Puestos

Los estándares de autenticación del correo electrónico: SPF, DKIM y DMARC son prometedores para reducir los intentos de suplantación de identidad en el correo electrónico y mejorar la capacidad de entrega del mismo. Los estándares de autenticación de correo electrónico, además de diferenciar los correos electrónicos falsos de los legítimos, van más allá para distinguir si un correo electrónico es legítimo verificando la identidad del remitente.

A medida que más organizaciones adopten estas normas, el mensaje general de confianza y autoridad en la comunicación por correo electrónico comenzará a reafirmarse. Todas las empresas que dependen del marketing por correo electrónico, de las solicitudes de proyectos, de las transacciones financieras y del intercambio general de información dentro de las empresas o entre ellas deben comprender los aspectos básicos para los que están diseñadas estas soluciones y los beneficios que pueden obtener de ellas.

¿Qué es el Email Spoofing?

El spoofing del correo electrónico es un problema de ciberseguridad muy común en las empresas de hoy en día. En este artículo, entenderemos cómo funciona el spoofing y los distintos métodos para combatirlo. Conoceremos los tres estándares de autenticación utilizados por los proveedores de correo electrónico: SPF, DKIM y DMARC para evitarlo.

El spoofing de correo electrónico puede clasificarse como un ataque avanzado de ingeniería social que utiliza una combinación de técnicas sofisticadas para manipular el entorno de mensajería y explotar las características legítimas del correo electrónico. Estos correos electrónicos suelen parecer totalmente legítimos, pero están diseñados con la intención de obtener acceso a su información y/o recursos. El spoofing del correo electrónico se utiliza para una variedad de propósitos que van desde los intentos de cometer un fraude, a la violación de la seguridad, e incluso para tratar de obtener acceso a la información comercial confidencial. Como una forma muy popular de falsificación de correo electrónico, los ataques de spoofing tienen como objetivo engañar a los destinatarios haciéndoles creer que un correo electrónico fue enviado por una empresa que utilizan y en la que pueden confiar, en lugar del remitente real. Dado que los correos electrónicos se envían y reciben cada vez más en masa, esta forma maliciosa de estafa por correo electrónico ha aumentado drásticamente en los últimos años.

¿Cómo puede la autenticación del correo electrónico evitar la suplantación de identidad?

La autenticación de correo electrónico le ayuda a verificar las fuentes de envío de correo electrónico con protocolos como SPF, DKIM y DMARC para evitar que los atacantes falsifiquen los nombres de dominio y lancen ataques de suplantación para engañar a los usuarios desprevenidos. Proporciona información verificable sobre los remitentes de correo electrónico que puede utilizarse para demostrar su legitimidad y especificar a los MTA receptores qué hacer con los correos electrónicos que no superan la autenticación.

Por lo tanto, para enumerar los diversos beneficios de la autenticación del correo electrónico, podemos confirmar que SPF, DKIM y DMARC ayudan:

  • Proteger su dominio de ataques de phishing, suplantación de dominio y BEC
  • Proporcionar información granular y conocimientos sobre las fuentes de envío de correo electrónico
  • Mejora de la reputación del dominio y de las tasas de entrega del correo electrónico
  • Evitar que sus correos legítimos sean marcados como spam

¿Cómo colaboran SPF, DKIM y DMARC para evitar la suplantación de identidad?

Marco normativo del remitente

SPF es una técnica de autenticación de correo electrónico utilizada para evitar que los spammers envíen mensajes en nombre de su dominio. Con ella, puede publicar servidores de correo autorizados, lo que le permite especificar qué servidores de correo electrónico están autorizados a enviar mensajes en nombre de su dominio. Un registro SPF se almacena en el DNS, enumerando todas las direcciones IP que están autorizadas a enviar correo para su organización.

Si quiere aprovechar el SPF de forma que se garantice su buen funcionamiento, debe asegurarse de que el SPF no se rompa para sus correos electrónicos. Esto podría ocurrir en caso de que exceda el límite de 10 búsquedas de DNS, causando un permerror de SPF. El aplanamiento de SPF puede ayudarle a mantenerse por debajo del límite y a autenticar sus correos electrónicos sin problemas.

