Un nuevo mecanismo ayuda a los servidores de correo a determinar si un mensaje estaba destinado al dueño anterior de una cuenta reciclada.

Facebook y Yahoo desarrollaron un mecanismo para evitar el uso de cuentas secuestradas a los dueños de cuentas de correo que fueron registradas en otros sitios usando esas direcciones en el pasado.

El año pasado, Yahoo anunció una política que involucra borrar cuentas de correo inactivas y hacer esos ID disponibles nuevamente para registro. Microsoft ha estado haciendo lo mismo con las cuentas de Outlook.com

La práctica de reciclar direcciones de correo ha sido criticada por los expertos de seguridad y privacidad debido a que abre la puerta al abuso. Los atacantes pueden registrar cuentas borradas y tomarlas en sitios de terceros que las usan para confirmar el cambio de contraseña. Adicionalmente, las cuentas recicladas pueden continuar recibiendo correos con información sensible que está destinada a los dueños anteriores.

El equipo de seguridad de Facebook estudió el impacto de los correos electrónicos reciclados de los usuarios del sitio y trabajó con Yahoo para mitigar los riesgos potenciales de seguridad. Empleados de las dos compañías han desarrollado un mecanismo que involucra agregar un nuevo campo en la cabecera de mensajes de correos sensibles que incluyen la fecha en la cual el remitente conoció la dirección del destinatario.

El proveedor de correo puede verificar si la cuenta destinataria ha cambiado de dueño desde la fecha especificada en este campo, y si es así, puede bloquear el mensaje de ser enviado debido a que estaba destinado al dueño anterior.

El nuevo campo es llamado Require-Recipent-Valid-Since y está definido como una extensión del Simple Mail Transfer Protocol (SMTP) llamado RRVS. Por ahora el mecanismo es empleado en Facebook y Yahoo, pero la nueva extensión SMTP fue publicada como un estandar propuesto por el Internet Engineering Task Force y puede ser adoptada también por otros.