Complicando el correo electrónico (2) Práctica : SPF y SenderID

Un mes después de lo aprendido en el post anterior vamos a poner en práctica los dos protocolos, bueno realmente lo que vamos a poner el práctica es el uso de los protocolos en dos servicios distintos por un lado Hotmail (SenderID) y por otro Gmail (SPF)

El mes pasado había realizado diversas pruebas que por falta de tiempo no pude terminar. Las pruebas realizadas se limitan a estos dos servicios, los dos con cuentas activas y en uso, por lo que las dos cuentas deberian estar “educadas” para limitar el spam que entra en mi bandeja de entrada.

Hotmail

He realizado tanto envíos desde servidores en internet como remitente una dirección falsa, resultando en casi todo los casos que los correos ó no entraban, o cuando lo hacían era siempre directamente en la carpeta de Spam si el filtro estaba definido como exclusivo, sino entraba en la bandeja de entrada pero siempre con un aviso de que deberías desconfiar del remitente tal y cómo se ve en la siguiente imagen, en este último caso incluso sin poder validar el SenderID e independientemente del SPF del dominio remitente. En este caso del dominio desde el que se envían los emails de prueba es ingdirect[dot]es con el SPF con modificador -all

Comprobé también que en varias de las ocasiones en las que no llegaban los correos era porque el smtp en cuestión ya estaba bloqueado por Hotmail por cuestiones de Spam (no así en Gmail), comprobado en sites como por ejemplo www.spamhaus.org . Probé también el envío desde un servidor propio configurado en uno de mis equipos. En este caso y debido a que la IP de la que dispongo es dinámica, Hotmail automáticamente rechaza el mensaje.

Gmail

Los mismos envíos que en el caso anterior resultaron satisfactorios en todos los casos e independientemente de la configuración SPF del dominio remitente, los correos entraron en la bandeja de entrada.

La única excepción fue el correo enviado desde mi propio servidor, igualmente con una IP dinámica que terminó en Spam, supongo que en este caso debido a la IP.

Como conclusión (y opinión personal), el correo de Hotmail resulta mucho más seguro en la experiencia de usuario, garantizando de manera clara información sobre el remitente, disminuyendo de esta manera las posibilidades de engañar al usuario.

Pero, (siempre hay un pero) la experiencia de usuario también se puede ver mermada por la mayor lentitud, cantidad de imágenes y contenidos que se muestran en la interfaz. Creo que en ocasiones puede llegar a dar falsos positivos y sino revisas la carpeta de Spam a menudo puedes perder algún mail.

A nivel de protocolo no creo que sea bueno la actual guerra SPF vs SenderID, ya que ninguno de los dos soluciona de raíz el tema del spam. A nivel de seguridad en la aplicación, creo que Hotmail le gana la partida a Gmail, lo malo es que es siempre el usuario final el que tiene en sus manos la efectividad de esa seguridad.

¿Cambiarías ese pequeño extra en seguridad por una experiencia más cómoda y rápida como la de Gmail? Yo como soy muy responsable si.. :P

Saludos y hasta pronto!

Complicando el correo electrónico (1) Teoria : SPF y SenderID

Después de leer el pasado mes un par de posts en el blog del Maligno, y de asistir en la Gira Up to Secure a su ponencia, me quedé, como seguramente le pasó a muchos, con ganas de investigar y probar un poco más y de manera práctica el funcionamiento de estos dos protocolos que parece que se pelean sin demasiados resultados en la lucha contra el Spam.

Primero un poco de teoría:

SPF (Sender Policy Framework)

Su funcionamiento está definido principalmente en el RFC 4408 del 2006 aunque se empezó su desarrollo en 2003; podemos encontrar referencia también en RFC 4405, RFC 4406, RFC 4407, y por supuesto en wikipedia. Decir de todas formas que todos estos RFC´s son experimentales y por lo tanto se podría decir que no son reglas "oficiales" ni tampoco son obligatorias en cuanto a su implementación.

