Ús avanÇat del correu electrÒnicdeic.uab.cat/~jordicj/cursos/correu/transpes.pdf5 petic Ús...

1

PETIC

Ús avançat del correu electrònic

ÚS AVANÇAT DEL CORREU ELECTRÒNIC

PLA D’EXTENSIÓ DE LES TIC

Juliol de 2007

2

PETIC


Continguts

● Conceptes bàsics● El missatge● Classificació de missatges● El correu escombraria (SPAM)● Atacs a través de correu electrònic● Aspectes de seguretat● Altres funcionalitats● Llistes de distribució● Difusió de missatges a la UAB● Normes bàsiques d'ús del correu electrònic

3

PETIC


1.Conceptes bàsics

• El correu electrònic és una de les aplicacions més utilitzades d'Internet.

• És un sistema de comunicació ràpid i econòmic.• El seu funcionament emula el del correu tradicional:

– Carter: Mail Transfer Agent (MTA)– Bústia: Mailbox

• Cada usuari té una bústia amb espai assignat.• Segueix un esquema de client-servidor.• Involucra diversos protocols.• És tolerant a fallades gràcies al sistema de cues.

1.1.Introducció

4

PETIC


1.Conceptes bàsics

• Arquitectura molt comuna en informàtica.• Relació entre dues entitats (client i servidor).• El servidor ofereix un servei.• El client utilitza aquest servei.• Exemple d'aquest esquema pel servei de pàgines

web:

1.2.Esquema client-servidor

Servidor webClient web

5

PETIC


1.Conceptes bàsics

• Conjunt de servidors (MTA) repartits per Internet.• Cada servidor representa un domini.• Cada domini inclou varis comptes d'usuari o bústies.• Quan un usuari envia un missatge, aquest roman en

una cua del seu servidor, pendent de ser entregat al servidor de domini del destinatari.

• Aquestes cues són el què dóna tolerància a fallades ja que no tots els servidors tenen que estar on-line.

1.3.Funcionament general

Mail Transfer Agent(MTA)

Mail Transfer Agent(MTA)

InternetUser Agent(UA)

User Agent(UA)

6

PETIC


1.Conceptes bàsics

• Protocol principal del correu electrònic.• És l'encarregat de l'enviament i recepció dels missatges

entre servidors.• Es basa en enviar de comandes de text molt simples.• El protocol original no inclou cap tipus de seguretat:

– No es demana autenticació de l'usuari.– El missatge enviat viatja en clar (no es xifra).

• En la configuració dels clients de correu, aquest és el protocol que es posa com a servidor de sortida.

1.4.Protocols utilitzats pel correu electrònic

Enviament de correu: SMTP

7

PETIC


1.Conceptes bàsics

• S'encarrega d'accedir a la bústia de correu de l'usuari.• Només permet la manipulació d'una safata d'entrada.• Originalment el protocol no inclou seguretat.• Un espia podria veure la contrasenya de l'usuari.• El comportament estàndard d'aquest és la descàrrega

del correu al client i la posterior eliminació del servidor.• En la configuració dels clients de correu, aquest és un

dels protocols que es posa com a servidor d'entrada.


Accés a la bústia de correu (I): POP3

8

PETIC


1.Conceptes bàsics

• S'encarrega d'accedir a la bústia de correu de l'usuari.• Permet la manipulació de múltiples safates d'entrada.• Inclou seguretat en la identificació de l'usuari.• Suporta descàrrega parcial dels missatges.• El comportament estàndard d'aquest és la

visualització en línea del correu emmagatzemat a la bústia de l'usuari (la qual es troba al servidor).

• En la configuració dels clients de correu, aquest és un dels protocols que es posa com a servidor d'entrada.


Accés a la bústia de correu (II): IMAP

9

PETIC


1.Conceptes bàsics1.4.Protocols utilitzats pel correu electrònic

10

PETIC


1.Conceptes bàsics1.5.Visió general del sistema de correu electrònic

Servidor de correu

Servidor de correu

SMTP

SMTP

SMTP

Servidor de correu

Client de correu(Mozilla

Thunderbird)


Thunderbird)

SMTP

POP3

SMTP

IMAP

SMTP

IMAP

Servidor de web+

Client de correu(Webmail)

Navegador web(Mozilla Firefox)

HTTP

11

PETIC


1.Conceptes bàsics

• Indiquen el destinatari d'un correu electrònic.• L'usuari és la bústia del servidor de correu on s'ha

d'entregar el correu electrònic.• El nom_de_domini especifica el servidor de correu al

que pertany la bústia receptora del missatge (per exemple “uab.es”, “terra.es”...).

• Al correu tradicional l'usuari seria el nom de la persona a qui es dirigeix una carta i el nom_de_domini l’adreça física (número, carrer, població...).

1.6.Adreces de correu electrònic

usuari@nom_de_domini

12

PETIC


1.Conceptes bàsics

• Adreça que no té una bústia associada.• El correu dirigit a un àlies s'entrega a una o més

adreces convencionals.• Els àlies s'utilitzen per a dues funcions diferents:

– Emmascarar una adreça real.– Tenir una adreça col·lectiva que difongui el

missatge a un determinat grup d'adreces.• Normalment són gestionats pels administradors del

sistema de correu.• S'utilitza habitualment per a difondre un missatge

entre tots els membres d'un departament.

1.7.Àlies

13

PETIC


1.Conceptes bàsics

● Programes específics:– Programa instal·lat a l'ordinador de l'usuari.– Permet llegir, crear i editar missatges.– Permet treballar sense connexió permanent.– Exemples: Mozilla Thunderbird, Outlook Express...

● Aplicacions webmail:– Programa instal·lat en un servidor de web.– Permet llegir, crear i editar missatges.– Necessita connexió permanent.– Exemples: CESAR, SquirrelMail...

1.8.Clients de correu electrònic

14

PETIC


1.Conceptes bàsics1.8.Clients de correu electrònic

Programa específic: Mozilla Thunderbird

15

PETIC


1.Conceptes bàsics1.8.Clients de correu electrònic

Aplicació webmail: UAB

16

PETIC


1.Conceptes bàsics

• Nom de domini incorrecte: non existent host/domain, illegal host/domain...

• Usuari incorrecte: user unknown, remote server has rejected the address...

