[opensuse-es] [OT] Procedimientos: ética y legalidad [Era: Envio automatico de correo respaldo a una cuenta respaldo (postfix)]
El 6/09/08, lluis escribió: Lamento no haber cambiado de hilo antes ni haberlo marcado como OT, no me di cuenta O:-) ... Voy contestando a los correos que has ido enviando... Decías:
Por encima del contrato especifico, donde pueden llegar a decir que le debes 12000 euros a la empresa por formacion( haz memoria) estan las leyes ( estatuto de los currantes, etc) y si no estan habra que EXIGIR que las hagan.
1) Ámbito del contrato laboral Anexo al contrato laboral estándar, se pueden añadir cláusulas que delimiten y definan los deberes y responsabilidades de los trabajadores (pactos de confidencialidad, de permanencia obligatoria, de no concurrencia y/o competencia...) así como el uso específico de los sistemas de la empresa. Por tanto, la empresa puede concordar que las direcciones de correo electrónico (sean genéricas "administracion[a]dominio.com o personales "pepito[a]dominio.com") de los dominios que están bajo su gestión y de las cuales son titulares, son para uso única y exclusivamente, laboral y por tanto están sometidas a las cláusulas anteriores.
pero un email, continua siendo a efectos legales, "papel mojado"
2) Validez del correo electrónico El correo electrónico tiene la misma validez que una carta, Lluis. Las amenzas por correo electrónico o sms siguen siendo "amenazas", es decir, que a efectos legales, no hay ninguna diferencia. Además, al correo le puedes añadir toda la seguridad que quieras: envío y recepción mediante canal seguro, cifrado de los datos, firma electrónica... 3) Limitaciones ¿Cuál es pues el procedimiento adecuado para esto? Yo lo veo así: La empresa puede: a) Disponer de las medidas necesarias para la salvaguarda de la información (copias de seguridad de los datos de sus equipos) así como para evitar posibles acciones hostiles por parte de los trabajores siempre y cuando se respete la ley vigente (auditorías, registros de actividad, análisis de los sistemas y equipos, etc...) b) La empresa debe comunicar por escrito las medidas que estime oportunas para llevarlo a cabo c) En caso de la empresa tenga indicios suficientes de una vulneración clara del contrato laboral o de que se estén utilizando sus rescursos para tareas que no tengan relación con su actividad y que pertenecen al ámbito exclusivamente personal del trabajador y se está causando un perjuicio, la empresa PUEDE revisar el contenido, no sólo de los correos sino del ordenador completo del trabajador siempre y cuando esta acción se realice en presencia del mismo y ante notario (ver la sentencia más abajo) o si así lo dispone un juez. No olvides que es la empresa quien tiene que responder jurídicamente y en última instancia ante un abuso de sus sistemas (por ejemplo, que alguien envíe correos inadecuados o amenazantes utilizando la dirección de correo corporativa o que haya equipos zombies que envíen spam), no el trabajador, ya que en este caso el titular del dominio es la empresa. La empresa NO puede: a) Revisar el correo, los archivos de los equipos de los trabajadores o grabar las conversaciones de manera arbitraria e indiscriminada sin causa justificada b) No comunicar por escrito las normas de uso de los equipos de la empresa c) Divulgar públicamente o utilizar para beneficio propio el contenido de conversaciones, mensajes o información obtenida de esta forma
Y aun con aviso, si las conversaciones no son parte FUNDAMENTAL de mi trabajo sigue siendo ILEGAL.
