Mensajes de correo electrónico falsos a través del encabezado List-Unsubscribe

8
El encabezado del correo electrónico

List-Unsubscribe hace posible que el destinatario cancele la suscripción automáticamente de la lista de correo:

List-Unsubscribe: <mailto:[email protected]?subject=unsubscribe&body=qwe>

El servicio de correo electrónico gratuito que creamos agrega el botón "Cancelar suscripción" en la interfaz de usuario, lo que activará el envío de un correo electrónico a [email protected] con el cuerpo y el asunto específicos. Y se enviará desde el correo electrónico del destinatario (fuera de usuario). Y firmado con DKIM.

Un atacante puede enviar un correo electrónico a nuestro usuario, el cual, en caso de presionar el botón 'cancelar suscripción', enviará un correo falso con el cuerpo dado, y de nuestro usuario, firmado por nuestro DKIM.

¿Cómo es posible protegerse de esto?

Podemos prohibir el procesamiento de nuestros correos electrónicos en el encabezado Listar-Darse de baja (Proteger a nuestros usuarios de recibir dichos correos electrónicos falsos).

¿Pero qué hacer en caso de que un proveedor de correo de terceros nos envíe dicho encabezado? ¿Cómo podemos proteger a nuestros usuarios del envío de correos electrónicos falsos? (Enviado desde nuestra red, y protegido por DKIM y SPF)

¿O es un problema y una responsabilidad de los servicios de correo electrónico de terceros, no enviar los correos electrónicos con el encabezado malicioso de Lista-Cancelar suscripción?

    
pregunta Karim Valiev 19.01.2014 - 15:52
fuente

1 respuesta

6

La mayoría de los implementadores de los botones de anular la suscripción no respetan los parámetros "sujeto" y "cuerpo", por la razón exacta que proporciona. Aquellos que lo hacen, solo lo hacen en respuesta a correos electrónicos validados, y donde el dominio de la dirección de correo electrónico para cancelar la suscripción coincide con el dominio de la dirección de correo electrónico del remitente validado.

Esencialmente, necesita implementar una política para el momento en que el encabezado Lista-Cancelar suscripción debe ser confiable.

Sólo si:

  • Ha validado el dominio del remitente a través de SPF o DomainKeys, o un DNS de ida y vuelta correspondiente u otro método.

Y

  • El dominio Listar-Cancelar suscripción coincide con el dominio del remitente.

Incluso entonces solo debes confiar en el Asunto y el cuerpo si has incluido en la lista blanca el dominio del remitente.

Mejor: si la lista es [email protected] :

List-Unsubscribe: <mailto:[email protected]>

Mejor: cada destinatario debe tener un ID de suscripción único:

List-Unsubscribe: <mailto:[email protected]>

O alguna cosa VERP:

respondido por el Ben 20.01.2014 - 17:30
fuente

Lea otras preguntas en las etiquetas