miércoles, junio 10, 2009

Correos falseados en Yahoo.com, Gmail.com y Hotmail.com (II de V)

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

Para comprobar las medidas de detección de correos ilegítimos, se han enviado mails con todas las posibilidades, legítimos, ilegítimos, con y sin spf, con y sin DKIM e incluso legítimos sin spf enviados desde el MX. Estos son los resultados para Hotmail.

Hotmail recibe un correo desde una dirección falsa de Hotmail

Si enviamos un correo con una dirección de email suplantando a un remitente de Hotmail, el resultado es que el correo va a la carpeta de spam con una alerta roja y se identifica el correo como potencialmente peligroso. Entra en la carpeta de spam porque está marcado como softfail en el registro spf con la opción ~all.


Hotmail detecta suplantación de su dominio

Hotmail recibe un correo falso desde una dirección de un dominio con SPF

Si se envía el correo con una dirección falseada de una empresa que tiene registro SPF, como por ejemplo de Gmail, el correo aparece en Hotmail en la carpeta de spam como sospechoso y con una alerta amarilla que indica que es posible que ese no sea un remitente conocido. En este caso desde Gmail que también los marcar como softfail.


Detecta que no viene de una IP en el SPF y lo mete en la carpeta de spam

Hotmail recibe un correo legítimo de un dominio con SPF

Como era de esperar, se comprueba el regisro SPF, es correcto y lo pone en la bandeja de entrada sin ninguna alerta de seguridad.


Correo desde Informática64

Hotmail recibe un correo desde una dirección falsa de un dominio sin SPF

Si se envía el correo con una dirección falseada de una empresa que NO tiene registro SPF, este aparece en la Bandeja de Entrada, pero con una alerta similar. En este caso el correo está enviado con una dirección falsa desde Yahoo.com.


El filtro de comprobación SPF no detecta si es o no legítimo y lo pone en el inbox con una alerta

Hotmail recibe un correo legítimo de una dirección de un dominio sin SPF pero que viene firmado con DKIM

En este caso se ha enviado un correo electrónico válido desde una dirección de Yahoo.com. Hotmail no es capaz de decir que el correo es falso, ya que no hay registro SPF y lo marca con una alerta.


Correo legítimo marcado

Sin embargo, el correo es legítimo y viene firmado con el protocolo DKIM como se puede ver en la cabecera del mismo correo.


Correo firmado con DKIM. No garantiza el emisor, pero sí que ha salido de ese servidor.

Esta comprobación es desaprovecha por Hotmail a la hora de legitimar el correo. Es posible ver que el correo está firmado correctamente en la cabecera SMTP del correo.

Hotmail recibe un correo legítimo desde un dominio sin SPF pero que es envíado desde un servidor MX

Otra de las comprobaciones que se prueba es enviar un correo legítimo desde un dominio sin registro spf pero que sale desde un servidor MX del dominio. Puede ser que correo legítimo de un dominio llegue desde IPs distintas a las de los intercambiadores de correo, pero si el correo llega desde el MX entonces se puede decir que es legítimo. Así que, en el caso de que una organización no tenga spf, pero su correo salga desde el MX existen herramientas para comprobar que es legítimo. En este caso, Hotmail no comprueba esta opción y el correo, que es legítimo, queda sin embargo marcado con una alerta de seguridad.


Correo legítimo enviado de la IP de un MX sin registro SPF ni DKIM

En resumen, Hotmail implementa su registro spf1 con softfail, comprueba su suplantación y la suplantación de los demas dominios mediante Sender ID, pero no realiza ninguna comprobación DKIM ni MX para quitar alertas de seguridad a correos legítimos.

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

9 comentarios:

Anónimo dijo...

Si por Alejandro Ramos haces alusión a dAb, me temo que nunca ha caido tan bajo como para usar ese truño de hotmail.

Ni cualquierla con el más mínimo espíritu informático, vaya.

Si es "un ejemplo" cualquiera, que mala pata tuviste, oye.

Chema Alonso dijo...

@anonimo, eres tan berzas que no has sabido reconocer al remitente del destinatario.

Capullo...

Anónimo dijo...

Haya pazzzzzzz........

Aún espero que me aclares aquello del "email hacker" maligno.

Christian Hernández dijo...

Segundo post, I still "palot"

Julio Trujillo Leon dijo...

Hola Maligno

¿Y si tienes un certificado electrónico como por ejemplo el de la Fabrica Nacional de moneda y Timbre o el del DNIe-lectronico? ¿Te los validará SIEMPRE como buenos al ir firmado digitalmente?
Existen Listas negras de dominios donde por ejemplo han metido a la empresa para la que trabjao, dicen que por que los propietarios de dicha lista negra son fabricantes de un software web de correo y antispam y que quien no compra su software se ve incluido en plan "mercenario" en su lista negra, en este caso ¿crees que la firma digital en uno de sus buzones ayudaría en algo a que los emails no sean rebotados?

Anónimo dijo...

Y como sabe el servidor de correo que la firma es válida, que el correo pertenece a tu persona y no has firmado con tu DNI un correo de otra persona?

Eso suena un poco raro.

Alejandro Ramos dijo...

jajajaja, @anonimo, gracias!! efectivamente no uso Hotmail, me gusta más gmail... Pero el tema que trata aqui hoy chema no va de eso... yo le mandé un mail de prueba (a su petición) desde una dirección sin SPF para que hotmail mostrará lo que muestra. Que por cierto, lo hace mejor que google, que el cabrón si el SPF falla no avisa, salvo descargues el correo con otro cliente via pop/imap y este si avise...

Maligno, muy interesante el post! como siempre.

viajero dijo...

Cuéntanos algo de San Francisco, anda!

SoporteGBC dijo...

Saludos Maligno Me parece muy buena tu explicacion, el tema me apaciona y desearia poder contactarme contigo Maligno, soportegbc@gmail.com favor enviame forma de contactarme contigo

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares