Las medidas de los emails se están midiendo en los dominios con www.

Question

Las medidas de los emails se están midiendo en los dominios con www.

Closed this issue 3 years ago · 8 comments

La página https://websegura.pucelabits.org/analisis-email/ lista dominios del tipo @invalid-email.com, sin embargo enlaza a https://websegura.pucelabits.org/w/www!invalid-email!com/, que a su vez para el Informe técnico del análisis del email lo que evalúa es www.invalid-email.com, mirándose la existencia o no de SPF y DMARC en ese subdominio, con lo que en realidad lo que está midiendo es la posibilidad de suplantar emails del tipo pucelabits@www.invalid-email.com, y no pucelabits@invalid-email.com, que serían el principal objeto a proteger.

De hecho, quitando el www. en las urls de https://dmarcguide.globalcyberalliance.org/ no es difícil encontrar dominios que pasan de un 0% a un 100%, porque los tienen solo en el principal.

Esto no quita que deberían proteger también todos los subdominios, mediante registros explícitos SPF y la funcionalidad subdomain policy en el registro DMARC del dominio principal (o registros DMARC en cada subdominio), incluso aunque no los usen para el envío de correo pueden ser usados en ataques de suplantación. Pero el foco principal debería ser en el dominio que usen.

Otros subdominios podrían omitirse, o incluirse en un segundo enlace de menor importancia.

Answer 1 · 2021-07-24T13:17:20.000Z

Disclaimer: por ser explícitos, todas las aportaciones son única y exclusivamente mias y expresadas de motu propio como individuo, sin ninguna intervención por terceros, y no representan en ningún caso la visión u opiniones que puedan tener empleadores, clientes ni accionistas, actuales o pasados, las cuales podrá ocurrir que coincidan o no.

Answer 2 · 2021-07-26T11:56:02.000Z

El tema de los subdominios es complejo sí, porque lo suyo es analizar todos los subdominios, ya que las administraciones tienen tendencias a crear muchísimos.

También es cierto que tanto el dominio base, como el www deberían estar protegidos, este ultimo desde la política de subdominios de DMARC.

Para simplificar las cosas vamos a volver a ejecutar el análisis para el dominio base para las webs que tienen "www.", pero hay que tener en cuenta que para que estén bien aseguradas tendrían que tener adicionalmente la política de subdominios para que no se puedan mandar como correo@www.dominio.com que también puede engañar a la gente.

Answer 3 · 2021-07-26T11:57:24.000Z

También puntualizar que solo consideramos un buen DMARC si tiene p=reject, ya que consideramos que mandarlos a cuarentena al final es déjalos pasar, y la gente está muy acostumbrada a mirar el spam. La política de cuarentena sólo debería usarse para hacer debug y finalmente poner reject.

Answer 4 · 2021-07-26T12:30:24.000Z

El análisis ya está considerando el dominio base para los dominios www. el resultado es el mismo, sólo un dominio implementa SPF y DMARC de forma correcta.

Answer 5 · 2021-07-26T19:43:48.000Z

Estamos teniendo algunos problemas ya que el análisis web sí usa (y necesita) www y el análisis email no, por lo que tenemos algunas urls rotas.

@palmerabollo está revisando

Answer 6 · 2021-07-26T22:54:09.000Z

Está arreglado en #245. Estoy probando.

Answer 7 · 2021-07-27T00:13:07.000Z

Confirmado el fix en producción

Answer 8 · 2021-07-27T01:47:33.000Z

Gracias a ambos. Veo que los dominios que considera seguros para correo (SPF + DMARC reject) han subido de 1 a 15. Aunque los resultados no sean para tirar cohetes, esto ya me cuadra más con algún dominio que había visto con reject. 👍