Spoofing de la dirección de correo: cómo protegerme [duplicar]

Navega tus respuestas
0

Tengo un servidor de correo, postfix para SMTP y Dovecot para IMAP, ambos requieren autenticación. Acabo de recibir un correo electrónico de MI dirección, pero de otro servidor SMTP. Y, por supuesto, en el origen del mensaje, puedo ver este servidor desde el cual se envió, pero no el usuario que lo hizo, solo su nombre de máquina "debian.world".

¿Cómo puedo protegerme contra esto? Porque básicamente significa que el tipo puede enviar correos electrónicos a cualquier persona que use mi dirección, y no creo que personas aleatorias revisen la fuente del mensaje para verificar de qué SMTP proviene. ¿Puedo configurar algo en mi servidor que verifique la autenticidad de un remitente? ¿O debería escribir un script completo por mi cuenta?

Una pregunta más: ¿cómo se supone que debo leer esto? 

Return-Path: <[email protected]>
Delivered-To: <[email protected]>
Received: from my.imap.myserver.com
    by my.imap.myserver.com (Dovecot) with LMTP id aEG5JBhePlnSDgAAz5VDmw
    for <[email protected]>; Mon, 12 Jun 2017 11:25:44 +0200
Received: from smtp25.services.sfr.fr (smtp25.services.sfr.fr [93.17.128.25])
    by my.smtp.myserver.com (Postfix) with ESMTPS id C693C3F0FE
    for <[email protected]>; Mon, 12 Jun 2017 11:25:43 +0200 (CEST)
Received: from debian.world (45.159.2.109.rev.sfr.net [109.2.159.45])
    by msfrf2635.sfr.fr (SMTP Server) with ESMTP id 055631C00081D
    for <[email protected]>; Mon, 12 Jun 2017 11:25:28 +0200 (CEST)
Received: from debian.world (45.159.2.109.rev.sfr.net [109.2.159.45])   (using TLSv1.2
    with cipher ECDHE-RSA-AES128-SHA256 (128/128 bits)) (No client certificate requested)
    by msfrf2635.sfr.fr (SMTP Server) with ESMTPS   for <[email protected]>;
    Mon, 12 Jun 2017 11:25:22 +0200 (CEST)
Message-ID: <953862.473459111-sendEmail@debian>
From: ME <[email protected]>
To: "[email protected]" <[email protected]>
Subject: etc...

(He recibido un correo de [email protected] en mi dirección [email protected], pero también me envió un correo de [email protected] por ejemplo)

¿Qué significa eso? El correo electrónico proviene de smtp25.services.sfr.fr, pero ¿qué es msfrf2635.sfr.fr? ¿Por qué hay 3 SMTP involucrados? Me gustaría entender esto por favor ...

Gracias compañeros.

PD: cambié algunas informaciones importantes porque conozco al tipo que hizo eso y no quiero que tenga problemas con sus servidores. Sin embargo, el msfrf2635.sfr.fr no ha cambiado.

    
pregunta NdFeB 12.06.2017 - 15:13
fuente

2 respuestas

0

Para evitar que otras personas envíen correos electrónicos en su nombre, puede usar SPF . Este es un registro DNS que publica todas las direcciones IP que pueden enviar correos desde ese dominio.

También puede utilizar DKIM para firmar un mensaje con una clave privada, la clave pública se publica en un DNS. Grabe y el servidor receptor puede verificar con esa clave si realmente fue usted quien lo envió.

Al implementar tanto SPF como DKIM, deberías poder evitar que otras personas se hagan pasar por tu dirección de correo electrónico.

Para realizar un seguimiento de cuándo falla la entrega de correo, puede utilizar DMARC . Esto se puede configurar en cuanto a lo que debe hacer un servidor de correo cuando falla la verificación SPF o DKIM y también a qué dirección de correo electrónico enviar un informe.

    
respondido por el Eelke 12.06.2017 - 15:38
fuente
0

Esa es la forma en que SMTP va ...

Presumiblemente, msfrf2635.sfr.fr es un servidor SMTP legítimo del proveedor de ISP francés SFR. Y el propietario de debian.world probablemente tenga una cuenta válida en SFR. Así que en mi humilde opinión aquí es lo que ha sucedido aquí:

  • el otro chico preparó un mensaje falsificado que contiene encabezados falsos (especialmente De, quizás otros)
  • se conectó a su servidor ISTP SMTP con su propia cuenta y envió el mensaje falsificado. El servidor solo controla que la dirección de sobre (CORREO DE SMTP DE: fiels) sea válida y coherente con la cuenta utilizada, y que se pueda acceder a las direcciones de envolvente (campos SMTP RCPT TO:). Luego registra que y reenvía el contenido del mensaje (incluidos los encabezados existentes), solo agrega su propio encabezado Received y, opcionalmente, le faltan los encabezados necesarios como Date .
  • su propio servidor recibe un mensaje de un servidor SMTP conocido y lo acepta

Cualquier encabezado en un mensaje SMTP se puede falsificar (incluso si no es posible falsificarlos todos al mismo tiempo). Si necesita poder tener una autenticación segura del remitente, debe usar una encapsulación como S / MIME o PGP que pueda firmar y / o cifrar un mensaje de forma segura.

    
respondido por el Serge Ballesta 12.06.2017 - 15:39
fuente

Lea otras preguntas en las etiquetas

Snort rules uricontent ¿Cuánto tiempo lleva establecer un ataque MITM?