Seguridad de SPF vs SPF y DKIM en el correo electrónico

0

Estoy buscando un proveedor de correo electrónico que usaré con un dominio personalizado, un proveedor es más barato pero solo tiene SPF, mientras que el otro es más caro, pero usa tanto SPF como DKIM y no estoy seguro de que pagar más valga la pena. Si los otros factores son similares. Leí sobre SPF y DKIM y tengo algunas preguntas sobre ellos y también sobre seguridad del correo electrónico en general.

  1. ¿Qué beneficio proporcionaría DKIM si SPF ya está en uso?

  2. ¿Es correcto decir que SPF garantiza que el servidor del cual se origina el correo electrónico es el mismo en el que se originó y DKIM se asegura de que el contenido del mensaje de correo electrónico no haya sido modificado?

  3. Si es correcto que DKIM proteja el mensaje para que no lo manipulen, ¿a quién protege exactamente? ¿Quién puede alterar el contenido del correo electrónico mientras está en tránsito, cuáles son los vectores de ataque comunes? ¿Puede haber un "nodo" malicioso que transmita el correo electrónico pero modifique su contenido?

  4. ¿Un atacante podría crear un servidor que transmita correos electrónicos y luego fisgonearlos o modificar el contenido, como cualquier persona puede crear un nodo Tor malintencionado?

  5. Si el proveedor de correo electrónico que utilizo admite el envío de correos electrónicos a través de SSL y deseo enviar un correo electrónico a mi amigo que usa Gmail (que también admite SSL), ¿mi mensaje recorre toda la ruta cifrada? ¿Significa que el mensaje está cifrado con una clave pública que pertenece a Gmail y que ningún servidor que transmita el mensaje lo verá descifrado?

  6. Supongamos que uso SPF. Un atacante intenta enviar un correo electrónico que parece provenir de mí. ¿Dónde se reenvía este correo electrónico (esto es algo llamado MTA)? ¿Funciona como un nodo que envía información a otros nodos? Si el atacante controla el primer "nodo", ¿no puede informar a los nodos a los que se reenvía, que el mensaje pasa SPF cuando no lo hace y los nodos que se reenvían al mensaje lo creerían?

pregunta user139275 13.02.2017 - 22:18
fuente

2 respuestas

5
  

¿Qué beneficio proporcionaría DKIM si ya se usa SPF?

Si un dominio tiene SPF configurado, el servidor de correo receptor puede verificar si el remitente reclamado del correo de acuerdo con el cuadro de diálogo SMTP (es decir, CORREO) puede enviar correo desde esta dirección IP. Esto ayuda a evitar que el remitente falsifique solo un poco, ya que solo el remitente basado en el cuadro de diálogo SMTP está marcado, pero no el encabezado De del correo. Pero los clientes de correo generalmente solo se preocupan por este último.

Con DKIM, el servidor de correo saliente firma un correo y esta firma también puede ser verificada por el remitente, es decir, no solo por el servidor SMTP receptor. Esta firma puede incluir todo el cuerpo, pero también puede incluir solo una parte del cuerpo. Y si bien el encabezado Desde es parte de esta firma, no significa que el encabezado Desde debe ser del dominio de firmantes, lo que significa que aún es posible la suplantación de identidad.

La simulación de De solo se aborda mediante la configuración de una política DMARC que requiere que el dominio en el encabezado From esté protegido por SPF o DKIM y que especifique una política cuando no se cumple el requisito.

  

¿Es correcto decir que SPF garantiza que el servidor del cual se origina el reclamo del correo electrónico sea el mismo en el que se originó y DKIM se asegura de que el contenido del mensaje de correo electrónico no haya sido modificado?

Los correos electrónicos no pretenden ser de un servidor específico sino de un dominio específico. Y como dije, tanto SPF como DKIM por sí solos no protegen contra la falsificación del encabezado From. Y DKIM solo protege parte del correo contra modificaciones: generalmente protege todo el cuerpo, pero puede configurarse para permitir la extensión del cuerpo. Y solo protege algunos encabezados pero no todos.

  

Si es correcto que DKIM proteja el mensaje para que no lo manipulen, ¿a quién protege exactamente? ¿Quién puede alterar el contenido del correo electrónico mientras está en tránsito, cuáles son los vectores de ataque comunes? ¿Puede haber un "nodo" malicioso que transmita el correo electrónico pero modifique su contenido?

El correo se entrega salto a salto e incluso si está cifrado con TLS, esto solo es relevante entre los saltos. Así que hay muchas partes involucradas que tienen acceso al correo no protegido y podrían modificarlo.