• Quota d'usuari excedida: over quota, disc quota exceeded...

• Retard a l'enviament: unable to deliver this message after 5 days.

• Bloqueig de missatges per filtres de correu escombraria.

1.9.Errors habituals en el correu electrònic

17

PETIC


1.Conceptes bàsics

● Obrir la finestra de paràmetres dels comptes de correu.

● Afegir un compte de correu.● Introduir les vostres dades (nom i email).● Introduir el servidor d'entrada (POP o IMAP).● Introduir el servidor de sortida (SMTP).● Introduir el vostre nom d'usuari associat al compte.● Doneu un nom al compte.● Comproveu que funciona (es demanarà contrasenya).

1.10.Exercici pràctic

Configuració del vostre compte de correu (passos):

18

PETIC


1.Conceptes bàsics

• Wikipedia – Email, http://en.wikipedia.org/wiki/Email

• Mozilla Thunderbird, http://www.mozilla.com/thunderbird/

• Webmail de la UAB, http://webmail.uab.cat

1.11.Referències (acc. Maig 2007)

19

PETIC


2.El missatge

• El correu electrònic va aparèixer cap al 1965.• En aquells moments no s'utilitzaven entorns gràfics

d'usuari.• No hi havia necessitat d'enviar altra cosa que text.• El protocol SMTP funciona mitjançant comandes de

text i no s'utilitza cap modalitat especial per a enviar les dades (per tant només suporta dades de text).

• També trobem la limitació que el text que es pot enviar utilitza la codificació ASCII de 7 bits, que és americana i no suporta caràcters regionals.

2.1.Els inicis del correu electrònic: text pla

20

PETIC


2.El missatge

• El missatge conté una capçalera i un cos (dades).• La capçalera inclou:

– Adreça origen (From:)– Adreça destí (To:)– Assumpte (Subject:)– Data (Date:)– Adreça destí de còpia (Cc:)– Adreça destí oculta de còpia (Bcc:)– Informació de seguiment– Tipus de dades contingudes (tipus MIME)

2.2.El format del missatge

21

PETIC


2.El missatge

• Aquí veureu les comandes que envia el vostre client de correu cada vegada que envieu un missatge.

• Seguirem el protocol SMTP a mà per a fer l'enviament.• Extreurem dues conclusions d'aquest exercici:

– La seguretat de l'SMTP és nul·la (no se'ns demana autenticació).

– El missatge només pot ser de text.• Utilitzarem les comandes: HELO, MAIL FROM:,

RCPT TO:, DATA i QUIT.• Finalment podem mirar el codi font del missatge

rebut.

2.3.Exercici: enviament d'un missatge amb telnet

22

PETIC


2.El missatge2.3.Exercici: enviament d'un missatge amb telnet

220 diana.uab.es ESMTP Sendmail 8.12.10/8.12.10; Wed, 15 Jun 2005 22:15:22 +0200

HELO terra.es

250 diana.uab.es Hello jordi [158.109.x.x], pleased to meet you

MAIL FROM: [email protected]

250 2.1.0 [email protected]... Sender ok

RCPT TO: [email protected]

250 2.1.5 [email protected]... Recipient ok

DATA

354 Enter mail, end with "." on a line by itself

From: President de Terra <[email protected]>

To: Jordi Cucurull Juan <[email protected]>

Subject: Carta del president de Terra

Benvolgut senyor...

.

250 2.0.0 j5FKFMmk026642 Message accepted for delivery

QUIT

221 2.0.0 abra.uab.es closing connection

23

PETIC


2.El missatge2.3.Exercici: enviament d'un missatge amb telnet

Return-Path: <[email protected]>Received: from terra.es (diana [158.109.x.x])

by diana.uab.es (8.12.10/8.12.10) with SMTP id j5FKFMmk026642for [email protected]; Wed, 15 Jun 2005 22:16:55 +0200

Date: Wed, 15 Jun 2005 22:15:22 +0200Message-Id: <[email protected]>From: President de Terra <[email protected]>To: Jordi Cucurull Juan <[email protected]>Subject: Carta del president de TerraCa

pçal

eres

Cos

Benvolgut senyor...

24

PETIC


2.El missatge

• Els clients de correu normalment permeten escriure els missatges amb text enriquit (HTML).

• El text enriquit permet escollir la font, el tamany, el color, alguns efectes, etc.

• L'ús o no del text enriquit es pot activar/desactivar des del menú Opcions->Format.

• Per garantir compatibilitat es pot escollir l'opció d'incloure el text enriquit i el text pla en un sol email.

• Es pot programar el client perquè segons el domini destinatari del correu ho enviï en HTML o no.

2.4.Ús de text enriquit: HTML

25

PETIC


2.El missatge

• El correu estàndard utilitza ASCII-US.• Amb l'ús de MIME es pot escollir una codificació.• La codificació ens permet l'ús de caràcters regionals.• Exemple de codificacions:

– ISO 8859-1: Inclou caràcters llatins (ç,ñ...).– ISO 8859-15: Inclou els anteriors i l'Euro (€).

• Els clients ofereixen opcions de Codificació de Caràcters per a canviar la codificació estàndard.

• Si la codificació seleccionada al client no es correspon amb el correu rebut, poden aparèixer símbols incorrectes.

2.5.Codificacions i formats d'intercanvi

26

PETIC


2.El missatge

• Al cos de missatge s'utilitza ASCII de 7 bits.• Extensió per a la incorporació de tot tipus de dades

(8 bits) sobre el cos del missatge: so, imatge, vídeo...• Permet l'ús de diferents codificacions de text.• Es defineixen noves capçaleres ignorades pels clients

de correu antics:– MIME-Version: Versió del MIME.– Content-type: Tipus de contingut del missatge.– Content-transfer-enconding: Codificació del text.

2.6.Multipurpose Internet Mail Extensions (MIME)

27

PETIC


2.El missatge

• MIME defineix els següent tipus de dades:– text/plain: per representar text.– text/html: text en format HTML.– multipart/mixed: tipus que especifica que el correu

conté vàries parts de diversos tipus.– multipart/alternative: tipus que especifica que el

correu conté vàries parts de les quals només se n'ha de mostrar una.

• Les multiparts conformen una estructura d'arbre (les fulles són tipus simples i la resta tipus multipart).


