Complicando el correo electrónico (2) Práctica : SPF y SenderID

Un mes después de lo aprendido en el post anterior vamos a poner en práctica los dos protocolos, bueno realmente lo que vamos a poner el práctica es el uso de los protocolos en dos servicios distintos por un lado Hotmail (SenderID) y por otro Gmail (SPF)

El mes pasado había realizado diversas pruebas que por falta de tiempo no pude terminar. Las pruebas realizadas se limitan a estos dos servicios, los dos con cuentas activas y en uso, por lo que las dos cuentas deberian estar “educadas” para limitar el spam que entra en mi bandeja de entrada.

Hotmail

He realizado tanto envíos desde servidores en internet como remitente una dirección falsa, resultando en casi todo los casos que los correos ó no entraban, o cuando lo hacían era siempre directamente en la carpeta de Spam si el filtro estaba definido como exclusivo, sino entraba en la bandeja de entrada pero siempre con un aviso de que deberías desconfiar del remitente tal y cómo se ve en la siguiente imagen, en este último caso incluso sin poder validar el SenderID e independientemente del SPF del dominio remitente. En este caso del dominio desde el que se envían los emails de prueba es ingdirect[dot]es con el SPF con modificador -all

Comprobé también que en varias de las ocasiones en las que no llegaban los correos era porque el smtp en cuestión ya estaba bloqueado por Hotmail por cuestiones de Spam (no así en Gmail), comprobado en sites como por ejemplo www.spamhaus.org . Probé también el envío desde un servidor propio configurado en uno de mis equipos. En este caso y debido a que la IP de la que dispongo es dinámica, Hotmail automáticamente rechaza el mensaje.

Gmail

Los mismos envíos que en el caso anterior resultaron satisfactorios en todos los casos e independientemente de la configuración SPF del dominio remitente, los correos entraron en la bandeja de entrada.

La única excepción fue el correo enviado desde mi propio servidor, igualmente con una IP dinámica que terminó en Spam, supongo que en este caso debido a la IP.

Como conclusión (y opinión personal), el correo de Hotmail resulta mucho más seguro en la experiencia de usuario, garantizando de manera clara información sobre el remitente, disminuyendo de esta manera las posibilidades de engañar al usuario.

Pero, (siempre hay un pero) la experiencia de usuario también se puede ver mermada por la mayor lentitud, cantidad de imágenes y contenidos que se muestran en la interfaz. Creo que en ocasiones puede llegar a dar falsos positivos y sino revisas la carpeta de Spam a menudo puedes perder algún mail.

A nivel de protocolo no creo que sea bueno la actual guerra SPF vs SenderID, ya que ninguno de los dos soluciona de raíz el tema del spam. A nivel de seguridad en la aplicación, creo que Hotmail le gana la partida a Gmail, lo malo es que es siempre el usuario final el que tiene en sus manos la efectividad de esa seguridad.

¿Cambiarías ese pequeño extra en seguridad por una experiencia más cómoda y rápida como la de Gmail? Yo como soy muy responsable si.. :P

Saludos y hasta pronto!

Complicando el correo electrónico (1) Teoria : SPF y SenderID

Después de leer el pasado mes un par de posts en el blog del Maligno, y de asistir en la Gira Up to Secure a su ponencia, me quedé, como seguramente le pasó a muchos, con ganas de investigar y probar un poco más y de manera práctica el funcionamiento de estos dos protocolos que parece que se pelean sin demasiados resultados en la lucha contra el Spam.

Primero un poco de teoría:

SPF (Sender Policy Framework)

Su funcionamiento está definido principalmente en el RFC 4408 del 2006 aunque se empezó su desarrollo en 2003; podemos encontrar referencia también en RFC 4405, RFC 4406, RFC 4407, y por supuesto en wikipedia. Decir de todas formas que todos estos RFC´s son experimentales y por lo tanto se podría decir que no son reglas "oficiales" ni tampoco son obligatorias en cuanto a su implementación.

