Opciones

Search:

 

• Home

    Notas varias

• Instalar Firefox
• Perfiles en Firefox
• Backup del perfil
• Browser shortcuts
• Mozilla Thunderbird
• Thunderbird: Seguridad y privacidad
• Mouse Gestures
• cabeceras mail
• Annotea
• Google Tips
RSS 2.0

Actualizado el 14-01-2007
versión para imprimir

Privacidad y Seguridad con Thunderbird

Dos de las dos mayores amenazas a la privacidad en el correo electrónico vienen de la mano del correo en formato html, que puede contener imágenes y código javascript.

Si recibimos un correo html con imágenes y estas imágenes no estan incluidas en el mail, sino enlazadas desde un servidor remoto, esto quiere decir que como mínimo estamos informando al remitente de que hemos abierto el mensaje.

El servidor guarda un log con la lista de las veces que ha servido la imagen, incluyendo claro está la ip del solicitante. Si además la imagen es de pequeño tamaño (1 pixel por ejemplo), el usuario ni se dará cuenta de que está siendo monitorizado ("web bugs"); si además el remitente incluye un código individualizado al llamar a la imagen, es fácil saber desde que cuenta se ha leido el mensaje.

Un spameador puede usar esta técnica para decidir que cuentas de correo son activas y cuales no estan en uso.
Puede conocer si un email ha sido leido o no, y cuantas veces.
Puede conocer información acerca de tu sistema operativo, programa de correo, etc.
Puede cruzar la IP del lector del mail con las IPs registradas al visitar una página determinada

Mediante javascript en el correo electrónico es posible, por ejemplo que el remitente de un mensaje siga su pista si el destinatario decide reenviarlo a otras personas: es posible que el destinatario obtenga una copia de cada email reenviado.

Thunderbird por defecto inhabilita el javascript en el correo entrante y no permite la carga de imagenes remotas. Puedes comprobar tu configuración desde Tools | Options | Advanced | Privacy.

Si además tienes activados los filtros de control de spam (junk controls, mas sobre esto adelante) Thunderbird saneará el código html de cualquier email marcado como junkmail: eliminará imagenes, javascript, tablas o cookies.

Una cuestión a recordar es que asi como las directivas de seguridad son generales, las directivas anti-spam deben ser establecidas individualmente para cada cuenta

Para una mayor privacidad puedes elegir ver siempre los mensajes como texto simple. Esto no evita que descarges el mensaje html del servidor, pero elimina el código html antes de mostrarte el cuerpo del mensaje:

View | Message Body As. Las opciones son: ver el código HTML tal como se ha recibido; Simple HTML (HTML saneado) y texto simple. Estas dos últimas opciones están diseñadas para evitar que el mensaje lea cualquier contenido exterior (imagenes, objetos, scripts, CSS, iframes ...) y pueda ser rastreado.

Los archivos adjuntos a correos electrónicos han sido últimamente el gran agujero aprovechado para la difusión de virus de ordenador. Un correo html, con algo de código javascript, unido a un incorrecto manejo por el programa de mail de los MIME TYPE, provocaba que un adjunto podía ser ejecutado con solo previsualizar su contenido.

Esto no debe pasar con Thunderbird. Además de tener javascript deshabilitado por defecto, un mejor manejo de los MIME TYPES hace que sea inmune al problema. Ningun archivo adjunto se ejecutará automáticamente salvo que así lo hayas especificado.

Desde tools | options | Attachments puedes decidir que hacer con los archivos adjuntos. Desde donde deben guardarlos cuando decidas pasarlos a tu disco duro, hasta que acción emprender por defecto (si haces click en ellos): abrir con una aplicación determinada, guardar en disco o preguntar

El panel de visualización de los mensajes puede activarse/desactivarse desde View | Layout | Message Pane.

Esta opción actualmente presenta un fallo, ya que cuando desactivas el panel de previsualizado, realmente lo único que hace es minimizarse (hacerse invisible) pero sigue activo. Para desactivarlo realmente debes en primer lugar asegurarte de que la opción no está chequeada, y a continuación reiniciar Firebird.

Este problema NO afecta a la seguridad de Thunderbird. Puedes visualizar los mensajes con la seguridad de que ningun archivo será automaticamente ejecutado por ello.

junk mail: filtros bayesianos. Thunderbird puede analizar el correo entrante, buscando patrones que indiquen que se trata de correo basura. Es una opción interesantisima, que permite librarte de la mayor parte del spam.

para activarla: Tools | Junk Mail Controls ... | Adaptive Filters y chequea la casilla enable adaptive junk mail detection.

Los controles de correo basura debes configurarlos para cada cuenta que tengas.
La ventaja de este sistema de control es que aprende de tus hábitos. La desventaja, que debes entrenarlos. Como contrapartida, una vez entrenado, un filtro bayesiano puede librarte de hasta el 99% del spam !

Al principio un problema son los falsos positivos: se marca como spam un correo legítimo. Para evitar que pierdas ningun correo, y por defecto, si activas los controles de correo basura, Thunderbird marcará como junk-mail los correos sospechosos pero no los moverá a la carpeta especifica de correo-basura. Al usuario le corresponde revisar todos los correos entrantes y marcarlos como junk o not-junk. Esta labor es tediosa al principio, pero en pocos dias veremos como Thunderbird se ha aprendido nuestros criterios, y cada vez es menos necesario rescatar algun falso positivo, es decir, correo válido indebidamente marcado como junk, o marcar a mano como junk mail algun correo indeseado que se haya escapado a los controles.

Las reglas que Thunderbird va aprendiendo se almacenan en un fichero binario llamado training.dat que se guarda en la carpeta de tu perfil de usuario. Si tienes curiosidad de saber como funciona, puedes bajarte una pequeña aplicación java que te permite explorar su contenido. Básicamente se trata de analizar el contenido de cada correo electronico, palabra por palabra, y confrontarla con los datos de training.dat para ver las probabilidades de que sea buena o mala.

Si tienes varios perfiles, puedes copiar training.dat de uno a otro. Tambien puedes refundir varios training.dat con la utilidad java antes mencionada. Lee cuidadosamente las instrucciones.

Por defecto Thunderbird te muestra en formato html los mensajes que te hayan llegado como correo HTML. Ya has visto como forzar al programa para que siempre muestre todos los mensajes como texto plano.

Igualmente por defecto Thunderbird sanea, antes de mostrarlo, el código html de los mensajes marcados como junk, ya sea marcado automatica o manualmente

Bugs aun existentes:

Display attachment inline está deshabilitado por defecto. Dificil decir si es un bug o una ventaja, pero de momento no puedes ver ningun adjunto (imagenes especialmente) dentro del email.

el control de junk mail solo se ejecuta despues de descargados todos los correos, no para cada correo.

el correo basura activa el avisador de correo nuevo.

La opción de decidir donde guardar los archivos adjuntos no funciona. Elijas lo que elijas siempre aparece marcado Ask me ...