Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo evitar la falsificación de direcciones de correo electrónico

[25/07/2019] Si no está utilizando los estándares de seguridad de correo electrónico globales SPF, DKIM y DMARC, debería hacerlo. Han existido por muchos años y han sido usados y tienen la confianza de millones de personas. Solo pueden ser útiles.

Sender Policy Framework (SPF), Domain Keys Identified Mail (DKIM) y Domain-Based Message Authentication, Reporting and Conformance (DMARC) le permiten evitar que terceros malintencionados falsifiquen su dominio de correo electrónico a otras personas que lo utilicen. No funcionan a la perfección, pero cuando están habilitados, reducirán absolutamente algunas formas de correo electrónico malicioso.

Para que estos protocolos funcionen, el administrador del dominio de correo electrónico del remitente los habilita en DNS usando registros TXT. (Los registros TXT son un tipo particular de registro DNS, como lo es un registro A), o habilitándolo en la consola administrativa de su proveedor de correo electrónico. Cuando están habilitados, los receptores (en realidad, sus servidores de correo electrónico o clientes en su nombre) de correos electrónicos de dominios activados pueden verificar información adicional para cerciorarse de que un correo electrónico en particular provenga realmente del dominio de correo electrónico desde el cual se afirma haber sido enviado.

Es un poco confuso. Los dominios de envío habilitan los protocolos para que los receptores puedan verificar que los correos electrónicos realmente sean del dominio del remitente. Los remitentes habilitan estos protocolos para que otras personas no puedan afirmar que son ellos. Los receptores los habilitan para que puedan verificar si un correo electrónico específico proviene de donde afirma provenir. Ambos lados deben estar habilitados. Habilitarlos no puede dañar nada, a menos que decida dar el paso draconiano de rechazar todos los correos electrónicos que fallan en cualquiera de los checks. Sugerencia: esto causará demasiados falsos positivos; en su lugar, elija cuarentena.

SPF funciona impidiendo la falsificación de una dirección de retorno real legítima de correo electrónico del dominio (es decir, la dirección de correo electrónico a la que enviaría una respuesta). Esta dirección de correo electrónico se conoce como la dirección 5321, porque está definida en RFC 5321, que define el Simple Mail Transfer Protocol (SMTP). Dependiendo del cliente de correo electrónico, la dirección 5321 puede no mostrarse siempre. Esto es especialmente cierto en el caso de los clientes de correo electrónico de factor de forma pequeño, como los que se ven en los smartphones.

DKIM funciona impidiendo la falsificación de la dirección de correo electrónico "Mostrar Desde (de RFC 5322, estándar de correo electrónico del Internet Message Form). La dirección Mostrar Desde casi siempre se le enseña a un usuario final cuando realiza una vista previa o abre un correo electrónico, por eso lleva ese nombre. La siguiente figura muestra la diferencia entre las direcciones de correo electrónico 5321 y 5322.

La diferencia entre las direcciones de correo electrónico 5321 y 5322.
DMARC, DKIM y SPF, email, correo electrónico

Aunque estas direcciones pueden diferir en el correo electrónico legítimo, es más probable que difieran en los correos electrónicos maliciosos. Siempre he considerado que se parece mucho a la diferencia entre el aspecto de un enlace de URL en un correo electrónico y lo que realmente es cuando se coloca el cursor del mouse sobre él. Cada vez que veo dos cosas diferentes, me preocupo un poco. En la mayoría de los correos electrónicos, las dos versiones de URL deben estar de acuerdo, y al pasar el cursor sobre uno solo se debe verificar que coincida con el más obvio nombre para mostrar (que puede ser falsificado).

SPF y DKIM permiten que los receptores de correos electrónicos se aseguren de que los dominios (y solo los dominios) de un correo electrónico recibido provengan realmente de los servidores de correo electrónico de esos dominios declarados. Sin embargo, lo hacen de manera muy diferente. DMARC es un estándar adicional que esencialmente les indica a otros, que se apoyan en sus registros SPF y DKIM, cómo deben tratar los correos electrónicos fallidos o falsificados.

Nota: SPF y DKIM solo verifican la legitimidad de los dominios de envío y declarados (por ejemplo, @example.com). La parte del nombre de la dirección de correo electrónico, antes del dominio del correo electrónico (por ejemplo, roger@ o rogerg@), aún podría ser falsificada por un remitente malintencionado.

Cómo usar SPF

Los remitentes habilitan SPF para su dominio al crear al menos un registro DNS TXT. Al crear el registro TXT DNS SPF, debe tener algunos datos a mano, incluidos los servidores de correo electrónico en los que desea manejar cada dominio definido y sus direcciones IP públicas.

Los enlaces de configuración de SPF útiles incluyen las instrucciones de Rackspace para crear un registro TXT de SPF; el SPF Check de Proofpoint, que le permite averiguar qué servidores están autorizados para enviar correos electrónicos en nombre de un dominio; y SPF Wizard, que le ayuda a crear el registro DNS necesario en función de las respuestas de su consulta.

Si aún tiene dudas, póngase en contacto con su ISP o proveedor de dominio de correo electrónico. Deben poder decirle lo que necesita incluir en el registro TXT de DNS. Aquí hay algunos registros TXT de ejemplo SPF simples:

com. IN TXT "v=spf1 -all"
com. EN TXT "v = spf1 a ip4: 192.168.1.1 ~ all

Los usuarios de Microsoft Office 365 deben consultar la base de conocimientos de Microsoft para habilitar SPF para su dominio.