28

PETIC


2.El missatge

• MIME permet la definició de nous tipus:– image/jpeg– image/gif– audio/x-wav– video/mpeg– video/x-msvideo– application/pdf– application/zip– application/octet-stream– ...


29

PETIC


2.El missatge

• Si un missatge conté un dels tipus anteriors que no és conegut pel client, aleshores aquella part no es mostrarà (una imatge, un vídeo...).

• Augmenta el tamany de la informació adjuntada.• Aquest mecanisme és el que permet posar adjunts als

correus electrònics, per tant obre la porta a l'ús del correu per a la propagació dels virus.

• El fet de poder utilitzar l'estàndard HTML als correus també permet fer recreacions molt fidedignes de les pàgines web d'entitats bancàries. Això permet el què es coneix com a phising.


30

PETIC


2.El missatge

• Creeu un missatge amb només text pla.• Creeu un missatge amb text enriquit.• Creeu un missatge amb text pla + text enriquit.• Creeu un missatge que inclogui una imatge.• Creeu un missatge amb un adjunt.• Programeu el client perquè a “ccd.uab.es” no enviï

text enriquit (HTML) i intenteu enviar-me un missatge amb text enriquit.

• Observeu el codi font dels missatges que heu fet i observeu el MIME i les capçaleres (Ctrl+U).

2.7.Exercicis

31

PETIC


2.El missatge

• IETF - Especificació de format del missatge, http://www.ietf.org/rfc/rfc2822.txt

• Wikipedia – MIME, http://en.wikipedia.org/wiki/MIME

• IANA – Tipus MIME existents, http://www.iana.org/assignments/media-types/

• Wikipedia – Codificació de caràcters, http://en.wikipedia.org/wiki/Character_encoding


32

PETIC


3.Classificació de missatges

• L'ús intensiu del correu electrònic requereix una bona organització dels missatges.

• Es fa necessari poder classificar els missatges.• S'adopta l'ús de carpetes en funció del tipus de

missatge:– Safata d'entrada– Missatges enviats– Borradors– Eliminats

3.1.Introducció

33

PETIC



• L'esquema es queda curt de seguida.• Es permet la creació de carpetes arbitràries.• Carpetes locals vs. Carpetes remotes.

3.1.Introducció

• Però el correu s'ha de classificar manualment.

• Apareixen sistemes automàtics de classificació.

34

PETIC



• Es classifica a partir de les capçaleres de missatge:– Assumpte– Remitent– Data– Prioritat– A– CC– ....

• Se n'encarrega el nostre MUA (Mail User Agent).• S'utilitzen filtres de classificació.

3.2.Classificació automàtica

35

PETIC



1. Crear les carpetes que vulguem.2. Obrir el gestor de configuració dels filtres.3. Crear nou filtre (tot assignant-li un nom).4. Selecció de paràmetre de classificació.5. Introducció de la cadena exacta a buscar.6. Assignar acció sobre el missatge que s'ajusti al filtre

(deixar-lo en una carpeta, eliminar-lo, etc.).7. Acceptar el nou filtre i tancar el gestor de filtre.8. Executar els filtres sobre les carpetes antigues (si el

nostre MUA ho permet).

3.3.Configuració dels filtres

36

PETIC


3.Classificació de missatges3.4.Classificació al webmail

37

PETIC


3.Classificació de missatges3.5.Classificació al Mozilla Thunderbird

Eines -> Filtres de missatge...

38

PETIC


3.Classificació de missatges3.5.Classificació al Mozilla Thunderbird

39

PETIC



● Creeu carpetes al vostre compte de correu.● Creeu algun filtre al webmail.● Envieu missatges per a provar-ho.

3.6.Exercicis

● Creeu carpetes al vostre compte de correu (poden ser localment o al servidor).

● Creeu algun filtre al Mozilla Thunderbird.● Envieu missatges per a provar-ho.

40

PETIC


4.El correu escombraria

• És l'enviament indiscriminat de propaganda no sol·licitada per correu electrònic (SPAM).

• Les adreces de les víctimes són recollides de pàgines web, grups de notícies i llistes de correu.

• L'adreça origen del correu escombraria sol estar falsificada per evitar-ne el filtrat.

• Inclouen paraules mal escrites (vaigra) que el cervell humà reconeix fàcilment, però no els filtres de correu.

• Hi ha virus dedicats a l'enviament de correu escombraria, així creen una xarxa distribuïda d'enviament (complicant-ne molt el seguiment).

4.1.Definició

41

PETIC



• Genera elevades pèrdues d'ampla de banda de les xarxes de transmissió de dades i cost de procés.

• Genera pèrdua de productivitat dels usuaris del correu electrònic a causa del temps de selecció perdut.

• Comporta infringir les polítiques dels proveïdors d'Internet (ocultar origen, noms falsos, etc.).

• La majoria de correu escombraria prové d'Estats Units, Corea del Sud, China, França, Espanya, Canadà, Japó, Brasil, Regne Unit i Alemanya.

• De vegades s'aprofita l'al·legalitat d'algunes zones.

4.2.Cost i conseqüències

42

PETIC



• No posar les vostres adreces a pàgines web o fer-ho en forma de gràfic o en un format diferent.

• Evitar participar en cadenes de missatges (com els d'acudits o els de malediccions).

• Evitar pàgines que sol·liciten la teva adreça o la dels teus amics per accedir a un servei.

• No cedir les teves dades a tercers quan participes en promocions (marcar la casella corresponent).

• No respondre a missatges dubtosos.• No donar-se de baixa d'un correu escombraria (no

se't dóna de baixa i encara se te n'envia més).

4.3.Prevenció

43

PETIC


4.El correu escombraria4.4.Mètodes de protecció

• Mètode implementat als servidors.• Una entitat manté una llista de servidors des dels

que s'ha enviat correu escombraria.• Els servidors es connecten a aquestes llistes i quan

reben correu comproven que no provingui d'una adreça que hi figuri llistada.

• Un exemple és el projecte SpamHaus.• La UAB utilitza aquest mètode de filtrat. Quan es

detecta un d'aquests missatges no s'entrega.

Filtrat basat en llistes negres:

44

PETIC


4.El correu escombraria4.4.Mètodes de protecció

• Mètode majoritàriament implementat als clients.• Se sol basar en l'entrenament d'un algorisme Bayesià.• El receptor simplement ha de marcar quins correus

són escombraria i quins no (s'ha de fer bé perquè si no poden aparèixer falsos positius i falsos negatius).

• Al final l'aplicació dedueix quins trets són els que defineixen el correu escombraria en major proporció.

• Finalment, un cop entrenat, el sistema reconeix automaticament el correu no desitjat.

Filtrat basat en aprenentatge:

45

PETIC



• Es tracta de programari específic que s'instal·la al servidor (al Mail Transfer Agent).

• La detecció del correu escombraria sol fer servir llistes negres, tot i que també es pot utilitzar l'aprenentatge.

• Hi ha dos tipus de programari, el que elimina el correu d'aquest tipus i el que només el marca.

• En cas de marcar-lo és el client (el Mozilla Thunderbird) el que amb un filtre el separarà en una carpeta a part.

• Un exemple és l'SpamAssassin.

4.5.Programari de filtrat al servidor de correu

46

PETIC



• És programari inclòs dins el client de correu.• La detecció del correu escombraria se sol fer per

aprenentatge.• L'usuari és responsable de fer una bona selecció dels

correus escombraria i els que no ho són.• Generalment l'aplicació es configura perquè aquests

correus es moguin a una carpeta especial.• El Mozilla Thunderbird suporta aquest tipus de filtrat.

4.5.Programari de filtrat al client de correu

47

PETIC


4.El correu escombraria4.5.Programari de filtrat al client de correu

48

PETIC


4.El correu escombraria4.5.Programari de filtrat al client de correu

49

PETIC



● Obriu el Mozilla Thunderbird.● Seleccioneu tots els missatges que considereu

escombraria i marqueu-los com a tals.● Assegureu-vos que no hi ha missatges bons marcats.● Aneu a la configuració del correu brossa.● Feu que tot aquest tipus de correu es dirigeixi a una

carpeta especial.● Activeu el registre.● Activeu el filtratge automàtic.● Comproveu que funciona (us enviaré Spam).

4.6.Exercici

50

PETIC



• Sophos – Simple steps to avoid SPAM, http://www.sophos.com/security/best-practice/spam.html

• Wikipedia – Spam (electronic), http://en.wikipedia.org/wiki/Spam_%28electronic%29

• Wikipedia – Spam, http://es.wikipedia.org/wiki/Spam

• Projecte Honey Pot, estadístiques d'enviament, http://www.projecthoneypot.org/statistics.php

• SpamHaus, llistes negres de correu, http://www.spamhaus.org/


51

PETIC


5.Atacs per correu electrònic

• Com la majoria de serveis d'Internet, el correu també s'ha utilitzat per a dur a terme atacs a l'usuari.

• Hi ha diverses tipologies bàsiques d'atacs:– Atacs amb programari maliciós.– Atacs per enginyeria social.– Atacs a la privacitat.

• La primera aprofita vulnerabilitats dels clients de correu i pot tenir una component d'enginyeria social.

• La segona es basa en l'engany a l'usuari perquè faci alguna cosa que en la seva contra sense saber-ho.

5.1.Introducció

52

PETIC



• Es basa en incloure fitxers executables adjunts al correu electrònic que són virus, programes espia o emisors de correu brossa.

• De vegades són executats automàticament aprofitant errors de disseny dels clients de correu electrònic.

• Altres vegades aprofiten la bona fe o interès dels usuaris perquè siguin executats clicant sobre l'adjunt.

• Se solen reconeixer perquè tenen extensions tipus: exe, com, scr, falsos zip's...

• Es poden trobar en forma de macro dins un fitxer de MS Word que ens hagin enviat (o en una imatge).

5.2.Atacs amb programari maliciós

53

PETIC



• El client de correu hauria d'estar actualitzat a la darrera versió.

• No obrir adjunts que considerin dubtosos.• No obrir adjunts executables (EXE, COM, SCR).• Vigilar amb els correus amb continguts sexuals.• De vegades inclouen adjunts aparentment innocents

(un fitxer ZIP), però que en realitat són executables (nom.zip_______________________.exe).

• L'antivirus ha d'estar al dia (sobretot a Windows).• És preferible un compte de correu que inclogui

antivirus (com és el cas del de la UAB).

5.3.Evitar caure en atacs amb programari maliciós

54

PETIC



• L'enginyeria social tracta d'enganyar els usuaris per a què realitzin acció que els van en la seva contra.

• Un exemple senzill és el fet de demanar a un usuari la seva contrasenya bancària i aquest la dóni.

• Una manera més elaborada de fer això és el phishing o pesca electrònica.

• Aquest tracta de fer un missatge que s'assembli molt al d'un lloc de confiança (un banc per exemple), en el que es demanen dades confidencials de l'usuari.

• Darrerament aquest tipus d'atac està de moda i n'han estat víctimes entitats com: Caja Madrid, Banesto...

5.4.Atacs per enginyeria social

55

PETIC


5.Atacs per correu electrònic5.4.Atacs per enginyeria social

56

PETIC



• No introduir dades bancàries ni contrasenyes en llocs desconeguts o no segurs.

• Els bancs mai demanen dades a través de correu.• Si cliqueu a un enllaç comprovar que realment

apareix l'adreça correcta al navegador.• Comproveu que les pàgines utilitzen SSL i estan

certificades per una autoritat (apareix cadenat).• Els correus aquests solen al·legar problemes tècnics.• Com a normal general MAI faciliteu dades sensibles

per correu electrònic.• Fer cas a les advertències dels clients de correu.

5.5.Evitar caure en atacs per enginyeria social

57

PETIC


5.Atacs per correu electrònic5.5.Evitar caure en atacs per enginyeria social

58

PETIC



• Són atacs que no afecten directament a la seguretat de l'usuari ni en comprometen el sistema.

• Se solen servir de mètodes legítims per a obtenir informació de l'usuari:– Cadenes de correus electrònics: S'utilitzen per a

recopil·lar adreces de correu actives.– Imatges externes incrustades al correu: Al

carregar-les (normalment automàticament) estem donant mostres de què hem rebut el correu.

• Aquesta informació és la que posteriorment permetrà dur a terme els atacs contra l'usuari.

5.6.Atacs a la privacitat

59

PETIC


5.Atacs per correu electrònic5.6.Atacs a la privacitat

60

PETIC


5.Atacs per correu electrònic5.6.Manteniment de la privacitat

• Mirar de no fer cadenes de correus amb les adreces al camp A: si no al BCC: , ja que així aquestes no es propaguen.

• Bloquejar la càrrega d'imatges a partir d'enllaços a llocs desconeguts.

• No accedir a enllaços de procedència dubtosa.• Com s'ha dit abans, no incloure dades sensibles als

correus ja que la privacitat del contingut no està garantida al llarg del recorregut d'aquests.

• Tenir antivirus que inspeccioni els missatges rebuts (detecció d'spyware).

61

PETIC



• Wikipedia – Definició d'enginyeria social, http://en.wikipedia.org/wiki/Social_engineering_%28computer_security%29

• Wikipedia – Definició de phishing, http://en.wikipedia.org/wiki/Phising

• Guia del Phishing, http://www.technicalinfo.net/papers/Phishing.html

• Privacitat a Mozilla Thunderbird 2, http://www.freeemailtutorials.com/mozillaThunderbird/privacyOptions.cwd

• Sophos-Defend against viruses, spyware and adware, http://www.sophos.com/security/best-practice/viruses.html


62

PETIC


6.Seguretat

• El correu electrònic, en principi, no implementa cap tipus de seguretat.

• Les operacions de seguretat que ens interessen són:– Xifrat: Ens garanteix la confidencialitat de les

dades (només les persones de confiança ho podran llegir).

– Signat: Garanteix que la entitat signant és qui diu ser i, també, garanteix la integritat de les dades.

• Primer veurem tipus de sistemes de seguretat.• Després discutirem on interessa posar seguretat i de

quin tipus.

6.1.Introducció

63

PETIC


6.Seguretat

• Clau simètrica:– Hi ha una sola clau compartida.– Qui vol participar en una comunicació xifrada ha

de conèixer la clau.– Aquesta serveix tan per escriure com per llegir.

6.2.Tipus de sistemes de seguretat

Pere Maria

Clau compartida

64

PETIC


6.Seguretat

• Clau asimètrica o clau pública:– Hi ha una parella de claus (la pública i la privada).– En una comunicació cadascú ha de tenir la seva

clau privada i conèixer les públiques dels altres.– Amb la clau privada es llegeix i amb la pública

s'escriu.

6.2.Tipus de sistemes de seguretat

Pere Maria

Clau privada

Clau pública

Clau privada

Clau pública

65

PETIC


6.Seguretat

• Per a donar confidencialitat i autenticitat a les connexions farem servir el protocol Secure Sockets Layer (SSL).

• Aquest protocol és una capa que es posa a sota de la resta de protocols explicats.

• És una manera senzilla de fer que tota la informació es vagi xifrant a mesura que es va enviant.

• Utilitza un esquema de clau pública basat en una Public Key Infrastructure (PKI) que explicarem després.

6.3.Seguretat a les connexions (I)

66

PETIC


6.Seguretat

• Cal protegir la confidencialitat d'accés a la nostra bústia.

• Els missatges viatjaran xifrats des del servidor de correu al nostre client de correu (Mozilla Thunderbird).

• S'han de protegir els protocols POP3 i IMAP (connexions d'entrada).

• També es pot protegir l'SMTP (connexió de sortida) en el tram que va del nostre client fins al servidor.

• Per a això es fa servir el protocol SSL.• Així POP3, IMAP i SMTP seran POP3S, IMAPS i SMTPS.

6.3.Seguretat a les connexions (II)

67

PETIC


6.Seguretat

• Si fem servir webmail també és convenient protegir-ne l'accés.

• Per a protegir-ne la confidencialitat (evitar que terceres persones vegin què estem fent) també es fa servir l'SSL.

• Així l'HTTP passa a ser l'HTTPS.• Podem reconèixer quan som a pàgines web segures

perquè a l'adreça hi posa “https” i perquè al navegador apareix un cadenat.

• Si no ha aparegut cap missatge d'error, a més a més, sabem que la pàgina és autèntica.

6.3.Seguretat a les connexions (III)

68

PETIC


6.Seguretat6.3.Seguretat a les connexions (IV)

SMTP

SMTP

Servidor de correu


Thunderbird)

SMTP

POP3

Túnel SSL

Túnel SSL

69

PETIC


6.Seguretat6.3.Seguretat a les connexions (V)

• És interessant que tingui com a mínim accés a la bústia (amb POP3 o IMAP) segur (amb SSL).

• Això permet que les nostres contrasenyes no puguin ser descobertes per cap espia.

• En un webmail és important que l'accés a aquest es faci a través d'HTTPS, és a dir HTTP+SSL.

• Així s'evita que cap espia obtingui cap dada.• Exemples de comptes de correu segur són el que

proporciona l'Autònoma i el Google Mail.

Seguretat desitjable en un compte de correu:

70

PETIC


6.Seguretat

• Una altra manera de protegir el correu és el xifrat i signat dels missatges.

• Així ens assegurem que, encara que les connexions que hem vist fins ara no siguin segures, ningú podrà obrir els nostres missatges.

• Cal fer notar també que les connexions entre servidors de correu mai estan protegides.

• Per a protegir un missatge podem fer servir:– Public Key Infrastructure (PKI)– Anells de confiança

6.4.Seguretat als missatges (I)

71

PETIC


6.Seguretat6.4.Seguretat als missatges (II)

• Sistema més habitual.• Permet xifrar i signar els missatges.• Sistema integrat als clients de correu habituals.• Basat en parelles de claus (pública i privada).• Ús de certificats amb la clau pública de l'usuari.• Intervenen terceres parts de confiança anomenades

autoritats de certificació (CA).• Exemple d'autoritats de certificació: Verisign,

Thawte...

Public Key Infrastructure (PKI):

72

PETIC



• Funcionament general d'una PKI (generació de clau):– Una autoritat de certificació genera una parella de

claus per a un usuari (normalment aquest paga).– La clau privada i un certificat que conté la clau

pública s'entrega a l'usuari.– El certificat que inclou la clau pública, a més a

més, està signat per l'autoritat de certificació. Això permet que qui vulgui utilitzar la clau continguda al certificat, pot verificar que la clau realment és vàlida.


73

PETIC




Pere Maria

Autoritat de certificació

Certificat signatper l'autoritat decertificació (CA)

Clau privada

Clau pública

74

PETIC



• Funcionament general d'una PKI (xifrat i signat):– Pel signat es fa servir la clau privada de l'usuari.– Quan es xifra un missatge es fa servir el certificat

que conté la clau pública del destinatari.– Primer es signa el missatge amb la clau privada.– Després es xifra amb la clau pública.– El receptor desxifra el missatge amb la seva clau

privada.– En comprova l'autenticitat amb la clau pública de

l'emisor.


75

PETIC




PereMaria


Signatura Xifrat Desxifrat


Comprovaciósignatura

Transport delmissatge

Clau privada M Clau privada P

Clau públicaM

Clau públicaP

76

PETIC



• Problemes de les PKI:– Sempre depenem d'una autoritat de certificació, a

la qual hem de pagar les claus.– No podem fer-nos la nostra pròpia autoritat de

certificació perquè donaria error (els clients de correu ja tenen una llista de CAs vàlides).

– Si una clau privada passa a males mans aleshores ja no es pot confiar en ella.

– Això últim ens obliga a tenir llistes de revocació, on apareixen les claus compromeses.


77

PETIC



Exercici: Obtenció d'una parella de claus de Thawte:

78

PETIC


6.Seguretat6.4.Seguretat als missatges (III)

• Eliminen les autoritats de certificació.• La confiança en les claus es basa en la reputació.• Cada usuari pot signar les claus públiques d'altres

usuaris indicant quina confiança els hi té.• Això serveix de carta de presentació quan s'obté una

clau pública d'un altre usuari.• Per a generar les claus es fa servir el programari PGP o

GPG (versió lliure).• Es pot integrar al Thunderbird amb el software Enigmail.

Anells de confiança:

79

PETIC


6.Seguretat

• Quan comprem una parella de claus a una autoritat de certificació, aquesta ens l'instal·la al client de correu.

• Per fer còpies de seguretat dels nostres certificats farà falta accedir al gestor de certificats.

• Des d'aquesta finestra podem veure els certificats, importar-ne i exportar-los.

• És important conservar una còpia dels certificats en un lloc segur, ja que si hem de reinstalar el sistema ens farà falta.

• Tingueu en compte que sense el certificat, els missatges xifrats que hem rebut no podran ser llegits.

6.4.Gestió dels certificats al client de correu

80

PETIC


6.Seguretat6.4.Gestió dels certificats al client de correu

81

PETIC


6.Seguretat

• A causa de l'ús de parelles de claus, abans de xifrar un missatge heu d'obtenir la clau pública del destinatari.

• Per a obtenir-la simplement heu de fer que el destinatari prèviament us hagi enviat un correu electrònic signat (que inclourà la seva clau pública).

• Quan vulgueu enviar missatges segurs nomes haureu de seleccionar al desplegable de seguretat què voleu fer (Requereix encriptació i/o Signa digitalment).

• Per a comprovar si un missatge que us han enviat està signat o xifrat només heu de mirar les icones que apareixen a dalt del missatge a la dreta (un llàpis i un cadenat).

6.5.Enviament de correu signat i xifrat

82

PETIC


6.Seguretat6.5.Enviament de correu signat i xifrat

83

PETIC


6.Seguretat

● Amb el navegador Mozilla Firefox que teniu obert, instal·leu el certificat que ja hauria d'estar expedit.

● Com que Thawte només ha ofert el certificat per Netscape, ens l'haurà instal·lat al nostre navegador, però no al client de correu.

● Per això anirem al gestor de certificats del Mozilla Firefox i en farem una còpia de seguretat.

● A continuació anirem al gestor de certificats del Mozilla Thunderbird i recuperarem la còpia de seguretat.

● A partir d'aquí ja només caldrà que feu proves d'enviament de missatges xifrats i signats.

6.6.Exercici

84

PETIC


6.Seguretat

• Wikipedia – Definició SSL, http://en.wikipedia.org/wiki/Secure_Sockets_Layer

• Wikipedia – Definició PKI, http://en.wikipedia.org/wiki/Pki

• Thawte – Autoritat de certificació, http://www.thawte.com

• GNUPG – Pàgina de la implementació de GPG de seguretat basada en anells de confiança, http://www.gnupg.org

• Enigmail, http://enigmail.mozdev.org/


85

PETIC


7.Altres funcionalitats

• Una redirecció implica que quan es rep un correu electrònic aquest és enviat a una altra adreça sense guardar-ne cap còpia.

• Les redireccions són útils per quan tenim molts comptes de correu diferents.

• Es poden redirigir tots els comptes a un de sol.• Això se sol fer des de l'aplicació de webmail.• A continuació podem veure on es poden activar les

redireccions pel correu de la UAB:

7.1.Redirecció a altres comptes de correu

86

PETIC


7.Altres funcionalitats7.1.Redirecció a altres comptes de correu

87

PETIC



• Es tracta de què quan es rep un correu electrònic, el servidor de correu el respongui automàticament.

• El què es fa és, a través del webmail, posar un missatge predefinit per a totes les respostes.

• És útil si sabem que durant un període de temps no podrem atendre els missatges, ja que es pot indicar l'adreça d'algú altre que ho pugui atendre.

• En el període de vacances pot anar bé.• A continuació veiem com es configura en el cas del

correu de la UAB:

7.2.Generació de respostes automàtiques

88

PETIC


7.Altres funcionalitats7.2.Generació de respostes automàtiques

89

PETIC



• Quan volem canviar d'un client de correu a un altre (per exemple de Microsoft Outlook Express a Mozilla Thunderbird), normalment no volem perdre els missatges, ni les adreces ni la configuració que teníem.

• La importació ens permet obtenir les dades que volguem d'una altra aplicació.

• Per anar bé la importació s'ha de fer tot just quan s'inicia per primera vegada el nou client (ens ho demana automàticament).

• A continuació discutirem importacions posteriors.

7.3.Importació/exportació de dades dels clients

90

PETIC


7.Altres funcionalitats7.3.Importació/exportació de dades dels clients

1. A la llibreta de contactes s'ha d'anar al menú d'eines i seleccionar exportar.

2. A continuació se'ns demanarà el nom amb què es guardaran els contactes i també el format.

3. Des de l'aplicació que volem incloure els nostres contactes (una altra agenda) anem al menú d'eines i seleccionem importar.

4. Amb el quadre de diàleg nomès s'ha de buscar el fitxer que havíem guardat anteriorment.

Importació/exportació de contactes:

91

PETIC


7.Altres funcionalitats7.3.Importació/exportació de dades dels clients

1. S'ha d'anar al menú d'eines del client de correu i seleccionar importar.

2. Al gestor que apareix se li diu que es vol importar correu i se selecciona l'aplicació origen.

Importació de correu:

1. El mateix que abans però seleccionant que es volen importar els paràmetres de configuració del correu.

Importació de configuració:

92

PETIC



• Normalment tenim diversos comptes de correu (un per casa, un per la feina, etc.).

• Amb Mozilla Thunderbird es poden gestionar diversos comptes de correu.

• Només s'ha d'anar a la secció de paràmetres de comptes de correu i afegir els comptes que vulguem.

• Si volem que el correu de tots els comptes es barregi haurem de seleccionar que vagi a parar a la safata global, si no hem de desactivar aquesta opció.

7.4.Gestió simultània de múltiples comptes de correu

93

PETIC


7.Altres funcionalitats7.4.Gestió simultània de múltiples comptes de correu

94

PETIC



• Quan configurem més d'un compte de correu, el servidor de sortida (SMTP) només se'ns demana una vegada.

• En principi un únic servidor de sortida serveix per a tots els comptes.

• Actualment, amb l'arribada del correu brossa, molts servidors de sortida (SMTP) no permeten enviar correu a d'altres dominis (Terra no deixa enviar correu de la UAB.)

• Haurem de configurar més d'un servidor de sortida i a cada compte assignar-li el seu corresponent.

7.4.Gestió simultània de múltiples comptes de correu

95

PETIC


7.Altres funcionalitats7.4.Gestió simultània de múltiples comptes de correu

96

PETIC



• Quan configurem un compte de correu, inicialment no posem la contrasenya.

• En canvi al descarregar els missatges sí que se'ns demana.

• A més a més se'ns ofereix l'opció de què el client se'n recordi de la contrasenya per no haver-nos-la de demanar en futures consultes.

• Aquestes contrasenyes que guardem les podem gestionar des del Gestor de Contrasenyes.

7.4.Gestió del sistema de guardat de contrasenyes

97

PETIC


7.Altres funcionalitats7.4.Gestió del sistema de guardat de contrasenyes

98

PETIC



• Les contrasenyes que emmagatzema el client es guarden de forma insegura.

• Qualsevol persona que accedís al nostre sistema informàtic podria recuperar-les.

• Per això apareix la contrasenya mestra.• Aquesta és una paraula de pas que es fa servir per a

xifrar totes les altres contrasenyes.• Així en cas que algú accedís al nostre ordinador no

podria recuperar les contrasenyes emmagatzemades.• Quan s'inicia el client només s'haurà de posar la

contrasenya mestra una sola vegada.

7.4.Gestió del sistema de guardat de contrasenyes

99

PETIC


7.Altres funcionalitats7.4.Gestió del sistema de guardat de contrasenyes

100

PETIC


7.Altres funcionalitats7.5.Gestió de complements

• El Mozilla Thunderbird es caracteritza per tenir un sistema de complements que en permeten augmentar o modificar la funcionalitat.

• Hi ha diversos tipus de complements:– Temes– Extensions– Diccionaris

• Disposem d'un gestor de complements per poder-los afegir o eliminar.

101

PETIC


7.Altres funcionalitats7.5.Gestió de complements

102

PETIC



• Provar de redireccionar el vostre correu electrònic.• Provar de posar un missatge automàtic.• Exportar les vostres agendes de contactes (us les

podeu enviar per email i intercanviar-vos-les).• Importar les agendes que us hagueu enviat.• Mirar el gestor de contrasenyes.• Posar una contrasenya mestra al vostre client.

7.6.Exercicis

103

PETIC



• Complements per al Mozilla Thunderbird: https://addons.mozilla.org/es-ES/thunderbird/browse?lang=es-ES

• Crea la teva pròpia extensió, http://developer.mozilla.org/es/docs/Extensiones


104

PETIC


8.Llistes de distribució

• Mètode per a la distribució de missatges entre col·lectius de gent interessada en un tema.

• La mecànica de funcionament és:– Es crea una llista d'un tema (ex. correu electrònic).– Qui hi està interessat s'hi subscriu.– Els interessats reben els missatges que els

subscriptors envien a la llista.– A la vegada ells mateixos poden enviar missatges.

• De base de funcionament fa servir el correu electrònic (els missatges s'envien amb email i es reben al compte que l'usuari ha registrat).

8.1.Introducció

105

PETIC



• Els processos d'alta i baixa es poden dur a terme de dues maneres:– Mitjançant l'enviament de missatges amb

comandes a l'assumpte o al cos del missatge.– Mitjançant la pàgina web associada a la llista.

• A la UAB la pàgina associada a les llistes té una adreça que segueix el següent patró:– https://llistes.uab.es:4443/mailman/listinfo/nom_de_llista

• A partir de l'alta es comencen a rebre els missatges enviats a la llista al compte de correu registrat.

8.2.Alta i baixa

106

PETIC



• Per a enviar missatges es fa igual que si s'enviés un correu electrònic.

• Aquest s'ha d'enviar a l'adreça específica de la llista de distribució on us heu subscrit.

• A la UAB seria: [email protected]• Els missatges de la resta de gent es reben barrejats

amb els correus electrònics convencionals.• És útil fer un filtre al nostre client de correu per

classificar automàticament els missatges procedents de les llistes a les que estiguem subscrits.

8.3.Enviament i recepció de missatges

107

PETIC



• Escriure assumptes descriptius i concisos.• Les respostes personals no enviar-les a la llista.• Els missatges han d'ajustar-se a la temàtica de la llista.• No s'ha d'enviar gran quantitat d'informació.• Intentar evitar adjuntar fitxers (ni doc, ni zip, etc.).• Evitar posar documents en formats no estàndards

(com el Microsoft Word) perquè no tothom ho podrà llegir. És millor posar un PDF que és estàndard.

