viernes, julio 17, 2009

Gmail y el Antiphising

Hace poco leía una noticia con el siguiente titular: "Gmail sigue mejorando: ahora es capaz de protegernos contra el phishing" y me dejaba sorprendido: "¡Vaya!, ¿pero no habíamos quedado ya que Gmail era perfecto y que por eso había salido ya de beta?". La realidad tras el titular de la noticia es una cosa que me ha impactado por varios motivos que os paso a desgranar.

Eso sólo DKIM

Tan sólo y tan tanto. DKIM es una buena solución para garantizar la autenticidad del correo mediante una firma asociada a cada mensaje realizada por el servidor de correo saliente del dominio. El funcionamiento ya lo he explicado anteriormente. Cuando sale el correo por el servidor de correo saliente, este lo firma y añade una cabecera con el la firma y la clave que ha utilizado. El servidor que recibe el correo, en este caso Gmail, se va al DNS y busca la clave publica del servidor que firmo en el registro nombredeclave._domainkey.remitentente.com. Verifica que la firma está ok y listo.

Gmail ya hacía esto antes y mostraba un pequeño texto cuando se muestran los detalles que dice "Firmado por" si el mensaje viene por DKIM, pero no daba ninguna alerta visual al usuario fácil de ver. Sin embargo, se puede ver siempre la información en la cabecera SMTP.

Es sólo para Ebay y Paypal

Según el anuncio es sólo para los mails que vienen de los dominios de Ebay y Paypal y cuando se activa esta protección en Configuración/Labs se especifica que la protección será sólo para ellos.


Configuración Antiphising

La gracia de DKIM está en que se debe comprobar la política en el DNS para saber que hay que hacer con los correos que no vienen firmados. En este caso concreto me llama más la atención porque:

- Paypal tiene política Hardfail, es decir, que todos los correos que vengan de un dominio paypal.com sin firmar con DKIM deben ser eliminados. Sin embargo, la política que tienen en el SPF es Softfail, lo que quiere decir es que no deben ser eliminados, y sólo se le debe advertir al usuario. Esto es totalmente incongruente.


Política DKIM y SPF de Paypal

- Ebay tiene política Softfail en DKIM y, además, está en modo test (t=y), con lo que los correos que no vengan firmados sólo deben ser marcados, pero deben entregarse al cliente.


Política DKIM de Ebay

El icono

El resultado es "EL ICONO" que deberían llevar todos los correos firmados por DKIM no sólo los de Ebay y Paypal. Este icono es el mismo que pone Yahoo a todos los correos firmados (incluidos los de ebay y paypal) y que yo llevo pidiendo.


Icóno en correo firmado en Yahoo.com

El resultado es un iconito que de forma visual te advierte de que se ha comprobado la firma DKIM. La pregunta es ... ¿por qué sólo para Ebay y Paypal? Yahoo! es el creador de la idea y todos sus correos van firmados...¿por qué no avisar de la autenticidad de los correos que vienen firmados desde Yahoo! con un icono?


Correo firmado con dkim desde Ebay

¿Y el SPF?

¿Realmente se está tomando en serio Gmail la protección anti-phising? Yo creo que si lo está haciendo lo está haciendo mal. Cuando una organización utiliza el registro SPF para marcar los servidores autorizados para enviar correos Gmail debería hacer caso a la política.. y no lo hace.

Para esta prueba me he hecho un mail de phising suplantando al dominio Cajamar.es, que tiene creado un registro SPF con política Hardfail. Esto indica que si llega un correo que no venga de una de las IPs autorizadas, en este caso las de los registros MX, deberá ser eliminado.


Configuración SPF de cajamar.es

Sorprendentemete, a pesar de que se ve a la legua que es un correo de Phising (y con un poquito de Viagra) el mensaje llega a la Bandeja de Entrada sin ninguna alerta.


¿Es o no para bloquear este correo?

Conclusión

Mi conclusión es que Gmail debería seguir en beta unos añitos más...como el resto y que debería 1)Aplicar la políca SPF que marca el dominio del remitente 2) Mostrar el icono a todos los que vengan firmados y 3) Mostrar los iconos de alerta negativa y alerta positiva para los que cumplan y no cumplan las políticas SPF.

Saludos Malignos!

17 comentarios:

chromero dijo...

gmail funciona mejor con google chrome? ^_-

Nacho dijo...

Lo de google con el correo es algo misterioso. Esto es igual que lo de permitir enviar correos sin autenticar de gmail.com a gmail.com

De todas formas está claro que gmail triunfa, así que no se puede discutir que centrarse en la comodidad de uso, la rapidez y el almacenamiento sea una mala estrategia.

Anónimo dijo...

No entendéis nada, el problema de phising y de no autenticación google lo soluciona dándonos 7G de almacenamiento.

