Si has llegado a esta página de UBUNet seguramente sea porque has recibido un correo electrónico que afirma haber sido enviado por UBUNet, firmado DKIM y que te ha remitido a ella y, probablemente, porque deseas saber si el correo electrónico recibido es auténtico. Ten en cuenta que lo que se comenta en esta página solo es de aplicación para estos correos que te remiten a la misma. Conviene tener presente que no todos los correos que se reciben son firmados DKIM, y que se pueden recibir correos firmados DKIM de otros dominios u organizaciones.
IMPORTANTE: ¿esta página que estás leyendo es realmente de UBUNet, del servidor ubunet.ubu.es? No podemos descartar que un destinatario reciba un correo que le remita a una página que no sea de un servidor de la UBU y que hable deliberadamente de DKIM de un modo incorrectro y engañoso.
Es muy importante disponer de mecanismos que ayuden al usuario a descartar correos fraudulentos (phising). De este modo todos ganamos en confianza y seguridad. Especialmente importante es poder descartar correos electrónicos fraudulentos cuando éstos versan sobre asuntos relacionados con el ENS (Esquema Nacional de Seguridad), como por ejemplo los correos electrónicos que envía la UBU relacionados con las contraseñas, como avisos de caducidad y de próxima caducidad, códigos de seguridad para establecer contraseñas, avisos de cambio de contraseña recién efectuados, etc.
El uso de DKIM permite firmar los correos de modo que es posible comprobar que proceden de un servidor de la UBU (dominio ubu.es) y que su contenido no ha sido alterado. Los correos enviados por las aplicaciones de UBUNet son firmados mediante DKIM.
Para comprobar la firma DKIM es necesario acceder a las cabeceras del mensaje recibido y hacer alguna comprobación visual. De momento esta comprobación es algo manual. Sería interesante que los clientes de correo pudieran facilitarla, como por ejemplo mostrando alguna advertencia de que ha sido comprobada por ellos de forma automática, etc.
En este documento se explica cómo comprobar la firma DKIM (consultando las cabeceras del email) en los clientes de correo más habituales, pero son 2 las comprobaciones que hay que hacer:
IMPORTANTE: Las 2 comprobaciones anteriores son necesarias. El motivo es que los correos enviados por otros dominios que no son ubu.es
también pudieran tener activo su propio mecanismo DKIM, es decir, podemos recibir un correo fraudulento desde un dominio que también usa DKIM.
Por eso es importante comprobar el dominio.
También es importante tener en cuenta que podemos recibir correos no fraudulentos de otras aplicciones (de la UBU o de fuera) que no utilizan DKIM, por lo que
el hecho de que un correo no use DKIM (no encontremos dkim=pass en las cabeceras) tampoco implica que el correo sea fraudulento.
Domain keys Identified Mail (DKIM) es un mecanismo de autenticacíon de correo electrónico que permite a una organización o a una parte de una organización, UBUNet de la UBU en este caso, responsabilizarse del envío de un mensaje, de manera que éste pueda ser validado por un destinatario, es decir, comprobar que el correo ha sido creado por UBUNet.
La necesidad de este tipo de autenticación surge por la habitual falsificación y/o falsedad de contenidos de las que hace uso el spam, que falsea de diversos modos y en distintas situaciones el campo "From:", los contenidos mismos, etc. Por otro lado resulta complicado por parte de los destinatarios el distinguir cuándo deben confiar o no en un determinado dominio.
DKIM usa criptografía de clave pública para permitir al origen firmar electrónicamente correos electrónicos legítimos de manera que puedan ser verificados por los destinatarios. UBUNet utiliza este sistema, por lo que todo correo que genera UBUNet lleva una firma DKIM.
DKIM también protege contra la manipulación de correo electrónico, es decir, proporciona integridad extremo a extremo, lo que permite detectar si el mensaje original es modificado en algún punto intermedio.
