Email studenti (Ottobre 2023)
Prima di scrivere questo documento ho dato agli studenti informazioni diverse e non accurate, anche e soprattutto perché alcuni studenti mi avevano dato (non per loro colpa) informazioni incomplete ed inaccurate che non avevo approfondito. Quanto segue "dovrebbe" essere corretto ed aggiornato ad Ottobre 2023.
L'architettura delle mailbox che l'Università di Trieste mette a disposizione di ogni studente è un pò intricata (non per "colpa" dei servizi informatici dell'Università: i sistemi di email delle grandi organizzazioni sono intrinsecamente complicati).
Quanto segue non è parte del programma di esame. E' solo per soddisfare eventuali curiosità e per capire che la realtà, come ormai sappiamo, è molto più complessa ed intricata di quanto vediamo a lezione. Leggere questa pagina, comunque, può essere utile perché contiene alcuni suggerimenti di interrogazioni DNS e Whois che credo siano esercizi interessanti.
Visione utente
Ogni studente ha:
- Un identificatore univoco della forma
sNumero@ds.units.it
- Un indirizzo email della forma
sNumero@stud.units.it
- Un indirizzo email della forma
nome.cognome@studenti.units.it
- Una sola mailbox identificata da entrambi gli indirizzi email 2 e 3.
Notare che:
- La struttura sintattica di 1 è quella di un indirizzo email ma 1 non è un indirizzo email.
- Gli indirizzi email 2 e 3 appartengono a domini email diversi (ma identificano la stessa mailbox).
Identificatore univoco
Ogni studente ha un identificatore univoco all'interno del "sistema di identità" dell'Università di Trieste. Chiunque abbia necessità di accedere ai sistemi informatici dell'Università (personale docente, personale tecnico-amministrativo, personale a contratto etc.) ha un identificatore univoco nello stesso sistema. Il mio identificatore è 5943@ds.units.it
Il "sistema di identità" dell'Università di Trieste è quello di gran lunga più diffuso tra le grandi organizzazioni. Si chiama Active Directory (AD), è basato su Windows, è enormemente complesso e sarà descritto, in maniera introduttiva, nel corso di Cybersecurity alla magistrale (corso tenuto da me).
La struttura sintattica degli identificatori Active Directory è la stessa degli indirizzi email. Ma sono cose diverse (mele e scarpe).
Un identificatore Active Directory si può usare in ogni software che si aspetta di ricevere un identificatore Active Directory. Ad esempio nella pagina di login di Microsoft Teams e nella pagina di login di esse3 (omettendo la parte che segue il carattere @
). Da questo punto di vista un identificatore AD è cioè una sorta di username, valido solo nei programmi applicativi "integrati" in Active Directory dell'Università di Trieste.
Un altro dei software nei quali si possono usare gli identificatori AD è Outlook. Quando si prepara un email da inviare, Outlook permette di inserire nel campo To:
un indirizzo email oppure un identificatore Active Directory. Nel secondo caso, Outlook interroga il "database delle identità Active Directory" in maniera automatica e nascosta (per mezzo di un codice Javascript eseguito nel browser) per prelevare alcuni "attributi" di quell'identificatore, se esiste. Gli "attributi" prelevati sono nome, cognome, indirizzo email e vengono scritti nel campo To:
dell'email.
In altre parole: l'utente scrive nel campo To:
la stringa 5943@ds.units.it
(identificatore AD) ed Outlook sostituisce quella stringa automaticamente con:
Alberto Bartoli <bartoli.alberto@units.it>
Dettaglio Active Directory
Dettaglio che confonde le idee: l'insieme di tutte le identità Active Directory in una organizzazione (ad esempio l'Università di Trieste) si chiama dominio.
Questo termine identifica una entità (cioè l'insieme di tutte le identità Active Directory in una stessa organizzazione) che non c'entra nulla con i domini DNS (insieme di tutti i RR con lo stesso nome). In altre parole, in AD il termine "dominio" identifica una lampada, nel DNS il termine "dominio" identifica un cucchiaio: entità di tipo radicalmente diverso.
Per motivi interni ad Active Directory:
- ogni dominio deve avere un nome;
- questo nome è la parte che segue il carattere
@
negli identificatori; - ogni nome di dominio AD deve essere una zona DNS (provate a verificare l'esistenza di tale zona inviando una query "appropriata" al DNS, ad esempio con digonline).
