SPF: Cabeceras

Iniciado por huerto123, 28 Febrero 2015, 11:05 AM

0 Miembros y 1 Visitante están viendo este tema.

huerto123

Hola
Alguien esta haciendo suplantación de identidad de mi dominio y enviando correos electrónicos como @midominio.es. Lo sé porque hrecibido correos de ese estilo en mi cuenta. Me indican desd el rpoveeedor de se servicios que no hacen uso de su servidor de correo electrónico y que es suplantación de identidad según la cabecera. me indican que activaran spf. Como puedo saber desde donde esta enviando esos correos? Estoy intentando verlo pero no consigo entender la cabecera.

He visto esto en mi cabcecera:

Received: from 181-163-29-227.baf.movistar.cl (181-163-29-227.baf.movistar.cl [181.163.29.227])
   by a0110.abansys.com (Postfix) with ESMTP id 05FEC6A01A7
   for <ana@midominio.es>; Tue, 24 Feb 2015 16:11:13 +0100 (CET)
Message-ID: <0E1F14FC0805F7E0F1FA12E6EB190E1F@midominio.es>

Esto implica que viene d movistar.cl? Pudieran haber enviado correos electrónicos usando cuentas verdaderas como webmaster@midominio.es? Que consecuencias puede tener esto? Como lo hacen? Han enviado a mi cuenta de correo electrónico y pudierean haber enviado a más usuarios no?

Son muchas dudas las que me surgen.

virtualedu

#1
En este video en el minuto 18:50 comienzan a hablar de lo que pudiese estar pasando

[youtube=640,360]https://www.youtube.com/watch?v=kinhR9lZlr8[/youtube]

Quizás podrías contactarte con Movistar, le envías la información de la cabecera y comentas que alguien esta haciendo Spam

MinusFour

El usuario que te envio el correo viene de: 181.163.29.227 que es una ip del ISP movistar en chile y estan usando el servidor de correo saliente: a0110.abansys.com. No parece ser un servidor abierto por lo visto. Imagino que es un relay que solo permite la entrada a ciertos individuos.

Implementar SPF es una buena idea para bloquear este tipo de correos, pero esto va a depender de quien implemente los chequeos SPF. Si yo tengo un servidor de correos configurado incorrectamente sin haber utilizado ninguna blacklist ni nada, podria estar recibiendo correos de tu dominio de otra persona y no habria nada que podria hacer (fuera de checar los headers que realmente no se si son validos).

huerto123

abansys es mi hosting. quiere decir que han estado enviado con ana@midominio.com usando abansys.com? Esto es normal? Que cualquira pueda hacer esto, enviar usando midominio.com y mi hosting? Es un problema de spf o de otro estilo?

MinusFour

Cita de: huerto123 en 28 Febrero 2015, 22:13 PM
abansys es mi hosting. quiere decir que han estado enviado con ana@midominio.com usando abansys.com? Esto es normal? Que cualquira pueda hacer esto, enviar usando midominio.com y mi hosting? Es un problema de spf o de otro estilo?

Ah perdon, me confundi un poco. No, significa que lo recibio tu servidor de correo y el mensaje lo ha enviado justo desde el ISP en movistar.cl. Igual la direccion proveniente de movistar.cl es de una victima de malware o de un proxy.

Netlink

Hola:

La suplantación de identidad en el correo electrónico mediante scripts es algo facil hacer con unos conocimientos "mínimos", incluso creo que existe alguna web que te ofrece esa posibilidad.

No soy jurista pero es un delito tipificado y te puedes meter en un buen fregao.

¿Solución a tu problema? La denuncia ante las autoridades competentes, aunque es de suponer que se haga desde vete a saber que pais y la cosa se complica...

Saludos.

huerto123

LO que me preocupa es que lo puedan estar haciendo y como evitarlo. Como me fio del remitente? A través de certificados?

el-brujo

Lo único que tienes que hacer  (o pedir que te hagan) es añadir los registros SPF a las DNS de tu dominio.

Registros SPF

"v=spf1 IPV4:x.x.x.x -all"

Pero con el -all es FAIL, es decir REJECTED, pero eso ya depende de la política SPF de cada servidor de correo.

elhacker.net usa ~all (softfail), que es menos restrictivo.

En las cabeceras de cualquier e-mail verás el SPF si es pass, neutral o false

CitarReceived-SPF: pass (google.com: domain of el-brujo@elhacker.net designates 209.85.216.178 as permitted sender) client-ip=209.85.216.178;

Es la única manera de evitarlo, de esta manera la persona que mande e-mails con un servidor "no autorizado" muy probablemente le marcarán los e-mails como SPAM.