Las cabeceras de correo electrónico o email headers contienen todos los valores relevantes sobre la identidad, el tipo de contenido del mensaje, las direcciones de envío y paso, informaciones SPF, informaciones DKIM como el dominio y la firma, etc. Son las informaciones DKIM las que nos interesan en este caso.
Paso 1: en el mensaje de interés, en la zona superior derecha hay varios iconos (responder, reenviar, etc...). Pinchar en el icono "..." para acceder a más acciones. Ver flecha roja.
Paso 2: Se abre un desplegable con más opciones. Hay que elegir la opción "Ver", que a su vez abrirá otro desplegable secundario.
Paso 3: Elegir la opción "Ver detalles del mensaje"
Paso 4: Se están mostrando las cabeceras del mensaje. Buscar la cabecera o texto "Authentication-Results:". Enseguida debería verse el texto "dkim=pass (signature was verified)" para poder concluir que de momento DKIM puede ayudar a confiar en el correo recibido.
En el caso de que no se esté utilizando DKIM para firmar el correo aparecerá un texto como "dkim=none (message not signed)" o similar.
Paso 5: Si el paso 4 ha ido bien, queda aún comprobar que el correo se ha generado en un servidor de la UBU, en un servidor del dominio ubu.es. Para ello buscamos el texto o cabecera "DKIM-Signature:". Deberíamos, si todo ha ido bien, encontrar el texto "d=ubu.es". En esta cabecera pueden verse otras informaciones, como la firma de las cabeceras (bh=...), la firma del cuerpo y adjuntos del correo (b=...), pero lo importante en este paso 5 es comprobar que el dominio es "ubu.es".
Paso 1: Desde la bandeja de entrada hacer doble click en el mensaje de correo de interés con la finalidad de abrirlo fuera
del panel de lectura, es decir, para abrirlo en una ventana independiente.
Paso 2: En la ventana del mensaje hacer click en "Propiedades" (pestaña "Archivo" (paso 2a), opción "Propiedades" (paso 2b).
Paso 3a: Se están mostrando los encabezados de Internet. Desplazarse con la barra lateral para buscar la cabecera o texto "Authentication-Results:". Enseguida debería verse el texto "dkim=pass (signature was verified)" para poder concluir que de momento DKIM puede ayudar a confiar en el correo recibido.
En el caso de que no se esté utilizando DKIM para firmar el correo aparecerá un texto como "dkim=none (message not signed)" o similar.
Paso 3b: Si el paso 3a ha ido bien, queda aún comprobar que el correo se ha generado en un servidor de la UBU, en un servidor del dominio ubu.es. Para ello buscamos el texto o cabecera "DKIM-Signature:". Deberíamos, si todo ha ido bien, encontrar el texto "d=ubu.es". En esta cabecera pueden verse otras informaciones, como la firma de las cabeceras (bh=...), la firma del cuerpo y adjuntos del correo (b=...), pero lo importante en este paso 3b es comprobar que el dominio es "ubu.es".
GMAIL permite ver la cabeceras de un correo. Lo llama "Mostrar original", sin embargo GMAIL facilita un poco más chequear el estado DKIM de un correo:
Paso 1a: Viendo el mensaje de interés acudir al menú "Más", que tiene un icono que consiste en 3 puntos en vertical.
Paso 1b: En el despleglable de menú "Más" elegir la opción "Mostrar original".
Paso 2: Al mostrar el mensaje orignal, y antes de mostrar las cabeceras, GMAIL muestrar varias informaciones. Hay un apartado DKIM que nos indica de forma rápida
si el correo pasa (PASS) o no el test DKIM. También se muestra si el dominio es "ubu.es" o no. Para dar por bueno el correo debemos ver el texto PASS y el dominio ubu.es.
Aunque el proceso es algo manual, desde el Servicio de Informática y Comunicaciones esperamos que el uso de DKIM pueda ayudar a comprobar la autenticidad de los correos enviados por UBUNet, especialmente los relacionados con las contraseñas.