Evitando la impersonación de correos de terceros con las redirecciones


#1

1. Introducción.

En este articulo explicaremos que es la impersonación producida al configurar redirecciones a servidores terceros y el problema de seguridad que conlleva.

También veremos como detectarlo desde el panel de core-admin y la solución para corregir este problema.

Referencias:

  • Resolución de [alias-redirect-impersonation-problem] (Core-Admin)
  • Resolución problema en [generic_smtp_checker] (Core-Admin)
  • Resolución problem: “[alias-redirect-impersonation-problem] Se encontró redirección de alias que causará problemas de reputación desde”

2. ¿Que es impersonación en un correo electrónico?

Es un correo de suplantación de identidad, es una técnica empleada en los ataques de spam y de phishing para hacerle pensar a un usuario que un mensaje proviene de una persona o entidad que conocen o en la que confían.

3. ¿Qué tiene que ver la impersonación de correo con los alias?

Cuando se configura un alias a una cuenta en un servidor tercero, es el servidor que actúa como originador de dicho correo, reemplazando al servidor original, y apareciendo ante el servidor final como el originador del correo que está recibiendo.

Debido a que es un correo en redirección, es un correo que no pertenece al servidor, y por tanto el servidor no debería emitir (reenviarlo), sin embargo, al reenviar, está actuando impersonando a la cuenta de origen, reenviando a la cuenta de destino como si fuese el legítimo emisor.

Sin embargo ni el SPF, ni el DKIM pueden resolver este problema ya que supondría incluir al servidor en la política de todos los dominios cuyas cuentas escriben a la cuenta donde está la redirección configurada.

A continuación le explicamos cómo ocurre con un ejemplo práctico.

4. Redirecciones legitimas hacia dominios externos

Una práctica muy usada por los usuarios, y que como veremos, implica generar problemas de reputación, es tener sus direcciones redireccionadas hacia cuentas de dominios de gmail, yahoo, outlook…

Estas configuraciones tienen como consecuencia producir recepción de Spam en el servidor, que a su vez actúa como correa de transmisión de dicho Spam, impersonando al remitente (spammer/hacking/phisher) y actuando en su nombre, de manera que es el propio servidor el que entrega el correo al servidor tercero.

Explicamos con mas detalle el funcionamiento de estas redirecciones:

Esto ocurre con usuarios conocidos por el cliente. Pero se puede dar el caso de que el remitente sea un SPAMMER. Y siguiendo con el ejemplo anterior, se puede dar el caso en el que GoogleMail no detecte este caso y lo deje pasar. Llegando al usuario midireccion.en@gmail.com:

  • Dicho usuario a continuación marca como Spam el correo, reforzando esta indicación con google (hotmail…), por lo que estos proveedores penaliza aún más la IP del servidor del cliente (al recibir indicación explícita por parte del usuario de un correo marcado como Spam que ha sido recibido desde la IP del servidor del cliente).

5. Detectar redirecciones desde el panel de Core-admin

En el panel de core-admin, se ha implemntado un comprobador para detectar este tipo de redirecciones a gmail, yahoo, outlook y tomas medidas para solucionarlo:

6. Como solucionar este tipo de redirecciones.

Hay que seguir estos pasos para corregir la redireccion:

De esta manera todo quedaría funcionando pero sin redirección: el correo llega a cuenta.usuario@empresa.com, y es gmail la que se lo descarga con POP3 desde el buzón del usuario.

7. Configuración cuenta POP3 en gmail.

Para configurar la cuenta como POP3 en gmail, y poder descargar los correos. Hay que seguir los pasos del siguiente enlace:

https://support.google.com/mail/answer/7104828?hl=es


#2

#3