Si las conversaciones personales que mantienes en tus horas de trabajo, con los equipos de la empresa están afectando a tu productividad o están ocasionando una pérdida económica fuerte a la empresa, obviamente la empresa tomará las medidas oportunas para analizar esa situación "anómala" que se está produciendo, siempre y cuando se ajuste a derecho. 4) Sentencias y leyes *** Legislación sobre Internet <http://archivo.cnt.es/Documentos/legislacion/legi_correoe.htm> El artículo 18 del Estatuto de los Trabajadores autoriza la realización de registros sobre la persona del trabajador, en sus taquillas y efectos particulares, pero sólo en determinadas circunstancias (cuando sea necesaria para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa), y con determinadas condiciones (dentro del centro de trabajo y en horas de trabajo; respetando al máximo la dignidad e intimidad del trabajador y contándose con la presencia de algún representante legal de los trabajadores). *** *** Archivada la denuncia de un trabajador que acusó a su empresa de leer su correo electrónico <http://www.libertaddigital.com/index.php?action=desanoti&cpn=1276251086> "(...) En base al Estatuto de los Trabajadores y el convenio para la industria siderometalúrgica de Guipúzcoa la Fiscalía concluye que el empleador "sí tiene derecho a examinar el contenido de los equipos informáticos" que le pertenezcan, siempre que lo haga "con el exclusivo fin de garantizar o fiscalizar su correcto empleo". *** *** Acerca del control del correo electrónico en la empresa <http://noticias.juridicas.com/articulos/40-Derecho Laboral/200102-05512911015390.html> "(...) El correo proporcionado por la empresa debe destinarse a un uso estrictamente profesional, en tanto elemento de trabajo propiedad de la empresa, no pudiendo en consecuencia utilizarse para fines particulares. Pero la facultad de control de la empresa sobre el correo deberá limitarse a comprobar si realmente se utiliza el correo electrónico para el fin para el que se destinó, sin más intromisión, que sería a todas luces ilegítima." *** Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
¿Cuál es pues el procedimiento adecuado para esto? Yo lo veo así:
La empresa puede:
Hola Camaleón, ¿qué tal?... Revisa la página de CCOO, y busca "la empresa puede revisar el correo", o algo así... LA EMPRESA SÍ QUE PUEDE HACERLO, siempre que avise a los trabajadores de ello. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 7/09/08, csalinux escribió:
Hola Camaleón, ¿qué tal?... Revisa la página de CCOO, y busca "la empresa puede revisar el correo", o algo así...
LA EMPRESA SÍ QUE PUEDE HACERLO, siempre que avise a los trabajadores de ello.
Es algo que tengo bastante claro :-). Al igual que tengo claro: - Que los correos electrónicos enviados sin ningún tipo de cifrado y utilizando el canal estándar son legibles y accesibles por cualquiera que tenga interés y los medios adecuados en leerlos - Que [póngase aquí el operador de telefonía / ISP de turno] almacena más datos de los que nos imaginamos - Que mi vecino conoce los estados de mis cuentas bancarias, sabe qué modalidad de adsl tengo contratado y hasta las facturas que me envían de la tienda de la esquina... porque el cartero falla más que una escopeta de feria y entrega la correspondencia donde no debe - Etc, etc... El tema de la "privacidad" es muy similar al de la "copia privada": no es la información lo que importa sino cómo la utilices. Lo que pasa es que aplicamos un baremo distinto según nos conviene >:-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Camaleón> Camaleón> - Que mi vecino conoce los estados de mis cuentas bancarias, sabe qué Camaleón> modalidad de adsl tengo contratado y hasta las facturas que me envían Camaleón> de la tienda de la esquina... porque el cartero falla más que una Camaleón> escopeta de feria y entrega la correspondencia donde no debe ... y sabias que, gracias a ello, tu vecino puede contratar, naturalmente a tu nombre, un par o tres de telefonía movil gratuita ( a tus costas) con los más prestigiosos operadores del pais. Si además tu vecino te odia, contratará también, una línea de datos, y si te odia mucho lo hará además en tu misma compañía, con lo que además, al no pagar esas facturas, te cortarán tu línea "legal". ... y cualquier parecido con la realidad _NO_ es pura coincidencia ya que solo necesita saber tu DNI, tener un extracto bancario tuyo y una cabina telefónica cerca para contratar.
El 8/09/08, J.M.Queralt <jmqueralt@gmail.com> escribió: ... porque el cartero falla más que una
Camaleón> escopeta de feria y entrega la correspondencia donde no debe
Hola. Pues por lo menos tu recibes el correo Camaleón, el cartero de mi población no me entrega ni una sola carta, las devuelve todas por causa de destinatario desconocido. Esta empeñado en que contrate un apartado postal y claro, no estoy por la labor. si no fuera por el correo electrónico no recibiría comunicaciones... etc. Por cierto, siempre he tenido una duda, ¿los mensajes cifrados se descifran en el receptor automáticamente o debe importar alguna llave? Saludos. -- "El cielo es para los dragones lo que el agua es para las ninfas" --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-09-09 a las 13:28 +0200, David Moreno escribió:
El 8/09/08, J.M.Queralt <> escribió: ... porque el cartero falla más que una
Camaleón> escopeta de feria y entrega la correspondencia donde no debe
Hola. Pues por lo menos tu recibes el correo Camaleón, el cartero de mi población no me entrega ni una sola carta, las devuelve todas por causa de destinatario desconocido. Esta empeñado en que contrate un apartado postal y claro, no estoy por la labor. si no fuera por el correo electrónico no recibiría comunicaciones... etc.
