¿Qué es el SPF Permerror?

SPF=Permerror indica que hay un problema fundamental con el registro SPF, lo que hace imposible determinar si el servidor remitente está autorizado o no.

¿Cuál es el límite de 10 búsquedas DNS?

Durante la comprobación SPF, cada vez que se envía un correo electrónico desde su dominio, el servidor de correo electrónico de su destinatario realiza solicitudes de consulta DNS, también conocidas como búsquedas DNS para comprobar la presencia de direcciones IP autorizadas en su DNS y hacerlas coincidir con las del encabezado de la ruta de retorno del correo electrónico recibido. Sin embargo, el RFC limita a 10 el número de búsquedas DNS. Esto se conoce como el límite de 10 búsquedas DNS.

¿Estoy superando el límite de demasiadas búsquedas DNS de SPF?

Si le preocupa sobrepasar el límite de búsqueda para SPF, puede comprobar su registro al instante utilizando nuestra herramienta de comprobación de registros SPF.

¿Cómo arreglar el error del FPS?

Una forma más eficaz de evitar errores de SPF es utilizar una herramienta de aplanamiento de SPF automática y sin complicaciones, como PowerSPF.

¿Qué es la vulnerabilidad DKIM? Explicación de la limitación de la etiqueta DKIM l=

Ahona Rudra

Hace 4 semanas

Tiempo de lectura: 6 min

La etiqueta DKIM l= ("L" minúscula) en DKIM es una etiqueta opcional que especifica la longitud del cuerpo del mensaje que debe ser firmado. Esto puede considerarse una vulnerabilidad de DKIM, ya que la etiqueta l= permite la firma parcial del cuerpo del mensaje. Esto puede facilitar que los actores de amenazas se aprovechen de los mensajes firmados por DKIM.

Exploremos cómo DKIM y por qué no recomendamos utilizar la etiqueta DKIM l= en su firma DKIM.

Finalidad de las limitaciones de longitud del cuerpo DKIM (etiqueta l=)

DKIM (DomainKeys Identified Mail) es un protocolo de autenticación de correo electrónico que garantiza que el contenido de sus mensajes no ha sido alterado durante el tránsito. Permite al receptor verificar que un correo electrónico ha sido efectivamente enviado y autorizado por el propietario de ese dominio.

Cuando los servidores intermediarios reenvían sus mensajes, pueden cambiar el cuerpo del mensaje. Pueden añadir información adicional en el pie de página o en el contenido del mensaje. La etiqueta DKIM l se introdujo para evitar que sus mensajes legítimos fallaran en DKIM, en caso de que el contenido fuera modificado durante el reenvío o por listas de correo.

Funcionamiento de la etiqueta DKIM l

Especificación de la longitud: La dirección l= va seguida de un número entero que indica el número de bytes del cuerpo del mensaje cubiertos por la firma DKIM.
Firma parcial del cuerpo: Al especificar una longitud, sólo los primeros 'n' bytes del cuerpo se incluyen en el hash utilizado para generar la firma DKIM. Cualquier modificación del cuerpo más allá de esta longitud no afectará a la verificación de la firma DKIM.

Ejemplo: Firma DKIM con la vulnerabilidad l-Tag DKIM

Considere un correo electrónico cuyo cuerpo tiene 1000 bytes, pero sólo los primeros 500 bytes están firmados:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=notify.domain.com; s=selector1; t=1718098168; i=@notify.domain.com; l=500; bh=SF9K/AZh8dO2XDYZlOtjrmHj5txv4H4qjhFr+q3ASuM=; h=Subject:Message-ID:To:Date:Content-Type:From:From:To:Cc:Subject; b=h0Jp5xjZSjUo06er2Gm5k0Fvt0cuC0xOnfobu1oYAFT2ugVxY0h/xly6x/E/pPT2S

En este ejemplo, los valores l=500 indica que sólo los primeros 500 bytes del cuerpo del correo electrónico se incluyen en la firma DKIM.

Sin embargo, el principal registrador de dominios de Europa, El equipo de analistas de Zone.eu ha descubierto una grave vulnerabilidad relacionada con la etiqueta l de la firma DKIM. Más allá de sus ventajas en los escenarios de reenvío de correo, la etiqueta l puede ser fácilmente explotada por los ciberdelincuentes para enviar correos electrónicos de phishing que siguen pasando las comprobaciones DKIM.

