'

lunes, 3 de junio de 2013

Anécdota sobre falsos e-mails corporativos y explicación sobre cómo proteger tu dominio con SPF, DKIM y DMARC



El correo electrónico no es seguro. Es la principal vía de comunicación en las empresas, pero debemos tener presente que al recibir un correo electrónico, de la única forma en que estaremos absolutamente seguros de que el mensaje proviene desde la dirección electrónica o el nombre de dominio al cual dice pertenecer, es si contiene un certificado o firma digital que así lo valide.

Esto no es nuevo, el correo electrónico nunca ha sido seguro. Sin embargo hoy he querido recordarlo debido a una situación muy reciente, donde una micro empresa de la cual soy cercana vivió la desagradable experiencia de ver su imagen bastante comprometida por falsos correos con su nombre de dominio. Se enviaban falsos descuentos de un 50% en uno de sus productos y en otros casos, con peticiones de información sensible a suplidores y hasta algunos de sus más importantes clientes.

Lo peor de todo es que por supuestamente provenir de su mismo nombre de dominio, la mayoría de esos clientes y empresas respondieron a dichos correos.

¿Cómo evitarlo?
 Para un usuario final, mi mejor consejo es no fiarse de todo lo que reciben por esa vía. Y para quienes sean pequeños empresarios, de esos que como muchos se las arregla solo con la web de su negocio, les recomiendo seguir las próximas tres recomendaciones:

  • 1) Para evitar se envíen falsos correos desde el dominio de tu empresa, recomiendo crear un registro SPF (Sender Policy Framework por sus siglas en inglés). Esta es una configuración en el DNS técnicamente sencilla, pero es un primer paso para evitar que esto te suceda. 

Para comprobar que el dominio de su empresa cuenta con un registro SPF correctamente configurado, consúltelo en la siguiente herramienta: dmarcian.com/spf-survey


  • 2) Para quienes usamos Google Apps, además del registro SPF existe un segundo paso para asegurar aún más nuestro dominio y es, configurar una firma DKIM.

DKIM son las siglas en inglés de Domain Keys Identified Mail. Técnicamente una firma DKIM es una tecnología para la autenticación del correo electrónico, usada por grandes de Internet como eBay, Google, Paypal y Yahoo para autenticar los correos que envían a sus usuarios. Su función es garantizar a quien recibe un correo electrónico, por ejemplo, desde la dirección "yo@amandysha.com", el mismo realmente ha sido enviado desde el dominio "amandysha.com".

La buena noticia es que Google ofrece esta tecnología sin ningún costo a sus usuarios de Google Apps. Y como podrán ver aquí, igual que crear un registro SPS, configurarlo no toma más de dos minutos.

Para comprobar que el dominio de su empresa cuenta con una firma DKIM correctamente configurada, consúltelo en la siguiente herramienta: dmarcian.com/protodave_dkim/


  • 3) Después de establecer el registro SPF y la firma DKIM en nuestro DNS, el tercer y último paso para patear cualquier intento de SPAM y phishing desde nuestro dominio, es configurar un registro DMARC. 



DMARC son las siglas en inglés de Domain-based
Message Authentication, Reporting & Conformance,  es un protocolo creado para reducir el envío de phishing. Aquí podrán verificar si su dominio cuenta con un registro DMARC correctamente configurado: dmarcian.com/dmarc-inspector/

Cuando configuramos un registro DMARC en nuestro DNS, le indicamos a proveedores de correo electrónico como Gmail, Outlook, Yahoo, AOL, Facebook, Twitter, entre otros,  qué deben hacer al recibir un correo no autenticado por nuestro nombre de dominio, pero que asegura salir desde él. De esta manera, el mensaje recibido pasará solo si está de acuerdo con la información que hemos proveído en nuestro registro SPF y nuestra firma DKIM. De lo contrario, se dará a ese correo el tratamiento que hayamos configurado en nuestro registro DMARC: rechazarlo inmediatamente, no entregarlo al remitente y mantenerlo en cuarentena o enviarnos por correo un reporte del mismo.