Una vez que llega a un cliente de correo electrónico, así se ve un encabezado de correo electrónico SPF verificado:

Encabezado de correo electrónico SPF verificado.
DMARC, DKIM y SPF, correo electrónico, gmail

Aquí se muestra el aspecto de un encabezado SPF fallido una vez que llega a un cliente de correo electrónico:

Encabezado SPF fallido verificado.
DMARC, DKIM y SPF, correo electrónico, email

Recuerde, con todas estas tecnologías, el usuario final no suele examinar los encabezados o determinar si debe mirar un correo electrónico en particular. Todo esto se hace en segundo plano por el servidor/servicio de correo electrónico de recepción, aunque comprender cómo se ven los encabezados en los modos de aprobación y falla, puede ayudar a aquellos de nosotros que nos preocupamos lo suficiente como para examinar los encabezados cuando vemos un correo electrónico sospechoso.

Cómo usar DKIM

Configurar DKIM requiere un poco más de conocimiento que en el caso de SPF. Requiere una modificación al servidor de correo electrónico/servicio de ese remitente. El remitente debe crear/obtener un par de claves públicas/privadas criptográficas, instalarlas en su servidor/servicio de correo electrónico, y luego crear un registro TXT de DNS que contenga su clave pública. Cada correo electrónico saliente está firmado por la clave privada del servidor de correo electrónico y los receptores pueden verificar el correo electrónico firmado digitalmente mediante la clave pública del remitente.

Aquí hay un ejemplo de un registro DKIM DNS TXT (p es la clave pública del servidor de correo electrónico en formato Base64):

selector._domainkey.example.com IN TXT "v=DKIM1;p=RAG...123

Este es un ejemplo de encabezado de correo electrónico DKIM:

Encabezado de correo electrónico DKIM.
DMARC, DKIM y SPF, correo electrónico, email

Este es un ejemplo de un encabezado de correo electrónico DKIM verificado correctamente:

Encabezado de correo electrónico DKIM verificado.
DMARC, DKIM y SPF, correo electronico, email

Cómo utilizar DMARC

DMARC es simplemente un servicio de agregación para determinar si el remitente usa SPF y DKIM, y cómo el remitente recomienda que los receptores deban tratar los correos electrónicos fallidos/falsificados que alegan pertenecer al dominio del remitente. Al igual que SPF y DKIM, se configura en DNS como un registro TXT por el remitente.

Un registro DMARC DNS TXT podría verse similar a este:

TXT IN "v=DMARC1;p=quarantine;pct=100;rua=mailto:dmarccheck@example.com;"

Uno de los campos más importantes es el valor p, que indica cómo el remitente desea que los receptores traten los correos electrónicos fallidos. P puede ser uno de tres valores:

  • Ninguno: No recibe ningún tratamiento especial por correos electrónicos fallidos.
  • Cuarentena: Tratar como sospechoso.
  • Rechazar: Rechazar el correo electrónico en el servidor antes de que llegue al cliente.

Tenga en cuenta que los correos electrónicos legítimos fallan en uno o más chequeos SPF, DKIM y DMARC de forma rutinaria. Esto es a menudo porque alguien configuró algo incorrecto, el correo electrónico se manipuló incorrectamente u otras razones. Cualquiera que elija el valor de "rechazo probablemente será asesinado por la administración, o sus usuarios finales porque no recibieron correos electrónicos legítimos. Vaya con cuidado y elija "cuarentena en lugar de "rechazo. Incluso entonces, muchos servicios de correo electrónico actuarán como si se hubiera especificado "ninguno.

Los protocolos no son perfectos

SPF, DKIM DMARC no son perfecto por muchas razones, entre ellas:

  • Un hacker podría estar enviando un correo electrónico malicioso desde un ambiente de dominio comprometido.
  • Un hacker podría estar usando un dominio que habilita y usa SPF y DKIM.
  • Muchos servidores de correo electrónico comerciales no respetan su configuración o todas las configuraciones. Muchas veces se debe a la forma en que, a través de muchas direcciones IP cambiantes, los hosts de correo electrónico grandes trabajan con muchos servidores para enviar correos electrónicos en nombre de su dominio.

Incluso con los defectos, habilitar SPF, DKIM y DMARC solo puede serle útil. Reducirá parte de los correos electrónicos falsificados recibidos de manera fraudulenta, y eso solo puede ser bueno.

Solo asegúrese de nunca rechazar completamente cualquier correo electrónico que no supere una o más pruebas de verificación. Los correos electrónicos legítimos no pasan estas comprobaciones todo el tiempo. Desea configurar SPF, DKIM y DMARC para que dejen que un defensor humano inspeccione los correos electrónicos fallidos (es decir, en cuarentena). Si encuentra que SPF, DKIM o DMARC causa demasiados problemas, siempre puede elegir configuraciones menos agresivas, o si se produce una falla completa, desactívelas por completo (aunque no he visto que alguien haya tenido que hacer esto todavía).

Algo más para tener en cuenta. Los usuarios de Office 365 se quejan con frecuencia de que Microsoft no respeta todas sus configuraciones de defensa de correo electrónico. Muchos administradores de 0ffice 365 configuran la regla Exchange para bloquear correos electrónicos que falsifican el propio dominio del receptor.