La seguridad de enviar correos electrónicos con SPF / DKIM, pero no firmado

Question

La seguridad de enviar correos electrónicos con SPF / DKIM, pero no firmado

#1 de Thomas Pornin (10 votos)

8

Estamos utilizando un servicio de envío de correo electrónico (bastante conocido) para enviar nuestros correos electrónicos. Hicimos cambios en el DNS para que los correos electrónicos que pasaban por ellos pasaran SPF y DKIM.

Hace unos días, nos dimos cuenta de que permiten que cualquier cuenta con ellos envíe correos electrónicos en nombre de los dominios que no pertenecen a esa cuenta. Por ejemplo, digamos que mi dominio es mycompany.com, y ahora quiero agregar mycompetitor.com a mi cuenta. Este servicio ahora me permitiría enviar correos electrónicos desde @ mycompetitor.com.

Traje esto con ellos y su solución fue no "firmar" el correo electrónico, pero aún así permitir que agregue el dominio que quiera. Así que ahora puedo seguir enviando desde @ mycompetitor.com, excepto que Gmail, por ejemplo, mostrará "a través de email-sending-service.com". SPF y DKIM seguirían pasando, y el correo electrónico no está marcado como spam.

Entonces, ¿estoy siendo paranoico? Creo que el uso de este servicio de correo electrónico permitiría a cualquier persona con una cuenta enviar correos electrónicos que parecieran provenir de nosotros.

Argumentan que esta es una "práctica estándar" y que cualquiera con una caja en algún lugar podría hacer lo mismo. Pero, ¿SPF / DKIM todavía pasaría en esos casos?

Siento que al hacer cambios en el DNS, autorizo a esta empresa de envío de correo electrónico a enviar correos electrónicos en mi nombre, y luego la compañía continúa y permite que cualquier persona con una cuenta envíe en mi nombre (sin la parte de firma); ¿Estoy fuera?

Gracias

digital-signature email

pregunta pbz 09.04.2013 - 21:52

fuente

1 respuesta

Lea otras preguntas en las etiquetas digital-signature email

¿Los parámetros Diffie-Hellman deben recrearse regularmente? ¿Puede un firewall manipular los archivos adjuntos del correo electrónico?

score 10 · Accepted Answer

SPF en su dominio no se trata de evitar que usted envíe correos electrónicos falsificados; se trata de evitar que otras personas envíen correos electrónicos con el dominio su . Para ser más precisos, si posee el dominio foo.com , puede documentar en el SPF que "todos los correos electrónicos que pretendan provenir de una dirección @ foo.com deben salir de la máquina smtp.foo.com y ningún otro". Los servidores de correo electrónico que reciben un correo electrónico con un presunto remitente con una dirección @foo.com pueden luego buscar los registros SPF y verificar si el correo electrónico proviene del servidor legítimo (el suyo) o de otro.

El procesamiento de SPF no es obligatorio, por lo que depende de cada servidor de correo electrónico hacerlo cumplir, a su gusto.

Los registros SPF en su dominio ( foo.com ) no le impedirán enviar un correo electrónico con una dirección falsa, por ejemplo. una dirección que termina con @bar.com . En ese caso, lo que importa serían los registros SPF en el dominio bar.com .

DKIM tiene un objetivo similar. Cuando su servidor utiliza DKIM, entonces firma todos los correos electrónicos que pasan a través de él. El DNS de su dominio documenta ese hecho y publica la clave pública (la que se usa para verificar la firma). Supuestamente, cuando un servidor de correo electrónico recibe un correo electrónico con un remitente @foo.com , ese servidor verá su clave DKIM en el DNS y, por lo tanto, verificará la firma. Si la firma está ausente o no corresponde con el contenido del correo, entonces el servidor de correo electrónico receptor sabrá que algo está mal.

De nuevo, el procesamiento DKIM depende de cada servidor de correo electrónico. Y, nuevamente, nada en su dominio le impedirá enviar correos electrónicos con @bar.com como presunto remitente, pero si el propietario de% co_de utiliza DKIM, se revelará su falsificación.

Resumen: las reglas de DNS relacionadas con SPF y DKIM, agregadas al dominio bar.com , documentan cómo debe enviarse / firmarse un correo electrónico cuando aparenta ser enviado por alguien con una dirección foo.com . Las reglas de DNS en @foo.com no dicen nada sobre los correos electrónicos que afirman que se originan en otro dominio.