Hay una carta para ti

Chema AlonsoInformática64

El camino del AMOR

Servidor Correo Saliente de caballeros.com

Servidor Correo Entrante de princesas.com

tenor21@caballeros.com

reina21@princesas.com

POP3HTTPMAPI

IMAPRPC/HTTPS

DNS

MX princesas.com?

SmartHost

SMTP

Campo del mensaje

Mail from: Emisor:

Rcpt to: Destinatario: tenor21@caballeros.com

reina21@princesas.com

Servidor Correo Saliente de caballeros.com

Servidor Correo Entrante de princesas.com

El servidor DNS

DNS

Princesas.comMX AMSTRAD_6128 10

AMSTRAD_6128 A 64.64.64.64

Caballeros.com

MX AMSTRAD_464 10 AMSTRAD_464 A 164.164.164.164

Correos falsos

• Simulan el campo Mail from:

• Vienen desde servidores que no pertenecen a la empresa

• No viene firmados digitalmente

¿Cómo se asegura la princesa de que es su caballero quién le

envía el mail?

El camino del AMORcon MX Reverse Lookup

Servidor Correo Saliente de caballeros.com

Servidor Correo Entrante de princesas.com

tenor21@caballeros.com

reina21@princesas.com

POP3HTTPMAPI

IMAPRPC/HTTPS

DNS

MX princesas.com?

SmartHost

SMTP

MX caballeros.com?

MX Reverse Lookup

• Ventajas:– Sencillo de implementar– Sí garantiza servidor legítimo– No requiere cambios en la infraestructura

• Inconvenientes– No todas las empresas envían por dónde reciben– No garantiza correos falsos

SPF/Sender ID

SPF/Sender ID

SPF:-Requiere registro TXT-Sólo comprueba IP server y mail from:-Se configura como v=spf1

•-all -> fail•~all -> Softfail•?all -> Neutral•+all -> Pass

Sender ID:-Requiere registro TXT-Cuatro modos:

-spf2.0/mfrom -spf2.0/mfrom,pra -spf2.0/pra,mfrom -spf2.0/pra

•-all -> fail•~all -> Softfail•?all -> Neutral•+all -> Pass

•PRA: Purported Responsible Address•From •Sender •Resent-From •Resent-Sender

El servidor DNS

DNS

Princesas.com. MX AMSTRAD_6128 10AMSTRAD_6128 A 64.64.64.64SPF TXT “v=spf1 a:AMSTRAD_6128

a:pasarela.princesas.comipv4:64.64.64.1 –all”

Caballeros.com

. MX AMSTRAD_464 10 AMSTRAD_464 A 164.164.164.164SPF TXT “v=spf1 a:AMSTRAD_6128

a:pasarela.princesas.comipv4:64.64.64.1 –all”

El camino del AMORcon SPF/Sernder ID

Servidor Correo Saliente de caballeros.com

Servidor Correo Entrante de princesas.com

tenor21@caballeros.com

reina21@princesas.com

POP3HTTPMAPI

IMAPRPC/HTTPS

DNS

MX princesas.com?

SmartHost

SMTP

SPF caballeros.com?

DKIM

• Domain Keys Identified Mail• Se basa en PKI• Los correos que salen de un servidor son firmados

digitalmente.• La clave pública del servidor firmante está en el

servidor DNS

El camino del AMORcon DKIM

Servidor Correo Saliente de caballeros.com

Servidor Correo Entrante de princesas.com

tenor21@caballeros.com

reina21@princesas.com

POP3HTTPMAPI

IMAPRPC/HTTPS

DNS

MX princesas.com?

SmartHost

SMTP

clave caballeros.com?

Garantizado

El servidor DNS

DNS

Princesas.com. MX AMSTRAD_6128 10AMSTRAD_6128 A 64.64.64.64SPF TXT “v=spf1 a:AMSTRAD_6128

a:pasarela.princesas.comipv4:64.64.64.1 –all”

_domainkey.Princesas.com. TXT o=-Clave1 TXT “afjasjf8923kj4kjd8ukl…”Calve2 TXT “adskf8924509uijfkadf..”

Caballeros.com

. MX AMSTRAD_464 10 AMSTRAD_464 A 164.164.164.164SPF TXT “v=spf1 a:AMSTRAD_6128

a:pasarela.princesas.comipv4:64.64.64.1 –all”

_domainkey.Caballeros.com. TXT o=-c256 TXT “fghdfgh8923kj4kjd8ukl…”C512 TXT “dghdfghf09uijfghgfkadf..”

DKIM

• Ventajas– Basado en PKI– Garantiza la salida desde un servidor

• Inconvenientes– Requiere una cabecera extra– Mantenimiento de claves en servidores– Si no llega firmado el mail es normal, DKIM es un

encabezado extra.

Y… ¿Por qué no usar todo?

Demo: Gmail, Yahoo! y Hotmail

Suscríbete al TechNews

• http://www.informatica64.com/boletines/

¿Preguntas?

Chema Alonsochema@informatica64.comhttp://www.informatica64.comTodas mis tonterías en mis blogs:http://elladodelmal.blogspot.comhttp://www.windowstecnico.com