Una de las tareas centrales de un perito informático oficial
en causas civiles consiste en el análisis y evaluación de correos electrónicos.
Podría darse el caso de que una persona fabrique una comunicación que en realidad nunca existió o bien altere un correo electrónico y modifique la fecha de recepción o algún archivo adjunto. Por todo ello, resulta necesario contar con elementos objetivos que permitan identificar
rastros en la evidencia presentada que concuerden o no concuerden con lo
esperable. En esta oportunidad se presenta un análisis de firma electrónica, el
cual de resultar positivo el test realizado sería un indicio de autenticidad
del correo; no obstante, el hecho de no resultar positivo el test de firma
electrónica no es indicio de que el correo ha sido adulterado. Me ha sucedido
en numerosas oportunidades, principalmente analizando correos electrónicos de
años 2014, 2015 o anteriores donde se posee una firma electrónica, pero el
mecanismo de validación no entrega un resultado positivo a pesar de tratarse de
un correo auténtico.
Para el servidor Gmail, hace ya unos años es posible
verificar la firma electrónica de los correos recibidos en la cuenta Gmail
tanto la pública como la corporativa, esto es válido tanto los correos
recibidos desde el servidor Outlook.com (Hotmail, Live, Outlook) como para los
correos electrónicos que provienen de servidores empresariales configurados con
firma electrónica. Este procedimiento de validación de firma electrónica, en
caso de resultar positiva la misma, otorga una garantía sólida respecto del
contenido del correo electrónico y respecto de la fecha y remitentes. (Análisis
DKIM)
En combinación con los análisis SPF de protección contra la
falsificación de direcciones en el envío de correo electrónico, DMARC (Domain-based
Message Authentication, Reporting and Conformance) es un sistema de validación
de correo electrónico diseñado para detectar y prevenir la falsificación de
correos electrónicos, el uso de direcciones de remitentes falsificados que se
utilizan a menudo en el phishing y el correo electrónico no deseado.
Está construido sobre dos mecanismos existentes, el Marco de
políticas del remitente (SPF) y el Correo identificado de DomainKeys (DKIM).
Permite al propietario administrativo de un dominio publicar una política en
sus registros DNS para especificar qué mecanismo (DKIM, SPF o ambos) se emplea
al enviar correos electrónicos desde ese dominio; cómo verificar el campo De:
presentado a los usuarios finales; cómo el receptor debe lidiar con las fallas,
y un mecanismo de información para las acciones realizadas bajo esas políticas.
Una vez realizadas las consideraciones previas, resulta
necesario contar con una herramienta informática que realice las validaciones
antemencionadas. Para ello se cuenta a la fecha con tres sitios web que
realizan esta validación sin necesidad de contar con un software desarrollado
para este propósito, a continuación se listan los mismos:
http://www.appmaildev.com/site/testfile/dkim?lang=en
https://spamcheck.postmarkapp.com/
https://mxtoolbox.com/EmailHeaders.aspx
Para consultar los registros spf, dmarc y dns utilizar el comando nslookup.
C:> nslookup hotmail.com
Nombre: hotmail.com
Address: 204.79.197.212
DNS
C:> nslookup -type=ns cba.gob.ar
Servidor: srv-ad01.cordoba.local
Address: 172.16.32.11
Respuesta no autoritativa:
cba.gob.ar nameserver = dns1.cba.gob.ar
cba.gob.ar nameserver = dns2.cba.gob.ar
dns1.cba.gob.ar internet address = 201.234.102.5
dns2.cba.gob.ar internet address = 181.88.188.5
SPF
C:> nslookup -type=txt hotmail.com
hotmail.com text =
"v=spf1 ip4:157.55.9.128/25 include:spf.protection.outlook.com include:spf-a.outlook.com include:spf-b.outlook.com include:spf-a.hotmail.com include:_spf-ssg-b.microsoft.com include:_spf-ssg-c.microsoft.com ~all"
hotmail.com text =
"google-site-verification=gqFmgDKSUd3XGU_AzWWdojRHtW3_66W_PC3oFvQVZEw"
DMARC
C:> nslookup -type=txt _dmarc.hotmail.com
_dmarc.hotmail.com text =
"v=DMARC1; p=none; rua=mailto:d@rua.agari.com;ruf=mailto:d@ruf.agari.com;fo=1:s:d"