Jo, pues eso sí que es denunciable :-/
Por cierto, siempre he tenido una duda, ¿los mensajes cifrados se descifran en el receptor automáticamente o debe importar alguna llave?
¡Huy! La respuesta no es tan simple. Depende del programa que uses e incluso del tipo de llave. Más, también depende de lo que haya previsto el remitente. A ver, tienes el sistema de llaves tipo PKCS (si no me he confundido con las letras). Se usa un certificado emitido por una agencia certificadora, como los que emite en España la FNMT y que se usa para las transacciones con el Estado, como la declaración de la renta. Sólo el Mozilla o Thunderbird manejan estos certificados, que recuerde. Pero los programas de windows también deben saber usarlo por defecto, sin instalar nada extra. Y la comprobación del certificado (firma) es automática, no necesitas hacer nada para que se compruebe. Y una vez recibido un correo de tu interlocutor ya tienes su llave en el sistema y le podrías enviar correos cifrados; pero no he podido comprobar nunca este sistema, no tengo interlocutores físicos que no se les caigan los cataplines al suelo si les pides algo más que "clicar enviar" :-} (el único que se atreve tiene una "ñ" en el nombre y no le funcionan los certificados o el software) La validez de la firma viene dada por la agencia certificadora, y esto tiene su importancia. Según el tipo de certificado, este puede incluir datos como el número de DNI (documento nacional de identidad), de manera que sabes ciertamente a qué persona física pertenece el correo, y con validez legal. Luego tienes el sistema de llaves tipo GPG/PGP. La encriptación por este sistema puede ser muy fuerte, pero depende del intercambio previo de llaves entre los interlocutores por otro medio. Existen servidores públicos usados para el intercambio automático de llaves. El problema que tiene es que no puedes certificar que la llave recibida realmente pertenezca a ese señor, y que ese señor se llame realmente así. Se emplea lo que se llama "la cadena de confianza": A conoce personalmente a B y viceversa, y se firman mutuamente las llaves. B conoce personalmente a C y viceversa, y se firman mutuamente las llaves. C conoce personalmente a D y viceversa, y se firman mutuamente las llaves. Ergo A sabe que la llave que tiene de D es válida. Es un tema complicado, hay que leerse la documentación. El software es bastante variado y con amplio soporte en linux y en otros sistemas operativos (aunque ellos tienen que instalarlo). Habitualmente son capaces de importar una llave de un interlocutor nuevo desde un servidor, siempre que el remitente la haya exportado. Y una vez que tengas su llave publica, puedes también enviarle correo cifrado. Pero el problema fundamental con PGP/GPG real es que, aunque mi correo está firmado, tu no puedes saber si realmente me llamo así o me lo he inventado, porque lo normal es que la cadena de confianza no exista. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIxm2GtTMYHG2NR9URAizKAJ0fSXpqWqIcZomccRMTT7ZZL5hqEgCbBwkg 1EtBlRCDgSdPQffuDnxL8oU= =RooV -----END PGP SIGNATURE-----
El 9/09/08, Carlos E. R. escribió:
El 2008-09-09 a las 13:28 +0200, David Moreno escribió:
Pues por lo menos tu recibes el correo Camaleón, el cartero de mi población no me entrega ni una sola carta, las devuelve todas por causa de destinatario desconocido. Esta empeñado en que contrate un apartado postal y claro, no estoy por la labor. si no fuera por el correo electrónico no recibiría comunicaciones... etc.
¿En España? :-?
Por cierto, siempre he tenido una duda, ¿los mensajes cifrados se descifran en el receptor automáticamente o debe importar alguna llave?
¡Huy! La respuesta no es tan simple. Depende del programa que uses e incluso del tipo de llave. Más, también depende de lo que haya previsto el remitente.
(...)
Pero el problema fundamental con PGP/GPG real es que, aunque mi correo está firmado, tu no puedes saber si realmente me llamo así o me lo he inventado, porque lo normal es que la cadena de confianza no exista.
