2009/10/26  

Verificando emails autenticados

Hoy en día el Spam es unos de los nedios mas utilizados que generan problemas y además saturan la red.

Como podemos defendernos de esto?

Hay sistemas de seguridad que gestionan filtros y además miran adjuntos y demás.

Pero que pasa cuando se empiezan a  dar casos de suplantación de identidades?

Ahora mediante este POST veremos como podemos evitar este tipo de fraudes.

Como funcionan los servidores de email? Como lo hacen los servidores para mover un mensaje en la bandeja de entrada o moverloa  correo no deseado?

Microsoft desarrollo una herramienta llamda Sender ID que utiliza el registro SPF del servidor DNS.

Como funciona Sender ID?

Si vamos a la página de Microsoft podemos ver que hace y como funciona Sender ID.

The Sender ID Framework is an e-mail authentication technology protocol that helps address the problem of spoofing and phishing by verifying the domain name from which e-mail messages are sent. Sender ID validates the origin of e-mail messages by verifying the IP address of the sender against the alleged owner of the sending domain.

Que si lo traducimos al español es algo así:

Sender ID es un protocolo de autenticación de correo electrónico de tecnología que ayuda a solucionar el problema de la falsificación y el fraude al verificar el nombre de dominio de correo que se envían mensajes de correo electrónico.  Sender ID valida el origen de los mensajes de correo electrónico mediante la verificación de la dirección IP del remitente con el supuesto propietario del dominio de origen

Es decir:

1.- El emisor envía el correo desde su servidor de correo entrante.

2.- El servidor de correo entrante de nuestra organización recibe el correo.

3.- El servidor de correo entrante de nuestra organización consulta los registros SPF del servidor DNS de la organización del supuesto remitente para comprobar que contiene la dirección IP desde la que se ha recibido el mensaje de correo.

4.- Si la dirección IP está en los registros SPF entonces será un correo autenticado. De lo contrario, es un correo falso.

Podemos tener mas información aquí:

Sender ID

Lo podemos ver mas claro aquí:

sender_id

Bueno mirando el dibujo podeis entender como funciona sender ID.

Pero..como comprobamos si nuestro servidor realiza las comprobaciones necesarias.

Primero vamos a ir a la página donde microsoft nos ofrece de manera online consultar si nuestro servidor dispone de registro spf.

Comprobación de registro SPF

Podemos ver el resultado de nuestro servidor.

SPF_diariodeunhacke

Como podemos ver el servidor NO dispone  de registro SPF. Entonces como hace para saber si un email es auténtico?, es mas,  como verifica emails de otros dominios? Aparte del regisrto SPF tambien existe el DKIM.

Podemos ver mas información aqui.

Protocolo DKIM.

Vamos a ver, primero de todo veremos como funciona nuestro servidor. enviando emails.

Hotmail

Si enviamos un email desde nuestro servidor que NO tiene registro SPF configurado hotmail nos adivierte con un mensaje.

emails_hotmails

Hotmail nos advierte de que es posible de que este email sea legítimo, pero al no tener registro SPF nos advierte.

Gmail

Si enviamos un email a Gmail, nos lo coloca y nos lo marca como legítimo directamente.

Sin darnos ninguna advertencia.

spf_gmail

Ahora nos vamos a yahoo.

Yahoo

Si lo enviamos a Yahoo un correo. Nos los coloca directamente en la carpeta SPAM.

spf_yahoo Bueno una vez hemos visto como nuestro servido no tiene ni firma por DKIM ni registro SPF. Como se comporta ante otros servidores?

Lo podemos ver aquí:

kkkk

Como podemos ver tenemos configurada la opción o, que quiere decir que NO garantiza que los emails que salgan de diariodeunhacker.com sean auténticos.

Ahora vamos a suplantar la dirección de email.

Suplantando Cuentas

Empezaremos con hotmail.

Suplantamos la dirección y enviamos un correo a hotmail.

hotmail_suplantadoComo podeis ver, no muestra nigun tipo de error ya que, al no tener registro SPF ni firma DKIM no realiza ningún tipo de comprobación.

Ahora empezamos con Gmail.

Si suplantamos una dirección de email y enviamos a Gmail.

gmail_suplantado Gmail al tener configurado el SPF como neutral y el DKIM que no avisa. Pues nos lo pone como si fuera legítimo.

Y por último con yahoo .

suplantado_yahoo

Yahoo en cabio SI detecta que el correo puede ser falso. Y lo coloca en la carpeta de SPAM.

Conclusiones

Habría que tener registro SPF y comprobar los emails con eso y por firma DKIM o al menos tener en el server configurado los dos. Es un simple archivo de texto.

Un saludo y cuidado con la suplantación de emails.

Advertisement

Etiquetas: , , , , ,

Acerca de Marc Rivero López

Si alguien quiere saber como soy que se preocupe por averiguarlo.

Deja un comentario

Fill in your details below or click an icon to log in:

Gravatar
Logo de WordPress.com

You are commenting using your WordPress.com account. Log Out / Cambiar )

Twitter picture

You are commenting using your Twitter account. Log Out / Cambiar )

Facebook photo

You are commenting using your Facebook account. Log Out / Cambiar )

Cancelar

Connecting to %s

Seguir

Get every new post delivered to your Inbox.

Únete a otros 621 seguidores