Correo identificado con DomainKeys

La suplantación de un remitente de confianza puede utilizarse para engañar a su destinatario y hacerle bajar la guardia. DKIM es una solución de seguridad para el correo electrónico que añade una firma digital a cada mensaje que sale de la bandeja de entrada de tu cliente, lo que permite al receptor verificar que efectivamente fue autorizado por tu dominio y entrar en la lista de remitentes de confianza de tu sitio.

DKIM asigna un valor hash único, vinculado a un nombre de dominio, a cada mensaje de correo electrónico saliente, lo que permite al receptor comprobar si un correo electrónico que dice proceder de un dominio específico ha sido realmente autorizado por el propietario de ese dominio o no. Esto ayuda a detectar los intentos de suplantación de identidad.

Autenticación de mensajes basada en el dominio, informes y conformidad

La simple implementación de SPF y DKIM puede ayudar a verificar las fuentes de envío, pero no es lo suficientemente eficaz como para detener el spoofing por sí solo. Para evitar que los ciberdelincuentes envíen correos electrónicos falsos a sus destinatarios, debe implementar DMARC hoy mismo. DMARC le ayuda a alinear las cabeceras del correo electrónico para verificar las direcciones del remitente, exponiendo los intentos de suplantación y el uso fraudulento de los nombres de dominio. Además, ofrece a los propietarios de dominios el poder de especificar a los servidores de recepción de correo electrónico cómo responder a los correos electrónicos que no superan la autenticación SPF y DKIM. Los propietarios de los dominios pueden optar por entregar, poner en cuarentena y rechazar los correos electrónicos falsos en función del grado de cumplimiento de DMARC que necesiten.

Nota: Sólo una política DMARC de rechazo permite detener el spoofing.

Además, DMARC también ofrece un mecanismo de informes para proporcionar a los propietarios de dominios visibilidad sobre sus canales de correo electrónico y resultados de autenticación. Al configurar su analizador de informes DMARC, puede supervisar sus dominios de correo electrónico de forma regular con información detallada sobre las fuentes de envío de correo electrónico, los resultados de la autenticación de correo electrónico, las geolocalizaciones de las direcciones IP fraudulentas y el rendimiento general de sus correos electrónicos. Le ayuda a analizar sus datos DMARC en un formato organizado y legible, y a tomar medidas contra los atacantes más rápidamente.

En última instancia, SPF, DKIM y DMARC pueden trabajar juntos para ayudarle a catapultar la seguridad del correo electrónico de su organización a nuevas cotas, y evitar que los atacantes falsifiquen su nombre de dominio para salvaguardar la reputación y credibilidad de su organización.

Antes de entrar en cómo configurar DKIM para su dominio, hablemos un poco de lo que es DKIM. DKIM, o DomainKeys Identified Mail, es un protocolo de autenticación de correo electrónico que se utiliza para verificar la autenticidad de los correos electrónicos salientes. El proceso implica el uso de una clave criptográfica privada generada por su servidor de correo que firma cada mensaje de correo electrónico saliente. Esto garantiza que los destinatarios puedan verificar que los correos electrónicos que reciben han sido enviados desde su servidor de correo y no son falsos. Esto puede mejorar la capacidad de entrega y ayudar a eliminar el spam. En pocas palabras, un correo electrónico procedente de un servidor de correo habilitado para DKIM contiene una firma digital o, más correctamente, una firma criptográfica, que puede ser validada por el servidor de correo electrónico del destinatario.

DKIM se creó combinando tecnologías existentes como DomainKeys (de Yahoo) y Identified Internet Mail (de Cisco). Se ha convertido en un método de autenticación ampliamente adoptado, que se conoce como DKIM y también está registrado como RFC (Request for Comments) por el IETF (Internet Engineering Task Force). Los principales ISP, como Google, Microsoft y Yahoo, crean una firma digital que se incrusta en la cabecera del correo electrónico saliente y validan el correo entrante con sus propias políticas.

