viernes, enero 01, 2010

WindosLive.com ~all

Tiempo ha, cuando empezamos a revisar un poco cuales eran los mecanismos de seguridad en la identidad del correo electrónico que proporcionaban Hotmail.com, Yahoo! y Gmail, tuvimos un pequeño debate sobre por qué no utilizaba Microsoft una política para la configuración SPF de tipo hardfail en lugar de la política softfail que tiene actualmente. En aquel entonces no supe que responder salvo que al menos no era como la de Gmail, que es neutral. Sin embargo, el día 30 de diciembre recibí un correo de WindowsLive.com que me dejó claro el asunto.

En teoría, el dueño de un dominio es libre de marcar una política en su registro SPF del DNS. Esa política les indica a los servidores de correo electrónico que reciben un e-mail desde un supuesto usuario de su organización desde que IPs debe venir para ser legítimo y que hacer en caso de que no venga de una de esas IPs autorizadas. Así, en el registro SPF se marcan las IPs autorizadas y la política, que puede ser Hardfail (-all) que indica el deseo de que ese correo NO sea entregado o si se hace que se haga con información de peligrosidad al usuario, Softfail (~all) que indica que el correo debe ser entregado pero con alertas de seguridad o en la Junk Folder, Neutral (?all) que lo deja a la elección del receptor del mensaje y Pass (+all) que indica que debe ser tomado como bueno, venga de donde venga.


Figura 1: Configuración SPF Windowslive.com

Gmail tiene configuración Neutral, Hotmail tiene Softfail y Windowslive.com tiene también Softfail, tal y como se puede ver en la figura superior. Pero... ¿por qué? La única explicación es que todos los correos legítimos que se envían desde WindowsLive.com no están siendo enviados desde esas direcciones IP. Y así es.

El día 30 me llegó un mail de publicidad de WindowsLive.com que entró en la bandeja de entrada y sin ninguna alerta de seguriad, pero, como yo tengo mi super-Apolo configurado en mi super IE8, pues rápidamente me salió una alerta amarilla. ¡Coño! ¿Una alerta amarilla en un e-mail enviado desde WindowsLive a Hotmail? ¿Qué sucede?


Figura 2: Alerta de seguridad de Apolo en el correo de Windowslive.com

La explicación es sencilla, Spectra utiliza unos servidores de un dominio interno, llamados phx.gbl para muchas tareas de control en los servicios MSN, y, entre ellas está la de hacer los envíos de e-mail publicitarios.


Figura 3: Correo de Windowslive.com enviado desde phx.gbl

¿Es esto lo correcto? Pues sus razones tendrán para hacerlo pero, desde luego, el número de alertas que se van a levantar sera grande en aquellos servidores que no -sean propios y, por supuesto, no es lo que deberían hacer si el envío es legítimo. Si realmente tienen un servidor de esas características para enviar e-mailings, deberían autorizarlo en el registro SPF y listo, así no habría ninguna confusión y no nos volverían locos a los IT Pros y administradores de correo que deben hacer, en ocasiones, auténticas filigranas para que entre el correo legítimo y no se llenen los buzones de spam sólo porque algunos no configuran bien sus servicios de correo electrónico.

En fin, año nuevo pero con mismos detallitos.

Saludos Malignos!

PD: Apolo lo vamos a mostrar en la Gira Up To Secure 2010

No hay comentarios:

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares