El otro día pedí una información, por email, de los servicios que ofrece una de las nuevas entidades bancarias que están apareciendo con el revuelo económico que últimamente está habiendo con las cajas de ahorro.
Aunque lo que realmente pedí fue que me llamasen, posterior conversación telefónica me enviaron un email con todo lo que me habían comentado por teléfono, junto con un enlace donde darse de alta como cliente.
Parte del cuerpo del email de bancacivica.es con el enlace al formulario de alta de nuevos clientes
Debido a todo lo que leo, escucho, etc. de todo lo que pasa con la seguridad del mundo virtual y después de leer informes de claramente indican que zapato calzan las organizaciones criminales que se encuentran detrás, a uno le entra la paranoia constante de sino te están intentando timar además de tener la inseguridad de que cada vez que inicio sesión en el la extranet de una entidad financiera no te estarán robando los credenciales bancarios para que puedan hacer una mejor administración e inversión de la que tu haces con tus ahorros.
Bueno, debido a que al leer el correo entré en estado paranoico, me aseguré de verificar un poco las cabeceras del email recibido para ver de donde viene y por donde ha pasado (que me refiero a lo que ha quedado registrado).
Cabeceras del email recibido de bancacivica.es con el enlace al formulario de alta de nuevos clientes
Todo me parecía normal si no fuese porque el resultado del SPF había dado error, y como no, Gmail no había notificado mediante algún aviso de ello.
Cabecera del email bancacivica.es sin aviso alguno del fallo SPF
El error que se había producido era un “temperror” debido a un timeout en la consulta DNS para la obtención del valor del registro TXT del dominio.
Así que no me quede muy tranquilo viendo esto, por lo entonces un simple fallo en la consulta puede originar que no se verifique el filtro SPF, dando un “temperror” y el mail se cuele sin aviso alguno.
Lo primero que pensé es que debía haber sido un error esporádico, pero no fue así ya que como tenía otro correo recibido, desde la misma dirección de envío, anterior a este, me fui a ver las cabeceras de este y … ¡sorpresa! Se había producido el mismos error.
“Pues vaya, vamos a ver que pasa con el registro SPF de bancacivica.es”; así que me fui ha consultar el registro TXT del dominio y ver si podía sacar algo en claro.
Valor del registro TXT del dominio consultado en varios servidores DNS
Como podéis ver en la captura anterior al intentar conseguir el valor del registro TXT del dominio desde el servidor DNS de Google, se origina un error de timeout, así que de ahí que se explique el resultado que obtiene los servidores de Gmail. No obstante también podéis ver el resultado de la consulta sobre otros dos servidores DNS, el de Terra y el OpenDNS, los cuales no generan error y nos devuelven el resultado del registro.
Claramente podemos ver que tienen una sintaxis incorrecta: ~all- (el guión final no debería estar).
Verificación de la sintaxis del registro TXT en Kitterman
Bueno son cosas que pasan, todos nos equivocamos y muchas veces a la hora de teclear se nos van los dedos, pero claramente podemos ver que después de aplicar el filtro nadie se ha preocupado de verificarlo.
Con todo esto acabo de aprender dos cosas:
- Gmail no me dará ningún aviso si hay un error de timeout sobre la verificación SPF.
- Si me toca crear algún filtro SPF en futuro, acordarme que luego lo verifique (sobre todo si es para un sector donde la autenticidad de los emails es importante, como una entidad bancaria).
Hasta la próxima enfermos.
No hay comentarios:
Publicar un comentario