¿Qué es DMARC?

Definición

DMARC o Domain-based Message Authentification Reporting and Conformance, es un protocolo de autenticación de correo electrónico de código abierto que suministra protección a nivel de dominio para el canal de correo electrónico. Esta autenticación detecta y evita las técnicas de spoofing o suplantación de correo electrónico que se usan en el phishing, los ataques de compromiso de correo electrónico corporativo (BEC) y otros ataques basados en correo electrónico. Tomando como punto de partida los estándares existentes DKIM, DMARC y SPF, la primera tecnología de amplio espectro de aplicación que puede lograr establecer la fiabilidad del dominio del encabezado del remitente ("De") es DMARC . El propietario del dominio puede publicar un registro DMARC en el sistema de nombres de dominio (DNS) y crear una política para indicarles a los destinatarios qué hacer con los correos electrónicos que no superen la autenticación.

Ejemplos

  • Spoofing (suplantación) de dominios: un atacante falsifica el dominio de una compañía para que su correo electrónico parezca legítimo.
  • Spoofing (suplantación) de correo electrónico: un término para actividades que implican la suplantación de identidad en correo electrónico.
  • Compromiso de correo electrónico empresarial (BEC , del inglés Business Email Compromise): un correo electrónico que parece provenir de un ejecutivo en una organización, en el que se solicita el envío de dinero o de información sensible.
  • Correo electrónico impostor: un email suplantado, enviado por un impostor que afirma ser otra persona.
  • Phishing de correo electrónico: un correo electrónico que intenta que sus víctimas instalen malware o revelen sus credenciales. Un correo electrónico de phishing casi siempre luce igual que una marca conocida, para así parecer legítimo.
  • Phishing al consumidor: un email falsificado que se le envía al consumidor de una empresa, afirmando que lo envía dicha empresa, con la intención de robarles sus credenciales.
  • Spoofing (suplantación) de socios: un correo electrónico empresarial suplantado entre socios en una cadena de suministro, cuyo contenido pretende cambiar los detalles del pago para desviar fondos.
  • Whaling Phishing o estafas "balleneras": un correo electrónico fraudulento enviado a un empleado de alto nivel de una organización, con el objetivo de lograr un gran beneficio financiero.

Estándares

  • Autenticación de Mensajes Basada en Dominios, Informes y Conformidad (DMARC): un sistema de validación de correo electrónico que detecta y evita el spoofing de correo electrónico. Ayuda a combatir ciertas técnicas que se usan con frecuencia en el phishing y en el spam de correo electrónico, tales como correos electrónicos con direcciones de remitente falsificadas, que lucen como si proviniesen de organizaciones legítimas.
  • El Convenio de Remitentes (SPF, del inglés "Sender Policy Framework"): un protocolo de validación de correo electrónico diseñado para detectar y bloquear correos electrónicos. Permite a los intercambiadores de correo electrónico entrante verificar que un mensaje de correo electrónico proviene de una dirección IP autorizada por los administradores de ese dominio.
  • Correo Identificado por Claves de Dominio (DKIM, del inglés "DomainKeys Identified Mail"): un método de autenticación capaz de detectar el email spoofing. Le permite al receptor comprobar si un correo electrónico que afirma provenir de un dominio específico estaba autorizado por el dueño del dominio.
  • Directiva Operacional Vinculante 18-01: el Departamento de Seguridad Interior de los EE. UU. ha promulgado la Directiva Operacional Vinculante 18-01, que estipula que las agencias deben actualizar la seguridad de su correo electrónico y web. Las agencias deberán implementar DMARC, SPF y STARTTLS de manera eficaz.

SPF and DKIM

El Convenio de Remitentes (SPF, del inglés "Sender Policy Framework") es un protocolo de validación de correo electrónico que le permite a una organización enviar correo electrónico desde su dominio. Las organizaciones pueden autorizar a los remitentes dentro de un registro SPF publicado dentro del Sistema de Nombres de Dominio (DNS, del inglés "Domain Name System"). Este registro incluye a las direcciones IP aprobadas de los remitentes de correo electrónico, incluyendo las direcciones IP de proveedores de servicios que estén autorizados para enviar correos en nombre de la organización. Publicar y verificar registros SPF es una manera fiable de detener el phishing y otras amenazas basadas en correo electrónico que son forjadas desde direcciones y dominios de remitente.

