[Flug] [Possible phishing attempt] Re: Riunione operativa del 07/11/2024

ml-flug@abisso.org ml-flug@abisso.org
Lun 11 Nov 2024 16:49:11 CET 

On Sunday, 10 November 2024 at 10:34, Leandro Noferini <lnoferin@cybervalley.org> wrote:

>
> ------------------------------
> ml-flug@abisso.org writes:
>
> > Il gio, nov 7, 2024 alle 23:29, Leandro Noferini leandro@cybervalley.org ha scritto
> >
> > - server email
>
> [...]
>
> > Forse sarebbe più utile alla comunità l'installazione di
> > https://github.com/simple-login/app per offrire mail alias in modo
> > anche dinamico.
> >
> > Credo che simplemail potrebbe coniugare un servizio di posta utile con
> > il poco spazio disponibile.
>
>
> C'ho dato un'occhiata e vorrei avere delle delucidazioni (da te che lo
> usi):
>
> - gli account "mascherati" rimangono accessibili in qualche modo?
>
> - nel sito "commerciale" e in quello di git viene sempre specificato che
> gli indirizzi "esterni" sono accessibili attraverso client specifici
> (per cellulari e simili) ed estensioni per browser ma non riesco a
> capire se lo sono anche con strumenti "standard" per l'email come smtp
> e imap/pop
>


Allora provo a risponderti. Spiego la questione usando i termini ufficiali del software perchè non sono sicuro al 100% di cosa intendi per account mascherati.

Premetto però che io uso la versione commerciale di proton, ma quando ho studiato la questione ero arrivato alla conclusione che fosse tutto replicabile al 100% in self hosting.


In simplelogin una casella di posta esistente, esterna al sistema, si chiama mailbox.

Simplelogin ti permette di generare degli alias, gli alias si generano a partire dal dominio offerto dall'hosting (in questo caso flug.linux.it), dei sottodomini assegnati agli utenti (qualcosa.flug.linux.it) ed infine dai domini privati degli utenti che aggiungono al sistema (e di cui mantengono l'uso esclusivo).

Gli alias fanno forward immediato alle mailbox assegnate ed il messaggio non viene salvato sul server, nel caso in cui il messaggio fallisse i controlli DKIM e finisse in quarantena allora è disponibile in formato eml per 7gg, dodichè viene cancellato.

Quindi tu generi un alias, lo dai in giro, e la posta ti arriva nella tua mailbox.

Per non fallire i controlli spam il mittente della email viene modificato in modo da essere compatibile con il mail server ed il reply-to diventa un reverse alias per cui se tu rispondi alla mail questa arriva a simplelogin che la riscrive usando il destinatario effettivo.

Ci sono poi alcuni header extra aggiunti da simplelogin che contengono gli indirizzi email effettivi, e volendo il tuo client di posta potrebbe utilizzare quelli per darti una esperienza trasparente.

Io da qualche mese utilizzo solo alias, ho convertito tutte le mei email esistenti in alias e ne ho fatta una nuova che ad aggi avranno meno di 10 persone.

Per quanto riguarda l'accesso a questa applicazione, che gestisce solo alias, mailbox e domini, è web o tramite app mobile. Nel caso della app mobile non so come funzioni con il self-hosting (specialmente per iOS).

Mi fermo qui che ho già scritto una muro di testo, se ci sono altre domande fatele pure.

nolith

Maggiori informazioni sulla lista flug