ciao, nel caso di gmail dovremmo considerare almeno due casi:
1) mail inviata via web dove il MUA e` gmail e quindi mette (o non mette) tutti gli header che vuole 2) mail inviata via smtp(s) dove quindi gli header sono settati dal client dell'utente finale ed eventualmente modificati dall'MSA di gmail se ben ricordo, rfc le prevedono che un mta possa solo AGGIUNGERE alcuni header (Received:, per esempio), ma non modificarne e/o rimuoverne altri. in realta` qualche eccezione esiste per Bcc: (che alcuni MUA inseriscono nella mail inviata al MSA, creando evidenti problemi di privacy se questo non interviene!) e per la riscrittura da parte di un MSA di header che possono rivelare dati interni alla propria rete, come previsto dalla sezione 8.8 di rfc2476: 8.8. Header Rewriting The MSA MAY rewrite local parts and/or domains, in the envelope and optionally in address fields of the header, according to local policy. For example, a site may prefer to rewrite 'JRU' as ' J.Random.User' in order to hide logon names, and/or to rewrite ' squeeky.sales.example.net' as 'zyx.example.net' to hide machine names and make it easier to move users. However, only addresses, local-parts, or domains which match specific local MSA configuration settings should be altered. It would be very dangerous for the MSA to apply data-independent rewriting rules, such as always deleting the first element of a domain name. So, for example, a rule which strips the left-most element of the domain if the complete domain matches '*.foo.example.net' would be acceptable. quindi direi che e` lecito riscrivere alcuni header di mail inviate da clienti gmail che utilizzano smtp (ma non rimuovere header e/o modificare header non esplicitamente previsti dall'rfc ...ovviamente poi le rfc non sono norme inderogabili e non esistono sanzioni per chi non le segue; Gmail puo` decidere (lecitamente) di non seguire alla lettera le rfc, accollandosi il rischio (in questo caso probabilmente minimo) di avere problemi di interoperabilita` con altri server. -- bye, emilio ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