Configurar un registro DMARC es sumamente sencillo. Solo deben crear un registro TXT en el DNS, en Host/Nombre colocar "_dmarc" (sin las comillas) y en las propiedades de ese registro TXT, colocar las siguientes políticas: "v=DMARC1; p=quarantine; rua=mailto:tu@tucorreo.com; adkim=r; aspf=r; pct=100; sp=reject", (obviamente, eliminando las comillas y cambiando tu@tucorreo.com por una dirección de correo propia dónde les serán enviados diariamente los reportes sobre cualquier intento de SPAM y phishing desde su dominio).

Las anteriores son las políticas que establecí en mi registro DMARC, pero aquí pueden conocer otras que también pueden usar en su totalidad, saber qué significan y comprender por qué utilizarlas o no.

Les prometo que no tardarán más de diez minutos en estas tres configuraciones, técnicamente son muy sencillas de realizar. Lo que no entiendan pueden Googlearlo. En Internet existe información ampliada y bien detallada sobre cada uno de estos tópicos.  

SPF, DKIM y DMARC reducirán en gran medida el problema de los falsos correos, pero no olviden que será necesario configurarlos los tres, uno solo no bastará para protegerse.

Como recordatorio final para los graciosos que realizan SPAM fraudulento usando dominios de terceros, Spoofing y Phishing: la Ley 53-07 sobre Crímenes y Delitos de Alta Tecnología, establece la usurpación del correo electrónico como un delito con penas de dos a nueve años de prisión. ¡Ya saben! 

5 comentarios:

  1. Gracias, esta información es muy útil.

    Compartiré esto con las personas que utilizan dominios y demás. :)

    ResponderEliminar
  2. el link mail-tester-com/tools no funciona...

    ResponderEliminar
  3. Corregido. Gracias Vladimir, ¡prueba ahora!

    ResponderEliminar
  4. Interesante artículo te la comiste ahí amandysha, es
    una información sumamente valiosa para cualquier profesional IT, Y más en mi caso donde está bajo mi
    responsabilidad decenas de cuentas de e-mails con el servicio Google Apps for
    Business para la empresa que trabajo en Asia.

    Aprovecho la ocasión para hacerte una anécdota de algo
    que me sucedió hace aproximadamente tres meses, de una empleada que intento
    captar clientes por si misma, algo que es prohibido por las políticas de la
    empresa, pero gracias a mi amplio conocimientos de informática, tenia seteado
    una regla en los filtros que cualquier keywords prohibido automáticamente le
    notificaba al administrador IT el suceso.

    La mera verdad es que el sistema de Google Apps for
    Business tiene uff una enorme cantidad de funcionalidades con posibilidades
    ilimitadas que te permiten personalizar el servidor de e-mail como gustes haciéndolo
    mas adaptable a la empresa.

    Eso mismo sucede con el Cpanel con WHM billing sobre
    VPS que tienen tantas opciones que a veces uno mismo pasa por alto y no se
    detiene a observarla con detenimiento ni mucho menos configurar esas
    herramientas de manera adecuada.

    Tu caso es un ejemplo real de como una pequeña opción
    puede evitar un desastre o un suceso desagradable para cualquier empresa que afectaría
    directamente su imagen.

    ResponderEliminar
  5. Gracias RC. Te confieso que estos parámetros los aprendí recientemente precisamente por esa situación que viví tan de cerca y que luego ayudé a resolver. Los aprendí gracias a un amigo que es una piedra, una excelencia en seguridad informática. Por eso quise compartirlos, porque yo misma me sentía segura con la configuración básica en Google Apps (la empresa a la cual le sucedió esto también) pero como vimos no lo estábamos.

    ¿Sabes qué es lo más increíble? Luego del suceso, y hacer esta configuración para remediarlo, he hecho pruebas con un fake mail bumper enviando correos a mi cuenta personal de Gmail desde el dominio de la empresa y no entran. Inmediatamente a la cuenta de administrador llega un correo con un informa sobre ese "Unauthenticated email". Sin embargo, he hecho pruebas solo para ver cómo está la seguridad de algunos bancos, enviándome correos desde @cualquierbanco y entra directo a mi bandeja de entrada.


    Ya voy entendiendo por qué en República Dominicana abunda el Spoofing y el Phishing.

    ResponderEliminar

Copyright © 2012 Amandysha.
Blogger Template by Clairvo