You are on page 1of 7

SMTP Spoofing

Las Suplantacin en correo electrnico de la direccin de correo electrnico de otras personas o entidades. Esta tcnica es usada con asiduidad para el envo de mensajes de correo electrnico como suplemento perfecto para el uso de suplantacin de identidad y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin. Para protegerse se debera comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la direccin del servidor SMTP utilizado. Aqu no se debe de confundir eMail Spoofing con virus que usan nuestras cuentas para reenviarse a nuestros contactos. Un virus en nuestro PC que se expande por correo electrnico usando nuestras propias herramientas, no es Spoofing. Es La tcnica de modificar (generalmente) el remitente de un correo electrnico, con el fin de aparentar que un correo electrnico sea genuino. Esto evidentemente es una suplantacin de identidad en toda regla, y es algo completamente ilegal. Para hacerse una idea, clonar una web (Phising) con el objetivo de engaar a alguien para que introduzca unos datos es ilegal porque casi con toda seguridad no tiene derechos de autor para usar el contenido de la web original. Pero nadie puede denunciarte porque una persona sea boba e introduzca unos datos en una web. Aunque para muchos un eMail no es ms que un texto escrito en el ordenador y enviado a travs de nuestro navegador gracias a los portales de Gmail o Live, los correos electrnicos son mucho ms que todo ello. SMTP es el responsable de los correos electrnicos, es el protocolo que hace posible este envo de informacin. La mejor forma de comprender el sistema de eMail, es asimilarlo siempre al correo postal ordinario. Cuando enviamos una carta a un destinatario necesitamos conocer antes que cualquier otra cosa la direccin de dicha persona, su nombre y apellidos, cdigo postal y del mismo modo escribir un remitente (si queremos) en el sobre.

Como podramos modificar el remitente en una carta ordinaria? Es facil, tan solo escribiendo unos datos falsos en el remite de la carta. Con el eMail pasa exactamente lo mismo. Pero entonces es as de simple? S y no, como de costumbre.

En primer lugar prcticamente ningun programa nos permitira modificar el remitente del eMail. En segundo lugar en los servidores SMTP existen medidas de seguridad para evitar el SPAM. El protocolo inicial es simple, a raiz de sus ms que normales carencias se han construido filtros y sistemas de seguridad para evitar el uso de la suplantacin de identidad. Con todo esto se podra pensar que entonces no es posible realizar un eMail Spoofing, y todos sabemos que no es cierto. Con todas estas medidas es posible realizar eMail Spoofing? Si, y existen 3 formas (que ahora mismo pueda pensar yo). Todas ellas tienen sus pros y sus contras. Antes de entrar en ellas vamos a explicar un poco que es un servidor SMTP relay. Dado que cualquier persona puede crear un servidor de correos, este servidor de correos se puede configurar como hemos dicho como se desee. Estamos acostumbrados a ver que nuestros servidores SMTP de gmail o de Live requieren de un nombre de usuario o una contrasea. Pero si se desease, podramos crear un servidor de eMail que no requiriese autentificacin de ningn tipo, y simplemente especificsemos remitente y

destino (el que quisisemos). Aos atrs, estos relays abiertos eran muy comunes, el problema que tena por tanto era que cualquier persona poda enviar correos desde estos servidores para crear cantidades ingentes de SPAM. Ante este problema, casi todos los proveedores de eMail actuaron bloqueando en listas negras los correos que proviniesen de ciertos servidores Relay abiertos. Esta fue la primera medida que se comenz a tomar, y tal es el efecto que a da de hoy no estoy seguro de que quede algn servidor SMTP relay abierto. A diferencia de los Relay Abiertos, los Relays cerrados son actualmente los servicios de correo electrnico que con ms frecuencia nos son ofrecidos. Muchos quizs no comprendan la diferencia entre un servidor SMTP Relay y no Relay. Cuando usamos el trmino de Relay, nos referimos a un servidor SMTP que acepta conexiones tericamente de cualquier usuario. Si pensamos por ejemplo en el servidor SMTP de Gmail: smtp.gmail.com, no deja de ser un servidor Relay, puesto que el mismo servidor SMTP es el que usan todos prcticamente. Lo que sucede es que es un Relay cerrado, con ciertas restricciones. Pero igualmente podemos encontrar servidores SMTP puros, dedicados. El ejemplo ms clsico de estos servidores son algunos servidores de correos empresariales o particulares. Normalmente cualquier persona que posea un dominio o un servicio de hosting, puede crear su propio servidor SMTP sin necesidad de un servidor Relay (aunque se puede configurar como tal). eamos ahora s las tres formas que podemos encontrar de eMail Spoofing:

Servidor de Email propio: Como hemos dicho Internet es libre. Tu puedes agradecer a Gmail su servicio gratuito de Internet, pero tambin te sometes a sus polticas de Spam, a sus restricciones, a sus filtros a fin de cuentas gMail es tu oficina de correo postal. Pero si internet es libre puedo construir un servidor de correos yo mismo? S. Es decir, es como si pudieses crear tu propia oficina postal. Al ser tu servidor, tu eliges las normas. Internet la construimos todos, el protocolo SMTP es estandar y cualquiera puede usarlo. Por tanto podramos crear un servidor SMTP en casa y arreglarlo todo de tal forma que prcticamaente podramos enviar correos desde el remiente que quisisemos. Por qu? Ya lo hemos dicho, nosotros decimos las normas que queremos. Esto no quiere decir que los correos sean completamente annimos ni mucho ms lejos. Vamos a expandir esto un poco ms. Si hemos comprendido el esquema de funcionamiento de un eMail, para crear nuestro propio servidor lo que hay que hacer sera primero crear nusetra oficina. Lo segundo para que nuestra oficina sea localizable tener en las bases de datos mundiales nuestro cdigo postal registrado, en nuestro caso, tener registrado nuestro MX en los servidores de DNS. Y nada ms. En realidad no es necesario tener un registro MX si no deseamos recibir correo, el problema de este sistema es que por razones de seguridad y propensin a usar SPAM

con estos sistemas muy simples de crear, la mayora de los servidores destino no permiten correo procedente de aquellos clientes que no posean un registro MX o que procedan de IPs que sean estticas. Por lo dems todo es muy simple. Tan solo sera cuestin de usar cualquier software servidor de correos, configurarlo y listo. No voy a explicar a hacer esto paso a paso, en este caso tan solo vamos a ver los resultados, pros y contras. En mi caso he usado hMailServer, un servidor de correo gratuito. Para este primer ejemplo de eMail Spoofing se ha usado el servidor eMail citado. En cada una de las pruebas siempre se han enviado dos copias de los correos con remitentes falsos, una a gmail y otra a live (hotmail). En una de las pruebas se opt por usar una direccin falsa de Hotmail y en el otro caso una direccin falsa de gmail. El tercer test se opt por una direccin prueba test.com. Los resultados son interesantes, y demuestran puntos a favor y en contra de cada proveedor (gmail y hotmail) a la hora de manejar posibles suplantaciones de identidad. Evidentemente tanto la cuenta de correo theliel@gmail.com y theliel@hotmail.com, no me pertenecen.

Prueba 1: Remitente theliel@hotmail.com, destino mis cuentas de gmail y live: Gmail en este caso si permiti el acceso del correo y este alcanz la bandeja de entrada. Hotmail permiti la recepcin pero fue filtrado una vez ms como Spam -> Ver notas despus de las pruebas

Prueba 2: Remitente theliel@gmail.com, destino mis cuentas de gmail y live: Gmail no permiti siquiera la entrada del correo, dado que verific que el remitente theliel@gmail.com tan solo poda enviar correos usando el servidor SMTP de gmail, y no uno externo. El correo no lleg a abandonar mi gestor de correos. Hotmail permiti la recepcin del correo, pero en este caso lleg como Spam -> Ver notas despus de las pruebas

Prueba 3: Remitente theliel@test.com, destino mis cuentas de gmail y live: Gmail filtr el primer correo como Spam, pero sucesivos correos del mismo destino alcanzaron la bandeja de entrada Hotmail lo volvi a filtrar como Spam -> Ver notas al final de las pruebas.

