Paulo Laureano Estar vivo é uma condição precária com um péssimo prognóstico...

Servidores de email



Há sinais de alerta para problemas de segurança nas empresas e instituições que todos podem ajudar a detectar e resolver. Qualquer pessoa pode ajudar, do mestre administrador de sistemas ao menos versado em informática. Tudo o que precisa é de olhar para o local certo... e depois dizer a quem na organização possa resolver o problema.

O e-mail de uma organização deve ter uma origem pré-determinada e ferramentas que permitam aos vários servidores de terceiros identificar e impedir falsificações. Os servidores de envio de e-mail (legítimos) devem estar previamente identificados. Todo o e-mail que tiver origem em servidores não autorizados deve ser recusado, de forma a evitar que mensagens “falsas” utilizando endereços da instituição possam ser usadas em burlas.



Faça a avaliação técnica do seu e-mail 
Existem tecnologias disponíveis para evitar mensagens vindas de servidores ilegítimos  sendo as duas mais utilizadas o SPF e DKIM. As empresas e instituições devem suportar pelo menos uma das tecnologias configurada correctamente.

Como testar? Faça “cut & paste” dos links que se seguem, alterando o nome do domínio para o da sua instituição:


Para testar se o SPF existe no servidor: 

http://www.unlocktheinbox.com/dnslookup/spf/
o_seu_dominio.pt/

Se o SPF estiver correctamente configurado deverá ver uma resposta do género:

“v=spf1 include:_spf.ptasp.com ip4:83.240.128.171/32 -all” em que o mais importante é o “-all” no final. Não confundir com “~all” (um “til” antes do “all&rdquoWinking que significa que o sistema
não está a instruir o servidor de e-mail para não entregar as mensagens falsas, que é o oposto do que se pretende.


Para testar se o DKIM existe no servidor:
http://www.unlocktheinbox.com/dnslookup/spf/_adsp._domainkey.o_seu_dominio.pt/

Se o DKIM estiver correctamente configurado deverá ver uma resposta do género:

“dkim=discardable”, qualquer outro valor, ou a ausência de uma resposta, significa que o DKIM ou não está configurado, ou está configurado de forma deficiente, não instruindo os servidores de e-mail para destruírem as mensagens falsificadas.


Exemplos de empresas que fazem uso correcto do SPF:
http://www.unlocktheinbox.com/dnslookup/spf/digal.pt/
http://www.unlocktheinbox.com/dnslookup/spf/zon.pt/
http://www.unlocktheinbox.com/dnslookup/spf/fnac.pt/
http://www.unlocktheinbox.com/dnslookup/spf/ctt.pt/
http://www.unlocktheinbox.com/dnslookup/spf/tap.pt/
http://www.unlocktheinbox.com/dnslookup/spf/millenniumbcp.pt/
http://www.unlocktheinbox.com/dnslookup/spf/_spf.bancobpi.pt/
http://www.unlocktheinbox.com/dnslookup/spf/cgd.pt/

Nota: avaliação técnica executada em 19 de Outubro 2012

Exemplos de empresas que fazem uso incorrecto (insuficiente) do SPF:
http://www.unlocktheinbox.com/dnslookup/spf/worten.pt/
http://www.unlocktheinbox.com/dnslookup/spf/continente.pt/

Nota: avaliação técnica executada em 19 de Outubro 2012

Exemplos de empresas que fazem uso correcto do DKIM:
http://www.unlocktheinbox.com/dnslookup/spf/_adsp._domainkey.fullit.pt/
http://www.unlocktheinbox.com/dnslookup/spf/_adsp._domainkey.missprint.com/

Nota: avaliação técnica executada em 19 de Outubro 2012

Exemplo de um dominio que não usa qualquer sistema de controle:
http://www.unlocktheinbox.com/dnslookup/spf/bes.pt/
http://www.unlocktheinbox.com/dnslookup/spf/_adsp._domainkey.bes.pt/

Nota: avaliação técnica executada em 19 de Outubro 2012

Não custa nada testar a sua organização, é só aceder a duas páginas web e comparar os resultados.
Se um dos sistemas estiver activo e bem configurado está tudo bem. Se nenhum dos sistemas estiver presente (e bem configurado) fale com o responsável de informática da empresa.


Riscos externos e internos
Porque é que isto é importante? Porque o nome e prestígio da sua empresa ou instituição contam para o seu potencial de sucesso. Porque ter pessoas burladas e o email da sua organização ser o meio que torna a burla possível, é uma associação profundamente negativa. Porque existirem burlas viabilizadas por manifesta incapacidade técnica, ou desconhecimento, dos profissionais da sua organização é um cenário que não lhe interessa de todo expor e explicar.