Bueno, yo aquí distinguiría entre: - Protocolo / canal seguro para el envío (smtps) y recepción (pop3s / imaps) - Firmas PGP, S/MIME o certificados para comprobar la autenticidad del remitente aunque el contenido puede ir sin cifrar / codificar - Contenido cifrado / codificado Con PGP y S/MIME directamente creo que es posible crear mensajes de texto cifrados que requieren codificación y decodificación pero no sé si permiten también cifrar todo tipo de archivos mime o sólo texto plano. Tampoco sé si se puede hacer (codificar / decodificar) de manera automática desde el cliente de correo, por ejemplo. ... VeriSign tenía (tiene) lo que ellos llamaban "certificados de usuario" o "Digital ID*". Los estuvimos probando un tiempo junto con el Outlook, pero dejamos de usarlos porque daban problemas con algunos clientes de correo y el contenido de los mensajes no aparecía correctamente. ... En windows utilizaba un programita llamado Crypt-o-Text que era muy sencillo y estaba indicado precisamente para el correo electrónico: introducías texto, pulsabas sobre el botón de codificar, ponías una contraseña (que también se codificaba) y se cifraba el contenido (creo que usaba un sistema de cifrado propietario :-?). El receptor tenía que tener el programa instalado y conocer la contraseña para descifrar el contenido. Y ahora que has mencionado lo de la "ñ", este programa sólo permitía caracteres "low ascii". Curiosa restricción :-? ... El uso de certificados y cifrado a nivel de cliente-cliente es que hay que asegurarse antes de que el receptor puede gestionarlos porque si no suele dar más problemas que beneficios :-P. * <http://www.verisign.com/authentication/individual-authentication/digital-id/> Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-09-09 a las 15:37 +0200, Camaleón escribió:
El 9/09/08, Carlos E. R. escribió:
El 2008-09-09 a las 13:28 +0200, David Moreno escribió:
Por cierto, siempre he tenido una duda, ¿los mensajes cifrados se descifran en el receptor automáticamente o debe importar alguna llave?
¡Huy! La respuesta no es tan simple. Depende del programa que uses e incluso del tipo de llave. Más, también depende de lo que haya previsto el remitente.
(...)
Pero el problema fundamental con PGP/GPG real es que, aunque mi correo está firmado, tu no puedes saber si realmente me llamo así o me lo he inventado, porque lo normal es que la cadena de confianza no exista.
Bueno, yo aquí distinguiría entre:
- Protocolo / canal seguro para el envío (smtps) y recepción (pop3s / imaps)
Que sólo sirven para que no intercepten el correo en tránsito al primer servidor (smtps) o desde el ultimo servidor (pop3s/imaps), tanto el contenido como el login/password. Pero el correo se puede interceptar en cualquier otro paso intermedio. Y eso me recuerda que no se en que quedó aquello de los ataques de diccionario a servidores pop3: usar pop3s/imaps no lo evita, y me sospecho que la intención es obtener el login/pass para enviar "legalmente" después. Existe, por cierto, algún protocolo de verificación (firma) de una parte de las cabeceras, que puede certificar que el remitente es correcto. No estoy seguro del contenido. Es una firma de servidor.
- Firmas PGP, S/MIME o certificados para comprobar la autenticidad del remitente aunque el contenido puede ir sin cifrar / codificar
Como este correo mio.
- Contenido cifrado / codificado
Con PGP y S/MIME directamente creo que es posible crear mensajes de texto cifrados que requieren codificación y decodificación pero no sé si permiten también cifrar todo tipo de archivos mime o sólo texto plano. Tampoco sé si se puede hacer (codificar / decodificar) de manera automática desde el cliente de correo, por ejemplo.
Sí se puede cifrar todo, pero... hay muchos peros prácticos. Resulta que hay varios medios practicos de cifrar correo con pgp/gpg, empezando por "inline" o lo contrario (este correo va inline). El otro sistema es firma anexa, y los ficheros son problemáticos porque creo que o el protocolo no está claro o la implementación no está clara. Intentalo con el thundirbird, te avisará de que el anexo va en claro, o que no todo elmundo lo podrá ver, no recuerdo. El rodeo o truco es que los ficheros que vas a anexar los puedes firmar o encriptar desde fuera, antes de enviar.
...
VeriSign tenía (tiene) lo que ellos llamaban "certificados de usuario" o "Digital ID*". Los estuvimos probando un tiempo junto con el Outlook, pero dejamos de usarlos porque daban problemas con algunos clientes de correo y el contenido de los mensajes no aparecía correctamente.
Creo que ese es el PKCS que yo decía antes. Sé de empresas que todo su correo va firmado de esa guisa.
...
En windows utilizaba un programita llamado Crypt-o-Text que era muy sencillo y estaba indicado precisamente para el correo electrónico: introducías texto, pulsabas sobre el botón de codificar, ponías una contraseña (que también se codificaba) y se cifraba el contenido (creo que usaba un sistema de cifrado propietario :-?). El receptor tenía que tener el programa instalado y conocer la contraseña para descifrar el contenido.
Y ahora que has mencionado lo de la "ñ", este programa sólo permitía caracteres "low ascii". Curiosa restricción :-?
Porque son americanos, o sea, usanianos, y no les preocupa.
...
El uso de certificados y cifrado a nivel de cliente-cliente es que hay que asegurarse antes de que el receptor puede gestionarlos porque si no suele dar más problemas que beneficios :-P.
Exacto. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIxoT/tTMYHG2NR9URArwRAJ9vWsMqQoz6CScGZMIlPPra9UfFlACglaa3 OQjWkhiT+FP9mT0VxD9d5FE= =VKlw -----END PGP SIGNATURE-----
El 9/09/08, Carlos E. R. escribió:
Y eso me recuerda que no se en que quedó aquello de los ataques de diccionario a servidores pop3: usar pop3s/imaps no lo evita, y me sospecho que la intención es obtener el login/pass para enviar "legalmente" después.
Hice lo siguiente: - Activé las medidas de seguridad que trae el propio router para evitar ataques DoS. Aquí aparecen los syn-udp-tcp food y varios bloqueos (ping de la muerte, tcp flag scan, tear drop, icmp fragment...). Activé todo :-P - Configuré los eventos del router para que los envíe a un registro en el servidor - Envié un correo electrónico a los responsables de las redes desde donde procedían los paquetes, adjuntando parte del registro con los datos de las IP De momento no he vuelto a tener ningún otro intento de acceso registrado, ni en el archivo que genera el router ni en /var/log/messages :-?
Existe, por cierto, algún protocolo de verificación (firma) de una parte de las cabeceras, que puede certificar que el remitente es correcto. No estoy seguro del contenido. Es una firma de servidor.
Esto no lo entiendo. ¿Cómo lo haría, en la fase de conexión o de inicio de sesión? ¿Requiere algún certificado o configuración específica por parte del cliente? :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Content-ID: <alpine.LSU.1.00.0809092033360.7636@nimrodel.valinor> El 2008-09-09 a las 19:24 +0200, Camaleón escribió:
De momento no he vuelto a tener ningún otro intento de acceso registrado, ni en el archivo que genera el router ni en /var/log/messages :-?
Eso es bueno. Es que lo que me aususta no es que ataquen el pop3, sino que una vez que encuentren un par válido, lo usen en el smtp que tendrá la misma. Me asusta y mucho, porque de los ataques a los servidores públicos no nos vamos a enterar.
Existe, por cierto, algún protocolo de verificación (firma) de una parte de las cabeceras, que puede certificar que el remitente es correcto. No estoy seguro del contenido. Es una firma de servidor.
Esto no lo entiendo.
¿Cómo lo haría, en la fase de conexión o de inicio de sesión? ¿Requiere algún certificado o configuración específica por parte del cliente? :-?
