[...]
intesasanpaolo.com text =
"MS=ms21297654"L’altro grande gruppo bancario italiano, oltre all’immancabile tenant dedicato di Microsoft 365, usa Zoho come CRM e/o strumento di collaborazione.
Conclusione
Quanto sopra è solo un esercizio fine a se stesso, per prendere dimestichezza con i record del DNS e osservare come dalla loro analisi si possano trarre informazioni sugli strumenti in uso presso un’organizzazione.
Alcune conclusioni, precisiamolo, potrebbero essere non del tutto corrette.
Sicuramente, sembra che i tenant dedicati Microsoft 365 vadano per la maggiore. Devo procurarmene uno anche io (qualunque cosa sia[3]In realtà, un tenant Microsoft dedicato è un’istanza della suite Microsoft dedicata a una singola organizzazione, con localizzazione dei server in un’area geografica prestabilita. … Continue reading)… 😉
Note
| ↑1 | Consultare una voce DNS non è un’azione illegale né tantomeno da nerd o da ethical hacker. Basta aprire il prompt dei comandi di Windows e digitare “nslookup -q=TXT <nome del dominio>“. |
|---|---|
| ↑2 | In ambito cybersecurity si usa il termine OSInt (Open Source Intelligence) per indicare questa attività che consente di ricavare informazioni a partire da dati pubblicamente disponibili. |
| ↑3 | In realtà, un tenant Microsoft dedicato è un’istanza della suite Microsoft dedicata a una singola organizzazione, con localizzazione dei server in un’area geografica prestabilita. Ragionevolissimo che organizzazioni “grandi”, pubbliche o private, che hanno scelto prodotti Microsoft optino per questa soluzione. Ci sono delle eccezioni comunque, come la Regione Emilia-Romagna che, stando al DNS, non ha un tenant Microsoft dedicato, pur usando i servizi Microsoft 365. |
