El mundo digital cada vez se está pareciendo más al mundo real. En él, podemos, por ejemplo, guardar y crear recuerdos, podemos tener una identidad, podemos viajar por el mundo, y también corremos riesgos mientras estamos en él. Sin duda, el correo electrónico se ha vuelto uno de los medios (junto con las redes sociales) por el que el peligro tiene mejores vías de llegar a nosotros.
Es muy probable que sea porque una amenaza se puede “camuflar” mejor, o porque, como los usuarios lo consideran una forma de comunicarse segura, no mantienen la alerta necesaria.
A través del correo el electrónico pueden llegar amenazas de varias formas, solo por exponer de forma muy básica algunos ejemplos:
Evidentemente estas técnicas cada vez se vuelven más complejas y evolucionadas, y en muchos casos combinan amenazas para poder conseguir el objetivo. He querido hacer un resumen breve simplemente para poner en contexto la necesidad de lo que vamos a ver a partir de ahora.
Evidentemente todos los usuarios y las empresas quieren librarse de este tipo de amenazas y, aunque la mejor protección sigue siendo formar al usuario y darle a conocer cómo detectar este tipo de amenazas, hay algunas configuraciones que los administradores de TI, pueden hacer con el objeto de reducir correos de este tipo.
Una de ellas es configurar correctamente 3 elementos que impedirán que la gran mayoría de los correos maliciosos lleguen a su destino, y directamente sean rechazados, puestos en cuarentena, o entregados a la bandeja de Spam. Esos elementos son SPF, DMARC y DKIM.
Seguramente este registro estará configurado ya que lo incluye Microsoft 365 por defecto, y por lo tanto, probablemente esté agregado en la configuración inicial.
El administrador de TI, publica las direcciones IP o desde las que sus servidores de correo envían correos. Cuando un servidor de correo de un tercero recibe un correo, consulta ese registro y comprueba la lista de direcciones IP publicadas. Si el correo proviene de una de esas direcciones IP, entiende que el correo es legítimo y lo deja pasar.
Por ejemplo, nuestro registro SPF indica que las direcciones de nombre de dominio desde las que envían nuestros servidores es: correo.jmcastillo.eu. Cuando un servidor de correo de otra empresa reciba un correo de la nuestra, comprobará (ya que es una información incluida en el correo) si viene de esas direcciones. Si no es así, lo rechazará o pondrá en la bandeja de no deseado.
DMARC: Domain-based Message Authentication, Reporting, and Conformance.
Nace de la facilidad que tiene un atacante de camuflar la dirección real de envío con otra que puede resultar de confianza. Dicho de otra forma, DMARC comprueba que los campos MAILFROM (la dirección de correo real) y FROM (la dirección de correo que vemos en el campo De), coincidan. Si no es así, el correo nunca se entregará.
Por ejemplo: Recibimos un correo malicioso en el cual la dirección de correo visible es la dirección de un compañero, o del CEO de la empresa, pero contiene un enlace que nos redirige a un sitio malicioso. Este tipo de engaño es muy difícil de detectar por los usuarios ya que en el campo “de” aparece una dirección interna de la empresa y por lo tanto confiable.
DKIM: Es el acrónimo de DomainKeys Identified Mail.
Este sistema funciona usando certificados digitales para confirmar que son realmente envidadores válidos. Al igual que nosotros tenemos la posibilidad de certificar nuestra identidad mediante certificado digital, los servidores de correo tienen esa posibilidad.
Ejemplo: Si nuestro servidor tiene configurado DKIM el correo, al ser enviado incorpora una clave publica en el envío. Al recibir un correo un servidor de terceros, comprueba que tenemos DKIM, y espera esa clave. Si no se entrega esa clave, el correo es entendido como ilegítimo.
Con DKIM hay que aportar algo más de información, ya que el servidor de correo que recibe debe estar preparado para entender esta tecnología. Las versiones más antiguas de servidores de correo necesitan plug-ins, o directamente no permite la configuración. En esos casos, aunque tengamos habilitado DKIM en nuestro servidor, el correo se gestionaría, verificando SPF y DMARK, pudiéndose entregar el correo legítimo con normalidad.
Ahora que ya tenemos todos los ingredientes sobre la mesa, el siguiente paso será ponernos manos a la obra y configurar todos estos elementos. Para que podáis digerir toda la información, de momento os avanzo cuáles son los requisitos previos.
Nosotros para esta publicación usaremos el dominio jmcastillo.eu el cual es un dominio de laboratorio creado por mí, y que no tiene valor en producción…Pero esto os lo contaré en la segunda parte de este artículo, donde nos pondremos manos a la obra con la configuración de SPF, DMARC y DKIM 😉
Este sitio web utiliza cookies para que tengas la mejor experiencia de usuario. Si continuas navegando, estás dando tu consentimiento para aceptar las cookies y también nuestra política de cookies (esperemos que no te empaches con tanta cookie 😊)