Una vez el servidor de envío recibe tu correo completo, añade esa cabecera. Espera que la busco, me suena gmail... [] Sí, gmail lo usa, mira tu propio correo: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from:to :subject:in-reply-to:mime-version:content-type :content-transfer-encoding:content-disposition:references; bh=gC6XxP+RX9DmblqLfHMD3LJC/V6fUC28WP74PNQZLD8=; b=eEjZE+dv6HNCRWZVnQUWjGj8fdwN/in3WudiavrS5+UGzZefXnnbMMOouJFyJBENKu GZ4UzaomNkmTI8wwHm1UYBa2gjJY0QmKselxzmAy+MFJzAVjp/vbNFpd6Kko7sMivhbq YSSekzQQJK+lbD8Izhgc+P2Qg3aryphgCWm/A= DomainKey-Signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:to:subject:in-reply-to:mime-version :content-type:content-transfer-encoding:content-disposition :references; b=W8c53RdhIJD2z8H0YiPu5lKi9QJ89kToqBEynW8UVmZ+6B2FyIbYQwoG+KW2tWYA7W mg4mEEX/55okG/dIzEHISpe30q/3L8W4UVLkRunmTgkQC5dzEau7aD2d5kyir2kRSn7l ws9Aca/TuU2XQL75zml+KGaPDgYznzb1lBbjk= Busca en la wikipedia lo de DomainKey-Signature. Estuvimos comentandolo en la lista hace tiempo, me parece. http://en.wikipedia.org/wiki/DomainKeys DomainKeys is an e-mail authentication system designed to verify the DNS domain of an e-mail sender and the message integrity. The DomainKeys specification has adopted aspects of Identified Internet Mail to create an enhanced protocol called DomainKeys Identified Mail (DKIM). This merged specification became the basis for an IETF Working Group which guided the specification toward becoming an IETF standard http://en.wikipedia.org/wiki/DKIM DomainKeys Identified Mail is a method for E-mail authentication. It offers almost end-to-end integrity from a signing to a verifying Mail transfer agent (MTA). In most cases the signing MTA acts on behalf of the sender by inserting a DKIM-Signature header, and the verifying MTA on behalf of the receiver, validating the signature by retrieving a sender's public key through the DNS. The DomainKeys specification has adopted aspects of Identified Internet Mail to create an enhanced protocol called DomainKeys Identified Mail (DKIM). This merged specification is the basis for an IETF Working Group which has guided the specification towards becoming an IETF Proposed Standard. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIxsOttTMYHG2NR9URAqNqAJ9B1zjoP0oTZHOt3D5wen/bOypGEgCfSbFq w8S6iUK96+9FzthWr2gUSX0= =rhaf -----END PGP SIGNATURE-----
El 9/09/08, Carlos E. R. escribió:
Una vez el servidor de envío recibe tu correo completo, añade esa cabecera. Espera que la busco, me suena gmail... [] Sí, gmail lo usa, mira tu propio correo:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma;
Ah, el DomainKey, o.k. pero es similar al spf ¿no? :-? Supongo que con eso te aseguras que el correo ha salido de un servidor "x", es decir, autenticidad. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Content-ID: <alpine.LSU.1.00.0809092123290.7636@nimrodel.valinor> El 2008-09-09 a las 21:08 +0200, Camaleón escribió:
El 9/09/08, Carlos E. R. escribió:
Una vez el servidor de envío recibe tu correo completo, añade esa cabecera. Espera que la busco, me suena gmail... [] Sí, gmail lo usa, mira tu propio correo:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma;
Ah, el DomainKey, o.k. pero es similar al spf ¿no? :-?
Er... no. El SPF sirve para rechazar o aceptar recibir correos de telefonica (por ejemplo) cuando ves que la IP te viene de China, por ejemplo. Sirve para asignar una serie de IPs que son las autorizadas a enviar en nombre de tu dominio, y son publicadas como parte del registro DNS. He estado probando al azar unos cuantos servidores y ninguno tiene SPF.
Supongo que con eso te aseguras que el correo ha salido de un servidor "x", es decir, autenticidad.
Usando varios de esos sistemas, vale. Con uno solo, no. El SPF no garantiza el contenido ni el autor. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIxs21tTMYHG2NR9URAlHYAJ0afGDOiWtHCRg9SQcLQ2FI4BVnhACfVQ0x L/VAQOyzkEl8Ro+q6anpjls= =txzE -----END PGP SIGNATURE-----
El 9/09/08, Carlos E. R. escribió:
Er... no. El SPF sirve para rechazar o aceptar recibir correos de telefonica (por ejemplo) cuando ves que la IP te viene de China, por ejemplo. Sirve para asignar una serie de IPs que son las autorizadas a enviar en nombre de tu dominio, y son publicadas como parte del registro DNS. He estado probando al azar unos cuantos servidores y ninguno tiene SPF.
Correcto. Con el spf te aseguras que el mensaje ha salido del servidor que es el encargado de gestionarlo.
Usando varios de esos sistemas, vale. Con uno solo, no. El SPF no garantiza el contenido ni el autor.
Supongo que por "garantizar el contenido" te refieres a que el mensaje no ha sido modificado en ningún punto de la entrega. Eso está bien porque así evitas que el cliente tenga que usar certificados o pgp ¿no? :-?. Es decir, que el spf está enfocado más a evitar el spam y el dkim a la comprobar integridad del mensaje, ambos a nivel de servidor. No está mal :-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Content-ID: <alpine.LSU.1.00.0809100025050.7636@nimrodel.valinor> El 2008-09-09 a las 22:27 +0200, Camaleón escribió:
El 9/09/08, Carlos E. R. escribió:
Er... no. El SPF sirve para rechazar o aceptar recibir correos de telefonica (por ejemplo) cuando ves que la IP te viene de China, por ejemplo. Sirve para asignar una serie de IPs que son las autorizadas a enviar en nombre de tu dominio, y son publicadas como parte del registro DNS. He estado probando al azar unos cuantos servidores y ninguno tiene SPF.
