DMARC es un protocolo que nos brinda la posibilidad de autenticar al emisor del correo electrónico, es decir, garantizar que el correo viene del dominio que indica, por ejemplo, seguridad@empresa.com.
La aparición de DMARC se remonta a 2015 ante la apremiante necesidad de autenticar el remitente, los principales proveedores a nivel mundial desarrollaron de forma conjunta este protocolo, de ahí nace el RFC7489 https://tools.ietf.org/html/rfc7489 documento que define el estandar DMARC.
¿Qué es DMARC?
DMARC tiene dos principales funciones:
- Verificar la autenticidad de un correo electrónico.
- Impedir que los correos falsos lleguen a su destino.
«Domain-based Message Authentication, Reporting and Conformance» son las siglas en inglés de Autenticación de mensajes basada en dominio informes y conformidad.
Es un protocolo de autenticación de correo electrónico. Permite proteger un determinado dominio de usos no autorizados relacionados con la suplantación del correo electrónico de su organización. Así, gracias a DMARC podrá evitar que sus clientes reciban correos electrónicos de phishing, scam u otras ciberamenazas en su nombre.
¿Cómo funciona DMARC?
DMARC se apoya en dos protocolos, SPF (Sender Policy Framework) y DKIM (Domain Keys Identified Mail).
SPF comprueba que el email es enviado desde una direccion IP válida.
Etiqueta Descripción Valores permitidos
v Versión de SPF. Esta etiqueta es obligatoria y tiene que ser la primera del registro. Debe tener este valor:
v=spf1
________________________________________________________
ip4 Autoriza a servidores de correo mediante una dirección o un intervalo de direcciones IPv4. El valor debe ser una dirección o un intervalo de direcciones IPv4 en formato estándar. Por ejemplo:ip4:192.168.0.1
oip4:192.0.2.0/24
________________________________________________________
ip6 Una lista de URI para enviar reportes XML. DMARC requiere una lista de URI y no solo un correo, quedando: “mailto: analizador-dmarc@receptor-del-reporte.com”. Autoriza a servidores de correo mediante una dirección o un intervalo de direcciones IPv6. El valor debe ser una dirección o un intervalo de direcciones IPv6 en formato estándar. Por ejemplo:
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
o
ip6:2001:db8:1234::/48
lista de URI para enviar reportes XML. DMARC requiere una lista de URI y no solo un correo, quedando: “mailto: analizador-dmarc@receptor-del-reporte.com”.
________________________________________________________
a Autoriza a servidores de correo por su nombre de dominio. Por ejemplo:
a:tuproveedor.com
________________________________________________________
Autoriza a uno o varios servidores de correo por el registro MX del dominio. Por ejemplo:mx
mx:mail.solarmora.com
Si no incluyes este mecanismo en tu registro SPF, el valor predeterminado son los registros MX del dominio en el que se usa el registro SPF.
________________________________________________________
include
Autoriza a remitentes de correo externos por su dominio. Por ejemplo:________________________________________________________
all
Indica que todos los mensajes entrantes coinciden. Te recomendamos que siempre incluyas este mecanismo en tu registro SPF.all
se ignorarán.~all
(calificador de que se supera la autenticación con reservas), los servidores que reciben correo suelen aceptar los mensajes de remitentes que no figuran en el registro SPF, pero los marcan como sospechosos.-all
(calificador de fallo), puede que los servidores que reciben correo rechacen los mensajes de remitentes que no figuren en el registro SPF. Si tu registro SPF no está bien configurado y usas el calificador de fallo, puede que se marquen como spam más mensajes de tu dominio.vspf1 ~all
Ejemplo de configuración DMARC en el DNS:
DKIM verifica que el correo está firmado digitalmente por el dominio original.
Para este parametro debemos generar una clave DKIM, nuestro proveedor de correo nos facilitará esta información que debemos reflejar en el DNS.
vspf1 ~all
Impacto
Tengamos en cuenta que en caso de que tu organización no implemente DMARC o no esté correctamente implementado un atacante podría enviar un email suplantando la identidad de un compañero de trabajo solicitando acceso a algún servicio interno por ejemplo. No se queda solo ahí, un atacante podría solicitar cobrar una factura desde un correo aparentemente legítimo de un proveedor a suplantar y conseguir no solo información confidencial sino incluso lograr que se realicen transferencias a la cuenta del atacante mientras la victima piensa que está pagando una factura legítima al proveedor.
Esto también puede suceder fuera de entorno laboral, suplantando el atacante a páginas de venta bancos, falsas promociones, y una larga lista de eventos conocidos.
¿Que parámetros tiene en cuenta la configuración de DMARC?
La configuración se define mediante etiquetas, estas son:
Etiqueta Descripción Valores permitidos
v Versión del protocolo DMARC (actualmente DMARC1)
________________________________________________________
p Política para aplicar al correo electrónico que falla la verificación de DMARC. Puede ser “none”, “quarantine” o “reject”. “none” se utiliza para recopilar los reportes de DMARC y obtener información sobre el alineamiento y configuración de proveedores de correo.
________________________________________________________
rua Una lista de URI para enviar reportes XML. DMARC requiere una lista de URI y no solo un correo, quedando: “mailto: analizador-dmarc@receptor-del-reporte.com”.
