viernes, junio 12, 2009

Correos falseados en Yahoo.com, Gmail.com y Hotmail.com (III de V)

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

Gmail ha sido, quizás, de estos tres sistemas de correo electrónico en web el que menos me ha gustado. Es curioso ver como Gmail se decanta por dar al resto de los servidores de correo el máximo posible de información para que validen los correos emitidos desde gmail.com, pero, por el contrario, el no realiza ninguna validación correcta. Gmail parece querer relegar todo su control contra correos ilegítimos en la herramienta web a su filtro Anti-spam. Sin embargo, llama poderosamente la atención como a nivel de servidor SMTP sí valida todo. Veamos las pruebas.

Gmail recibe un correo con una dirección falsa de remitente desde Gmail.com

Este correo, viene desde una IP que no está en el SPF de gmail.com, así que, según su propio registro spf1 con softfail debería ser marcado con una alerta.


Registro spf de gmail.com

Además, este correo no viene firmado con DKIM por uno de los servidores de Gmail, cuando por defecto todos los correos que salen de gmail.com son firmados.


Clave pública gamma utilizada para firmar correos gmail.com

Conclusión, debía de dar una alerta de posible correo ilegítimo y no la da. Mal hecho.


El correo entra en la bandeja de entrada sin alerta

Gmail recibe un correo con una dirección falsa de un dominio con SPF

Como era de esperar, el correo no recibe ninguna alerta de peligrosidad o falsedad. Sin embargo, es curioso, pues Gmail sí tiene esa información. Si se echamos un vistazo a la cabecera original del mensaje se puede ver que el mensaje no pasa la validación SPF e incluso, como Hotmail marca la IP de origen como una NO permitida.


Correo falso con remitente hotmail.com y cabecera

Esa información podía ser utilizada por Gmail para poner una alerta, pero no lo hace. Mal hecho.

Gmail recibe un correo legítimo de un servidor con SPF

Ya que no da alertas negativas de correos no comprobados, se podía utilizar una aproximación distinta y mostrar alertas positivas para correos sí validados. Para ver si hay alguna diferencia entre el legítimo y el falso se ha enviado un correo desde una cuenta legítima de Hotmail. El correo pasa el filtro SPF pero la herramienta NO da ninguna alerta positiva. Es decir, en la herramienta web no se ve ninguna diferencia entre el que NO pasa y el que pasa el filtro SPF.


Correo Legítimo que pasa el filtro spf como se ve en la cabecera

Tiene herramientas para diferenciar un correo que viene de un Sender autorizado y otro que no, pero no lo hace. Mal hecho

Gmail recibe legítimo desde un dominio sin SPF pero que envía desde el MX

Al no mostrar ninguna alerta en correos que no pasan el SPF, no tiene mucho sentido hacer esta prueba, pues con una comprobación de este registro sólo se podrían validar correos cuando vengan desde la IP de un MX legítimo desde un dominio sin registro SPF en el DNS.


Legítimo desde un server marcado en el MX

El cliente Web de Gmail, de nuevo, no muestra ningún cambio. Mal hecho.

Gmail recibe un correo falso de un servidor que firma sus mensajes con DKIM

Para hacer esta prueba se utiliza Yahoo.com que firma todos sus correos salientes con DKIM.


Clave pública s1024 de Yahoo.com utilizada para firmas correos

Sin embargo, en este caso, este correo no viene firmado, por lo que no se puede dar ninguna alerta positiva.


Correo sin firmar recibido desde Yahoo

Como se puede apreciar en la imagen anterior el mensaje se ve sin ninguna alerta negativa de no estar firmado.

Gmail recibe un correo legítimo firmado con DKIM

En este caso Gmail comprueba correctamente la firma DKIM del correo recibido. Esto se puede ver en la cabecera del correo original.Sin embargo, el cliente web de Gmail no muestra una alerta positiva en el interface de que el correo ha sido validado.

Gmail comprueba firma DKIM pero no alerta de ello. Mal hecho.

La diferienciación entre correos legítimos o no legítimos sin alertas funciona tan sumamente mal que es posible enviar un correo falso dentro de la conversación de un correo legítimo y gmail los intercala como si ambos fueran buenos sin dar ninguna alerta. Sólo hay que poner el RE: en el asunto del mensaje.


Correo legítimo y correo falso en el mismo thread

Conclusiones

1) Gmail firma sus mensajes salientes con DKIM y comprueba la firma DKIM de los entrantes, pero sin embargo no muestra ninguna alerta negativa de los no firmados ni positiva de los firmados.

2) Gmail autentica con el registro SPF los servidores de correo saliente legítimos y comprueba si el correo viene de un servidor autorizado por el SPF.

3) El cliente Web de Gmail no muestra ninguna alerta, ni negativa ni positiva, de si se ha comprobado o no. Al no mostrar alertas negativas por correos que no vengan desde una IP autorizada por el SPF no da ayudas a un usuario a detectar una posible falsificación.

4) Gmail mezcla en el interface tanto los correos legítimos como los no legítimos.

En resumen, aunque desde el interface es posible acceder a la cabecera original del mensaje recibido, Gmail por web no ayuda para nada a los usuarios a detectar posibles correos falseados. Los servidores de correo, por el contrario, hacen los deberes y tienen tanto las comprobaciones SPF como DKIM implementadas. La herramienta Web tiene que mejorar en este aspecto.

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

7 comentarios:

niob3s dijo...

Todos estos post sobre correos falseados me recuerdan a una cosa que tuve que hacer un dia .. :)

Christian Hernández dijo...

Increíble que presten tanta atención a otros aspectos y a algo tan sensible no le hagan ni puto caso...

Será que al final les da igual?, cada email leído provoca mayor número de entradas en la web, viendo sus advertisings... en definitiva, igual piensan que contra más correos (sean o no válidos) reciban sus usuarios más les beneficia... algún motivo tiene que haber porque no creo que Google lo haya pasado por alto.

Tragaldabas dijo...

Me tengo que confesar como usuario empedernido de gmail, pero manda webos que este tipo de chapuzas sigan en lidia, a no ser que tengan algún motivo como dice Christian.

Por desgracia seguro que más de uno lo podría justificar con la eterna BETA que aparece ahí escrita y que no se borra ni con aguarrás...

Mario. dijo...

pues sucede que no los marcará pero van directitos a la conversacion SPAM .... (aunque se le pueda llamar como se les ponga los... XD%%&$$·"%)

un saludo alonso.

grata charla la de la rioja.

Maligno dijo...

@Mario, en mis pruebas ni tan siquiera a la carpeta Spam... todos al inbox. ¿Será que mis correos falsos pasan mejor el filtro antispam?

Maligno dijo...

@niob3s, ya me contarás que cosa...

Anónimo dijo...

Pues si el filtro de spam de Gmail funciona mil veces mejor que el hotmail. Que estoy harto de decirle que los correos de windows live son spam y me los sigue metiendo en la bandeja de entrada, y luego los mensajes de gente de verdad me los mete en spam, pues no se para qué quiere tanto spf. Visca el Barça.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares