Llegamos a ustedes gracias a:



Reportajes y análisis

DMARC, SPF y DKIM: Dominando la seguridad del correo electrónico

[10/09/2018] A pesar de hacer algunos progresos, un trío de protocolos de seguridad de correo electrónico ha visto que su camino de implementaciones se ha dificultado el último año. Conocidos por sus siglas SPF, DKIM y DMARC, los tres son difíciles de configurar y requieren un estudio cuidadoso para comprender cómo se relacionan entre sí y se complementan entre sí con sus características de protección. Sin embargo, vale la pena el esfuerzo e invertir en aprender a usarlos.

  • Sender Policy Framework o marco de políticas del remitente (SPF, por sus siglas en inglés) fortalece sus servidores DNS y restringe quién puede enviar correos electrónicos desde su dominio. SPF puede evitar la suplantación de dominio. Permite que su servidor de correo determine cuándo llegó un mensaje del dominio que usa. SPF tiene tres elementos principales: un marco de políticas como su nombre lo indica, un método de autenticación, y encabezados especializados en el propio correo electrónico que transmite esta información. El SPF se propuso por primera vez con el estándar IETF 4408 en 2006, y se actualizó recientemente a la norma 7208 en 2014.
  • DomainKeys Identified Mail (DKIM) garantiza que el contenido de sus correos electrónicos siga siendo confiable y no haya sido manipulado o comprometido. Inicialmente se propuso en el 2007 y se ha actualizado varias veces, más recientemente con el estándar IETF 8301 este último enero. Tanto SPF como DKIM se actualizaron con el estándar IETF 7372 en el 2014.
  • Domain-based Message Authentication o Autenticación, informes y conformidad de mensajes basados en el dominio (DMARC, por sus siglas en inglés) vincula los primeros dos protocolos junto con un conjunto coherente de políticas. También vincula el nombre de dominio del remitente con lo que se enumera en el encabezado De:, y también tiene un mejor informe de los destinatarios de correo. Fue propuesto como un estándar IETF 7489 en el 2015.

El phishing y el correo no deseado son las mayores oportunidades para que los hackers entren en la red. Si un solo usuario hace clic en algún archivo adjunto de correo electrónico malicioso, puede poner en peligro a toda una empresa con ransomware, secuencias de comandos de descifrado criptográfico, filtraciones de datos o vulnerabilidades de escalamiento de privilegios.

Lo que no es tan conocido es por qué la mayoría de las empresas necesita estos tres protocolos para proteger sus infraestructuras de correo electrónico. Al igual que en el mundo de las TI, las soluciones múltiples no necesariamente se superponen. En realidad, son bastante complementarios entre sí, y es probable que el negocio promedio necesite las tres.

Los recientes desarrollos despiertan interés en los protocolos de seguridad del correo electrónico

Como puede ver, los tres protocolos han existido por años. ¿Qué ha sucedido recientemente para renovar el interés?

En primer lugar, el spam y el spear phishing continúan siendo problemas, y a medida que más redes se ven comprometidas debido a ellos, los gerentes de TI buscan mejores soluciones de seguridad. Con el aumento del ransomware, que a menudo va precedido de correos electrónicos de spear phishing, las empresas se motivan cada vez más para proteger su infraestructura de correo electrónico. Ciertamente, el spam no va a desaparecer.

Correo electrónico, gmail, seguridad, DMARC, SPF y DKIM
El estándar BIMI mostrará logotipos en mensajes de correo electrónico para verificar que sean reales.

En segundo lugar, los gobiernos se han involucrado. El Departamento de Seguridad Nacional emitió una orden el año pasado, requiriendo que todas las agencias presenten planes de acción para implementar estos protocolos. Las agencias en el Reino Unido y Australia también emitieron sus propios calendarios para exigir este despliegue, al menos en servidores administrados por el gobierno. Si bien muchas agencias no cumplieron con los plazos iniciales, muchas agencias han comenzado la implementación y han logrado importantes avances para lograr un despliegue completo.

