lunes, junio 15, 2009

Correos falseados en Yahoo.com, Gmail.com y Hotmail.com (IV de V)

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

El último de los correos web analizados en este artículo es el de Yahoo! El sistema por el que apuesta este servicio está basado en el uso de DKIM. Para ello, como se vio en la tercera parte de esta serie, Yahoo! publica las claves públicas con las que los servidores firman los correos legítimos que salen de ellos. Por otro lado, como ya se vio en la primera parte, Yahoo! no tiene tan siquiera configurado el registro SPF en los servidores DNS. Conociendo esta configuración inicial, los resultados con las pruebas son los siguientes.

Yahoo! recibe un correo electrónico de una cuenta legítima de Yahoo.com

En este caso, el correo aparece firmado por uno de los servidores de Yahoo! utilizando una cabecera DKIM. Yahoo! lo comprueba y le muestra al usuario una alerta positiva, garantizando la veracidad de procedencia de este correo. Éste es el único de los tres sistemas de correo que muestra alertas positivas en los correos recibidos garantizando las pruebas que se han realizado.


En la bandeja de entrado y con alerta positiva

Yahoo! recibiendo un correo electrónico falso desde un dominio Yahoo.com

Como es de suponer, este correo no llega firmado por ningún servidor, por lo que no puede comprobar ninguna firma DKIM. Sin embargo, la política de Yahoo! es no mostrar ninguna alerta negativa.


Sin alerta a la bandeja de entrada

Esto es porque la configuración que tiene el sistema DKIM de Yahoo! en sus servidores es de softfail, es decir, no garantiza que todos los correos que salen de los servidores de Yahoo! salgan firmados, lo que ayuda bastante poco. Al igual que Hotmail configura sus registros spf con softfail, no garantizando que todos los correos lleguen desde Hotmail, Yahoo! hace algo similar. En este caso se realiza con la opción ~o en lugar de con la opción –o en el registro de tipo txt _domainkey.yahoo.com de los servidores DNS. El sistema, como se puede apreciar con el operador t=y indica que se encuentra en modo test, es decir, en pruebas.


Configuración DKIM en Yahoo.com

Yahoo! recibiendo un correo legítimo firmado con DKIM

Para realizar esta prueba se ha enviado un correo desde Gmail. Este servido firma los correos con DKIM y pueden ser comprobados. Yahoo! realiza la comprobación de la firma y muestra una alerta positiva de verificación.


A la bandeja de entrada y con alerta positiva

Yahoo! recibiendo un correo falso de un dominio que firma con DKIM

En la prueba primera, en la que se veía el comportamiento con un correo falso de yahoo.com, se puede ver cómo reacciona, es decir, sólo muestra alertas positivas si puede comprobarlo. No muestra ninguna alerta y cae en la bandeja de entrada.


Sin alerta negativa y en la bandeja de entrada

Sin embargo, al hacerlo con Gmail el resultado es curioso. Mientras que Gmail sí tiene publicadas las claves de firma, como se vio en la tercera parte del artículo, no publica la configuración de DKIM en el DNS. Para ello debería existir un registro _domainkey.gmail.com de tipo txt en el servidor DNS que NO existe. Se ha de suponer que el sistema está en test y no garantiza que todos los correos lleguen firmados.

Yahoo! recibiendo un correo legítimo desde un servidor con SPF configurado

Sorprende que Yahoo! no haga ningún aprecio a los registros SPF. En este caso el registro es legítimo y Yahoo! no muestra ninguna alerta positiva de comprobación del correo.


Sin alerta postiva, en la bandeja de entrada

Se puede ver, mirando la cabecera del correo electrónico, que Yahoo!, a diferencia de Gmail que consultaba el registro pero no mostraba ninguna alerta, directamente no realiza la comprobación al servidor DNS.


En la cabecera sólo comprueba DKIM, no comprueba SPF

Yahoo! recibiendo un correo falso desde un servidro con SPF configurado

Como era de esperar, la validez del correo electrónico recibido es exactamente la misma que si fuera legítimo. Al obviar directamente el registro SPF se pierde mucha información.


Sin alerta a la bandeja de entrada

Yahoo! recibiendo correos legítimos desde dominios sin SPF usando el MX

Una de las garantías de validez de un remitente que se puede añadir, como ya se comentado en lo que va de artículo, es que el correo venga desde un dominio que no tiene configurado el registro SPF, pero viene desde uno de los servidores MX. Yahoo! al no hacer aprecio directamente al registro SPF anula cualquier uso que se pueda dar al registro MX para validar un correo, por lo que le da exactamente igual si es legítimo o no.

Conclusiones

Yahoo! realiza correctamente las validaciones de correos que vienen firmados con DKIM mostrando una alerta positiva. Sin embargo, el no consultar los registros SPF parece una limitación enorme y una pérdida de información que no traslada al usuario para ayudarle a tomar una decisión. Además, a diferencia de Gmail, no realiza la comprobación, con lo que no vale con leer la cabecera completa del mensaje para saber si es legítimo o no y es labor del usuario realizar las pruebas contra los servidores DNS. Por supuesto, tampoco realiza comprobación MX.

En resumen, deja muchas validaciones sin realizar.

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

1 comentario:

Christian Hernández dijo...

Me encanta esta serie de post.

Sería interesante que (si se puede) explicaras el método que has usado para "falsear" los correos en tus pruebas.

saludos.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares