[sos 2009] informatica64: hay una carta para ti
DESCRIPTION
Charla impartida por Chema Alonso, de Informática64, en la Gira Summer of Security 2009, sobre los servicios de identificación de correos falsos en Gmail, Hotmail y Yahoo! mail.TRANSCRIPT
Hay una carta para ti
Chema AlonsoInformática64
El camino del AMOR
Servidor Correo Saliente de caballeros.com
Servidor Correo Entrante de princesas.com
POP3HTTPMAPI
IMAPRPC/HTTPS
DNS
MX princesas.com?
SmartHost
SMTP
Campo del mensaje
Mail from: Emisor:
Rcpt to: Destinatario: [email protected]
Servidor Correo Saliente de caballeros.com
Servidor Correo Entrante de princesas.com
El servidor DNS
DNS
Princesas.comMX AMSTRAD_6128 10
AMSTRAD_6128 A 64.64.64.64
Caballeros.com
MX AMSTRAD_464 10 AMSTRAD_464 A 164.164.164.164
Correos falsos
• Simulan el campo Mail from:
• Vienen desde servidores que no pertenecen a la empresa
• No viene firmados digitalmente
¿Cómo se asegura la princesa de que es su caballero quién le
envía el mail?
El camino del AMORcon MX Reverse Lookup
Servidor Correo Saliente de caballeros.com
Servidor Correo Entrante de princesas.com
POP3HTTPMAPI
IMAPRPC/HTTPS
DNS
MX princesas.com?
SmartHost
SMTP
MX caballeros.com?
MX Reverse Lookup
• Ventajas:– Sencillo de implementar– Sí garantiza servidor legítimo– No requiere cambios en la infraestructura
• Inconvenientes– No todas las empresas envían por dónde reciben– No garantiza correos falsos
SPF/Sender ID
SPF/Sender ID
SPF:-Requiere registro TXT-Sólo comprueba IP server y mail from:-Se configura como v=spf1
•-all -> fail•~all -> Softfail•?all -> Neutral•+all -> Pass
Sender ID:-Requiere registro TXT-Cuatro modos:
-spf2.0/mfrom -spf2.0/mfrom,pra -spf2.0/pra,mfrom -spf2.0/pra
•-all -> fail•~all -> Softfail•?all -> Neutral•+all -> Pass
•PRA: Purported Responsible Address•From •Sender •Resent-From •Resent-Sender
El servidor DNS
DNS
Princesas.com. MX AMSTRAD_6128 10AMSTRAD_6128 A 64.64.64.64SPF TXT “v=spf1 a:AMSTRAD_6128
a:pasarela.princesas.comipv4:64.64.64.1 –all”
Caballeros.com
. MX AMSTRAD_464 10 AMSTRAD_464 A 164.164.164.164SPF TXT “v=spf1 a:AMSTRAD_6128
a:pasarela.princesas.comipv4:64.64.64.1 –all”
El camino del AMORcon SPF/Sernder ID
Servidor Correo Saliente de caballeros.com
Servidor Correo Entrante de princesas.com
POP3HTTPMAPI
IMAPRPC/HTTPS
DNS
MX princesas.com?
SmartHost
SMTP
SPF caballeros.com?
DKIM
• Domain Keys Identified Mail• Se basa en PKI• Los correos que salen de un servidor son firmados
digitalmente.• La clave pública del servidor firmante está en el
servidor DNS
El camino del AMORcon DKIM
Servidor Correo Saliente de caballeros.com
Servidor Correo Entrante de princesas.com
POP3HTTPMAPI
IMAPRPC/HTTPS
DNS
MX princesas.com?
SmartHost
SMTP
clave caballeros.com?
Garantizado
El servidor DNS
DNS
Princesas.com. MX AMSTRAD_6128 10AMSTRAD_6128 A 64.64.64.64SPF TXT “v=spf1 a:AMSTRAD_6128
a:pasarela.princesas.comipv4:64.64.64.1 –all”
_domainkey.Princesas.com. TXT o=-Clave1 TXT “afjasjf8923kj4kjd8ukl…”Calve2 TXT “adskf8924509uijfkadf..”
Caballeros.com
. MX AMSTRAD_464 10 AMSTRAD_464 A 164.164.164.164SPF TXT “v=spf1 a:AMSTRAD_6128
a:pasarela.princesas.comipv4:64.64.64.1 –all”
_domainkey.Caballeros.com. TXT o=-c256 TXT “fghdfgh8923kj4kjd8ukl…”C512 TXT “dghdfghf09uijfghgfkadf..”
DKIM
• Ventajas– Basado en PKI– Garantiza la salida desde un servidor
• Inconvenientes– Requiere una cabecera extra– Mantenimiento de claves en servidores– Si no llega firmado el mail es normal, DKIM es un
encabezado extra.
Y… ¿Por qué no usar todo?
Demo: Gmail, Yahoo! y Hotmail
Suscríbete al TechNews
• http://www.informatica64.com/boletines/
¿Preguntas?
Chema [email protected]://www.informatica64.comTodas mis tonterías en mis blogs:http://elladodelmal.blogspot.comhttp://www.windowstecnico.com