¿El uso de los dominios no registrados en los registros SPF supone un riesgo para la seguridad?

1

Recientemente estuve leyendo acerca de la sintaxis de registro de Sender Policy Framework (SPF) en OpenSPF.com.

  

Sender Policy Framework (SPF) es un sistema simple de validación de correo electrónico diseñado para detectar la falsificación de correo electrónico al proporcionar un mecanismo para permitir que los intercambiadores de correo reciban que el correo entrante proveniente de un dominio provenga de un host autorizado por los administradores de ese dominio. - Wikipedia

Noté que la sintaxis de SPF nos permite usar el "mecanismo existente". A continuación se ofrece un ejemplo:

  

En el siguiente ejemplo, la IP del cliente es 1.2.3.4 y el dominio actual es example.com.

     

v=spf1 exists:example.com -all .

     

Si example.com no se resuelve, el resultado es un error. Si se resuelve, este mecanismo resulta en una coincidencia. - OpenSPF.com

Si estoy en lo cierto, solo a example.com se le permite enviar correos electrónicos, todos los demás remitentes están marcados como SPAM debido a la marca de error -all . Supongamos que usé el registro SPF anterior en el dominio example.org .

Entonces, example.org le permite a example.com enviar correos electrónicos con el nombre de example.org .

Ahora supongamos que el dominio example.com expira y es libre para registrarse nuevamente y el registro SPF anterior en example.org permanece sin cambios (lea: señala a example.com). En este caso, el registro SPF de example.org fallará en todos los correos electrónicos ya que el único dominio permitido ya no existe.

Ahora si un atacante registra el dominio example.com disponible. Entonces, ¿puede enviar SPAM en nombre de example.org, mientras que el registro SPF no lo impedirá?

En otras palabras, ¿debería estar marcado el uso del SPF como un mecanismo de riesgo potencial? O, ¿el uso del mecanismo SPF "existe" introduce un riesgo de seguridad?

Lo mismo se aplica a include: , ptr: , a: y mx: cuando apuntan a un dominio no registrado.

    
pregunta Bob Ortiz 05.07.2016 - 02:13
fuente

2 respuestas

1

Realmente no entendiste el significado de EXISTS, creo. ¡Lo que usted describe (permita que example.com envíe correo desde example.org) sería INCLUYE! INCLUYA: example.com significa ver el registro spf para example.com y aplicar las reglas.

EXISTS es mucho más simple. Significa "Si el DN dado se resuelve en cualquier dirección, coincidirá (no importa la dirección a la que se resuelva)".

Así que la regla "v = spf1 existe: example.com -todos" no tiene ningún sentido realmente. Significa que example.com tiene algún IP configurado, pasa la regla, de lo contrario, falla.

La regla EXISTS solo tiene sentido con macros . Por ejemplo, podría usar v=spf1 mx -exists:%{ir}.sbl.spamhaus.example.org ?all para hacer que el destinatario verifique una lista negra de IP y falle si la dirección IP del remitente está en la lista negra. También puedes hacer cosas como verificar si el usuario existe para el dominio y muchas cosas más poderosas.

A su pregunta si esto debe estar "marcado como un riesgo potencial". No, no hay más riesgo que en cualquier otra configuración de SPF. Si configura incorrectamente el SPF, podría crear problemas. Pero esto siempre es un riesgo. Si usas algo mal, pueden pasar cosas malas. EXISTS o incluso INCLUDE no son más riesgos que otras opciones de SPF.

    
respondido por el Josef 05.07.2016 - 10:40
fuente
1

SPF utiliza calificadores (Pass, HardFail, SoftFail, Neutral) para determinar el nivel de validez de una solicitud.

Los calificadores se determinan al verificar cualquiera o incluso todos los siguientes mecanismos configurados:

TODOS: coincide con cualquier cosa que no esté definida por otro mecanismo y coincidirá con todos los mecanismos

A: Si el nombre de dominio tiene un registro de dirección (A o AAAA) que se puede resolver en la dirección del remitente, coincidirá.

IP4 / IPv6: si el remitente se encuentra en un rango de direcciones IPv4 / IPv6 determinado, coincidirá.

MX: si el nombre de dominio (DN) tiene un registro MX que se resuelve en la dirección del remitente, coincidirá (por ejemplo, si el correo proviene de uno de los servidores de correo entrante del dominio).

PTR: si el DN (registro PTR) para la dirección del cliente está en el dominio dado y ese DN se resuelve con la dirección del cliente (DNS inverso confirmado hacia adelante), coincida. Esto ya no se puede utilizar.

EXISTS: Si el DN dado se resuelve en cualquier dirección, coincidirá (no importa la dirección a la que se resuelva). Esto rara vez se utiliza. Junto con el lenguaje de macros SPF, ofrece coincidencias más complejas como consultas DNSBL.

INCLUYA: si la política incluida pasa la prueba, este mecanismo coincide. Esto se suele utilizar para incluir políticas de más de un ISP.

Por lo tanto, depende del administrador elegir un nivel de seguridad adecuado que cubra sus necesidades. La respuesta es no, un atacante no podrá obtener ganancias como en su ejemplo, dado que el administrador ha hecho lo mínimo necesario para una implementación correcta de SPF.

    
respondido por el Overmind 05.07.2016 - 09:32
fuente

Lea otras preguntas en las etiquetas