En tercer lugar, las implementaciones de proveedores de correo electrónico como Google Gmail, Yahoo y Fastmail han motivado a otros a seguir su ejemplo. Agregar estos protocolos a través de sus soluciones de correo electrónico alojado tiene sentido, porque los proveedores quieren mantener a sus clientes protegidos.

Finalmente, los proveedores de seguridad han mejorado sus productos y servicios de consultoría para facilitar la implementación. Valimail, Barracuda y Agari son solo tres de estos proveedores, y Proofpoint tiene una herramienta interactiva gratuita para crear su registro DMARC aquí. (Nota: Probé Valimail en mi propia infraestructura de correo electrónico y utilicé la experiencia al escribir este informe, como verá en un momento). También es importante destacar que Agari, Valimail y Microsoft están detrás de un nuevo esfuerzo de estándares llamado Indicadores de marca para mensajes Identificación (BIMI, por sus siglas en inglés) que tiene un comienzo lento. Mostrará logotipos en cada mensaje de correo electrónico, lo que podría ser útil para los usuarios de correo electrónico móvil (ver la pantalla de maquetas a continuación) hasta que los creadores de correo no deseado encuentren una forma de mostrar los logos falsos.

Utilice SPF, DKIM y DMARC juntos

Echemos un vistazo más cercano a los tres enfoques diferentes. Primero, ¿por qué necesitamos los tres? Cada uno resuelve una pieza diferente del rompecabezas del correo electrónico para evitar el phishing y el spam. Esto se logra mediante una combinación de herramientas estándar de autenticación y cifrado, como la firma de claves públicas y privadas, y la adición de registros DNS especiales para autenticar el correo electrónico proveniente de sus dominios.

En segundo lugar, necesitamos tres debido a la evolución de los protocolos de correo electrónico de Internet. En los primeros días de Internet, el correo electrónico se usaba principalmente entre los investigadores universitarios, donde, como en el bar Cheers TV, todos sabían su nombre y confiaban en los demás. Lamentablemente, esos días se han ido.

Los encabezados de los mensajes (como las direcciones Para: y De: y Cco:) se separaron deliberadamente del contenido real del mensaje en sí. Esta fue una característica (y si piensa en cómo funciona Bcc: se dará cuenta de por qué es importante), pero esa separación ha traído nuevos mundos de dolor para los administradores de TI de la era moderna.

Si su infraestructura de correo electrónico implementa los tres protocolos correctamente, puede asegurarse de que los mensajes no se puedan falsificar fácilmente, y que es capaz de impedir que oscurezcan las bandejas de entrada de sus usuarios. Esa es la idea de todos modos, y como verán, un gran sí.

Esas son todas las buenas noticias. Veamos los factores complicados.

A fines del año pasado, un investigador de seguridad publicó este artículo sobre cómo podría romper DKIM, usando un conjunto específico de mensajes de correo electrónico personalizados que hicieron uso de múltiples encabezados Asunto:. Si bien tenía algunos puntos sobre la práctica y la implementación de DKIM, Valimail (que vende una solución DKIM administrada) lo llamó, diciendo que no entendía muy bien lo que estaba haciendo, y que estaba hablando de algunos casos insignificantes.

En la mayoría de los casos, los clientes de correo electrónico no pudieron autenticar estos mensajes de múltiples sujetos. Para obtener una mejor idea, eche un vistazo a esta buena (pero larga) explicación de cómo Fastmail implementó estos protocolos. Después de revisar este documento, puede ver lo difícil que es mantener las funciones de los tres protocolos en línea).

Sumándose a la confusión están las encuestas de uso en conflicto. Si bien una encuesta de Google mostró que el 85% de los correos electrónicos recibidos en su infraestructura de Gmail estaban usando alguna protección, eso no es cierto para el usuario de correo electrónico empresarial promedio, donde las tasas de adopción no son algo para escribir. Un nuevo informe de DMARC por 250OK, publicado en agosto del 2018, muestra que las firmas legales están liderando el camino; pero aun así, con solo un tercio de ellos adoptando los protocolos. La mayoría de las otras empresas tenían tasas de adopción minúsculas, como se puede ver en este gráfico:

Tasas de adopción de DMARC por mercado vertical.
Email, seguridad, correo electrónico, DMARC, SPF y DKIM

El estudio 250OK está de acuerdo con una encuesta anterior de Agari, que muestra que solo el 80% del F500 usa DMARC de forma adecuada, y solo el 2% del total de dominios tiene protección alguna. Esto nos lleva a mi siguiente punto.

La configuración de DMARC, DKIM y SPF no es fácil y está sujeta a un error del operador

Por ejemplo, para que SPF y DMARC funcionen, debe configurarlos para cada dominio que tenga. Si su empresa opera una gran cantidad de dominios o subdominios, la configuración puede volverse tediosa muy rápidamente. También debe asegurarse de que todos los subdominios estén protegidos con las entradas de DNS correctas.

Si está utilizando Google para su correo electrónico, tiene instrucciones sobre DKIM y cómo generar su clave de dominio. Si está utilizando cPanel para administrar su dominio, tienen sugerencias sobre cómo configurar los diversos registros DNS. Una vez que crea que ha terminado, puede usar una herramienta en línea para validar que las claves DKIM apropiadas están funcionando en sus encabezados de correo electrónico.

Si bien hay herramientas para ayudar, configurar todo requerirá habilidades muy especializadas. Incluso su gurú DNS corporativo puede no estar familiarizado con los comandos requeridos por cada protocolo, no por falta de conocimiento, sino porque no son ampliamente utilizados y su sintaxis puede ser enloquecedora para obtener exactamente la razón. Una cosa que puede ayudar es configurar los protocolos en un orden específico.

Esta publicación de blog de Easysol sugiere comenzar con SPF, luego pasar a DKIM, y finalmente abordar DMARC. SPF es más fácil de implementar, por eso debe hacerlo primero. Cuando llegue a DMARC, comience utilizando su modo de solo monitor antes de comenzar a bloquear cualquier correo electrónico para asegurarse de tener todo configurado correctamente. Cuando los configuro en mis propios dominios, es exactamente el mismo camino que tomo.

El personal de ingeniería de LinkedIn tenía recomendaciones sobre problemas de imagen más grandes aquí, que incluyen cómo configurar sus estándares de correo electrónico corporativo para asegurar mejor su tráfico de mensajes. Si bien no estoy de acuerdo con todos ellos, son dignos de revisión.

Localice todas sus aplicaciones que consumen correo electrónico

Cuando comencé a implementar estos protocolos, pensé que tenía una situación relativamente simple. Después de todo, somos solo yo, yo y nadie más que yo quien está ejecutando mi infraestructura de correo electrónico. Incluso como empresa unipersonal, tuve algunos problemas. Por ejemplo, ejecutaba algunos subdominios y no tenía cuidado acerca de cómo implementé mi correo electrónico enviado desde una lista de correo. Uso WordPress como mi servidor de blogs, que envía notificaciones por correo electrónico de varios tipos y de diferentes complementos. Algunos de los comentarios que se publicaron en mi blog me enviaron notificaciones por correo electrónico que no se habían autenticado inicialmente y que requerían algún ajuste, ya que se enviaban a mi carpeta de correo no deseado. También podría tener estas aplicaciones ocultas de correo electrónico que no son obvias y requerirán un esfuerzo adicional.

Esta es la razón por la que me llevó varios meses resolver todos estos detalles. Si está ejecutando una gran cantidad de aplicaciones en su empresa, probablemente necesite buscar las que se conectan a su infraestructura de correo electrónico y configurarlas para utilizar los métodos correctos de autenticación. Algunos pueden no ser compatibles con DMARC o uno de los otros protocolos, y luego hay que buscar la forma de solucionarlo o lidiar con el hecho de que algunos de sus correos electrónicos pueden no estar listos.

Como puede ver, el viaje DMARC/DKIM/SPF no es simple, con muchos caminos laterales y diversiones. Asegúrese de obtener la aprobación de la alta dirección y no subestime la cantidad de tiempo para completar el proyecto.