En principio se podra pensar que Live tiene un filtrado de Spam mejor que Google. Pero esto esto tiene muchas lecturas. Efectivamente Gmail rechaz de pleno un supuesto correo de gmail (theliel@gmail.com) simplemente presuponiendo que un correo de ellos tiene que provenir de ellos. Pero fracas en las otras dos pruebas, dando por buenos los correos con los remitentes falsos. Por otro lado Live los categoriz todos como Spam. Cada proveedor tiene sus propias polticas de que es mejor filtrar o que no. Por ejemplo, es evidente que el correo Theliel@hotmail.com era un remitente suplantado, pero Gmail prefiri no establecerlo a priori como Spam, lo que causa que en ese aspecto debemos de suspender a Gmail. Pero por otro lado bloque completamente Theliel@gmail.com. Live por su parte prefiri no bloquear completamente el correo que provena supuestamente desde sus propios servidores Theliel@hotmail.com, lo cual es un punto negativo para Live. No obstante fue capaz de filtrar los otros dos correos falsos. La poltica por defecto de Gmail es Ante la duda, lo permito. La poltica de Hotmail es Ante la duda lo bloqueo. Esto no solo es una cuestin de polticas por desgracia sino de dinero. Microsoft con Live presupone que no puedes o no debes de tener un servidor de eMail en tu casa a menos que seas una empresa. En realidad a Microsoft no le importa el remitente del correo, no los detecta como Spam por ello. Si detecta que posees una IP dinmica ellos presuponen que eres un Spammer. Por otro lado, puedes pagar a Microsoft un dinero para que categoricen tu dominio como verificado, para que no sea filtrado como Spam. Esto parece injusto, ya que si Internet es libre, cualquiera podemos querer tener un servidor de Email sin dar cuentas a nadie, y no por ello somos unos Spammers. Google presupone inocencia, y mientras no tenga ms datos sobre el origen de dichos correos no lo categoriza como Spam y lo permite, eso s bloquea los correos que no proceden de sus servidores y que es de ellos cosa ms que normal. A todo esto hay que sumarle un gran problema de seguridad respecto al Spam que tiene Live. Quitando alguna que otra direccin, siempre se pasar a la bandeja de entrada (y no se considerar Spam) correos de direcciones que ya se han recibido. Es decir, supongamos que en realidad Theliel@hotmail.com Theliel@gmail.com fuese la direccin de un amigo mo y en mi cuenta live ya tuviese algn correo de ellos, ninguno de los dos correos sera filtrado como Spam. Esto es un peligro. Esto es posible pq Live presupone que los correos no marcados como Spam, son remitentes seguros. En realidad no podemos ni debemos darle un tirn de orejas a ninguno. Cada cual implementa las polticas que creen ms acertadas para filtrar la mayor cantidad de Spam posible y no filtrar los correos que crean que son legtimos. Pero como en todo, no hay un sistema que sea realmente mejor que otro. Este sistema de eMail Spoofing se ha podido ver cuales son sus principales deficiencias. Si bien es algo sencillo y rpido de pertrechar, es muy fcil que cualquier proveedor de servicios pueda detectarnos. Por supuesto, y aunque no haya sido comentado, detectar un usuario este tipo de ataques de eMail Spoofing es muy simple, tan solo tendramos que acudir a la cabecera del correo entrante.

Servidor Relay SMTP Sin Autentificacin La segunda opcin y posiblemente la ms usada a la hora de realizar eMail Spoofing, reside en los servidores Relay. Hemos dicho que prcticamente todos los servidores Relay tienen fuertes medidas de proteccin para evitar el Spam o la suplantacin de identidad. Como hemos dicho a da de hoy continua siendo necesario el papel de los servidores Relay en los cuales NO EXISTE autentificacin previa. Lo que sucede es que estos servidores estn disponibles normalmente tan solo a grupos de clientes que pagan por usar dichos servicios como servicios de email o de hosting, y normalmente con un nmero determinado de correos diarios permitidos. Por otro lado, generalmente no se permite su uso externo. El concepto de local o internet se debe de comprender. Si por ejemplo posemos un hosting que nos permite usar su servidor Relay e intentamos hacer uso de l desde nuestro propio equipo, pronto se dar cuenta cualquiera que la conexin es denegada, puesto que nuestro proveedor tan solo permite el uso del Relay en local. Que implica esto? Que no podemos directamente hacer uso de dicho servidor, pero dado que en dicho servidor podemos tener herramientas como SSH, PHP podemos crear formularios o accesos remotos para poder usar dichos recursos. La idea es claramente poder crear contenido web que nos permita la creacin de formularios y otros que llamen a nuestro servidor relay. Dado que el formulario se encuentra en nuestro servidor web, podr utilizar el servidor Relay de nuestro proveedor. Esto tiene una ventaja y un inconveniente. Al ser un servidor abierto (que no requiere de autentificacin) podemos enviar cualquier correo que deseemos en nombre de quien sea sin preocupacin alguna, y casi con toda seguridad el correo ser entregado y no filtrado como Spam. El problema? Es necesario crear un formulario web para ello o usar SSH para conexin remota o algn sistema similar. Para evitar este tipo de prcticas abusivas de Spam, normalmente existe como he dicho un nmero finito de correos que pueden ser enviados al da. Tanto esta seccin como la siguiente, realizaremos conexiones directas en terminal para mostrar los ejemplos, esto nos har comprender de una forma mucho ms clara como funciona SMTP y el potencial que tiene. Veamos ahora el uso y conexin de un servidor SMTP Relay sin autentificacin. Cualquier respuesta por parte del servidor va antecedida con un cdigo nmerico. El resto de texto corre a cargo por el cliente, es decir tecleado a mano. Recordar que en rojo se resaltar siempre datos modificados por cuestiones de seguridad.

Servidor SMTP Con Autentificacin El uso de servidores de correo propios tiene el problema de que casi todo el contenido ser marcado como Spam. El uso de servidores Relay sin autentificacin tiene el problema de que muchos proveedores filtran dichos correos. Lo ideal por lo tanto sera poder contar con servidores Relay los cuales podamos acceder con autentificacin y que no estn filtrados por nadie. El problema de este tipo de servicios es que si te autentificas

en un sistema, es mucho menos annimo, por no decir que estos servidores puedan implementar grandes medidas de seguridad para evitar el Spoofing. Lo primero que podramos intentar es realizar lo que se hizo con anterioridad pero usando nuestra cuenta de gmail. El arte del hacking es presuponer que en algn momento los programadores metieron la pata, y esa metedura de pata se usa para lograr los fines. Un atacante esta premisa la conoce bien. Podemos presuponer que gmail es completamente invulnerable y no intentarlo, o tener la esperanza de hacer saltar por los aires la seguridad de ellos, buscando un olvido de los programadores. Vamos a presuponer que no conocemos en absoluto el sistema de correos de gmail ni de live, y queremos simplemente investigar un poco. En este caso lo ms probable es que una bsqueda por registros MX no nos devuelva nada interesante, y dado que estamos buscando servidores SMTP con autentificacin, vamos a tener que usar o partir de algn servidor del cual tengamos unas credenciales.

Bibliografa http://blog.theliel.es/2010/02/seguridad-spoofing-capitulo-quinto-email-spoofing.html http://es.wikipedia.org/wiki/Spoofing