  

¿Un atacante podría crear un servidor que transmita correos electrónicos y luego rastrearlos o modificar el contenido, como cualquier persona puede hacer un nodo Tor malicioso?

Si el atacante puede falsificar los registros de DNS MX que especifican cómo se entrega un correo o si el atacante puede interceptar el correo en un transporte no protegido o en uno de los saltos, el atacante puede modificarlo. Pero el atacante no puede simplemente poner un servidor en Internet y declararlo como el servidor responsable del dominio; debe convencer a las demás partes de que envíen el correo a través de este servidor (es decir, falsificando el registro de DNS MX).

  

Si el proveedor de correo electrónico que utilizo admite el envío de correos electrónicos a través de SSL y deseo enviar un correo electrónico a mi amigo que usa Gmail (que también admite SSL), ¿mi mensaje recorre toda la ruta cifrada? ¿Significa que el mensaje está cifrado con una clave pública que pertenece a Gmail y que ningún servidor que transmita el mensaje lo verá descifrado?

Los mensajes viajan encriptados desde su cliente de correo al servidor de correo de su proveedor, se descifran allí, se modifican (se agrega el encabezado Recibido, tal vez el encabezado DKIM) y se vuelven a cifrar nuevamente para transportarlos al próximo salto que podría ser Google ya sea o podría ser otro servidor de correo ascendente.

  

Supongamos que uso SPF. Un atacante intenta enviar un correo electrónico que parece provenir de mí. ¿Dónde se reenvía este correo electrónico (esto es algo llamado MTA)? ¿Funciona como un nodo que envía información a otros nodos? Si el atacante controla el primer "nodo", ¿no puede informar a los nodos a los que se reenvía, que el mensaje pasa el SPF cuando no lo hace y los nodos que se reenvían al mensaje lo creerían?

Mientras que el atacante puede agregar un encabezado Received-SPF al correo y, por lo tanto, reclamar, comprobó que SPF no tiene un servidor de correo (MTA) en el borde entre Internet y la intranet que recibe este correo podría verificar nuevamente desde qué dirección IP el correo realmente viene, es decir, no confiará en el encabezado Received-SPF. Este encabezado es utilizado principalmente por los verificadores de correo no deseado que desean incorporar el resultado de la prueba SPF en su verificación de reputación, pero no se ejecutan en el servidor de correo y, por lo tanto, no tienen acceso a la IP original del remitente.

    
respondido por el Steffen Ullrich 13.02.2017 - 23:15
fuente
1

En pocas palabras, la diferencia entre SPF y DKIM es simple: SPF usa la autenticación basada en la ruta de acceso, mientras que DKIM usa una autenticación basada en la identidad.

SPF usa DNS para publicar un registro de todas las autoridades de transferencia de correo (MTA) autorizadas para enviar correo en nombre del dominio. Los MTA de los destinatarios consultan a DNS para obtener el registro SPF y concilian la lista de direcciones IP aprobadas con la ruta que tomó el mensaje. La sintaxis de SPF determina cómo se maneja el correo si las direcciones IP no coinciden. Por ejemplo, -all significa que el correo es rechazado por completo. ~all significa que el correo está marcado pero aún está permitido a través de.

SPF tiene sus limitaciones. Su implementación puede ser complicada (las grandes organizaciones pueden tener dificultades para rastrear cada MTA que usan), lo que puede llevar a una política SPF más pasiva para evitar que los filtros atrapen el correo legítimo. Esto puede aumentar la prevalencia de phishing.

DKIM utiliza criptografía asimétrica para firmar digitalmente un mensaje. Un dominio tiene un par de claves público / privado. DKIM tomará un hash de varios campos de un correo electrónico, incluidos To: , From: , Date: , etc. Este hash se firma con la clave privada del dominio en cuestión y se coloca en el encabezado DKIM. La clave pública del dominio se publica en DNS y se usa para verificar la autenticidad del correo electrónico.

DKIM no protege contra la falsificación del campo From: directamente, pero garantiza que un correo electrónico provenga realmente del dominio en cuestión. Por ejemplo, DKIM puede garantizar que un correo electrónico provenga del dominio foo-bar.com pero no necesariamente puede garantizar a desde quién dentro de ese dominio enviado el mensaje, ya que el dominio en su conjunto usa un par de llaves, no individual remitentes

    
respondido por el J. Behnken 19.06.2017 - 01:44
fuente

Lea otras preguntas en las etiquetas