El Correo Identificado por Claves de Dominio (DKIM, del inglés "DomainKeys Identified Mail") es un protocolo de autenticación de correo electrónico que le permite al destinatario comprobar que un correo electrónico de un dominio específico realmente estuvo autorizado por el propietario de ese dominio. Le permite a una organización hacerse responsable de la transmisión de un mensaje adjuntándole una firma digital. La verificación se realiza mediante autenticación criptográfica usando la clave pública del firmante, publicada en el DNS. La firma garantiza que las partes interesadas del correo electrónico no hayan sido modificadas desde el momento en que se adjuntó la firma digital.

Cómo comprobar y verificar DMARC

Para que un mensaje pueda aprobar esta autenticación, debe primero superar la autenticación SPF y la alineación SPF, y/o superar la autenticación DKIM y la alineación con DKIM. Si un mensaje no aprueba DMARC, los remitentes pueden indicarles a los destinatarios qué hacer con ese mensaje mediante una política de implantación. Existen tres políticas o DMARC policy options, que el propietario del dominio puede implementar: "ninguno" (el mensaje se entrega al destinatario y el informe se envía al propietario del dominio), "cuarentena" (el mensaje se envía a una carpeta de cuarentena) y "rechazar" (el mensaje no se entrega).

La política de DMARC "ninguno" es un excelente primer paso. Así, el propietario del dominio puede garantizar que todos los correos electrónicos legítimos se estén autenticando adecuadamente. El propietario del dominio recibe informes que les ayudan a garantizar que todos los correos electrónicos legítimos sean identificados y superen la autenticación. Una vez que el propietario del dominio está seguro de que se hayan identificado a todos los remitentes legítimos y de que se hayan resuelto los problemas de autenticación, pueden pasarse a una política de "rechazar" y bloquear al phishing, el compromiso de correo electrónico empresarial y otros ataques de correo electrónico fraudulento. Como destinataria de un correo electrónico, una organización puede garantizar que su puerta de enlace protegida de correo electrónico haga valer la política DMARC implementada al propietario del dominio. Esto protege a los empleados contra amenazas en el correo electrónico entrante.

Esquema de funcionamiento de la autenticación DMARC

La autenticación SPF comienza por identificar a todas las direcciones IP legítimas que deberían enviar correo electrónico desde un dominio dado, y después publica esta lista en el DNS. Antes de entregar un mensaje, los proveedores de correo electrónico verifican el registro SPF buscando el dominio incluido en la dirección de "sobre de remitente" dentro del encabezado técnico oculto del correo electrónico. Si la dirección IP que envía un correo electrónico en nombre de este dominio no está listada en el registro SPF del dominio, entonces el mensaje falla la autenticación SPF.

Para la autenticación DKIM, el remitente identifica en primer lugar los campos que desean incluir en su firma DKIM. Estos campos pueden incluir la dirección de remitente, el cuerpo del correo electrónico, el asunto y más. Estos campos deben quedar intactos durante el tránsito, o el mensaje no aprobará la autenticación DKIM. En segundo lugar, la plataforma de correo electrónico del remitente creará un hash de los campos de texto incluidos en la firma DKIM. Una vez generada la cadena hash, se cifra con una clave privada, a la cual solamente el remitente tiene acceso. Después de enviado el correo electrónico, ya depende del proveedor del buzón de email o de la pasarela, validar la firma DKIM. Esto se hace localizando una clave pública que sea exactamente igual a la privada. Después, la firma DKIM se descifra hasta su cadena hash original.

Herramientas y buenas prácticas

  • Debido al volumen de informes que un remitente de correo electrónico puede recibir, y la falta de claridad inherente a los informes DMARC, la correcta implementación de esta autenticación puede resultar complicada.
  • Las herramientas de análisis pueden ayudar a las organizaciones a darle sentido a la información incluida en los informes.
  • Los datos e ideas más allá de lo incluido en los informes ayudan a los organizadores a identificar a los remitentes de correo electrónico más rápidamente y de manera más precisa. Esto ayuda a acelerar el proceso de implementar la autenticación y reduce el riesgo de bloquear correo electrónico legítimo.
  • Los consultores de servicios profesionales con experiencia pueden ayudar a las organizaciones con la implementación. Los consultores pueden ayudar a identificar a todos los remitentes legítimos, corregir errores de autenticación e incluso trabajar con proveedores de servicios de correo electrónico para garantizar que estén autenticando adecuadamente.
  • Las organizaciones pueden crear un registro DMARC de correo en cuestión de minutos y comenzar a obtener visibilidad mediante informes si implementan una política del tipo "ninguno".
  • Mediante una adecuada identificación de todos los remitentes legítimos de correo electrónico ─incluyendo proveedores externos de servicios de correo electrónico─, y corrigendo cualquier problema de autenticación, las organizaciones podrían alcanzar un alto nivel de confianza antes de implementar una política DMARC del tipo "rechazar".

Elementos relacionados: