En un intento por bloquear los ataques de falsificación de correo electrónico en direcciones de yahoo.com, Yahoo comenzó a imponer una política de validación de correo electrónico más estricta que desafortunadamente rompe el flujo de trabajo habitual en las listas de correo legítimas..
El problema es una nueva política de "rechazo" de DMARC (autenticación, notificación y conformidad de mensajes basada en el dominio) anunciada por Yahoo a servidores de correo electrónico de terceros, dijo John Levine, un consultor de infraestructura de correo electrónico y presidente de la Coalición contra el comercio no solicitado. Correo electrónico (CAUCE), en un mensaje enviado a la lista de correo de Internet Engineering Task Force (IETF) el lunes.
DMARC es una especificación técnica para implementar los mecanismos de validación y autenticación de correo electrónico SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail). Estas tecnologías fueron diseñadas para evitar la suplantación de direcciones de correo electrónico de uso común en ataques de spam y phishing.
El objetivo de DMARC es lograr una implementación uniforme de SPF y DKIM entre los principales proveedores de servicios de correo electrónico y otras compañías que desean beneficiarse de la validación del correo electrónico.
La especificación introduce el concepto de identificadores alineados, que requiere que los dominios de validación SPF o DKIM sean los mismos o subdominios del dominio para la dirección de correo electrónico en el campo "desde". Los propietarios del dominio pueden usar una configuración de directiva DMARC llamada "p =" para indicar a los servidores de correo electrónico receptores lo que debe suceder si falla la verificación DMARC. Los valores posibles para esta configuración pueden ser "ninguno" o "rechazar".
Durante el fin de semana, Yahoo publicó un registro DMARC con "p = rechazar" esencialmente diciendo a todos los servidores de correo electrónico receptores que rechacen los correos electrónicos de direcciones de yahoo.com que no se originan en sus servidores, dijo Levine.
Si bien esto es bueno desde una perspectiva anti-spoofing, plantea problemas para las listas de correo legítimas, según el experto en correo electrónico..
"Las listas usan invariablemente su propia dirección de rebote en su propio dominio, por lo que el SPF no coincide", dijo Levine. "Las listas generalmente modifican los mensajes a través de etiquetas de asunto, pies de página del cuerpo, eliminación de archivos adjuntos y otras características útiles que rompen la firma DKIM. Por lo tanto, incluso en la lista de correo más legítima como, por ejemplo, el IETF, la mayoría del correo falla las afirmaciones de DMARC, no debido a que las listas hacen algo 'incorrecto' ".
Con la nueva política, cuando un usuario de Yahoo envía un correo electrónico a una lista de correo, el servidor de la lista distribuye ese mensaje a todos los suscriptores, cambiando los encabezados y rompiendo la validación DMARC. Lista de suscriptores con cuentas de correo electrónico en servidores que realizan comprobaciones DMARC, como Gmail, Hotmail (Outlook.com), Comcast o Yahoo, rechazarán el mensaje original y responderán a la lista con mensajes de error DMARC automatizados.
Por ejemplo, Gmail responderá con un mensaje que dice: "smtp; 550 5.7.1 El correo electrónico no autenticado de yahoo.com no se acepta debido a la política DMARC del dominio. Comuníquese con el administrador del dominio yahoo.com si se trata de un correo legítimo".
Por lo tanto, los usuarios de Gmail, Hotmail y otros proveedores habilitados para DMARC no solo no recibirán los mensajes enviados a la lista de correo por los usuarios de Yahoo, sino que inundarán la lista con mensajes de rebote, arriesgándose a ser rechazados ellos mismos, dijo Levine..
El experto en correo electrónico recomendó que los operadores de listas de correo suspendan los derechos de publicación de listas de los usuarios de yahoo.com y les pidan que se vuelvan a suscribir a sus listas con cuentas de diferentes proveedores de correo electrónico..
"Actualmente estamos experimentando con una tecnología contra el abuso que nos ayuda a proteger a nuestros usuarios de los ataques de suplantación de identidad", dijo un representante de Yahoo por correo electrónico. "Como resultado de este experimento, un pequeño porcentaje de nuestros usuarios que usan proveedores de servicios externos a Yahoo pueden experimentar problemas. Los usuarios afectados pueden visitar nuestra página de ayuda para obtener más información. Disculpe las molestias que esto pueda haber causado".
Yahoo publicó una página de ayuda con información sobre cómo su nueva política DMARC afecta a los proveedores de servicios de correo electrónico de terceros.
Una prueba de los registros DMARC de Yahoo realizada el martes con una herramienta en dmarcian.com reveló que la configuración "p = rechazar" todavía estaba vigente para el dominio yahoo.com. En comparación, gmail.com tenía un registro de política de "p = none", lo que significa que no le dice a otros servidores de correo electrónico cómo manejar los mensajes de las direcciones de gmail.com que fallan las verificaciones DMARC.
Laura Tessmer Atkins, cofundadora de la firma de consultoría de correo electrónico antispam Word to the Wise con sede en Palo Alto, California, también confirmó y documentó el problema en una publicación de blog el lunes. Ella cree que Yahoo comenzó a anunciar una política de "rechazo" debido a un ataque reciente contra usuarios de Yahoo que involucró a atacantes que comprometieron las cuentas de correo electrónico de yahoo.com y enviaron correos electrónicos no autorizados a sus contactos.
"Los atacantes han modificado sus ataques y ahora están enviando correo de los usuarios de Yahoo a sus contactos a través de otros servidores", dijo Atkins. "Al publicar un registro ap = rechazar, Yahoo le dice a otros sistemas que no acepten el correo de los usuarios de Yahoo si no llega a través de servidores controlados por Yahoo. Esto incluye el correo de los atacantes, pero también el correo de los usuarios habituales de Yahoo que usan otro SMTP servidor, incluido el correo masivo enviado a través de ESP [proveedores de servicios de correo electrónico] y el correo individual enviado a las listas de correo ".
DMARC.org, el grupo de la industria que supervisa el desarrollo y la adopción del estándar DMARC, no respondió de inmediato a una solicitud de comentarios sobre la situación de Yahoo. Sin embargo, la sección de preguntas frecuentes del sitio web del grupo reconoce los problemas de interoperabilidad que las listas de correo pueden tener con DMARC y ofrece algunas recomendaciones.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
