Cómo un correo electrónico falsificado pasó la verificación de SPF y llegó a mi bandeja de entrada


El marco de política del remitente no puede ayudar a prevenir el spam y el phishing si permite que miles de millones de direcciones IP se envíen como su dominio.

Hace veinte años, pablo vixie publicó una solicitud de comentarios sobre Repudiando CORREO DE que ayudó a impulsar a la comunidad de Internet a desarrollar una nueva forma de combatir el spam con el Marco de política del remitente (FPS). El problema entonces, como ahora, era que el Protocolo simple de transferencia de correo (SMTP), que se utiliza para enviar correos electrónicos en Internet, no proporciona ninguna forma de detectar dominios de remitentes falsificados.

Sin embargo, al usar SPF, los propietarios de dominios pueden publicar registros del sistema de nombres de dominio (DNS) que definen las direcciones IP autorizadas para usar su nombre de dominio para enviar correo electrónico. En el extremo receptor, un servidor de correo electrónico puede consultar los registros SPF del aparente dominio del remitente para verificar si la dirección IP del remitente está autorizada para enviar correo electrónico en nombre de ese dominio.

Correo electrónico SMTP y descripción general de SPF

Los lectores familiarizados con los mecanismos de envío de mensajes SMTP y cómo SPF interactúa con ellos pueden preferir omitir esta sección, aunque afortunadamente es breve.

Imagina que Alicia en ejemplo.com desea enviar un mensaje de correo electrónico a Bob a ejemplo.org. Sin SPF, los servidores de correo electrónico de Alice y Bob participarían en una conversación SMTP similar a la siguiente, que se simplifica utilizando HELO en lugar de EHLO, pero no de manera que altere significativamente las construcciones básicas:

Así es como se ha producido el envío y recepción de correo electrónico de Internet (SMTP) desde principios de la década de 1980, pero tiene, al menos para los estándares de Internet de hoy, un problema importante. En el diagrama de arriba, Chad en ejemplo.net podría conectarse fácilmente a la ejemplo.org servidor SMTP, participa exactamente en la misma conversación SMTP y recibe un mensaje de correo electrónico aparentemente de Alice en ejemplo.com entregado a Bob en ejemplo.org. Peor aún, no habría nada que indicara el engaño a Bob, excepto quizás las direcciones IP registradas junto con los nombres de host en los encabezados de los mensajes de diagnóstico (que no se muestran aquí), pero estos no son fáciles de verificar para los no expertos y, dependiendo de su aplicación de cliente de correo electrónico. , son a menudo difíciles incluso de acceder.

Aunque no se abusó de ellos en los primeros días del spam por correo electrónico, a medida que el spam masivo se convirtió en un modelo comercial establecido, aunque merecidamente despreciado, tales técnicas de falsificación de correo electrónico se adoptaron ampliamente para mejorar las posibilidades de que los mensajes de spam se lean e incluso se actúe en consecuencia.

De vuelta al hipotético Chad en ejemplo.net enviar ese mensaje «de» Alice… Eso implicaría dos niveles de suplantación de identidad (o falsificación) donde muchas personas ahora sienten que se pueden o se deben realizar verificaciones técnicas automatizadas para detectar y bloquear dichos mensajes de correo electrónico falsos. El primero está a nivel de sobre SMTP y el segundo a nivel de encabezado de mensaje. FPS proporciona comprobaciones a nivel de sobre SMTP y protocolos posteriores de autenticación de mensajes y antifalsificación DKIM y DMARC proporcionar comprobaciones en el nivel de encabezado del mensaje.

¿Funciona el factor de protección solar?

Según uno estudiar publicado en 2022, alrededor del 32% de los 1.500 millones de dominios investigados tenían registros SPF. De estos, el 7,7 % tenía una sintaxis no válida y el 1 % usaba el registro PTR en desuso, que apunta las direcciones IP a los nombres de dominio. La aceptación de SPF ha sido lenta y defectuosa, lo que podría llevar a otra pregunta: ¿cuántos dominios tienen registros SPF demasiado permisivos?

Investigaciones recientes encontraron que 264 organizaciones solo en Australia tenían direcciones IP explotables en sus registros SPF y, por lo tanto, sin saberlo, podrían preparar el escenario para campañas de spam y phishing a gran escala. Si bien no está relacionado con lo que encontró esa investigación, recientemente tuve mi propio roce con correos electrónicos potencialmente peligrosos que se aprovecharon de registros SPF mal configurados.

Correo electrónico falsificado en mi bandeja de entrada

Recientemente, recibí un correo electrónico que decía ser de la compañía de seguros francesa Prudence Cr.Estáole, pero tenía todo el sellos de spam y suplantación de identidad:

Si bien sé que falsificar el encabezado del mensaje De: dirección de un correo electrónico es trivial, mi curiosidad se despertó cuando inspeccioné los encabezados completos del correo electrónico y descubrí que el dominio en el sobre SMTP CORREO DE: dirección reply@prudencecreole.com había pasado el control SPF:

Así que busqué el registro SPF del dominio prudencecreole.com:

¡Eso es un bloque enorme de direcciones IPv4! 178.33.104.0/2 contiene el 25% del espacio de direcciones IPv4, que van desde 128.0.0.0 a 191.255.255.255. Más de mil millones de direcciones IP son remitentes aprobados para el nombre de dominio de Prudence Creole: el paraíso de los spammers.

Solo para asegurarme de que no me estaba engañando a mí mismo, configuré un servidor de correo electrónico en casa, mi proveedor de servicios de Internet me asignó una dirección IP aleatoria, pero elegible, y me envié un correo electrónico falso. prudencecreole.com:

¡Éxito!

Para colmo, revisé el registro SPF de un dominio de otro correo electrónico no deseado en mi bandeja de entrada que estaba suplantando wildvoyager.com:

He aquí, el 0.0.0.0/0 El bloque permite que todo el espacio de direcciones IPv4, que consta de más de cuatro mil millones de direcciones, pase la verificación SPF mientras se hace pasar por Wild Voyager.

Después de este experimento, notifiqué a Prudence CrEstáole y Wild Voyager sobre sus registros SPF mal configurados. prudencia crEstáole actualizó sus registros SPF antes de la publicación de este artículo.

Reflexiones y lecciones aprendidas

Crear un registro SPF para su dominio no es un golpe mortal contra los esfuerzos de suplantación de identidad de los spammers. Sin embargo, si está configurado de forma segura, el uso de SPF puede frustrar muchos intentos como los que llegan a mi bandeja de entrada. Quizás el obstáculo más importante que se interpone en el camino de un uso más amplio e inmediato y una aplicación más estricta de SPF es la capacidad de entrega del correo electrónico. Se necesitan dos para jugar el juego SPF porque tanto los remitentes como los destinatarios deben armonizar sus políticas de seguridad de correo electrónico en caso de que los correos electrónicos no se entreguen debido a reglas demasiado rigurosas empleadas por cualquiera de los lados.

Sin embargo, teniendo en cuenta los riesgos y daños potenciales de los spammers que falsifican su dominio, se pueden aplicar los siguientes consejos según corresponda:

  • Cree un registro SPF para todas sus identidades HELO/EHLO en caso de que algún verificador SPF esté siguiendo el recomendación en RFC 7208 para comprobar estos
  • Es mejor usar el todos mecanismo con el o ~ calificadores en lugar de los ? calificador, ya que este último permite efectivamente que cualquiera falsifique su dominio
  • Configure una regla de «dejar todo» (v=spf1 -todos) para cada dominio y subdominio de su propiedad que nunca debe generar correo electrónico (enrutado por Internet) ni aparecer en la parte del nombre de dominio de los comandos HELO/EHLO o MAIL FROM:
  • Como guía, asegúrese de que sus registros SPF sean pequeños, preferiblemente de hasta 512 bytes, para evitar que algunos verificadores SPF los ignoren silenciosamente.
  • Asegúrese de autorizar solo un conjunto limitado y confiable de direcciones IP en sus registros SPF

El uso generalizado de SMTP para enviar correos electrónicos ha creado una cultura de TI enfocada en transferir correos electrónicos de manera confiable y eficiente, en lugar de hacerlo de forma segura y con privacidad. Reajustarse a una cultura centrada en la seguridad puede ser un proceso lento, pero debe emprenderse en vista de obtener claros dividendos contra una de las plagas de Internet: el spam.



Enlace a la noticia original