9:00
seccion9-seguridad
El equipo de seccion9 ha visto interesante esta información.
Un correo no firmado, DKIM discardable y Gmail
Terminaba la segunda parte del artículo de esta serie preguntándose sobre cuál sería la implementación que harían los sistemas que implementasen DKIM cuando un correo no viniera firmado ya que, como vimos, el estándar no exige que se compruebe la política del dominio.
Para probarlo con Gmail, que cómo ya puse en el primer artículo Google había anunciado que había implementado DKIM en GoogleApps, configuré un dominio con una política discardable, es decir, solicitando que se eliminen todos los correos que no vengan firmados con DKIM. Le tocó el turno al dominio del blog de Forefront-es.com, así que creamos la pertinente entrada de política DKIM.
Figura 7: Registro DKIM con política discardable
Como podéis ver, esta entrada de registro en el servidor DNS es de tipo TXT y puede ser encontrada a través del servidor público de DNS de Google.
Para probar qué política está aplicando Gmail, envié un correo sin firmar utilizando un servicio de Enviar a un amigo desde una página web. Lógicamente ese correo va sin firma DKIM alguna que valga, y el objetivo era comprobar si Gmail está haciendo una consulta a la política DKIM del dominio del remitente para aplicar el borrado del mismo dentro de sus filtros antispam/antispoofing que implemente.
El resultado, como era de esperar, es que el correo entra en la bandeja de entrada de Gmail, sin firma DKIM ninguna. Lo del toque de la venta de la viagra es solo un poco de testing extra del sistema SCL.
Figura 8: Correo falso en el inbox, a pesar de la política DKIM
Reflexiones finales
DKIM no sirve para cifrar los mensajes. Tampoco garantiza el origen del mensaje de forma fiable, ya que como vimos en la primera parte se puede hacer abuso de las firmas al re-enviar el mensaje y las firmas vienen intactas. Por último, como el estándar no obliga a comprobar la política, todo recae en la decisión de la implementación y, como habéis podido comprobar, Gmail no hace esa comprobación en sus filtros antispam, sino que permite únicamente la parte de firmar.
Posted in: hacking
0 comentarios:
Publicar un comentario