Identificación del remitente

Propuesta anti-spoofing fallida

Sender ID es una propuesta histórica ^[1] contra la suplantación de identidad del antiguo grupo de trabajo IETF MARID que intentó unirse al Sender Policy Framework (SPF) y al Caller ID. Sender ID se define principalmente en el RFC experimental 4406, ^[2] pero hay partes adicionales en el RFC 4405, ^[3] el RFC 4407 ^[4] y el RFC 4408. ^[5]

Principios de funcionamiento

El ID del remitente se basa en gran medida en SPF , con solo unas pocas adiciones.

Sender ID intenta mejorar SPF: SPF no verifica las direcciones de encabezado (de las cuales puede haber más de una) que indican la parte que afirma ser la que envía el mensaje. Una de estas direcciones de encabezado se muestra normalmente al usuario y puede utilizarse para responder a los mensajes de correo electrónico. Estas direcciones de encabezado pueden ser diferentes de la dirección que SPF intenta verificar; es decir, SPF verifica únicamente la dirección "MAIL FROM", también llamada remitente del sobre.

Sin embargo, hay muchos campos de encabezado de correo electrónico similares que contienen información de la parte remitente; por lo tanto, Sender ID define en RFC 4407 ^[4] una Dirección Responsable Supuesta (PRA), así como un conjunto de reglas heurísticas para establecer esta dirección a partir de los muchos encabezados típicos de un correo electrónico.

Sintácticamente, Sender ID es casi idéntico a SPF excepto que v=spf1se reemplaza por uno de los siguientes:

• spf2.0/mfrom – lo que significa verificar la dirección del remitente del sobre, tal como SPF.
• spf2.0/mfrom,prao spf2.0/pra,mfrom – es decir, verificar tanto el remitente del sobre como la PRA.
• spf2.0/pra – es decir, verificar únicamente la PRA.

La única otra diferencia sintáctica es que Sender ID ofrece la característica de modificadores posicionales que no son compatibles con SPF. En la práctica, hasta ahora no se ha especificado ningún modificador posicional en ninguna implementación de Sender ID.

En la práctica, el esquema pra generalmente solo ofrece protección cuando el correo electrónico es legítimo, mientras que no ofrece protección real en el caso de spam o phishing. El pra para la mayoría de los correos electrónicos legítimos será el conocido campo de encabezado From: o, en el caso de las listas de correo, el campo de encabezado Sender:. Sin embargo, en el caso de phishing o spam, el pra puede basarse en campos de encabezado Resent-* que a menudo no se muestran al usuario. Para que sea una herramienta antiphishing eficaz, el MUA (Mail User Agent o Mail Client) deberá modificarse para mostrar el pra para Sender ID o el campo de encabezado Return-Path: para SPF.

El pra intenta contrarrestar el problema del phishing , mientras que el SPF o el mfrom intentan contrarrestar el problema de los rebotes de spam y otras respuestas automáticas a Return-Paths falsificados. Dos problemas diferentes con dos soluciones propuestas diferentes. Sin embargo, Sender-ID y SPF arrojan el mismo resultado en aproximadamente el 80% de los casos, según un análisis de mil millones de mensajes. ^[6]

Cuestiones de normalización

El pra tiene la desventaja de que los reenvíos y las listas de correo sólo pueden admitirlo modificando el encabezado del correo, por ejemplo, insertando un Sendero Resent-Sender. Esto último viola el RFC 2822 ^[7] y puede ser incompatible con el RFC 822. ^[8]

Con SPF, las listas de correo siguen funcionando como hasta ahora. Los reenviadores que deseen admitir SPF solo necesitan modificar SMTP MAIL FROM y RCPT TO, no el correo. Este concepto no es nuevo: con el RFC 821 original ^[9], los reenviadores SMTP siempre añadían su nombre de host a la ruta inversa en MAIL FROM.

El punto más problemático ^{[ ¿según quién? ]} en la especificación básica de Sender ID es su recomendación de interpretar v=spf1políticas como spf2.0/mfrom,praen lugar de spf2.0/mfrom. Esto nunca fue la intención de ninguno de los borradores de SPF publicados desde 2003, y para una gran cantidad desconocida de v=spf1políticas, una evaluación de pra podría causar resultados falsos para muchos casos en los que pra y mfrom son diferentes. Este problema fue la base de una apelación al Internet Architecture Board (IAB) . En respuesta a otra apelación anterior, el IESG ya señaló que Sender ID no puede avanzar en la vía de los estándares de IETF sin abordar la incompatibilidad con un MUST en RFC 2822. ^[7]

Varias encuestas realizadas en 2012, cuando SPF pasó de ser experimental a ser un estándar propuesto, mostraron que menos del 3% de los dominios de correo publicaron solicitudes específicas para usar el pra , en comparación con alrededor del 40~50% de los dominios de correo que usaban SPF. ^[6]

Patentes

La propuesta de Sender ID fue objeto de controversia en relación con cuestiones de licencia : Microsoft posee patentes ^{[10] [11]} sobre partes clave de Sender ID y solía licenciar esas patentes bajo términos que no eran compatibles con la Licencia Pública General de GNU y que se consideraban problemáticos para las implementaciones de software libre en general. El 23 de octubre de 2006, Microsoft colocó esas patentes bajo la Promesa de Especificación Abierta , que es compatible con algunas licencias libres y de código abierto, pero no con la versión más reciente de la licencia GPL, la versión 3.x. ^{[ cita requerida ]}

Véase también

• Categoría:Autenticación de correo electrónico
• Descripción general de la autenticación de correo electrónico
• MARID (GT IETF en 2004)
• DKIM
• Claves de dominio

Referencias

1. Alexey Melnikov (7 de febrero de 2020). "Trasladar RFC 4405, RFC 4406, RFC 4407 (Sender-ID) a Histórico". IETF .
2. Wong, Meng Weng; Lyon, Jim. Identificación del remitente: autenticación de correo electrónico . RFC 4406 . 
3. Katz, Harry; Allman, Eric. Extensión del servicio SMTP para indicar el remitente responsable de un mensaje de correo electrónico. doi : 10.17487/RFC4405 . RFC 4405.
4. Lyon, Jim. Supuesta dirección responsable en mensajes de correo electrónico. doi : 10.17487/RFC4407 . RFC 4407.
5. Schlitt, Wayne; Wong, Meng Weng. Marco de políticas de remitentes (SPF) para autorizar el uso de dominios en correo electrónico, versión 1. doi : 10.17487/RFC4408 . RFC 4408.
6. Murray Kucherawy (2012). Resolución del marco de políticas de remitentes (SPF) y experimentos de identificación de remitentes. IETF . doi : 10.17487/RFC6686 . RFC 6686.
7. Resnick, Peter W. Formato de mensajes de Internet. doi : 10.17487/RFC2822 . RFC 2822.
8. Crocker, D. ESTÁNDAR PARA EL FORMATO DE MENSAJES DE TEXTO DE INTERNET ARPA. doi : 10.17487/RFC0822 . RFC 822.
9. Postel, J. Protocolo simple de transferencia de correo. doi : 10.17487/RFC0821 . RFC 821.
10. "FW: Declaración actualizada de Microsoft sobre los derechos de propiedad intelectual reclamados en <draft-ietf-marid-core-03.txt> y <draft-ietf-marid-pra-00.txt> en combinación". Lista MARID de IETF (lista de correo). Archivado desde el original el 14 de abril de 2012. Consultado el 20 de diciembre de 2011 .
11. "Las patentes de identificación de remitente expuestas generan debate". 20 de septiembre de 2004.

Enlaces externos

• Posición de la ASF con respecto a la declaración de identificación del remitente de la Apache Software Foundation
• Apelación del IAB sobre la reutilización del Sender ID v=spf1para PRA del proyecto SPF (2006).
• El proyecto Debian no puede implementar la declaración de ID del remitente del proyecto Debian
• La IETF decide sobre la cobertura y el debate sobre el problema de SPF/Sender-ID en slashdot
• ¿El sistema Sender ID está muerto? - No hay consenso en el grupo de trabajo de MARID y discusión sobre groklaw
• Los copresidentes de MARID aclaran la declaración de consenso
• MARID cerrará el hilo de la lista de correo.
• Sender ID: ¿Una historia de estándares abiertos y codicia corporativa?
• "SPF: SPF vs ID del remitente"
• "Tipos de identificación de remitente en distintos países"
• "Identificación del remitente"
• Identificadores de remitentes, plantillas de SMS