En el blog vamos a profundizar en el mecanismo utilizado en DKIM para validar sus correos electrónicos y sus diversas ventajas, así como aprender a configurar DKIM para su propio dominio.

¿Cómo configurar DKIM para proteger su dominio de la suplantación de identidad?

La firma DKIM es generada por el MTA y se almacena en el dominio de la lista. Después de recibir el correo electrónico, se puede verificar el DKIM utilizando la clave pública. DKIM como un mecanismo de autenticación que puede probar la identidad de un mensaje. Esta firma demuestra que el mensaje es generado por un servidor legítimo.

Esto es especialmente necesario ya que los ataques de falsificación de dominios están aumentando en los últimos tiempos.

¿Qué es una firma DKIM?

Para utilizar DKIM, debe decidir qué debe incluirse en la firma. Normalmente se trata del cuerpo del correo electrónico y de algunas cabeceras por defecto. No puede cambiar estos elementos una vez que están establecidos, así que elíjalos con cuidado. Una vez que haya decidido qué partes del correo electrónico se incluirán en la firma DKIM, estos elementos deben permanecer inalterados para mantener una firma DKIM válida.

No debe confundirse con el selector DKIM, la firma DKIM no es más que un consorcio de valores de cadena arbitrarios también conocidos como "valores hash". Cuando su dominio está configurado con DKIM, su servidor de correo electrónico remitente cifra este valor con una clave privada a la que sólo usted tiene acceso. Esta firma garantiza que el correo electrónico que envía no ha sido alterado o manipulado después de su envío. Para validar la firma DKIM, el receptor del correo electrónico realizará una consulta DNS para buscar la clave pública. La clave pública habrá sido proporcionada por la organización propietaria del dominio. Si coinciden, su correo electrónico se clasifica como auténtico.

¿Cómo configurar DKIM en 3 sencillos pasos?

Para implementar DKIM fácilmente con PowerDMARC todo lo que necesita hacer es generar su registro DKIM utilizando nuestro generador de registros DKIM gratuito. Su registro DKIM es un registro DNS TXT que se publica en las DNS de su dominio. A continuación, puede realizar una búsqueda gratuita de DKIM, utilizando nuestra herramienta de búsqueda de registros DKIM. Esta herramienta gratuita proporciona una comprobación de DKIM con un solo clic, asegurando que su registro DKIM no tiene errores y es válido. Sin embargo, para generar el registro, primero debe identificar su selector DKIM.

¿Cómo identifico mi selector DKIM?

Una pregunta común que suelen plantear los propietarios de dominios es ¿cómo puedo encontrar mi DKIM? Para encontrar su selector DKIM, todo lo que tiene que hacer es:

1) Envía un correo de prueba a tu cuenta de gmail 

2) Haz clic en los 3 puntos que aparecen junto al correo electrónico en tu bandeja de entrada de Gmail

3) Seleccione "mostrar original". 

4) En la página "Mensaje original" navegue hasta el final de la página hasta la sección de firma DKIM e intente localizar la etiqueta "s=", el valor de esta etiqueta es su selector DKIM. 

DMARC y DKIM

Una pregunta común que puede hacerse a menudo es si la implementación de DKIM es suficiente. La respuesta es no. Mientras que DKIM le ayuda a cifrar sus mensajes de correo electrónico con una firma criptográfica para validar la legitimidad de sus remitentes, no proporciona una manera para que los receptores de correo electrónico respondan a los mensajes que fallan DKIM. Aquí es donde entra en juego DMARC.

Domain-Based Message Authentication, Reporting and Conformance (DMARC) es un protocolo de autenticación de correo electrónico que ayuda a los propietarios de dominios a tomar medidas contra los mensajes que no superan la autenticación SPF/DKIM. Esto, a su vez, minimiza las posibilidades de ataques de suplantación de dominio y BEC. DMARC, junto con SPF y DKIM, puede mejorar la entregabilidad del correo electrónico en un 10% a lo largo del tiempo y aumentar la reputación de su dominio.

