El mundo digital cada vez se está pareciendo más al mundo real. En él, podemos, por ejemplo, guardar y crear recuerdos, podemos tener una identidad, podemos viajar por el mundo, y también corremos riesgos mientras estamos en él. Sin duda, el correo electrónico se ha vuelto uno de los medios (junto con las redes sociales) por el que el peligro tiene mejores vías de llegar a nosotros.
Es muy probable que sea porque una amenaza se puede “camuflar” mejor, o porque, como los usuarios lo consideran una forma de comunicarse segura, no mantienen la alerta necesaria.
A través del correo el electrónico pueden llegar amenazas de varias formas, solo por exponer de forma muy básica algunos ejemplos:
- Spam: Es el correo electrónico que nos llega con publicidad no deseada, y cuyo objetivo es conseguir que el usuario compre algún producto o se dé de alta en algún servicio. Aunque no tiene peligro a simple vista, puede tenerlo si el sitio al que nos invita, no tiene un interés legítimo.
- Malware: El correo contiene un enlace o archivo malicioso, que, al pinchar desenlaza una serie de tareas (sin que el usuario sea consciente). Puede desencadenar ejecuciones de diversa índole en nuestro ordenador, pero todas ellas con un denominador común: el atacante sacará beneficio de esas acciones.
- Phising: El atacante intenta “engañar” bajo la apariencia de un correo de confianza, para que el usuario entregue sus datos de acceso a un servicio (por ejemplo, el usuario y contraseña de la web del banco) y poder realizar acciones en ese sitio que le benefician a él, y por tanto perjudican al atacado.
Evidentemente estas técnicas cada vez se vuelven más complejas y evolucionadas, y en muchos casos combinan amenazas para poder conseguir el objetivo. He querido hacer un resumen breve simplemente para poner en contexto la necesidad de lo que vamos a ver a partir de ahora.
Configurar SPF, DMARC y DKIM
Evidentemente todos los usuarios y las empresas quieren librarse de este tipo de amenazas y, aunque la mejor protección sigue siendo formar al usuario y darle a conocer cómo detectar este tipo de amenazas, hay algunas configuraciones que los administradores de TI, pueden hacer con el objeto de reducir correos de este tipo.
Una de ellas es configurar correctamente 3 elementos que impedirán que la gran mayoría de los correos maliciosos lleguen a su destino, y directamente sean rechazados, puestos en cuarentena, o entregados a la bandeja de Spam. Esos elementos son SPF, DMARC y DKIM.
SPF: Sender policy framework
Seguramente este registro estará configurado ya que lo incluye Microsoft 365 por defecto, y por lo tanto, probablemente esté agregado en la configuración inicial.
El administrador de TI, publica las direcciones IP o desde las que sus servidores de correo envían correos. Cuando un servidor de correo de un tercero recibe un correo, consulta ese registro y comprueba la lista de direcciones IP publicadas. Si el correo proviene de una de esas direcciones IP, entiende que el correo es legítimo y lo deja pasar.
Por ejemplo, nuestro registro SPF indica que las direcciones de nombre de dominio desde las que envían nuestros servidores es: correo.jmcastillo.eu. Cuando un servidor de correo de otra empresa reciba un correo de la nuestra, comprobará (ya que es una información incluida en el correo) si viene de esas direcciones. Si no es así, lo rechazará o pondrá en la bandeja de no deseado.
DMARC: Domain-based Message Authentication, Reporting, and Conformance.
Nace de la facilidad que tiene un atacante de camuflar la dirección real de envío con otra que puede resultar de confianza. Dicho de otra forma, DMARC comprueba que los campos MAILFROM (la dirección de correo real) y FROM (la dirección de correo que vemos en el campo De), coincidan. Si no es así, el correo nunca se entregará.
Por ejemplo: Recibimos un correo malicioso en el cual la dirección de correo visible es la dirección de un compañero, o del CEO de la empresa, pero contiene un enlace que nos redirige a un sitio malicioso. Este tipo de engaño es muy difícil de detectar por los usuarios ya que en el campo “de” aparece una dirección interna de la empresa y por lo tanto confiable.
DKIM: Es el acrónimo de DomainKeys Identified Mail.
Este sistema funciona usando certificados digitales para confirmar que son realmente envidadores válidos. Al igual que nosotros tenemos la posibilidad de certificar nuestra identidad mediante certificado digital, los servidores de correo tienen esa posibilidad.
Ejemplo: Si nuestro servidor tiene configurado DKIM el correo, al ser enviado incorpora una clave publica en el envío. Al recibir un correo un servidor de terceros, comprueba que tenemos DKIM, y espera esa clave. Si no se entrega esa clave, el correo es entendido como ilegítimo.
Con DKIM hay que aportar algo más de información, ya que el servidor de correo que recibe debe estar preparado para entender esta tecnología. Las versiones más antiguas de servidores de correo necesitan plug-ins, o directamente no permite la configuración. En esos casos, aunque tengamos habilitado DKIM en nuestro servidor, el correo se gestionaría, verificando SPF y DMARK, pudiéndose entregar el correo legítimo con normalidad.
Requisitos previos
Ahora que ya tenemos todos los ingredientes sobre la mesa, el siguiente paso será ponernos manos a la obra y configurar todos estos elementos. Para que podáis digerir toda la información, de momento os avanzo cuáles son los requisitos previos.
- En primer lugar, necesitamos tener acceso con permisos de Complianced Admin o Global Admin de Microsoft 365, y acceso como administrador al panel DNS.
- Tener instalado el modulo de powershell EXO v2 en el equipo desde el que vallamos a configurar.
- Necesitamos que nuestro servidor tenga un dominio público
Nosotros para esta publicación usaremos el dominio jmcastillo.eu el cual es un dominio de laboratorio creado por mí, y que no tiene valor en producción…Pero esto os lo contaré en la segunda parte de este artículo, donde nos pondremos manos a la obra con la configuración de SPF, DMARC y DKIM 😉
¡Suscríbete a nuestras RRSS!