El objetivo original de este protocolo fue combatir el spam, partiendo de la base de que cada administrador iba a limitar los servidores que tiene permitido el envío de correos de su dominio en particular. En el caso de que el servidor de correo saliente esté excluido explícitamente de la entrada SPF del DNS, el destinatario podrá si lo desea desechar ese mensaje. El uso de SPF implica principalmente a los administradores de dominio y DNS, debiendo estos añadir la configuración adecuada en el DNS de su dominio.

Un registro típico SPF podría tener el siguiente formato:

"v=spf1 mx ptr:host.dominio.com +a:spf.dominio.es ip4:11.22.33.44/24 ~all"

Existen muchos asistentes en internet que para la creación de registros y mucha documentación, solamente voy a incidir en los Indices que se le pueden aplicar a cada uno de los modificadores:

"+"	Pass	Es opcional, se aplica por defecto.
"-"	Fail	Se debería rechazar a menos que esté en la lista de servidores permitidos
"~"	SoftFail	Aconseja rechazar si no figura en la lista de servidores permitidos
"?"	Neutral	Sugiere no aceptar el correo, pero lo normal es marcarlo y aceptarlo.

SenderID

Su funcionamiento está definido en el RFC 4406 principalmente (también experimental) y hay referencias en los RFC 4405, RFC 4407 y RFC 4408.

Está basado en gran parte en SPF, pero mientras este último sólo comprueba de la cabecera del correo el MAIL FROM y al HELO, SenderID utiliza para la comprobación del remitente un algoritmo definido en el RFC4407 llamado PRA y que también estará incluído en la cabecera del correo. La sintaxis en los DNS será la misma a excepición que las entradas deberán empezar con:

"spf2.0/pra", "spf2.0/mfrom", ó "spf2.0/mfrom,pra"

en función de los campos que queramos comprobar.

Decir que este protocolo fué promovido por microsoft y es el que usa por ejemplo, Hotmail. Para los administradores de dominios puede ser interesante este enlace, donde se puede encontrar información para la implementación de SenderID y la comunicación con hotmail.

Bien, no voy a ser yo el que entre en un debate SPF vs SenderID, ya que hay y habrá opiniones de todos los gustos, ejemplo 1 o ejemplo 2. Lo cierto es que independientemente de gustos, son protocolos de distinta capa. SPF pertenece a la capa de protocolos SMTP mientras que SenderID pertenece a la capa de protocolos IMF (Internet Message Format) definida en el RFC 2822.

El caso, y despues de este pequeño "rollo" que he soltado, ningúno de los dos es de aplicación obligatoria. Lo cúal es algo importante, pues que aunque yo haya configurado mi SPF/SenderID de una manera estupenda si tu como receptor de mi email quieres ignorarlo puedes. Y de ahí es de donde surgen los problemas.

Bueno aqui lo dejo y para el próximo día si el tiempo me lo permiete un post un poco más práctico de SPF y SenderID.

Salu2!

Una pausa para la publicidad...

Ante todo Feliz Año a tod@s!

Como primer post del año y para tod@s aquellos que tengais propositos para este 2011 ahí van un par de recomendaciones para los próximos meses:

Gira Up To Secure hasta el 27 de Enero

Probablemente muchos de vosotros ya habrais asistido a alguna. Como sabeis es un evento anual, organizado principalmente por microsoft y partners relacionados. Realizan una gira por diversas ciudades del territorio español. Recomendable la asistencia, en gran parte por la presencia del más que conocido Maligno, aunque en ocasiones hay alguna ponencia demasiado "comercial" en general merece la pena pedir la mañana.

RootedCon 2011 03-05 de Marzo

Congreso sobre seguridad informática y conocimiento que se celebra en Madrid, que seguramente seguirá creciendo año a año. Como ya llego tarde al aviso pues los que querais ir y no tengais entrada tendreis que esperar al próximo año ya que las entradas ya están agotadas. Pero quizás quede algún hueco en alguno de los Rooted Labs que se organizan los días anteriores. Suerte!

Sin duda existen muchas más formaciones pero a nivel nacional y en los próximos 2 meses están son de las más relevantes.

Un saludo a tod@s!