Correcto. Con el spf te aseguras que el mensaje ha salido del servidor que es el encargado de gestionarlo.
Bueno, más bien que el correo que recibe un servidor A procedente de otro servidor llamado B realmente viene de B. Al final, el usuario de A está más protegido porque se supone que no va a recibir correo aparentemente de sus amigos en yahoo, pero que en realidad son de un spammer en indochina. O sea, protegería de la falsificación de los nombres de dominio de origen, pero no protegería de la falsificación del usuario de yahoo. Y sólo a condición de que todos los servidores lo usasen, en la wikipedia dicen que eran un 5% en 2007.
Usando varios de esos sistemas, vale. Con uno solo, no. El SPF no garantiza el contenido ni el autor.
Supongo que por "garantizar el contenido" te refieres a que el mensaje no ha sido modificado en ningún punto de la entrega. Eso está bien porque así evitas que el cliente tenga que usar certificados o pgp ¿no? :-?.
Correcto, pero en parte, porque sólo es a partir del punto en que el usuario entrega el correo para enviarlo, es decir, cuando entra y se procesa en el servidor de envío. No certifica que realmente fué escrito por ese usuario, o que no fué alternado durante el envío inicial. La unica manera completa de certificar la integridad del contenido y que el remitente es quien dice ser son los certificados de usuario (pgp o pkcs).
Es decir, que el spf está enfocado más a evitar el spam y el dkim a la comprobar integridad del mensaje, ambos a nivel de servidor. No está mal :-)
Son una ayuda. Pero léete los artículos de la wikipedia, atenta a la parte de "pegas", algunas son gordas. Por ejemplo, estos sistemas fracasan cuando se usa un alias de correo, como por ejemplo, @opensuse.org, @ieee.org, @users.sourceforge.net... ¿porqué? Pues porque el envío es hecho por un servidor distinto del que dice el dominio, y es imposible añadir los verdaderos servidores a la lista, dado que cada uno de los miles de usuarios puede usar uno distinto (no hay servidor SMTP para los redirectores citados). - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIxvhOtTMYHG2NR9URAuuIAJ9XqEll6z11a2nruc4/zcJ0VkEmlwCggi6v qObn1teFwiU20/sDPLweJjE= =j6+P -----END PGP SIGNATURE-----
El 10/09/08, Carlos E. R. escribió:
El 2008-09-09 a las 22:27 +0200, Camaleón escribió:
Es decir, que el spf está enfocado más a evitar el spam y el dkim a la comprobar integridad del mensaje, ambos a nivel de servidor. No está mal :-)
Son una ayuda. Pero léete los artículos de la wikipedia, atenta a la parte de "pegas", algunas son gordas.
Le estuve echando un vistazo ayer noche al artículo... y sí, le ponen algunas pegas (como al spf) pero también dice que usado junto con el spf se complementan bien (donde falla uno funciona el otro) :-?
Por ejemplo, estos sistemas fracasan cuando se usa un alias de correo, como por ejemplo, @opensuse.org, @ieee.org, @users.sourceforge.net... ¿porqué? Pues porque el envío es hecho por un servidor distinto del que dice el dominio, y es imposible añadir los verdaderos servidores a la lista, dado que cada uno de los miles de usuarios puede usar uno distinto (no hay servidor SMTP para los redirectores citados).
Huy, sí, estuvieron comentando algo de eso por las listas. Hasta hay un bugzilla :-P Bug 414666 - opensuse.org emailadresses will fail for default SPF configurations <https://bugzilla.novell.com/show_bug.cgi?id=414666> Si pierdes correos, ya sabes a quien "blamear" >:-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Content-ID: <alpine.LNX.1.10.0809101152540.10452@nimrodel.valinor> El 2008-09-10 a las 10:44 +0200, Camaleón escribió:
El 10/09/08, Carlos E. R. escribió:
[ acabo de actualizarme a la 11.0, estoy probando y bajando un porrón de parches ]
Son una ayuda. Pero léete los artículos de la wikipedia, atenta a la parte de "pegas", algunas son gordas.
