¿Es posible saber si un correo electrónico pasó por un servicio de tipo proxy en el que se podría monitorear el correo electrónico?

2

Recientemente, comenzamos a implementar algunos servicios de proxy de correo electrónico de terceros que permiten filtros de control para correos electrónicos entrantes y salientes. Esto es por razones de cumplimiento.

De todos modos, esto me hizo pensar. ¿Podría ser posible que los piratas informáticos y otros pudieran configurar un tipo de proxy transparente que intercepte y copie todos los correos electrónicos si logran obtener el control de los servidores de correo electrónico o, en algunos casos, office365, donde puede cambiar secretamente a dónde se envía el correo electrónico saliente?

    
pregunta Jason 17.05.2017 - 19:27
fuente

3 respuestas

1

Sí.

Aunque esto no es nada nuevo.

Los correos electrónicos pueden reenviarse varias veces entre los MTA, mientras que cada MTA puede (y debe) ver (al menos) los encabezados del mensaje.

Esa es una de las razones para implementar (y usar) el cifrado de extremo a extremo: los cuerpos de correo electrónico cifrados de extremo a extremo no se pueden leer en tránsito mediante el envío de MTA.

El candado que muestra Google solo indica que el tránsito entre el último MTA fuera de Google y Google se ha cifrado; sin embargo, esto no significa que los MTA de tránsito no lean (y posiblemente modifiquen) el correo electrónico.

Puede observar este comportamiento con varios proveedores de correo web gratuitos que adjuntan una firma de publicidad a los correos electrónicos, incluso si se envían a través de un cliente de correo. Esto es posible porque el MTA tiene acceso a la totalidad del mensaje cuando lo procesa. Un MTA malicioso en esta cadena (puede llamarlo un proxy desde un punto de vista funcional si es el primer salto de correo saliente y el último de correos entrantes) puede copiar fácilmente todos los correos electrónicos.

Dicho esto, uno tendría que tener control sobre un MTA dentro de la cadena de entrega de todos los correos electrónicos, pero hay varias maneras de hacerlo.

También: no hay forma de saber si un correo electrónico se ha copiado en tránsito mientras lo procesa un MTA, además de lo que sugiere la otra respuesta.

    
respondido por el Tobi Nary 14.11.2017 - 06:31
fuente
0

No es una respuesta directa, pero: Gmail te dirá si un correo electrónico llegó a través de un enlace seguro con un pequeño icono de candado. Eso le indica si hay encriptación de extremo a extremo, aunque depende del destinatario para verificarlo realmente.

Tenga en cuenta que para configurar un proxy como usted describe, es probable que los atacantes necesiten cambiar el DNS del sitio (por lo tanto, cuando alguien envía a [email protected], el registro MX de mycompany.com se envía al agresor). Eso sería bastante obvio, lo más probable.

No sé si Office365 tiene otros mecanismos para instalar un proxy, pero me gustaría saber más si los hay. :)

    
respondido por el Ron Bowes 17.05.2017 - 20:00
fuente
0

De esta Q / A podemos deducir que cuando un servicio legítimo está revisando los correos electrónicos puede haber diferencias sutiles que, en teoría, podrían detectarse para saber si una herramienta está monitoreando el tráfico SMPT. Con esto, podríamos monitorear la conexión periódicamente con una herramienta. como netcat y ver si hay alguna diferencia en las respuestas.

Sin embargo, esto solo funcionaría si el atacante está utilizando algo que hizo para interceptar los correos electrónicos, lo que podría ser posible, pero ¿por qué hacerlo cuando puede leerlos desde el servidor y enviarlos utilizando su propio servidor SMTP de Rougue? , ssh, o tcp.

    
respondido por el Daniel V 16.06.2017 - 22:37
fuente

Lea otras preguntas en las etiquetas