________________________________________________________
ruf Una lista de URI para enviar informes forenses. DMARC requiere una lista de URI y no solo un correo, quedando: “mailto: analizador-dmarc-forense@receptor-del-reporte.com”.
________________________________________________________
rf El formato de reporte para informes forenses. Esto puede ser “afrf” (Authentication Failure Reporting Formats) o “iodef” (Incident Object Description Exchange Format ).
________________________________________________________
pct La etiqueta de porcentaje indica que solo apliquen la política de DMARC a un porcentaje de los correo electrónico fallidos. “pct=50” indicará a los receptores apliquen solo la política al 50% de los correos electrónicos que no superen la verificación DMARC. La etiqueta pct se diseñó como una forma de aplicar gradualmente las políticas DMARC para acortar el período de implementación para las empresas en línea.
________________________________________________________
adkim El modo de alineación adkim se refiere a la precisión con la que se comparan los registros del remitente con las firmas DKIM, con dos posibles valores:
aspf El modo de alineación aspf se refiere a la precisión con la que se comparan los registros del remitente con las firmas SPF, con dos posibles valores:
«r» (relajado) permite coincidencias parciales, como subdominios de un dominio dado.
«s» (estricto) requiere una coincidencia exacta.
sp Esta política se debe aplicar a los correos electrónicos de un subdominio que no pasan la verificación de DMARC. Al usar esta etiqueta, los propietarios del dominio pueden publicar una política de comodín para todos los subdominios.
fo Opciones forenses Valores permitidos: “0” para generar informes si tanto DKIM como SPF fallan, “1” para generar informes si DKIM o SPF fallan, por último “d” y «s» para generar un informe si DKIM(d) ha fallado o si SPF(s) falló. Este campo puede tener múltiples opciones combinadas.
ri El intervalo de informe de la frecuencia con la que desea recibir informes XML agregados. Esta es una preferencia y los proveedores comúnmente enviar el informe en diferentes intervalos ignorando esta preferencia.
Ejemplo de configuración DMARC en el DNS:
v=DMARC1; p=quarantine; adkim=s; aspf=s; rua=mailto:analizador-dmarc@receptor-del-reporte.com,mailto:analizador-dmarc@otro-receptor-del-reporte-diferente.com; ruf=mailto:analizador-dmarc@receptor-del-reporte.com,mailto:analizador-dmarc@otro-receptor-del-reporte-diferente.com; pct=100; fo=1;
Esta configuración como hemos visto define:
- Versión: DMARC1
- Política: Cuarentena
- Alineamiento dkim: estricto
- Alineamiento spf: estricto
- Porcentaje: 100%
- Opciones forenses si DKIM o SPF fallan
Ejemplo de reporte
Los reportes vienen en formato XML. Saber léerlos es importante para comprender mejor el flujo de correo. Los informes ayudan a los administradores a tomar medidas rápidamente cuando detectan un proveedor de correo legitimo mal configurado, que ha añadido nuevas IPs y no están reflejadas en el SPF o que no tiene correctamente configurado dkim. Aquí hay un extracto de un informe inventado que muestra los resultados de los mensajes enviados desde un par de direcciones IP, uno enviado directamente y el otro reenviado. Ambos mensajes pasaron la validación.
<record> <row> <source_ip>192.168.1.101</source_ip> <count>1</count> <policy_evaluated> <disposition>none</disposition> </policy_evaluated> </row> <identities> <header_from>tudominio.com</header_from> </identities> <auth_results> <dkim> <domain>tudominio.com</domain> <result>pass</result> <human_result></human_result> </dkim> <spf> <domain>tudominio.com</domain> <result>pass</result> </spf> </auth_results> </record> <record> <row> <source_ip>192.168.1.102</source_ip> <count>1</count> <policy_evaluated> <disposition>none</disposition> <reason> <type>forwarded</type> <comment></comment> </reason> </policy_evaluated> </row> <identities> <header_from>tudominio.com</header_from> </identities> <auth_results> <dkim> <domain>tudominio.com</domain> <result>pass</result> <human_result></human_result> </dkim> <spf> <domain>tudominio.com</domain> <result>pass</result> </spf> </auth_results> </record>
Recomendaciones
Si los datos no son favorables, debemos analizar que IPs no están alineadas con el SPF y de que proveedor son, revisar que porcentajes de correos están pasando SPF, cuantos DKIM y cuantos DMARC.Despliegue lento, no pasar de politica none a reject sin pasar el suficiente tiempo en quarantine, aplicar a un porcentaje de correos pequeños la validación e ir aumentando lentamente en funcion de los datos obtenidos en los reportes. Depende del número de proveedores y del volumen de correos las velocidades pueden ser muy diferente.
Tratándolo de la forma más genérica los pasos los podriamos resumir en:
Aplicamos Política Nada para analizar durante al menos dos meses el alineamiento, en función de los datos obtenidos, si son favorables, avanzamos a política Cuarentena al 5%, si los resultados son favorables avanzamos el porcentaje lentamente hasta el 100%, si queremos ir un paso más allá, aplicaremos la política Rechazar al 5% y vuelta a empezar con la subida del porcentaje paulatinamente.
No hay comentarios.:
Publicar un comentario