• L'ample de banda necessari per a enviar un missatge es multiplicarà pel nombre d'usuaris subscrits a la llista.

8.4.Consells d'ús

108

PETIC



• Se solen trobar llistes en:– Universitats– Pàgines de projectes– Associacions– ...

• Exemples:– https://llistes.uab.es:4443/mailman/listinfo– http://www.rediris.es/list/utilizacion.es.html

8.5.Cerca de llistes

109

PETIC



• El servei d'informàtica ens ofereix la creació de llistes mitjançant la seva web.

• Hi ha tres perfils bàsics de llistes:– De col·laboració (pública)– De col·laboració (restringida)– De difusió

• Totes les opcions que aquests perfils impliquen són modificables posteriorment des de la web d'administració assignada:– https://llistes.uab.es:4443/mailman/admin/nom_de_llista

8.6.Creació de llistes a la UAB

110

PETIC


8.Llistes de distribució8.6.Creació de llistes a la UAB

De difusióDe col·laboració (pública)

De col·laboració (restringida)

Subscripció oberta a tothom. L’administrador

també pot fer les subscripcions.

L’administrador fa les subscripcions.

L’administrador fa les subscripcions.

Tots els membres poden enviar.

Tots els membres poden enviar.

Només l’administrador pot enviar missatges a la

llista.

L’administrador està subscrit.

L’administrador està subscrit.

L’administrador no està subscrit.

Els missatges s’arxiven i són accessibles via web. Els missatges no s’arxiven. Els missatges no s’arxiven.

Els missatges de resposta s’adrecen, per defecte, a

la llista.

Els missatges de resposta s’adrecen, per defecte, a l’originador del missatge

inicial.

Els missatges de resposta s’adrecen, per defecte, a l’originador del missatge

inicial.

111

PETIC



1. Us haureu de subscriure en una llista que us proporcionarem.

2. A continuació podeu proposar temes i en feu un petit debat a base de missatges.

3. Posteriorment us doneu de baixa de les llistes i comproveu com deixeu de rebre els missatges.

8.7.Exercici

112

PETIC


9.Difusió de missatges

• Servei per a difondre missatges de correu electrònic a determinats col·lectius de la UAB.

• És un servei ofert pel Servei d'Informàtica a tot el personal de la universitat.

• Consisteix en fer-los-hi arribar el missatge que volem difondre i indicar-los-hi a quin col·lectiu el volem enviar.

• Els missatges són supervisats per la Secretaria General abans de ser difosos, per això s'han de fer arribar amb una setmana hàbil d'antel·lació.

9.1.Introducció

113

PETIC



• S'ha d'anar a la web habilitada per a aquest servei (a la pàgina del Servei d'Informàtica) i obrir el formulari corresponent.

• S'introdueixen les següents dades:– Dades personals.– Dades i contingut del missatge.– Col·lectiu al que va adreçat i observacions.

• S'accepta el missatge prement el botó Enviar.• Resta esperar 1 setmana perquè a la Secretaria

General tinguin temps de revisar el missatge abans d'enviar-lo.

9.2.Funcionament

114

PETIC



• El missatge ha d'estar escrit en format ASCII.• No ha de contenir documents adjuntats.• Ha de tenir una mida inferior a 1kB (1024 caràcters).• Ha de ser políticament correcte ja que si no no serà

aprovat.• Hauria d'ajustar-se al següent protocol emès per la

Secretaria General:– http://magno.uab.es/o-coordinacio-

institucional/difusions/protocol-intranet-correu-e-7-03-07.pdf

9.3.Recomanacions

115

PETIC


10.Recomanacions d'ús

• No envieu missatges en HTML si no és necessari.• No envieu fitxers adjunts sense un bon motiu.• No demaneu confirmació automàtica per sistema.• No creeu correus massius i no en reenvieu.• Si s'ha d'enviar un correu a moltes adreces, poseu-les

al camp de còpia oculta perquè no es vegin totes.• No feu servir majúscules habitualment ja que

s'interpreten com a crits i és de mala educació.• El missatge ha de tenir un assumpte concís i que

defineixi clarament el contingut del missatge.

10.1.Bones pràctiques (I)

116

PETIC



• No doneu l'adreça dels vostres amics a pàgines web que us la demanen sense el seu consentiment.

• La bústia té un tamany màxim i a partir del moment en què s'omple es retornen tots els correus.

• Per tant no bombardejar els amics i companys amb correus massius perquè se'ls pot saturar la bústia.

• No enviar adjunts massa grossos perquè també pot resultar en saturació de la bústia o en descàrregues molt lentes o impossibles si l'usuari fa servir una connexió de banda estreta.

10.1.Bones pràctiques (II)

117

PETIC



• No doneu l'adreça a qualsevol pàgina que la demani.• Evitar seguir cadenes de missatges on aparèixen grans

quantitats d'adreces (són utilitzades pels generadors de correu brossa i pels virus).

• No obrir adjunts executables.• No contestar mai missatges de procedència dubtosa.• No comprar mai en llocs oferts pel correu escombraria.• No seguir els enllaços a entitats bancàries inclosos en

un missatge (reescriure-ho al navegador).• El correu electrònic no és segur, no s'hi ha de posar

mai informació confidencial.

10.2.Seguretat

118

PETIC


• El correu electrònic és interoperable: permet l'intercanvi d'informació entre ordinadors i sistemes operatius de diferents tipus.

• A l'incloure adjunts aquests han d'estar en formats estàndard que puguin ser llegits per tothom (pdf, jpeg, mpeg) i evitar els formats propietaris (doc, ppt...).

• Com ja hem vist els adjunts en un missatge ocupen més que el seu tamany real, per tant és important evitar incloure fitxers massa grossos.

• No difondre missatges pesants entre moltes persones (es podria saturar el servidor).

10.3.Eficiència i interoperabilitat10.Recomanacions d'ús

119

PETIC


• Hispalab – Recomanacions d'ús, http://www.hispalab.net/netiqueta.html

• Gobierno de Canarias – Recomanacions d'ús, http://www.canarias.org/correo/ayuda/recomendaciones.html

10.4.Referències (acc. Maig 2007)10.Recomanacions d'ús

Ús avanÇat del correu electrÒnicdeic.uab.cat/~jordicj/cursos/correu/transpes.pdf5 petic Ús...

Documents