¿Puedo falsificar el correo electrónico?

-2

Quiero decir, si tuviera mi propio SMTP (también, ¿se trata solo de dinero o hay algunas limitaciones para ejecutar mi propio servidor SMTP?) y se conformaría por completo con el correo (encabezados, IPs falsificadas y todo) y luego envió el correo, ¿habría algo que me detenga?

    
pregunta ShinobiUltra 25.09.2016 - 00:30
fuente

3 respuestas

4

La respuesta simple es sí, puedes falsificar el correo. Puede falsificar la dirección de correo electrónico DE y el dominio de envío, pero no podrá falsificar la dirección IP de origen. (Su dirección IP se usa en el proceso de establecer una conexión con el servidor de correo de recepción, por lo que si falsifica su dirección IP no podrá establecer una conexión, ya que los paquetes no lo devolverán).

Supongamos que envía un mensaje con una dirección y un dominio falsificados DE, pero con su dirección IP real. Lo que sucede a continuación es lamentablemente difícil de decir, ya que depende de la configuración tanto del dominio que está falsificando como de la configuración del servidor de correo receptor. Si ambos están configurados correctamente, su mensaje terminará en SPAM o será rechazado directamente. Pero de lo contrario, su mensaje puede llegar al buzón del destinatario.

¿Por qué su mensaje podría terminar en spam? A lo largo de los años, se han desarrollado una serie de mecanismos para combatir la falsificación de correos electrónicos y ayudar a los servidores de correo a identificar mensajes falsificados. Existe uno simple conocido como SPF (Marco de políticas del remitente) y uno más robusto conocido como DKIM (Dominio de las claves identificadas).

SPF

Si usted es propietario de un dominio (lo que significa que tiene acceso a los registros DNS de su dominio), puede agregar un registro especial que esencialmente enumere todas las direcciones IP que pueden enviar correos electrónicos en nombre de su nombre de dominio. Cuando un servidor de correo receptor recibe un mensaje, puede comparar la dirección IP de la que recibió el mensaje con la lista de direcciones autorizadas publicadas por el propietario del dominio. Si la IP no está autorizada, el servidor de correo receptor puede elegir rechazar o marcar el mensaje.

DKIM

DKIM también aprovecha el DNS, pero es sustancialmente más robusto porque se basa en la criptografía de clave pública en lugar de en las simples listas de direcciones IP. Si eres propietario de un dominio, generas un par de claves público-privadas y publicas la clave pública como un registro DNS. Instala la clave privada en todos sus servidores de correo de envío legítimos, que utilizan la clave privada para firmar criptográficamente cada mensaje saliente. Los servidores de correo que reciben pueden verificar que las firmas son válidas al recuperar la clave pública a través de DNS. Si intenta falsificar el correo electrónico de un dominio protegido por DKIM, no podrá agregar la firma criptográfica porque no posee la clave privada.

DMARC

Además de SPF y DKIM, los propietarios de dominios también pueden publicar en el DNS algo que se llama una política DMARC, que le dice a los servidores de correo receptor qué ocurre si encuentra un mensaje que no pasa las comprobaciones SPF o DKIM. Esta política puede ser laxa o estricta según la fuerza con la que el propietario del dominio quiera combatir los mensajes falsificados de su dominio.

En resumen

Si el dominio que está falsificando ha publicado registros SPF y DKIM con una estricta política de DMARC, y está enviando el mensaje a un servidor de correo con un filtro de correo no deseado configurado correctamente, su mensaje probablemente terminará en correo no deseado. Si está falsificando un mensaje de un dominio que no ha configurado SPF / DKIM / DMARC correctamente, y / o el servidor de correo receptor tiene un filtro laxo, es posible que su mensaje lo supere.

    
respondido por el tlng05 25.09.2016 - 01:32
fuente
2

Usted hace una pregunta simple en el título. La respuesta simple es sí , puede falsificar el correo electrónico. Hay muy poco para detenerte.

  

¿Se trata solo de dinero o existen algunas limitaciones para ejecutar mi propio servidor SMTP?

Si te refieres a "por qué no todos ejecutan su propio servidor SMTP", la respuesta es: la gente no sabe cómo hacerlo; la gente está bien con cualquier servicio que se ofrezca en línea; la gente no quiere gastar el esfuerzo en la configuración y el mantenimiento; o, de hecho, alguien no tiene su propio servidor y conseguir uno es de al menos $ 5 al mes, lo que probablemente no valga la pena.

Dependiendo de cuánto te importe arreglar la mierda de otras personas, también puede ser mucho trabajo crear una. Básicamente, enviar un correo electrónico es extremadamente fácil, pero muchas personas optan por emplear filtros de correo no deseado (o tienen filtros de correo no deseado seleccionados para ellos) que lo bloquean. Si te importa eso, tienes que ir y arreglar todo para los servidores de correo de otras personas: algunos quieren que vuelvas a intentar un mensaje (greylisting), otros quieren que agregues SPF, algunos requieren DKIM, otros usan listas negras como spamhaus, así que tienes para eliminar su dirección IP allí si el propietario anterior hizo que la dirección IP se incluyera en esa lista, y probablemente tenga que lidiar con algún problema específico de Gmail. No sé qué, siempre hay problemas con el monopolista. Especialmente porque la gente asume que Google tiene menos probabilidades de cometer un error que tú, creen que es tu culpa, así que ve y diviértete intentando ponerte en la lista blanca de Gmail.

  

¿Un correo completamente inventado (encabezados ...

Los encabezados son solo texto que puedes escribir. Engáñalos todo lo que quieras.

  

... IPs falsificadas ...

Aguanta ahí, ¿cómo falsificarás tu dirección IP? Puede enviar un paquete con una dirección IP falsificada a Internet, y si tiene suerte, su ISP no lo bloquea (a pesar de que es la mejor práctica actual), pero cualquier respuesta volverá a la fuente falsificada para que pueda No reciba lo que el servidor está enviando de vuelta. Básicamente estás enviando en la oscuridad y espero que todo salga bien.

Además de eso, SMTP se ejecuta sobre TCP. Puede falsificar una conexión TCP (a diferencia de la creencia popular), aunque es difícil, especialmente si tiene que enviar una gran cantidad de datos . Un correo electrónico requiere al menos un HELO x , MAIL FROM:valid@address , RCPT TO:valid@address , y finalmente sus datos de correo electrónico (por ejemplo, ATTACK AT DAWN ). Dado que se necesitan unos pocos miles de millones de intentos para falsificar una conexión TCP, son muchos datos que podrían no pasar desapercibidos para el destinatario.

Técnicamente posible, pero prácticamente cerca de inviable. Por el lado positivo, las conexiones siempre se vuelven más rápidas, de modo que cada vez se alcanza más y más.

  

... y todo

¡No todo! Los sistemas criptográficos como DKIM, que están diseñados para demostrar que tienes permiso para enviar correos electrónicos para el dominio del que estás reclamando, no pueden ser falsificados.

Por lo general, solo faltar un encabezado DKIM no detendrá completamente el correo electrónico. No he configurado DKIM para mi dominio y tengo problemas tal vez una vez cada dos años. Después de construir reputación en la dirección IP, funciona bastante bien.

  

¿habría alguien que me detuviera?

Las autoridades podrían querer hablar contigo. La suplantación de identidad puede o no ser ilegal dependiendo del país desde el que se envía o envía, pero sí lo son el fraude y el correo no deseado.

    
respondido por el Luc 25.09.2016 - 01:23
fuente
0
  

¿Se trata solo de dinero o hay algunas limitaciones para ejecutar mi propio servidor SMTP?

Suponiendo que tiene suficiente dinero para las utilidades necesarias para ejecutar su servidor, y su ISP no filtra las conexiones entrantes en el puerto TCP 25, debería estar bien.

Al utilizar telnet, puede enviar solicitudes mal formadas. Estas solicitudes pueden contener cualquier dirección de correo electrónico.

Los problemas mencionados anteriormente, SPF, DKIM y DMARC son todos una protección MUY útil, aunque desafortunadamente tienen el mismo defecto: usan DNS, que usa UDP, que es tan fácil de falsificar. De hecho, el servidor que recibe el correo electrónico falsificado disparará esas numerosas solicitudes, pero no antes de que reciba el correo electrónico falsificado.

Los atacantes se benefician de un gran ataque relacionado con el momento: aquí saben que pueden vencer la legítima respuesta del DNS con sus propios mensajes falsificados (en masa, estilo de fuerza bruta para aumentar las probabilidades de éxito, por lo general).

El principal contratiempo es que los atacantes solo pueden adivinar los identificadores únicos de paquetes necesarios para coincidir. Si funciona la primera vez, genial, los atacantes han secuestrado con éxito todo el tráfico SPF, DKIM y DMARC utilizando la contaminación de la memoria caché de DNS ... durante años, si deciden hacerlo ...

Una vez que se logra esto, el atacante ha establecido denegación de servicio de los servicios de autenticación, y AFAIK si estos servicios no existen, entonces el correo se retransmite en lugar de eliminarse.

De lo contrario, los atacantes necesitan pero esperan que la entrada de la caché caduque e intenten de nuevo (e incluso pueden recuperar un TTL que los ayudará) ... se han documentado graves ataques que permiten a un atacante secuestrar el tráfico DNS para toda una zona; estos se basan en engañar a los servidores de nombres ascendentes para que almacenen en caché las entradas de servidores de nombres falsificadas para los dominios en cuestión.

La protección contra esto viene en forma de DNSSEC (y posiblemente IPSEC?) además de SPF / DKIM / DMARC. Desafortunadamente, Internet no los ha aceptado por unanimidad, por lo que necesitamos un repliegue, que es solo entregar el correo después de que hayan fallado las comprobaciones de SPF / DKIM / DMARC.

  

... IPs falsificadas ...

Las conexiones TCP forjadas son muy difíciles de establecer. Debe ser capaz de adivinar con precisión los identificadores de paquetes para cada paquete. Posible, pero poco práctico. Es más probable que los atacantes usen una red wifi pública para realizar sus ataques ... sin mencionar lentes de sol .

  

... ¿Hay algo que me detenga?

Supongo que depende de donde vives. ¡Hay países que no tratan este tipo de ataques como incidentes criminales, y luego hay países que intentarán reclamar que los atacantes son turistas !

Además, la autoridad generalmente no realizará una investigación a menos que se cometa un delito. Una vez que se haya infiltrado con éxito en un sistema, estará en ... Puede que a sus autoridades no les guste, pero llegarán (meses) demasiado tarde.

    
respondido por el autistic 25.09.2016 - 02:27
fuente

Lea otras preguntas en las etiquetas