El verdadero motivo de no utilizar las cuentas de correo de las ISP
Por motivo de la publicación de ADSLZONE, me veo obligado a publicar este post que no tenía pensado publicar.
Quiero advertir que hay conceptos que pueden "molestar" a las ISP y mencionaré a una conocida ISP.
Asimismo, no es publicidad
Se requiere conocimientos avanzados para poder entender con precisión los contenidos de este posts, no voy a explicar los conceptos que los usuarios "novatos" no entiendan.
En ADSLZONE explican los motivos de no utilizar cuentas de ISP, uno de esos motivos es que el "boom" de esas cuentas surgió a principios del 2000 a causa del ADSL, en esa época no había proveedores de correo gratuito, y tenían el correo como servicio añadido.
La cuestión es que las principales operadoras de España, no ofrecen cifrado SSL en el acceso de las cuentas, por tanto los datos pueden ser capturados.
Movistar dispone de STARTTLS (Proveedores como Outlook también lo utilizan) pero el problema es que aunque tenga cifrado, el servidor IMAP/POP No dispone de cifrado.
Estas pruebas se han hecho conectándose al servidor de Movistar y utilizando Wireshark para analizar el tráfico
Analizamos el Servidor POP/IMAP
En Thunderbird nos da la opción de utilizar la contraseña cifrada.
Este método es inseguro debido a que la contraseña está codificada en Base64 y si se analiza correctamente podremos obtener el usuario y contraseña en cuestión de segundos
Analizamos el servidor SMTP
Uno de los mensajes que dice el usuario "soportecorreo" (no lo voy a mencionar) es que el servidor SMTP no tiene cifrado, cuando ESO ES FALSO
Con el comando siguiente podremos ver el certificado
openssl s_client -showcerts -connect smtp.telefonica.net:25 --starttls smtp
Como entiendo que no todos usan OPENSSL, he copiado el certificado en PASTEBIN cuyo link es este
Para ver el certificado debemos copiar el certificado en un fichero de texto y ponerle como extensión PEM (certificado).
En Linux/MAC/Windows al hacer doble click, podremos ver el certificado del servidor de correo de MOVISTAR
En este caso, todo es correcto pero habitualmente no se usa el puerto 25 para STARTTLS y los clientes de correo es posible que no lo soporten
¿Que pasó con JAZZTEL?
Jazztel fue el único ISP que ofrecía cuentas de correo mediante SSL, el truco es que no usaba servidores propios, sino que usaba GMAIL.
Por ello la configuración que usaba es la de GMAIL que tiene SSL (No STARTTLS).
Sin embargo el acuerdo fracasó, y ahora JAZZTEL ofrece cuentas de correo sin protección
El tema del cifrado
El tema del cifrado es importante porque la información pasa por diversos caminos y es posible la captura de datos, provocando la suplantación de identidad y los diversos problemas que pueden haber.
No todos los clientes soportan STARTTLS
He comprobado en algunos de los mensajes de los usuarios que no permiten acceder al servidor SMTP, el motivo es que es posible que el cliente de correo no permita STARTTLS
Actualmente el único proveedor (de los grandes) que usa ese cifrado es Outlook y dispone de cliente propio en Android e iOS.
El resto de ISP no ofrecen cifrado POP/IMAP/SMTP
Uno de los peligros que he comentado es el riesgo de captura de información que puede provocar suplantación de identidad.
Según la nueva RGPD, los sitios web deben tener SSL por defecto para asegurar las comunicaciones.
Wordpress.com dispone de HTTPS por defecto.
Blogspot permite utilizar HTTPS tanto en su subdominio y en dominio propio, asegurando las comunicaciones (Yo utilizo Blogger)
Si los sitios web deben tener HTTPS por defecto, los proveedores de correo deben tener SSL por defecto para evitar problemas graves