Não é só uma questão de imagem externa e de proteger os seus clientes contra a utilização ilícita da imagem da sua organização. Um e-mail falsificado pode induzir pessoas dentro da organização a fornecerem informação a terceiros, julgando que estão a lidar com colegas. Os resultados de uma confusão de identidade são potencialmente catastróficos. Uma simples pergunta sobre um sistema interno, sobre um negócio confidencial, um pedido de alteração de password, podem resultar na exposição dos sistemas informáticos da organização ou prejudicar o seu negócio. Um
link para spyware pode deixar o computador que o seguir totalmente dominado por terceiros.

Mensagem do Millennium BCP


Já que pretendem sempre “fazer melhor” eu aproveito para deixar umas sugestões. O que fazem é “pouco” e “mau” no que respeita à vossa comunicação por e-mail com clientes, que neste momento roça o absurdo devido ao receio (sem qualquer lógica) de colocarem links em mensagens, pelo que podem melhorar muito.

Headers da mensagem de mail que recebi do MilleniumBCP:

bcp_m1

O SPF está bem configurado (-all = hardfail), o que significa que em servidores de e-mail bem configurados as mensagens falsificadas devem ser devidamente descartadas (em vez de entregues). Isto é bom e ajuda a combater o Phishing. Sugiro o suporte a DKIM (com a configuração equivalente: “Discard” para as mensagens falsas). Ambos os métodos podem ser utilizados em conjunto (e são usados cumulativamente pelos filtros mais populares em servidores de e-mail como o Spamassassin).

A mensagem não é assinada digitalmente (com s/mime). Isso é mau, é péssimo, porque:

1 - a mensagem pode ser adulterada em transito ou no destino. Podem ser acrescentados links, alterados os numero de telefone, removidos ou acrescentados parágrafos, ou alterada a mensagem na totalidade. Numa mensagem alterada o utilizador é informado de que algo está errado se esta estiver assinada digitalmente, caso contrário não existe nenhum dado que permite detectar a sua modificação.

2 - é a habituação dos utilizadores aos símbolos de segurança associados à verificação de certificados digitais que lhes permite em mensagens falsificadas perceber que algo está errado. É exactamente a mesma coisa que se passa quando se visita um site em SSL (em que os símbolos de segurança dos browsers ajudam o utilizador a perceber se algo está errado).
20120220

Em vez da “lenga lenga” apresentada nas mensagens sobre “não enviamos links” sugiro que gastem esse espaço a explicar aos utilizadores como verificar a assinatura digital do banco e que a ausência da mesma significa que a mensagem é falsa. Todos os programas de e-mail, com algo que se pareça com uma quota de mercado, suportam a verificação de assinaturas digitais.

A percepção que alguém no BCP tem de que apresentar links para o site é “mais perigoso” que apresentar números de telefone é errada. Se há coisa que a história do hacking mostra é que o domínio de telefones e técnicas de engenharia social é usado com sucesso mais vezes que qualquer site “falsificado” ou “malware” para que o link de uma mensagem possa apontar. Na minha opinião o risco é na realidade maior se temos um utilizador a ligar para um numero de telefone convencido de que é do banco. O mesmo se passa com potenciais enganos a digitar o URL. A solução é utilizarem criptografia e informarem utilizadores sobre como verificar certificados digitais, no e-mail ou na world wide web.

Recomendo vivamente a leitura de alguns livros sobre a história do hacking e que de seguida contratem hackers para vos ajudarem a avaliar riscos. Não estarão a fazer nada de diferente das maiores companhias do planeta. Não é um conceito “vanguardista”, e é usado por estados e empresas de todo o mundo.

Francamente o que estão a fazer até é “giro” (de inocente e ingénuo) mas absolutamente ineficaz e perigoso. Tem a sua graça, mas eu como administrador de e-mail de várias empresas (vossas clientes) poderia alterar a mensagem livremente… Pensem nisso. O mesmo se passa com os restantes administradores de sistemas de mail do planeta. Aprecio a vossa fé na humanidade e honestidade desses profissionais, mas seriam melhor servidos por assinar digitalmente as mensagens.

Permanecem vulneráveis a mensagens vindas de outros domínios parecidos com o vosso se não usarem certificados digitais, e domínios parecidos não faltam:

alt1
alt2

A solução para o e-mail é a mesma que para a web: precisam de informar os vossos clientes de que só nos certificados digitais pode ser verificada a identidade do banco. Uma vez estabelecida a boa prática de assinar as mensagens já podem enviar links à vontade e comunicar com os clientes com o mesmo à vontade que fazem no vosso site. Neste momento é absurdo o jogo descritivo que enviam às pessoas (retirado da vossa mensagem: Agradecemos a sua colaboração individual, preenchendo um questionário de satisfação, bastando para tal efetuar o login e selecionar em cima, à esquerda do ecrã, “Mensagens Novas” e, em seguida, entrar na mensagem “Inquérito à qualidade”.)

Eu saúdo (e aprecio) o esforço que vai para os vossos apelos em cada mensagem (neste caso era seguramente mais de 50% do texto!) para não seguirem links e afins. Mas é energia mal gasta, com más recomendações, seguindo práticas que não são de todo uma boa abordagem e limitam a vossa capacidade de comunicar, sem resolver o problema.