Para qué complicarse la vida?, es como comprarse una casa más grande porque la actual la tienes llena de ratones, en lugar de cerrar las ventanas y puertas para que no entren, lo de Gmail es de Hommer Simpson...

Ander dijo...

jajjajajajjajaja
muy bueno anonimo!!!!

Anónimo dijo...

Coño Chema dales una viso tío.
Las cosas o se hacen bien echas o NO se hacen

Meni dijo...
Este comentario ha sido eliminado por el autor.
Meni dijo...
Este comentario ha sido eliminado por el autor.
Meni dijo...

Imagino que el hecho de que solo sirva para ebay y paypal es una desicion comercial, por cierto totalmente criticable.
No se como utilizan en España el termino garchar, pero me resulto muy comica la expresion “garchando en la siguiente ancla”, y podríamos decir que gmail se esta garchando al resto de las empresas que brindan estos servicios.
Saludos

Anónimo dijo...

Chema, te he intentado enviar un correo, mi cuenta es de Gmail

----------------------------------
This is an automatically generated Delivery Status Notification

Delivery to the following recipient failed permanently:
_xxelcorreodechemaxx_@informatica64.com

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the recipient domain. We recommend contacting the other email provider for further information about the cause of this error. The error that the other server returned was: 550 550 5.7.1 Message rejected as spam by Content Filtering. (state 18).
----------------------------------
Saludos
Daniel

Chema Alonso dijo...

@Anónimo (Dani), según el mensaje ha sido el Content Filer el que te ha rechazado.. ¿Has puesto bien mi email? ¿no me has enviado Viagra? Prueba otra vez desde otra dirección a ver si hay suerte...

Saludos!

Diego D'Onofrio dijo...
Este comentario ha sido eliminado por el autor.
Chema Alonso dijo...

Hola Diego,

ya que te has animado a escribir ese comentario tan largo voy a contestarlo, aunque pueda convertirse en un flame, pero...es lo que tiene.

El sarcasmo de la beta no lo había debido dejar claro, así que la próxima vez lo etiqueto, para que te ahorres explicarnos lo que es una "beta".

Para la parte de vergüenza ajena escribí un artículo más largo sobre DKIM en Gmail y no crei necesario volver a explicar todos los pormenores, pero puedes repasar todo lo que está escrito en la siguiente URL:

http://elladodelmal.blogspot.com/2009/06/correos-falseados-en-yahoocom-gmailcom_11.html

Para la parte de carcajadas: Realmente queremos conquistar el mundo con Spectra.

La prueba: Aquí eres ya patético si no eres capaz de ver una suplantación a una cuenta bancaria con un link a una web falsa. Si te tengo que explicar que meter lo de la viagra era para hacer un chiste ...

En fin, que me alegra que te hayas leido este post, y que hayas querido ser tan caustico. Yo también te quiero.

Saludos desde la Defcon17 a todos!

Diego D'Onofrio dijo...
Este comentario ha sido eliminado por el autor.
utopian dijo...

Tal vez sea una pregunta absurda, pero si en la configuración nos dice que sólo va a comprobar los correos que vengan de eBay y PayPal, ¿cuál es el asombro al comprobar que un correo que viene de otro dominio no es comprobado? ¿O hay algo que se me escapa?

Chema Alonso dijo...

@Diego, espero que me contestes al mail y que me digas qué digo que es mentira.

@utopian, sí, que por debajo se supone que lo miran. Léete estos artículos.

http://elladodelmal.blogspot.com/2009/06/correos-falseados-en-yahoocom-gmailcom_11.html

Saludos!

Anónimo dijo...

Maligno pues no le des bolilla a los comentarios de este Diego Lucio Donofrio. El articulo es muy bueno.
Este Donofrio pasa su tiempo criticando gente en los foros. Es su diversion. No importa de que sea el foro que va a estar diciendo que le parecio una verguenza esto, que le dio carcajadas aquello, que el autor miente, es lo suyo, es un trastornado. Es como un adicto a alguna droga o algun adicto al juego por ejemplo. El es adicto a criticar destructivamente en foros. Y opina como si fuera un experto en la materia pero la verdad es que no tiene idea, en lo unico que es experto es en criticar y cuanto mas desconoce del tema mejor critica. Lo he visto en diversos foros. Les copio un link donde lo podemos ver nuevamente al ridiculo en accion http://lomalodelinux.blogspot.com/2006/04/lo-malo-de-linux.html
Por favor vean los comentarios que ha dejado en este blog. Alli veran su grado de conocimiento (nulo) y su forma sutil de expresarse. Difrutenlo.

Diego D'Onofrio dijo...

Luego de cruzar un par de mails con el autor, he caído en la cuenta de haberme excedido en mis comentarios.

Pido disculpas por no haber escrito esto antes. Los mismos no creo que aporten nada a la nota, por lo tanto los elimino.

Que tengáis un buen día.

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares