È una interessante storia quella raccontata da Marius Schwarz, sviluppatore Fedora, a proposito della scoperta di un bug che documenta come molte volte si diano per scontato configurazioni e comportamenti quando poi la realtà delle cose è molto differente.

Lo scorso maggio, come ogni sei mesi, il team di Fedora ha aggiornato i propri sistemi operativi passando, in questo caso, dalla versione 42 alla 43, in piena modalità “Eat your own dog food“, che significa, più o meno, “la versione server che produciamo è usata veramente per i nostri carichi di lavoro”.

In questo aggiornamento, Dovecot, l’utilizzatissimo software per l’esposizione dei protocolli di posta elettronica POP e IMAP, ha visto il passaggio di versione alla 2.4.3 la quale, non essendo retro compatibile, ha costretto i sysadmin a prendersi particolare cura della nuova configurazione. Infatti, una delle novità di questa nuova versione, è stata l’abbandono della modalità PLAIN TEXT per i protocolli. Una cosa che, sulla carta, dovrebbe essere indolore oggigiorno, visto che ormai ogni client di posta elettronica è in grado di gestire i protocolli in modalità criptata, altrimenti detta STARTTLS.

Poi però c’è Outlook.

Schwarz racconta come fossero tutti pronti in casa Fedora a sentire le chiamate dei clienti, qualcosa di abbastanza normale il giorno dopo gli upgrade, eppure in questo caso molti, anzi troppi, avevano un aspetto in comune: lamentavano il fatto di non potersi più connettere con Outlook ai servizi POP3.

Una veloce indagine ha svelato cosa queste persone avessero in comune: una mailbox con “SSL/TLS” abilitato, ma con puntamento alla porta 110 che, come saprà chi mastica un po’ di posta elettronica, è in realtà la porta del protocollo POP, senza “s”, quello “in chiaro”.

La porta corretta avrebbe dovuto essere la 995, ma Outlook, e qui sta il bug, anziché correggere la porta con quella corretta dopo la selezione di STARTTLS di default rimane sul protocollo PLAIN TEXT, puntando alla porta 110 ed ignorando totalmente la selezione.

Risultato, gli utenti che hanno visto apparire il messaggio:

-ERR [AUTH] Cleartext authentication disallowed on non -secure ( SSL/TLS ) connections.

pur avendo selezionato STARTTLS.

Il supporto Fedora ha risolto quindi con gran velocità i problemi degli utenti, semplicemente dicendo di cambiare la porta, ma la questione va osservata da un punto di vista molto più ampio. Il problema in questione c’è da tempo immemore, si stima una ventina d’anni. Anni in cui un utente che “pensava” di essere in una comunicazione criptata stava in realtà parlando in chiaro.

L’articolo si chiude con un importante disclaimer:

Disclaimer: It is possible that MS patched the Outlook UI in the past in a way that only old accounts are affected by this major fail. As Fedora users we had no Outlook available to test this 😉

Avvertenza: È possibile che Microsoft abbia corretto l’interfaccia utente di Outlook in passato in modo che solo i vecchi account siano affetti da questo grave problema. Come utenti Fedora non avevamo Outlook a disposizione per testarlo 😉

Ma, sia come sia, questa vicenda dimostra ancora una volta quanto siano fragili le nostre certezze in materia di sicurezza e, fosse necessario aggiungerlo: abilitare SSL sulla posta elettronica è sempre cosa buona e giusta.