El objetivo original de este protocolo fue combatir el spam, partiendo de la base de que cada administrador iba a limitar los servidores que tiene permitido el envío de correos de su dominio en particular. En el caso de que el servidor de correo saliente esté excluido explícitamente de la entrada SPF del DNS, el destinatario podrá si lo desea desechar ese mensaje. El uso de SPF implica principalmente a los administradores de dominio y DNS, debiendo estos añadir la configuración adecuada en el DNS de su dominio.

Un registro típico SPF podría tener el siguiente formato:

"v=spf1 mx ptr:host.dominio.com +a:spf.dominio.es ip4:11.22.33.44/24 ~all"

Existen muchos asistentes en internet que para la creación de registros y mucha documentación, solamente voy a incidir en los Indices que se le pueden aplicar a cada uno de los modificadores:

"+"	Pass	Es opcional, se aplica por defecto.
"-"	Fail	Se debería rechazar a menos que esté en la lista de servidores permitidos
"~"	SoftFail	Aconseja rechazar si no figura en la lista de servidores permitidos
"?"	Neutral	Sugiere no aceptar el correo, pero lo normal es marcarlo y aceptarlo.

SenderID

Su funcionamiento está definido en el RFC 4406 principalmente (también experimental) y hay referencias en los RFC 4405, RFC 4407 y RFC 4408.

Está basado en gran parte en SPF, pero mientras este último sólo comprueba de la cabecera del correo el MAIL FROM y al HELO, SenderID utiliza para la comprobación del remitente un algoritmo definido en el RFC4407 llamado PRA y que también estará incluído en la cabecera del correo. La sintaxis en los DNS será la misma a excepición que las entradas deberán empezar con:

"spf2.0/pra", "spf2.0/mfrom", ó "spf2.0/mfrom,pra"

en función de los campos que queramos comprobar.

Decir que este protocolo fué promovido por microsoft y es el que usa por ejemplo, Hotmail. Para los administradores de dominios puede ser interesante este enlace, donde se puede encontrar información para la implementación de SenderID y la comunicación con hotmail.

Bien, no voy a ser yo el que entre en un debate SPF vs SenderID, ya que hay y habrá opiniones de todos los gustos, ejemplo 1 o ejemplo 2. Lo cierto es que independientemente de gustos, son protocolos de distinta capa. SPF pertenece a la capa de protocolos SMTP mientras que SenderID pertenece a la capa de protocolos IMF (Internet Message Format) definida en el RFC 2822.

El caso, y despues de este pequeño "rollo" que he soltado, ningúno de los dos es de aplicación obligatoria. Lo cúal es algo importante, pues que aunque yo haya configurado mi SPF/SenderID de una manera estupenda si tu como receptor de mi email quieres ignorarlo puedes. Y de ahí es de donde surgen los problemas.

Bueno aqui lo dejo y para el próximo día si el tiempo me lo permiete un post un poco más práctico de SPF y SenderID.

Salu2!

Una pausa para la publicidad...

Ante todo Feliz Año a tod@s!

Como primer post del año y para tod@s aquellos que tengais propositos para este 2011 ahí van un par de recomendaciones para los próximos meses:

Gira Up To Secure hasta el 27 de Enero

Probablemente muchos de vosotros ya habrais asistido a alguna. Como sabeis es un evento anual, organizado principalmente por microsoft y partners relacionados. Realizan una gira por diversas ciudades del territorio español. Recomendable la asistencia, en gran parte por la presencia del más que conocido Maligno, aunque en ocasiones hay alguna ponencia demasiado "comercial" en general merece la pena pedir la mañana.

RootedCon 2011 03-05 de Marzo

Congreso sobre seguridad informática y conocimiento que se celebra en Madrid, que seguramente seguirá creciendo año a año. Como ya llego tarde al aviso pues los que querais ir y no tengais entrada tendreis que esperar al próximo año ya que las entradas ya están agotadas. Pero quizás quede algún hueco en alguno de los Rooted Labs que se organizan los días anteriores. Suerte!

Sin duda existen muchas más formaciones pero a nivel nacional y en los próximos 2 meses están son de las más relevantes.

Un saludo a tod@s!