Ley Sinde

Buenas, para no faltar al menos al post mensual aquí estoy otra vez.

Ayer fué un día intenso, twitter ardía y todas las paginas de noticias esperaban con ansia la decisión final en el congreso. Cómo muchos otros internautas o usuarios de la red, yo también estoy contento por el NO a la ley sinde, pero como muchos otros también se que el NO ha sido meramente por intereses politicos de los partidos y en ningún caso porque alguno de los políticos que estaban en esa sala supiesen qué estaban votando.

Eso es lo verdaderamente preocupante. Su ignorancia. No entienden que esa ley, ni probablemente ninguna otra podrán cambiar lo que ya está ha sucedido, el cambio en el uso, costumbres y acceso a contenidos. Como se puede escuchar en multitud de noticias estos días "no se le puede poner puertas al campo".

Si queremos, podemos sacar leyes y terminar siendo como China o como alguno de los paises de Sudamérica, ¿pero acaso piensan que allí no existe la piratería?. Venimos del P2P y podemos volver al P2P, con VPN, proxy, o lo que fuera necesario; ya pasamos por esta fase antes y podemos volver a pasarla y con nota.

Yo creo que lo que se puso en evidencia ayer fué, no solo la ignoracia de los partidos, sino a donde llegan por SUS intereses.

La industria de contenidos debe de adaptarse, con leyes o sin leyes, y sus trabajadores y empleados también, no hay vuelta atrás; de lo que no se dan cuenta es que son ellos los que más podrían ganar con estos cambios si abriesen los ojos, y de esta manera lo único que conseguiran serán aplazamientos en su defunción.

Por supuesto que las compañias de telecomunicaciones también tienen intereses en que se mantenga la libre descarga, pero la carrera de los Mb no terminará por un bloqueo a contenidos ilegales, existen en la red multitud de contenidos legales y que requieren de conexiones de alta capacidad, alquiler online, colaboración online, compartición de archivos, etc, que cada vez proliferarán más y ellas lo saben. No son ellas las más interesadas.

Y por supuesto, tampoco lo son aunque no lo sepan los artistas; ellos pueden seguir ganando, e incluso más con este nuevo modelo. Hay peliculas y series que no las hubiese comprado sino la hubiese visto por internet sin coste.

No intenteis manipular a la sociedad con cifras inexistentes (se perderán xxx millones de empleos sino se aprueba la Ley Sinde).

Seamos realistas, bajo copias privadas, pero sigo comprando dvd´s, voy al cine, a conciertos...logicamente pago por lo que me gusta.

Un saludo a tod@s y Felices Fiestas!

Recomendaciones

Ultimamente he conocido algunas webs interesantes que nunca está de más compartir.

En un tiempo donde crecen y mueren millones de blogs a diario (como este) hay gente, mucha gente que sigue creando y compartiendo contenidos de calidad e interesantes.

Aquí os dejo algunas de esas "perlas":

• http://robertocarreras.es/ - Aqui podremos encontrar información y contenidos sobretodo relacionados con la web 2.0, redes sociales, comuncación en general, y contenidos generalistas de nuevas tecnologías; la verdad que despues de un vistazo tiene articulos interesantes y las fuentes en muchos casos no lo son menos .
• http://www.technollama.co.uk/ - Contenidos "tecno-sociales" en ocasiones abordados desde una prespectiva ética, social, jurídica. Interensantes articulos de cómo están afectando recientes cambios en la tecnología a la sociedad.
• http://www.frkncngz.com/ - Se podría decir que es un fotolog "colaborativo" pero las imágenes en general son muy peculiares. Llama la atención y a veces incluso tiene mensajes interesantes...
  
• http://www.boingboing.net - Noticias quizás una más pero a veces diferente.
  

Algunos en inglés pero no deja de resultar interesantes ;)

Salu2!

La Tormenta Perfecta

El otro día intentando resolver algunos problemas en una "pequeña" red me encontré con una de esas cosas que hacía tiempo que no veía.

Tan acostumbrado a trabajar con distintas tecnologías y de distintas capas a veces cuesta diferenciar y resolver problemas de "capas" inferiores. Que se bloquea el equipo, cambialo, que se pierde conectividad, debe de ser el cable..etc..

Pero cuando todas las pruebas de campo son correctas, puede que, en una red conmutada de más de 15 switches, y con apilamientos de hasta 6 switches..a lo mejor se nos olvida algo. Tres switches más allá de donde yo me encontraba, allí estaba el error. Un pequeño cable mal conectado, en el switch equivocado, y toda la red, bloqueada.

El orígen de las tormetas de broadcast es dificil de detectar, sobretodo si la red es muy grande y los switches de los que dispones son de capa 2 y no gestionables.
Por eso una buena documentación y tener marcados el cableado (que aunque parezca mentira es demasiado habitual encontrarse un cableado "anónimo") es básico, desde mi punto de vista lo más importante en una situación de este tipo, por supuesto el uso de algún analizador de red si es necesario y mucha... paciencia. Al final, se consigue.

Un saludo a tod@s

VirtualBox como servicio en Windows 2003 R2

Aunque existe bastante información al respecto esta es una de las maneras más sencillas. A priori es facil hacer que la máquina se inicie con cualquier script. El problema nos lo encontramos a la hora de apagarla. De esta manera la maquina se inicia automaticamente pero además cuando realizamos un reinicio o un apagado también se apaga la maquina virtual guardando el estado en el que estaba.

Fuente: http://forums.virtualbox.org/viewtopic.php?f=6&t=15164&p=63254#p106961
Thank you egoz.


Requerimientos:

- Oracle VM VirtualBox con al menos una máquina virtual
- Java SE Runtime
- vBoxProcrun: Preparado por egoz para integrar el servicio de virtualbox y basado en el proyecto Apache Daemon´s Procun, en la descarga se incluye el src para cualquier modificación. Descarga VboxProCrun

Pasos a seguir:

- Detener las maquinas virtuales activas

- Copiar la carpeta ".VirtualBox" del perfil del usuario al perfil LocalService o en su defecto copiar el archivo VirtualBox.xml y modificar las rutas en su interior a rutas absolutas que apunten a la ubicación de los discos y las máquinas virtuales.
Para poder acceder al perfil LocalService deberemos desmarcar "Ocultar archivos protegidos del sistema operativo" en Herramientas-Opciones de Carpeta-Ver

- Crear la variable de entorno de usuario JAVA_HOME.
Nombre de la variable: JAVA_HOME
Valor de la variable: C:\Archivos de programa\Java\jre6

- Crear la variable de entorno de sistema VBOX_USER_HOME
Nombre de la variable: VBOX_USER_HOME
Valor de la variable:C:\Documents and Settings\LocalService\.VirtualBox
Es importante crearla en las Varibles de sistema no de usuario.

- Descomprimir VBoxProcrun.zip en por ejemplo c:\VboxProcrun

- Modificar la clase ubicada en \classes\vboxprocrun\vboxprocrun.properties con las rutas correctas y el nombre de la máquina.

startupCommand= C:\\Archivos de programa\\Oracle\\VirtualBox\\VBoxHeadless.exe -startvm debian
shutdownCommand= C:\\Archivos de programa\\Oracle\\VirtualBox\\VBoxManage.exe controlvm debian savestate vBoxDir= C:\\Archivos de programa\\Oracle\\VirtualBox\\

- Instalar el servicio mediante el comando vboxprocrun.bat install nombre_servicio

- Configurar el servicio Tipo inicio: Automático

- Reiniciar el equipo. Sin reinciar es posible que no adquiera la configuración de las variables de entorno.

- Para realizar la desinstalación vboxprocrun.bat remove nombre_servicio

Se almacena un log en C:\VBoxProcrun\log.

Ante cualquier error verificar el nombre de la máquina en el archivo vboxprocrun.properties y que la variable de entorno de sistema esté correctamente creada ya que sino el servicio no tendrá acceso a la ubicación de las máquinas y obtendremos el error: Invalid machine name!

Un saludo a tod@s!