Mi compañía a menudo envía órdenes a corredores y bancos para ejecutar ciertas acciones (como comprar acciones x o fondos y ). Para reducir la burocracia, estamos considerando enviar una lista de correos electrónicos autorizados para enviar pedidos.
¿Hay grandes fallas en este procedimiento? Por ejemplo, ¿podría alguien fingir que está enviando un correo electrónico desde el correo de otra persona (suplantación de identidad)? gracias!
Es tan fácil falsificar el remitente del correo electrónico como pueda mentir sobre el remitente en el sobre del correo postal. Además, no solo es fácil, sino también muy utilizado: la mayoría de los correos de spam y phishing utilizan la falsificación de direcciones. La única forma real de estar seguro acerca del remitente es si el remitente firma el correo y el destinatario verifica la firma. Las soluciones comunes para firmar (y cifrar) son PGP y S / MIME .
Hay otras técnicas anti-spoofing como DKIM o SPF pero funcionan como máximo en el nivel de los dominios y, por lo tanto, no pueden detectar si alguien dentro de un dominio está falsificando otra cuenta de correo dentro del dominio. Si todo lo que necesita es protección a nivel de dominio, entonces se debería preferir DKIM a SPF porque firma los correos salientes usando criptografía. Esta firma puede verificarse dentro de los clientes de correo de soporte. Con SPF, en cambio, el servidor de correo receptor debe verificar que el correo proviene de las direcciones IP esperadas y el usuario final no puede verificar esto. Pero también puedes usar tanto DKIM como SPF al mismo tiempo.
Si enviar pedidos a corredores y bancos en su empresa requiere autorización (solo los empleados autorizados pueden hacerlo), la dirección de correo electrónico no es un método de autorización.
Sí, es muy fácil para otra persona fingir que está enviando un correo electrónico de otra persona. Usando una biblioteca de cliente SMTP puedes falsificar un correo electrónico muy fácilmente. Vea el siguiente código de Python:
#!/usr/bin/python
import smtplib
from smtplib import SMTPException
sender = '[email protected]'
receivers = ['[email protected]']
message = """From: From Person <[email protected]>
To: To Person <[email protected]>
Subject: SMTP e-mail test
This is a test e-mail message.
"""
try:
smtpObj = smtplib.SMTP('localhost')
smtpObj.sendmail(sender, receivers, message)
print "Successfully sent email"
except SMTPException:
print "Error: unable to send email"
NOTA: solo necesita instalar y ejecutar un servidor SMTP en su máquina local. Si no está ejecutando un servidor SMTP en su máquina local, puede usar el cliente smtplib para comunicarse con un servidor SMTP remoto. Muchos servidores SMTP remotos pueden ser engañados para que envíen mensajes de correo electrónico desde correos electrónicos falsificados.
Hay algunas herramientas que se pueden usar para detectar direcciones de correo electrónico falsificadas. Pero entonces estas herramientas o técnicas de detección deben ser ejecutadas por los receptores, que en su caso supongo que serán los corredores y los bancos. No creo que usen estas herramientas :).
Lea otras preguntas en las etiquetas email email-spoofing