Le estuve echando un vistazo ayer noche al artículo... y sí, le ponen algunas pegas (como al spf) pero también dice que usado junto con el spf se complementan bien (donde falla uno funciona el otro) :-?
Eso se cree. Pero tiene pegas insalvables, como la de los alias.
Por ejemplo, estos sistemas fracasan cuando se usa un alias de correo, como por ejemplo, @opensuse.org, @ieee.org, @users.sourceforge.net... ¿porqué? Pues porque el envío es hecho por un servidor distinto del que dice el dominio, y es imposible añadir los verdaderos servidores a la lista, dado que cada uno de los miles de usuarios puede usar uno distinto (no hay servidor SMTP para los redirectores citados).
Huy, sí, estuvieron comentando algo de eso por las listas. Hasta hay un bugzilla :-P
¿ah, si? :-o
Bug 414666 - opensuse.org emailadresses will fail for default SPF configurations <https://bugzilla.novell.com/show_bug.cgi?id=414666>
Ah, antes de leerlo veo que la solución fué "invalid". Obvio, y eso que no lo he leido. Leamos ahora. [...] Claro, el comentario 19 lo explica.
Si pierdes correos, ya sabes a quien "blamear" >:-)
Yo no pierdo por eso, afortunanamente tesa no lo usa. ¡Creo! El problema es simple: SPF falla con correos reenviados, por fallo de diseño. No uses SPF. Punto pelota. O como mal menor, usalo en el SA, no el MTA. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkjHmUwACgkQtTMYHG2NR9V+pACfda5eIycdPwa0+iCYU7EIhmVx S1IAn1LRG389f4kfEsikPiye7hAJaiEl =bEvL -----END PGP SIGNATURE-----
Jo, pues eso sí que es denunciable :-/
Ya está denunciado, el correo es derecho constitucional. Una vez escribí una carta en el cartón de una caja de galletas, le puse el sello y llego a destino. ...
¡Huy! La respuesta no es tan simple. Depende del programa que uses e incluso del tipo de llave. Más, también depende de lo que haya previsto el remitente.
Jopetas, esto es mas complicado de lo que me pensaba. De todos modos estoy aprendiendo un monton en este hilo, como en muchos otros. Normalmente no escribo respuestas porque mis conocimientos no están a la altura. Llevo un par de años con el gusanillo de crear un servidor domestico para aprender como funciona "el maravilloso mundo de los sysadmins" y este hilo es muy interesante. Saludos -- "El cielo es para los dragones lo que el agua es para las ninfas" --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-09-12 a las 12:54 +0200, David Moreno escribió:
Jo, pues eso sí que es denunciable :-/
Ya está denunciado, el correo es derecho constitucional. Una vez escribí una carta en el cartón de una caja de galletas, le puse el sello y llego a destino.
¡Curioso!
...
¡Huy! La respuesta no es tan simple. Depende del programa que uses e incluso del tipo de llave. Más, también depende de lo que haya previsto el remitente.
Jopetas, esto es mas complicado de lo que me pensaba. De todos modos estoy aprendiendo un monton en este hilo, como en muchos otros. Normalmente no escribo respuestas porque mis conocimientos no están a la altura. Llevo un par de años con el gusanillo de crear un servidor domestico para aprender como funciona "el maravilloso mundo de los sysadmins" y este hilo es muy interesante.
Tiene un parecido a firmar una carta y sellarla con lacre :-p Tienes tu firma, tu sello, y el destinatario tiene que conocer ambas con anterioridad para verificar que la carta es tuya. Y además, tiene que llamar a un experto del CSI para que le diga que el sello no se ha tocado en tránsito y que por tanto el contenido no se ha alterado. Nunca ha sido fácil. El sysadmin del servidor de correo puede usar algo en el servidor para que valga "algo" para todos los usuarios del sistema; pero eso es parecido a cuando envias una carta paquete postal y es el funcionario quien pone el lacre de la oficina. (Ya imagino a alguno/a buscando lacre en el diccionario >:-P ) - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkjKUVwACgkQtTMYHG2NR9VuqwCfbrskcFOxo+TzDW1liZlhAM25 da8AoJUADN23uXyA+0mVoN//53pS5+24 =vnMm -----END PGP SIGNATURE-----
participants (5)
-
Camaleón -
Carlos E. R. -
csalinux -
David Moreno -
J.M.Queralt