ΒΏQuΓ© pasa chaches? 
Soy 0xEm1lio, esta es mi primera contribuciΓ³n al foro. Me dedico a ciberseguridad (pentesting, auditorΓas, to ese rollo ok) y querΓa aportar algo de valor a la comunidad.
Hoy os traigo una guΓa completa sobre Email Spoofing: cΓ³mo funciona, por quΓ© sigue siendo posible en 2026, cΓ³mo probarlo en entornos autorizados y lo mΓ‘s importante, cΓ³mo defenderse.
Espero que os sea ΓΊtil. Cualquier duda o correcciΓ³n, aquΓ estamos.
βββββββββββββββββββββββββββββββββββββββββββββββββββββ
ΒΏQUΓ ES EL EMAIL SPOOFING?
El Email Spoofing es una tΓ©cnica que permite enviar correos electrΓ³nicos falsificando la direcciΓ³n del remitente. Un atacante puede enviar un correo que aparente venir de "ceo@empresa.com" sin tener acceso a esa cuenta.
ΒΏPor quΓ© es peligroso?
ΒΏPOR QUΓ SIGUE SIENDO POSIBLE?
El protocolo SMTP fue diseΓ±ado en 1982 (RFC 821). En aquella Γ©poca, internet era una red acadΓ©mica pequeΓ±a donde todos se conocΓan. La seguridad no era una prioridad.
El problema fundamental:
SMTP no verifica la identidad del remitente.
Cuando envΓas un correo, el servidor SMTP simplemente confΓa en lo que le dices:
βββββββββββββββββββββββββββββββββββββββββ
MAIL FROM: <ceo@empresa.com> β Puedes poner lo que quieras
RCPT TO: <victima@ejemplo.com>
DATA
Subject: Urgente - Transferencia
Necesito que hagas una transferencia...
βββββββββββββββββββββββββββββββββββββββββ
El servidor no pregunta: "ΒΏEres realmente el CEO?" Simplemente acepta el correo y lo entrega.
βββββββββββββββββββββββββββββββββββββββββββββββββββββ
LOS TRES PILARES DE DEFENSA: SPF, DKIM, DMARC
Para combatir el spoofing se crearon tres protocolos que trabajan juntos:
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
SPF β ΒΏQuiΓ©n puede enviar correos por mi dominio?
DKIM β ΒΏEl correo es autΓ©ntico y no fue modificado?
DMARC β ΒΏQuΓ© hacer si SPF o DKIM fallan?
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
βββββββββββββββββββββββββββ
SPF (Sender Policy Framework)
βββββββββββββββββββββββββββ
Es un registro DNS que lista las IPs/servidores autorizados para enviar correo.
Ejemplo de registro SPF:
v=spf1 ip4:192.168.1.1 include:_spf.google.com -all
Desglose:
DKIM (DomainKeys Identified Mail)
βββββββββββββββββββββββββββ
AΓ±ade una firma criptogrΓ‘fica a cada correo:
Si alguien modifica el correo o lo envΓa sin la clave privada, la firma no es vΓ‘lida.
Consultar DKIM (necesitas el selector):
dig TXT selector._domainkey.dominio.com
βββββββββββββββββββββββββββ
DMARC (Domain-based Message Authentication, Reporting & Conformance)
βββββββββββββββββββββββββββ
DMARC es el "jefe" que toma la decisiΓ³n final. Define quΓ© hacer cuando SPF o DKIM fallan.