DKIM l= Vulnerabilidad de la etiqueta

No recomendamos utilizar la etiqueta DKIM l=, ya que puede debilitar su postura de seguridad, dejando su dominio vulnerable a ataques incluso con la autenticación de correo electrónico configurada.

Un atacante puede cambiar el contenido del cuerpo de su mensaje y adjuntar archivos maliciosos o enlaces en la sección sin firmar del correo electrónico que está más allá del alcance de bytes definido en su etiqueta "l". Cuando este correo electrónico llegue a su destinatario, pasará la verificación DKIM. Posteriormente, si tiene DMARC activado para su dominio, también pasará.

Su destinatario puede abrir este correo electrónico, confiando en su nombre de dominio, y ser víctima de otro ataque de phishing. Esto puede causar una grave violación de la privacidad, robo de credenciales y pérdida de confianza en su credibilidad. Si su cliente pierde dinero en el proceso, usted puede incluso ser responsable de proporcionar una compensación económica.

El papel de BIMI en el empeoramiento de esta vulnerabilidad DKIM

BIMI es un protocolo emergente que está ganando popularidad en los sectores de la seguridad y el marketing gracias a su capacidad para añadir logotipos de marca a los mensajes de correo electrónico. No hace mucho, los principales proveedores de correo electrónico, como Gmail y Apple Mail, ampliaron la compatibilidad con BIMI para dar a los mensajes un aspecto profesional y mejorar la seguridad mediante verificaciones visuales.

Como los mensajes falsos enviados desde dominios que utilizan la etiqueta DKIM l en su firma pasan las comprobaciones DKIM y DMARC, ¡el logotipo BIMI de la marca también se adjunta a estos correos maliciosos! Ahora, este mensaje falso enviado desde su nombre de dominio no sólo pasa todos los filtros de autenticación, ¡sino que también lleva adjunto el logotipo de su marca! Esto aumenta aún más las posibilidades de que los destinatarios confíen en su credibilidad.

Debido a esta naturaleza potencialmente explotadora de la etiqueta DKIM l=, Gmail desaconsejó encarecidamente su uso en el Centro de asistencia del espacio de trabajo de administración de Google. Esto es lo que Google tiene que decir al respecto:

"Si configuras DKIM con un sistema de correo electrónico distinto de Google Workspace, no utilices la etiqueta de longitud DKIM (l=) en los mensajes salientes. Los mensajes que utilizan esta etiqueta son vulnerables a abusos".

Los riesgos asociados a la etiqueta DKIM l se destacan con más detalle en RFC 6376 sección 8.2 titulada "Uso indebido de los límites de longitud del cuerpo (etiqueta "l=")". La RFC advierte a los usuarios de que especificar la etiqueta l en su firma DKIM puede dar lugar a que los usuarios accedan a contenido de correo electrónico malicioso sin ninguna advertencia. La RFC insta a los firmantes DKIM a extremar las precauciones en presencia de esta etiqueta y también predica a los servidores de evaluación que ignoren por completo las firmas DKIM con una etiqueta l= especificada.

Compruebe su firma DKIM en busca de vulnerabilidades l-Tag DKIM

Es esencial determinar primero si su dominio es vulnerable. Para ello hemos enumerado a continuación algunos métodos que puede utilizar:

Método manual: Comprobación de cabeceras de firma DKIM originales

1. Envíate un correo electrónico en blanco a ti mismo (en este caso estamos tomando el ejemplo de un usuario de Gmail)

2. Abra este correo electrónico.

3. Vaya a "más opciones", que se indica con tres puntos en la esquina superior derecha.

4. Haga clic en "Mostrar original".

5. En la página Mensaje original, desplácese hacia abajo para ver las cabeceras sin procesar.

6. Vaya a la sección "DKIM-Signature:" y analice la sintaxis. Si ves que la etiqueta DKIM l= está presente en la cabecera de la firma DKIM, tu dominio es vulnerable. Si no está, no hay ningún problema y no es necesario tomar ninguna medida.

Método automatizado: Utilizar una herramienta de análisis de cabeceras de correo electrónico

1. Regístrese en PowerDMARC para realizar una prueba gratuita. 2. Vaya a Herramientas de análisis > MailAuth Analyzer.

2. Copia la dirección de correo electrónico generada automáticamente y pégala como destinatario de un nuevo correo de prueba en tu cuenta de Gmail. 3. Envía el correo de prueba.

