DMARC como autenticación de correo electrónico

Desde hace muchos años el correo electrónico es indispensable en las organizaciones, hoy en día incluso para uso personal es importante contar con uno. Pero si hablamos del uso del correo electrónico dentro de las organizaciones, donde se transfiere diariamente información tanto confidencial o de uso público es importante saber cómo protegernos de ataques por este medio.

En este blog abordaremos los diferentes tipos de autenticación para el correo electrónico, centrándonos en el concepto DMARC.

¿Qué es DMARC?

DMARC o Domain-based Message Authentification Reporting and Conformance, es un protocolo de autenticación de correo electrónico de código abierto que suministra protección a nivel de dominio para el canal de correo electrónico. Esta autenticación detecta y evita las técnicas de spoofing o suplantación de correo electrónico que se usan en el phishing, los ataques de compromiso de correo electrónico corporativo (BEC) y otros ataques basados en correo electrónico. Tomando como punto de partida los estándares existentes DKIM, DMARC Y SPFF, la primera tecnología de amplio espectro de aplicación que puede lograr establecer la fiabilidad del dominio del encabezado del remitente es DMARC.

El propietario del dominio puede publicar un registro DMARC en el sistema de nombres de dominio (DNS) y crear una política para indicarles a los destinatarios que hacer con los correos electrónicos que no superen la autenticación.

SPF y DKIM

SPF y DKIM son dos de los mecanismos básicos que juegan un papel crucial en DMARC. Cada uno está basado en unos registros únicos que ayudan a confirmar la legitimidad de los correos electrónicos.

El Convenio de Remitentes (SPF, del inglés “Sender Policy Framework”) es un protocolo de validación de correo electrónico que le permite a una organización enviar correo electrónico desde su dominio. Las organizaciones pueden autorizar a los remitentes dentro de un registro SPF publicado dentro del Sistema de Nombres de Dominio (DNS, del inglés “Domain Name System”). Este registro incluye a las direcciones IP aprobadas de los remitentes.

El Correo Identificado por Claves de Dominio (DKIM) es un protocolo de autenticación de correo electrónico que le permite al destinatario comprobar que un correo electrónico de un dominio específico realmente estuvo autorizado por el propietario de ese dominio. Le permite a una organización hacerse responsable de la transmisión de un mensaje adjuntándole una firma digital. La verificación se realiza mediante autenticación criptográfica usando la clave pública del firmante, publicada en el DNS. La firma garantiza que las partes interesadas del correo electrónico no hayan sido modificadas desde el momento en que se adjuntó la firma digital.

Tanto SPF como DKIM ayudan a establecer la autenticación de los correos y prevenir amenazas comunes de seguridad en el correo, como spoofing y ataques de phishing. En el contexto de DMARC, estos mecanismos de autenticación son usados en conjunto para validar la identidad del remitente. La DMARC policy, publicada como un registro DNS, instruye a los servidores que reciben el mensaje de manera de tratar los emails que fallan las comprobaciones SPF o DKIM. Combinando resultados SPFy DKIM con DMARC policy, los dueños de los dominios web pueden especificar si prefieren poner en cuarentena o rechazar los correo que no pasan la autenticación, permitiendo un mejor control sobre la entrega de emails y reduciendo el riesgo de correos fraudulentos intentando atacar o piratear su dominio.

Cómo comprobar y verificar DMARC

Para que un mensaje pueda aprobar esta autenticación, debe primero superar la autenticación SPF y la alineación SPF, y/o superar la autenticación DKIM y la alineación con DKIM. Si un mensaje no aprueba DMARC, los remitentes pueden indicarles a los destinatarios qué hacer con ese mensaje mediante una política de implantación. Existen tres políticas o DMARC policy options, que el propietario del dominio puede implementar “ninguno” (el mensaje se entrega al destinatario y el informe se envía al propietario del dominio), “cuarentena” (el mensaje se envía a una carpeta de cuarentena) y “rechazar” (el mensaje no se entrega).

La política de DMARC “ninguno” es un excelente primer paso. Así, el propietario del dominio puede garantizar que todos los correos electrónicos legítimos se estén autenticando adecuadamente. El propietario del dominio recibe informes que les ayudan a garantizar que todos los correos electrónicos legítimos sean identificados y superen la autenticación.

Una vez que el propietario del dominio está seguro de que se hayan identificado a todos los remitentes legítimos y de que se hayan resuelto los problemas de autenticación, puede pasarse a una política de “rechazar” y bloquear al phishing, el compromiso de correo electrónico empresarial y a otros ataques de correo electrónico fraudulento.

Como destinatario de un correo electrónico, una organización puede garantizar que su puerta de enlace protegida de correo electrónico haga valer la política DMARC implementada al propietario del dominio. Esto protege a los empleados contra amenazas en el correo electrónico entrante.

La autenticación SPF comienza por identificar a todas las direcciones IP legítimas que deberían enviar correo electrónico desde un dominio dado, y después publica esta lista en el DNS. Antes de entregar un mensaje, los proveedores de correo electrónico verifican el registro SPF buscando el dominio incluido en la dirección de “sobre de remitente” dentro del encabezado técnico oculto del correo electrónico. Si la dirección IP que envía un correo electrónico en nombre de este dominio no está listada en el registro SPF del dominio entonces el mensaje falla la autenticación SPF.

Para la autenticación DKIM, el remitente identifica en primer lugar los campos que desean incluir en su firma DKIM. Estos campos pueden incluir la dirección de remitente, el cuerpo del correo electrónico, el asunto y más. Estos campos deben quedar intactos durante el tránsito, o el mensaje no aprobará la autenticación DKIM. En segundo lugar, la plataforma de correo electrónico del remitente creará un hash de los campos de texto incluidos en la firma DKIM. Una vez generada la cadena hash, se cifra con una clave privada, a la cual solamente el remitente tiene acceso. Después de enviado el correo electrónico, ya depende del proveedor del buzón de email o de la pasarela, validar la firma DKIM. Esto se hace localizando una clave pública que sea exactamente igual a la privada. Después, la firma DKIM se descifra hasta su cadena hash original.

¿Necesitas ayuda para mejorar la seguridad de tu dominio y del correo electrónico de tu organización? Contáctanos.

Fuente: Proofpoint