Indirizzi email e mailbox
Gli indirizzi email 2 e 3 identificano la stessa mailbox. Ciò non si può dedurre dalla forma dell'indirizzo email o da interrogazioni al DNS. Lo si può verificare "sperimentalmente" inviando un email verso l'indirizzo 2 ed un altro email verso l'indirizzo 3: i due email arriveranno entrambi nella stessa mailbox.
In dettaglio, interrogando il DNS (ad esempio con digonline; esercizio utile) si osserva che entrambe le mailbox si trovano sullo stesso insieme di 7 mail server, sono cioè replicate su 7 mail server. Più precisamente:
- Dai RR MX si osserva che i due domini email si trovano su due mail server di nome diverso.
- Dai corrispondenti RR A si osserva che ognuno dei due mail server ha lo stesso insieme di 7 indirizzi IP.
E' quindi ragionevole ipotizzare che i due mail server siano in realtà 7 repliche diverse dello stesso mail server (il modo con il quale sono replicate le informazioni non è parte di questo corso).
Per determinare chi sia il proprietario di tali indirizzi IP si può interrogare un servizio Whois. I servizi Whois permettono di determinare il proprietario di un dominio (fino al secondo livello compreso) e anche di determinare il proprietario di un indirizzo IP. L'accesso pubblico a queste informazioni può avere delle limitazioni a seconda del dominio o indirizzo IP per motivi che non approfondiamo. In questo caso non ci sono limitazioni, vedi ad esempio https://www.whois.com/whois/52.101.73.8.
Per uno dei due domini email (stud.units.it
) ci sono due RR di tipo MX. Ciò significa che per quel dominio email ci sono due mail server. I nomi dei due mail server sono preceduti da due numeri interi diversi:
25 stud-units-it.mail.protection.outlook.com.
15 mx0ts.units.it.
In breve, questi numeri indicano la "priorità" con la quale si deve tentare di contattare il mail server corrispondente.
E' ragionevole ipotizzare che mx0ts.units.it
:
- E' un mail server interno all'Università di Trieste.
- E' stato configurato per inoltrare automaticamente ogni email che riceve verso l'altro mail server.
Non sono a conoscenza del motivo di questa duplicazione.
Per confermare l'ipotesi 1 si può interrogare un Whois per verificare chi è il proprietario del dominio units.it
e chi è il proprietario dell'indirizzo IP di mx0ts.units.it
. Fatelo, è semplice.
Chi gestisce il mail server?
Il mail server stud-units-it.mail.protection.outlook.com.
è gestito da Microsoft.
Derivare questa informazione tramite Whois è molto complicato e si possono ottenere solo conferme indirette.
Più precisamente, determinare il proprietario dell'indirizzo IP tramite Whois è semplice (fatelo), determinare il proprietario del dominio è molto complicato, perché Whois ha informazioni solo sui domini fino al secondo livello (outlook.com
).
Abbiamo la conferma che outlook.com
è gestito da Microsoft ma non sappiamo a quale zona appartiene stud-units-it.mail.protection.outlook.com.
e chi è il proprietario di quella zona.
Effettuando una navigazione nel domain tree DNS (digonline in modalità trace, ad esempio) si osserva che:
protection.outlook.com.
è una zonamail.protection.outlook.com.
è una zona
Non possiamo sapere tramite Whois chi è il proprietario di queste zone. Possiamo ipotizzare che sia Microsoft, assumendo che Microsoft non operi da Registrar (cioè non faccia da DNS provider per altre organizzazioni).
Possiamo tentare di approfondire cercando il proprietario dei domini dei name server di quelle zone (vedi i rispettivi RR di tipo NS). Purtroppo i nomi di quei name server sono domini di quarto livello: siamo quindi nuovamente nella stessa situazione di prima:
- interrogando Whois per determinare il proprietario del dominio di secondo livello corrispondente (in questo caso
o365filtering.com
) si vede che il proprietario è Microsoft; - non possiamo però determinare direttamente con Whois chi è il proprietario dei domini di terzo e quarto livello.
Potremmo proseguire la ricerca ma mi fermo qui.