viernes, abril 22, 2011

DKIM, Domainkeys, Identified Internet Mail y el Spam (3 de 3)

***********************************************************************************************
- DKIM, Domainkeys, Identified Internet Mail y el Spam (1 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (2 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (3 de 3)
***********************************************************************************************

Un correo no firmado, DKIM discardable y Gmail

Terminaba la segunda parte del artículo de esta serie preguntándose sobre cuál sería la implementación que harían los sistemas que implementasen DKIM cuando un correo no viniera firmado ya que, como vimos, el estándar no exige que se compruebe la política del dominio.

Para probarlo con Gmail, que cómo ya puse en el primer artículo Google había anunciado que había implementado DKIM en GoogleApps, configuré un dominio con una política discardable, es decir, solicitando que se eliminen todos los correos que no vengan firmados con DKIM. Le tocó el turno al dominio del blog de Forefront-es.com, así que creamos la pertinente entrada de política DKIM.


Figura 7: Registro DKIM con política discardable


Como podéis ver, esta entrada de registro en el servidor DNS es de tipo TXT y puede ser encontrada a través del servidor público de DNS de Google.

Para probar qué política está aplicando Gmail, envié un correo sin firmar utilizando un servicio de Enviar a un amigo desde una página web. Lógicamente ese correo va sin firma DKIM alguna que valga, y el objetivo era comprobar si Gmail está haciendo una consulta a la política DKIM del dominio del remitente para aplicar el borrado del mismo dentro de sus filtros antispam/antispoofing que implemente.

El resultado, como era de esperar, es que el correo entra en la bandeja de entrada de Gmail, sin firma DKIM ninguna. Lo del toque de la venta de la viagra es solo un poco de testing extra del sistema SCL.


Figura 8: Correo falso en el inbox, a pesar de la política DKIM


Reflexiones finales

DKIM no sirve para cifrar los mensajes. Tampoco garantiza el origen del mensaje de forma fiable, ya que como vimos en la primera parte se puede hacer abuso de las firmas al re-enviar el mensaje y las firmas vienen intactas. Por último, como el estándar no obliga a comprobar la política, todo recae en la decisión de la implementación y, como habéis podido comprobar, Gmail no hace esa comprobación en sus filtros antispam, sino que permite únicamente la parte de firmar.

***********************************************************************************************
- DKIM, Domainkeys, Identified Internet Mail y el Spam (1 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (2 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (3 de 3)
***********************************************************************************************

4 comentarios:

Josep C dijo...

Aún y lo dicho, yo me pregunto:
en un mundo ideal en el que todo dominio se configurara con su política dkim (discardable) y se firmara todo email legítimo saliente, esto no acabaría con el scam y, en consecuencia, con el phishing, suplantación de identidad, engaños varios, etc?
Estoy siendo muy optimista? se me escapa algo que no veo y por eso no se aplica aún seriamente a nivel mundial?
y ya puestos a imaginar, si se combina con SPF, también se acabaría con el SPAM (almenos en la mayor parte)?

Maligno dijo...

@Josep, el problema es que DKIM no firma los destinatarios y es un bug gordo (está en la primera parte) y que las arquitecturas de correo que algunas empresas tienen no funcionan bien con SPF pq usan bouncers... en fin... El correo electrónico es un desastre.. que más o menos funciona...

}:))

Josep C dijo...

Según leo en la RFC4871 si que se pueden firmar los destinatarios (h=To:From:Subject:Date:...), corrígeme si me equivoco, de hecho gmail y yahoo lo hacen, pero aún así no se puede modificar el contenido original del mensaje sin que falle luego la verificación de la firma, y si este fue mandado (y firmado) fiablemente y, ni mucho menos el From, sigue sin poderse producir scam, no?
espero no me banees por replicar tanto :)

Maligno dijo...

@Josep C, en la primera parte del artículo tienes explicado el problema mejor:

http://www.elladodelmal.com/2011/01/dkim-domainkeys-identified-internet.html

Saludos! };)

Entradas populares