Ejemplo de registro DMARC:
v=DMARC1; p=reject; rua=mailto:reportes@dominio.com
PolΓticas disponibles:
βββββββββββββββββββββββββββββββββββββββββββββββββββ
p=none => No hacer nada, solo reportar
VULNERABLE
p=quarantine => Enviar a spam
PARCIAL
p=reject => Rechazar el correo
SEGURO
βββββββββββββββββββββββββββββββββββββββββββββββββββ
βββββββββββββββββββββββββββββββββββββββββββββββββββββ
CONFIGURACIONES VULNERABLES
AsΓ se ven las configuraciones que permiten spoofing:
CASO 1: Sin protecciΓ³n alguna
SPF: (no existe)
DKIM: (no existe)
DMARC: (no existe)
β Spoofing total, sin advertencias
CASO 2: SPF dΓ©bil + DMARC inΓΊtil
SPF: v=spf1 include:_spf.google.com ~all
DMARC: v=DMARC1; p=none
β El correo llega aunque falle todo
CASO 3: Todo configurado pero DMARC en none
SPF: v=spf1 ... -all
DKIM: Configurado
DMARC: p=none
β SPF y DKIM fallan, pero DMARC dice "no hagas nada"
CASO SEGURO:
SPF: v=spf1 ... -all
DKIM: Configurado con RSA-2048
DMARC: v=DMARC1; p=reject; sp=reject
βββββββββββββββββββββββββββββββββββββββββββββββββββββ
DEMOSTRACIΓN PRΓCTICA (LABORATORIO)
Hacerlo en entornos autorizados (pentesting, CTF, laboratorio propio). Que ya os veo venir chaches
Requisitos:
Paso 1: Analizar el dominio objetivo
Paso 2: Configurar el servidor de correo
sudo apt update && sudo apt install swaks exim4 -y
sudo dpkg-reconfigure exim4-config
Paso 3: Enviar correo spoofeado
swaks --to victima@ejemplo.com \
--from ceo@dominio-vulnerable.com \
--server localhost \
--header "Subject: Urgente - Revisar factura" \
--body "Por favor revisa los datos adjuntos."
Paso 4: Verificar resultado
Si la configuraciΓ³n es vulnerable, el correo llegarΓ‘:
Y bueno chaches, mi primer aporte. Cualquier comment se agradece. (dejaros de poner "a ver") chachetones
Soy 0xEm1lio, esta es mi primera contribuciΓ³n al foro. Me dedico a ciberseguridad (pentesting, auditorΓas, to ese rollo ok) y querΓa aportar algo de valor a la comunidad.
Hoy os traigo una guΓa completa sobre Email Spoofing: cΓ³mo funciona, por quΓ© sigue siendo posible en 2026, cΓ³mo probarlo en entornos autorizados y lo mΓ‘s importante, cΓ³mo defenderse.
Espero que os sea ΓΊtil. Cualquier duda o correcciΓ³n, aquΓ estamos.
βββββββββββββββββββββββββββββββββββββββββββββββββββββ
ΒΏQUΓ ES EL EMAIL SPOOFING?El Email Spoofing es una tΓ©cnica que permite enviar correos electrΓ³nicos falsificando la direcciΓ³n del remitente. Un atacante puede enviar un correo que aparente venir de "ceo@empresa.com" sin tener acceso a esa cuenta.
ΒΏPor quΓ© es peligroso?
- Phishing dirigido (spear phishing)
- Business Email Compromise (BEC)
- SuplantaciΓ³n de identidad corporativa
- DistribuciΓ³n de malware con apariencia legΓtima
ΒΏPOR QUΓ SIGUE SIENDO POSIBLE?El protocolo SMTP fue diseΓ±ado en 1982 (RFC 821). En aquella Γ©poca, internet era una red acadΓ©mica pequeΓ±a donde todos se conocΓan. La seguridad no era una prioridad.
El problema fundamental:
SMTP no verifica la identidad del remitente.
Cuando envΓas un correo, el servidor SMTP simplemente confΓa en lo que le dices:
βββββββββββββββββββββββββββββββββββββββββ
MAIL FROM: <ceo@empresa.com> β Puedes poner lo que quieras
RCPT TO: <victima@ejemplo.com>
DATA
Subject: Urgente - Transferencia
Necesito que hagas una transferencia...
βββββββββββββββββββββββββββββββββββββββββ
El servidor no pregunta: "ΒΏEres realmente el CEO?" Simplemente acepta el correo y lo entrega.
βββββββββββββββββββββββββββββββββββββββββββββββββββββ
LOS TRES PILARES DE DEFENSA: SPF, DKIM, DMARCPara combatir el spoofing se crearon tres protocolos que trabajan juntos:
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
SPF β ΒΏQuiΓ©n puede enviar correos por mi dominio?
DKIM β ΒΏEl correo es autΓ©ntico y no fue modificado?
DMARC β ΒΏQuΓ© hacer si SPF o DKIM fallan?
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
βββββββββββββββββββββββββββ
SPF (Sender Policy Framework)βββββββββββββββββββββββββββ
Es un registro DNS que lista las IPs/servidores autorizados para enviar correo.
Ejemplo de registro SPF:
v=spf1 ip4:192.168.1.1 include:_spf.google.com -all
Desglose:
- v=spf1 β VersiΓ³n del protocolo
- ip4:192.168.1.1 β Esta IP puede enviar
- include:_spf.google.com β Los servidores de Google pueden enviar
- -all β Rechazar TODO lo demΓ‘s (hard fail)
- -all (hard fail) β Rechazar si no coincide SEGURO
- ~all (soft fail) β Marcar sospechoso pero entregar DΓBIL
- +all β Permitir todo PELIGROSO
DKIM (DomainKeys Identified Mail)βββββββββββββββββββββββββββ
AΓ±ade una firma criptogrΓ‘fica a cada correo:
- El servidor genera un par de claves (pΓΊblica/privada)
- La clave privada firma cada correo saliente
- La clave pΓΊblica se publica en DNS
- El servidor receptor verifica la firma
Si alguien modifica el correo o lo envΓa sin la clave privada, la firma no es vΓ‘lida.
Consultar DKIM (necesitas el selector):
dig TXT selector._domainkey.dominio.com
βββββββββββββββββββββββββββ
DMARC (Domain-based Message Authentication, Reporting & Conformance)βββββββββββββββββββββββββββ
DMARC es el "jefe" que toma la decisiΓ³n final. Define quΓ© hacer cuando SPF o DKIM fallan.
Ejemplo de registro DMARC:
v=DMARC1; p=reject; rua=mailto:reportes@dominio.com
PolΓticas disponibles:
βββββββββββββββββββββββββββββββββββββββββββββββββββ
p=none => No hacer nada, solo reportar
VULNERABLEp=quarantine => Enviar a spam
PARCIALp=reject => Rechazar el correo
SEGUROβββββββββββββββββββββββββββββββββββββββββββββββββββ
βββββββββββββββββββββββββββββββββββββββββββββββββββββ
CONFIGURACIONES VULNERABLESAsΓ se ven las configuraciones que permiten spoofing:
CASO 1: Sin protecciΓ³n algunaSPF: (no existe)
DKIM: (no existe)
DMARC: (no existe)
β Spoofing total, sin advertencias
CASO 2: SPF dΓ©bil + DMARC inΓΊtilSPF: v=spf1 include:_spf.google.com ~all
DMARC: v=DMARC1; p=none
β El correo llega aunque falle todo
CASO 3: Todo configurado pero DMARC en noneSPF: v=spf1 ... -all
DKIM: Configurado
DMARC: p=none
β SPF y DKIM fallan, pero DMARC dice "no hagas nada"
CASO SEGURO:SPF: v=spf1 ... -all
DKIM: Configurado con RSA-2048
DMARC: v=DMARC1; p=reject; sp=reject
βββββββββββββββββββββββββββββββββββββββββββββββββββββ
DEMOSTRACIΓN PRΓCTICA (LABORATORIO)Hacerlo en entornos autorizados (pentesting, CTF, laboratorio propio). Que ya os veo venir chaches
Requisitos:
- VPS con puerto 25 abierto (ej: Webdock ~2β¬/mes)
- SWAKS instalado (navaja suiza del SMTP chaches)
Paso 1: Analizar el dominio objetivo
- Consultar SPF
- Consultar DMARC
- Consultar DKIM (si conoces el selector)
Paso 2: Configurar el servidor de correo
sudo apt update && sudo apt install swaks exim4 -y
sudo dpkg-reconfigure exim4-config
Seleccionar: "internet site; mail is sent and received directly using SMTP"
Paso 3: Enviar correo spoofeado
swaks --to victima@ejemplo.com \
--from ceo@dominio-vulnerable.com \
--server localhost \
--header "Subject: Urgente - Revisar factura" \
--body "Por favor revisa los datos adjuntos."
Paso 4: Verificar resultado
Si la configuraciΓ³n es vulnerable, el correo llegarΓ‘:
- A inbox con advertencia β Severidad ALTA
- A inbox sin advertencia β Severidad CRΓTICA
- A spam β Severidad MEDIA
Y bueno chaches, mi primer aporte. Cualquier comment se agradece. (dejaros de poner "a ver") chachetones
