Marc Rivero López
Valoración de los usuarios: / 3
PobreEl mejor 
Addthis

email001

Hoy en día el Spam es unos de los medios mas utilizados que generan problemas y además saturan la red. ¿Cómo podemos defendernos de esto? Hay sistemas de seguridad que gestionan filtros y además miran adjuntos y demás. Pero, ¿qué pasa cuando se empiezan a dar casos de suplantación de identidades? Ahora mediante este POST veremos como podemos evitar este tipo de fraudes. ¿Cómo funcionan los servidores de email? ¿Cómo lo hacen los servidores para mover un mensaje en la bandeja de entrada o moverlo a "Correo no deseado"? Microsoft desarrollo una herramienta llamda Sender ID que utiliza el registro SPF del servidor DNS.

¿Cómo funciona Sender ID? Si vamos a la página de Microsoft podemos ver que hace y como funciona Sender ID.

The Sender ID Framework is an e-mail authentication technology protocol that helps address the problem of spoofing and phishing by verifying the domain name from which e-mail messages are sent. Sender ID validates the origin of e-mail messages by verifying the IP address of the sender against the alleged owner of the sending domain.
Que si lo traducimos al español es algo así:
Sender ID es un protocolo de tecnología de autenticación de correo electrónico que ayuda a solucionar el problema de la falsificación y el fraude, al verificar el nombre de dominio en los mensajes de correo electrónico que se envían. Sender ID valida el origen de los mensajes de correo electrónico mediante la verificación de la dirección IP del remitente con el supuesto propietario del dominio de origen

Es decir: 1.- El emisor envía el correo desde su servidor de correo entrante. 2.- El servidor de correo entrante de nuestra organización recibe el correo. 3.- El servidor de correo entrante de nuestra organización consulta los registros SPF del servidor DNS de la organización del supuesto remitente para comprobar que contiene la dirección IP desde la que se ha recibido el mensaje de correo. 4.- Si la dirección IP está en los registros SPF entonces será un correo autenticado. De lo contrario, es un correo falso.

Podemos tener mas información aquí: Sender ID Lo podemos ver mas claro aquí:

sender_id

Bueno, observando el dibujo podreis entender como funciona sender ID. Pero, ¿cómo sabremos si nuestro servidor realiza las comprobaciones necesarias? Primero vamos a ir a la página donde Microsoft nos ofrece un servicio online para consultar si nuestro servidor dispone de registro SPF. Comprobación de registro SPF

Podemos ver el resultado de nuestro servidor.

SPF_diariodeunhacke

Como podemos ver, el servidor NO dispone de registro SPF. Entonces, ¿como hacer para saber si un email es auténtico?, es mas, ¿cómo verifica emails de otros dominios? Aparte del registro SPF tambien existe otro, llamado DKIM. Podemos consultar más información aqui: Protocolo DKIM.

Veamos: primero estudiaremos como funciona nuestro servidor, enviando emails a Hotmail. Si enviamos un email desde nuestro servidor que NO tiene registro SPF configurado, Hotmail nos advierte con un mensaje. Hotmail nos advierte que es posible que este email sea legítimo, pero al no disponer de registro SPF nos alerta.

emails_hotmails

En el caso de Gmail, si enviamos un email a este servicio de correo gratuito, nos lo coloca y nos lo marca como legítimo directamente. Sin darnos ningún tipo de advertencia.

spf_gmail

Ahora vayamos a Yahoo. Si enviamos a Yahoo un correo, nos los coloca directamente en la carpeta de correo tipo SPAM.

spf_yahoo

Bueno una vez hemos visto como nuestro servidor no tiene ni firma por DKIM ni registro SPF. ¿Cómo se comporta ante otros servidores? Lo podemos ver aquí:

kkkk

Como podemos ver, tenemos configurada la opción "o", que quiere decir que NO garantiza que los emails que salgan de diariodeunhacker.com sean auténticos. Ahora vamos a suplantar la dirección de email.

Suplantando Cuentas

Empezaremos con Hotmail. Suplantamos la dirección y enviamos un correo a hotmail. Como podeis ver, no muestra nigun tipo de error ya que, al no tener registro SPF ni firma DKIM no realiza ningún tipo de comprobación.

hotmail_suplantado

Ahora seguiremos con Gmail. Si suplantamos una dirección de email y enviamos a Gmail. Gmail al tener configurado el SPF como neutral y el DKIM que no avisa. Pues nos lo pone como si fuera legítimo.

gmail_suplantado

Y por último con Yahoo. Yahoo en cabio SI detecta que el correo puede ser falso. Y lo coloca en la carpeta de SPAM.

suplantado_yahoo

Conclusiones:  Habría que tener registro SPF y comprobar los emails con eso y por firma DKIM o al menos tener en el server configurado los dos. Es un simple archivo de texto.

Un saludo y cuidado con la suplantación de emails.

Comentarios (0)
¡Sólo los usuarios registrados pueden escribir comentarios!

Acerca del autor Marc Rivero López


Marc Rivero López (Seifreed) titulado en explotacion de sistemas informaticos (ESI) en el Colegio de la Guineueta. Este año me dedicare a hacer un curso Puente y para poder cursar ASI.  Me gusta mucho la Seguridad Informática y redes, y no descarto intentar dedicarme a ello algun día. Me encanta mirar otros Blogs de Internet ya que creo que el tema de los Blogs es algo que ayuda a bastante gente. Y creo que estoy en uno de los mejores foros: Wadalbertia, además de ser moderador de una comunidad bastante conocida en Internet: DragonJar. Bueno y lo mas importante es el aprendizaje conjunto que se puede hacer a través de Internet.


 

Conocer mas sobre Marc Rivero López