Que es el Mail Spoofing y como evitarlo usando SPF

Si recurrimos a fuentes como Wikipedia vemos que se define el “Mail Spoofing” como una “técnica de suplantación de identidad generalmente con usos maliciosos o de investigación”.

“Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP Spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad”.

Dicho en palabras llanas, MailSpoofing es cuando alguien te envía un correo donde en el campo FROM (remitente) es falso, de forma que podrían decirte que el correo te lo ha enviado por ejemplo bankia.es o cualquier entidad o empresa que quieran suplantar.

Los distribuidores de spam a menudo utilizan el spoofing con el fin de conseguir buzones de correo abiertos, y posiblemente que incluso respondan a sus solicitudes. La suplantación de identidad puede ser utilizada legítimamente, aún siendo ilegal y el Mail Spoffing puede considerarse una suplantación de identidad en toda regla.

El Mail Spoofing es posible porque el protocolo Simple Mail Transfer (SMTP), el principal protocolo utilizado para el envío de correo electrónico, no incluye un mecanismo de autenticación.

Aunque una extensión del servicio SMTP (especificada en el IETF RFC 2554) permite a un cliente SMTP negociar un nivel de seguridad con un servidor de correo, si bien esta precaución no siempre se toma. Si no se toman las precauciones adecuadas cualquiera que tenga los conocimientos necesarios puede conectarse al servidor y utilizarlo para enviar mensajes. Para enviar un correo electrónico falsificado, los remitentes introducen comandos en las cabeceras que alteran la información del mensaje (spoffing).

Con ello es posible enviar un mensaje que parece ser de cualquiera, desde cualquier lugar, diciendo lo que el remitente quiera decir. Por lo tanto, alguien puede enviar correos electrónicos falsificados que parecen ser tuyos, con un mensaje que no escribiste, desde tu dominio de correo @dominio.com

Si recibes un email que no se ha enviado desde tu dirección de correo, hay dos probabilidades:

1. El mensaje es fraudulento, se ha enviado falsificando tu dirección como si fueras tu el remitente.
2. El remitente real ha puesto tu dirección de correo como la dirección de respuesta para que las contestaciones se envien a tu cuenta.

Una forma de averiguar el origen de un correo electrónico es leyendo las cabeceras del mensaje recibido de forma que podamos obtener de ese correo informaciones como la “fecha/hora de envío”, el “remitente” (será el correo suplantado), el “User-Agent” desde donde salió “supuestamente el correo” (también puede ser suplantado) y otros datos que pueden ser útiles en un análisis posterior para los administradores de sistemas.

Ejemplo de cabecera:

Delivered-To: xxxxxxx@gmail.com Received: by 10.103.197.9 with SMTP id z9cs22623mup;         Sun, 7 Ago 2014 10:54:05 -0800 (PST) Received: by 10.103.85.4 with SMTP id n4mr3722461mul.128.1265568845523;         Sun, 07 Ago 2014 10:54:05 -0800 (PST) Return-Path:  Received: from localhost (30.Red-79-158-250.staticIP.rima-tde.net [79.158.250.30])         by mx.google.com with SMTP id u26si17461538mug.45.2010.02.07.10.54.05;         Sun, 07 Ago 2014 10:54:05 -0800 (PST) Received-SPF: softfail (google.com: domain of transitioning xxxxxxxxx@hotmail.com does not designate 79.158.250.30 as permitted sender) client-ip=79.158.250.30; From: Theliel  User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; es-ES; rv:1.9.1.7) Gecko/20100111 Lightning/1.0b2pre Thunderbird/3.0.1 MIME-Version: 1.0 Subject: Test Content-Type: text/plain; charset=ISO-8859-1; format=flowed Content-Transfer-Encoding: 7bit ...

¿Como obtener una cabecera de correo completa?, revisa el siguiente enlace por si te es de utilidad.

El 70% de los correos enviados son spam

Estudios recientes llevados a cabo por IT Security Company Lab mostraron que el 70% de todos los correos electrónicos enviados en todo el mundo son spam. Para proteger a los usuarios de este tipo de mensajes maliciosos, la mayoría de grandes proveedores de correo (Gmail, Hotmail, etc.) son muy estrictos en la gestión de filtros de correos electrónicos.

fuente Google/Gmail 2013

¿Como combatirlo?

Implementando SPF, que es un sistema de protección aplicado a los servidores de correo electrónico para protegerlos contra la falsificación de las direcciones de envío.

SPF es el responsable de identificar mediante la IP y por medio de los registros del DNS, a los servidores de correo SMTP autorizados para el envío de mensajes de un dominio concreto.

¿Como funciona?

1. El emisor o sender envía un correo electrónico.
2. El mensaje llega al servidor de correo entrante del destinatario o receiver, el cual llama a su Sender ID Framework (SIDF).
3. El SIDF consulta el registro SPF del dominio que el emisor utiliza para enviar el correo y determina si pasa o no pasa.
4. Si este correo no es devuelto se le pasa a los filtros de reputación para que lo clasifiquen como corresponda.
5. Se entrega el correo al destinatario.

En la actualidad son muchas las empresas que no implementan el registro SPF en sus servidores de correo o no lo validan y tampoco se comprueba que la dirección IP inversa de quien envía el mensaje sea realmente del servidor de correo legítimo que dice ser.

En Webempresa se puede habilitar SPF (Sender Policy Framework) y DKIM para poder evitar el Mail Spoofing.

Podemos configurar el SPF desde WePanel, simplemente activando “Autencicación de e-mail”. Accedemos al WePanel de nuestro sitio web, y en la sección “Correo“, “Autenticación de e-mail“, hacemos clic:

En la pantalla que se muestra podemos ver un apartado para SPF, con un botón para “Activar” en caso de encontrarse desactivado. Hacemos clic en dicho botón, y tras activarse vemos una pantalla donde se nos indica la activación del registro SPF, además de mostrárnoslo:

Tras la activación hacemos clic en el botón “Hacia atrás” y podremos ver las opciones avanzadas de SPF.

En el siguiente vídeo realizado por Jordi Sala, puedes ver la gestión de las opciones avanzadas de SPF y del uso de la “Autencicación de e-mail en WePanel.

Disponer de un registro SPF implementado de forma correcta y adaptado a tus necesidades te permitirá que no suplanten tu identidad y con ello los servidores de correo sabrán que se trata de un correo legítimo evitando que tus correos sean clasificados como spam.