3. Ahora vuelva al portal y actualice la página. Haga clic en el icono "ver" de la sección Acciones para examinar los resultados.

4. Producimos instantáneamente un informe agregado con información sobre sus configuraciones DKIM, SPF y DMARC, ¡y mucho más!

5. Puede desplazarse hacia abajo para ver el encabezado de su firma DKIM en formatos sin procesar y procesado. Aquí podrá determinar si su firma tiene la etiqueta l= presente. Si está presente, es necesario tomar medidas para eliminar esta vulnerabilidad.

Ejemplo: Una firma DKIM sin la vulnerabilidad DKIM l-Tag

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=notify.domain.com; s=selector1; t=1718098168; i=@notify.domain.com; bh=SF9K/AZh8dO2XDYZlOtjrmHj5txv4H4qjhFr+q3ASuM=; h=Subject:Message-ID:To:Date:Content-Type:From:From:To:Cc:Subject; b=h0Jp5xjZSjUo06er2Gm5k0Fvt0cuC0xOnfobu1oYAFT2ugVxY0h/xly6x/E/pPT2S

Prevención de vulnerabilidades DKIM: ¿Cuáles son las mejores prácticas de DKIM?

Si desea sacar el máximo partido a su protocolo DKIM, aquí tiene algunos consejos que le recomiendan nuestros expertos:

Evite utilizar la etiqueta DKIM l= en su cabecera de firma DKIM.
Póngase en contacto con su proveedor de servicios de correo electrónico para que le proporcione nuevas claves públicas DKIM (sin la etiqueta l=) y las añada a sus DNS.
Rote sus claves DKIM periódicamente para asegurarse de que las claves antiguas con la vulnerabilidad l-tag pueden ser sustituidas por nuevas claves sin esta vulnerabilidad.
Puede utilizar claves DKIM potentes, como claves de 2048 bits, en lugar de 1024 bits, para reforzar la seguridad de su correo electrónico DKIM.
Utilice un DKIM alojado para gestionar sus selectores y claves DKIM, y supervisar los resultados de autenticación DKIM desde un único panel centralizado.
Cree sus claves DKIM utilizando un generador DKIM automático. Esto te ayudará a evitar errores de sintaxis que son fáciles de pasar por alto.

Protocolos complementarios a DKIM

Para aumentar la eficacia de DKIM, puede aplicar los siguientes protocolos (junto con una recomendación adicional al final):

Utilice ARC (cadena de recepción autenticada) para garantizar que los correos electrónicos legítimos pasen las comprobaciones de autenticación incluso cuando se reenvían o cuando se utilizan listas de correo. Esto anula automáticamente la necesidad de la etiqueta DKIM l=. ARC conserva automáticamente las cabeceras originales del mensaje para evitar falsos negativos.
Configure mecanismos alternativos como SPF y DMARC para aumentar la precisión de la autenticación y la seguridad general.
Activar Informes DMARC para realizar un seguimiento de sus canales de correo electrónico y fuentes de envío. Los informes DMARC pueden ayudarte a detectar direcciones IP y remitentes maliciosos para que puedas tomar medidas contra ellos rápidamente.

Siguiendo estas buenas prácticas, las organizaciones pueden mejorar significativamente la seguridad de su correo electrónico y proteger la reputación de su dominio. Aunque la etiqueta l= puede proporcionar flexibilidad a la hora de gestionar correos electrónicos que podrían alterarse en tránsito, puede debilitar la seguridad de su dominio. Por lo tanto, nosotros, junto con varios proveedores de correo electrónico, expertos del sector y organizaciones, no la recomendamos. Para saber más sobre seguridad de dominios y servicios de autenticación de correo electrónico, póngase en contacto hoy mismo.

Acerca de
Últimas publicaciones

Ahona Rudra

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

Cómo añadir tu logotipo a los correos electrónicos de Gmail: Gmail y los correos electrónicos de marca - 2 de julio de 2024
Cuáles son las amenazas de ciberseguridad al permitir cookies de terceros enMac? - 29 de junio de 2024
DMARC: el eslabón perdido en la estrategia de defensa de su MSP - 27 de junio de 2024