¿Qué direcciones de correo electrónico se consideran confiables?

Navega tus respuestas
15

Windows Live recientemente sufrió una seguridad incidente porque no se dieron cuenta de que las direcciones de correo electrónico como [email protected] se consideran "confiables": algunas autoridades de certificación considerarán que cualquiera puede controlar que la dirección de correo electrónico sea el propietario del dominio live.fi .

¿Cómo obtengo una lista de direcciones de correo electrónico que se consideran "confiables"? O, en otras palabras, si quiero permitir que usuarios no confiables obtengan direcciones de correo electrónico en mi dominio, ¿qué direcciones de correo electrónico necesito para evitar que obtengan? ¿Dónde obtengo una lista de todas esas direcciones de correo electrónico especiales en las que alguien pueda confiar? Por supuesto, hay muchas autoridades de certificación, por lo que como mínimo, esta lista debería incluir la unión de todo lo que es confiable para cualquier autoridad de certificación en cualquier lugar.

Sé que RFC 2142 enumera algunas direcciones de correo electrónico reservadas, pero parece que esto no es suficiente: algunas autoridades de certificación confían direcciones de correo electrónico adicionales que no están en esta lista.

Relacionados pero no iguales: al buscar en Internet listas de nombres de usuario reservados y listas de nombres de usuarios para bloquear, encontré los siguientes recursos adicionales: ¿Hay una lista de nombres de usuario comunes para reservar en un nuevo sistema? , shouldbee's list , lista de kwappa .

    
pregunta D.W. 19.03.2015 - 17:18
fuente

3 respuestas

9

Es una lista bastante corta: "Admin", "administrador", "webmaster", "hostmaster" o "postmaster"

Ahora esa es la lista fija y estática. Pero: la información de contacto de WHOIS también es legal.

De los foros de CAB Requisitos de referencia , página 17:

  

11.1.1 Autorización por el registrante de nombres de dominio
  Para cada Nombre de dominio completo calificado en un Certificado, la CA DEBE confirmar que, a partir de la fecha en que   El Certificado fue emitido, el Solicitante (o la Compañía matriz del solicitante, la Compañía subsidiaria o la Afiliada,   a los que se hace referencia colectivamente como "Solicitante" a los fines de esta sección) es el Registrador de Nombre de Dominio o   control sobre el FQDN por: [...]

     

  1. Comunicarse directamente con el Registrador de Nombre de Dominio usando la información de contacto que se encuentra en la   El campo "registrante", "técnico" o "administrativo" del registro de WHOIS;

    2.   

  2. Comunicarse con el administrador del dominio usando una dirección de correo electrónico creada por ‘admin’ pendiente,   ‘Administrador’, ‘webmaster’, ‘hostmaster’ o ‘postmaster’ en la parte local, seguido por el signo de acceso ("@"),   seguido del Nombre de dominio, que se puede formar al recortar cero o más componentes de la   FQDN solicitado;

    3.   

Editar 2015-03-21: Entrust blog . Aquí hay una buena entrada de blog con una historia de fondo.
Bruce Morton, Entrust Identity ON Blog, 2015-03-20, Qué sucedió con Live.fi? (Archivado aquí .)

Cita interesante aquí:

  

El ataque del que estamos hablando se ha realizado antes en 2009. Se realizó a la CA de RapidSSL donde proporcionaron catorce direcciones de correo electrónico para que el suscriptor pueda elegir. En este caso, el ataque también se realizó contra otro dominio de Microsoft login.live.com donde el suscriptor registró [email protected] y luego solicitó el certificado con la dirección de correo electrónico que controlaban. Esto creó un furor de seguridad para limitar las direcciones de correo electrónico.

Editar 2015-03-24: WHOIS Los "Requisitos básicos" también permiten las direcciones de correo electrónico de los registros de WHOIS. He actualizado esto arriba.

    
respondido por el StackzOfZtuff 19.03.2015 - 20:57
fuente
1

Comodo, que estuvo involucrado en este fiasco, confía en siguientes direcciones de correo electrónico para la verificación del dominio:

  • admin @
  • administrador @
  • postmaster @
  • hostmaster @
  • webmaster @
respondido por el Gabor 24.03.2015 - 14:30
fuente
0

En la práctica, la capacidad de responder al correo electrónico enviado a cualquier dirección de correo electrónico no demuestra nada en Todo, ni siquiera que poseas la dirección de correo electrónico en cuestión. Todo el correo electrónico está sujeto a manipulación. por las personas que realmente controlan los servidores de correo por los que pasa.

Si tengo acceso de root al dominio foo.com, tengo control absoluto sobre Todo el correo electrónico entregado allí o originando allí. Del mismo modo, si fuera un geek de bajo nivel que trabaja para gmail, probablemente podría implementar una estafa ordenada basada en el sifón de cuentas de gmail si no fuera por la seguridad interna infalible de Google.

    
respondido por el ddyer 20.03.2015 - 06:51
fuente

Lea otras preguntas en las etiquetas

¿Olvidó la contraseña y revela si la cuenta existe? ¿Es suficiente la exploración de vulnerabilidades externas?