Regístrese en PowerDMARC hoy mismo y aproveche su prueba gratuita del analizador DMARC.

¿Por qué necesito DKIM? ¿No es suficiente con el SPF?

El trabajo a distancia ha introducido específicamente a las personas en un mayor número de phishing y ciberataques. La mayoría de los ataques de phishing son los que uno no puede ignorar. Independientemente de la cantidad de correos electrónicos de trabajo que se reciben y envían, y a pesar del aumento de las aplicaciones de chat y mensajería instantánea en el lugar de trabajo, para la mayoría de las personas que trabajan en oficinas, el correo electrónico sigue dominando la comunicación empresarial tanto interna como externa.

Sin embargo, no es un secreto que los correos electrónicos suelen ser el punto de entrada más común para los ciberataques, que implica colar malware y exploits en la red y las credenciales, y revelar los datos sensibles. Según datos de SophosLabs de septiembre de 2020, alrededor del 97% del spam malicioso capturado por las trampas de spam eran correos electrónicos de phishing, a la caza de credenciales o cualquier otra información.

El 3% restante llevaba una mezcla de mensajes con enlaces a sitios web maliciosos o con archivos adjuntos con trampas. La mayoría de ellos pretendían instalar puertas traseras, troyanos de acceso remoto (RAT), robos de información, exploits o quizás descargar otros archivos maliciosos.

Sea cual sea la fuente, el phishing sigue siendo una táctica bastante eficaz para los atacantes, sea cual sea su objetivo final. Hay algunas medidas sólidas que todas las organizaciones podrían utilizar para verificar si un correo electrónico proviene o no de la persona y la fuente que dice provenir.

¿Cómo llega el DKIM al rescate?

Debe garantizarse que la seguridad del correo electrónico de una organización sea capaz de mantener un control sobre cada correo electrónico entrante, lo que iría en contra de las reglas de autenticación establecidas por el dominio del que parece proceder el correo electrónico. El Correo Identificado por Clave de Dominio (DKIM) es uno de los que ayuda a revisar un correo electrónico entrante, con el fin de comprobar si nada ha sido alterado. En el caso de aquellos correos electrónicos que son legítimos, DKIM definitivamente estaría encontrando una firma digital que estaría vinculada a un nombre de dominio específico.

Este nombre de dominio se adjuntará a la cabecera del correo electrónico, y habrá una clave de cifrado correspondiente en el dominio de origen. La mayor ventaja de DKIM es que proporciona una firma digital en las cabeceras de su correo electrónico para que los servidores que lo reciben puedan autenticar criptográficamente esas cabeceras, considerándolas válidas y originales.

Estas cabeceras suelen ir firmadas como "De", "Para", "Asunto" y "Fecha".

¿Por qué necesita DKIM?

Los expertos en el campo de la ciberseguridad afirman que DKIM es muy necesario en el día a día para asegurar los correos electrónicos oficiales. En DKIM, la firma es generada por el MTA (Agente de Transferencia de Correo), que crea una cadena de caracteres única llamada Valor Hash.

Además, el valor hash se almacena en el dominio listado, y después de recibir el correo electrónico, el receptor puede verificar la firma DKIM utilizando la clave pública que se registra en el Sistema de Nombres de Dominio (DNS). A continuación, esta clave se utiliza para descifrar el valor hash en el encabezado, y también para recalcular el valor hash del correo electrónico que ha recibido.

Después de esto, los expertos descubrirán que si estas dos firmas DKIM coinciden, el MTA sabrá que el correo electrónico no ha sido alterado. Además, el usuario recibe una confirmación adicional de que el correo electrónico se ha enviado realmente desde el dominio indicado.

DKIM, que se formó originalmente mediante la fusión de dos claves de estación, Claves de dominio (la creada por Yahoo) y Correo de Internet Identificado (por Cisco) en 2004, y se ha ido desarrollando hasta convertirse en una nueva técnica de autenticación ampliamente adoptada que hace que el procedimiento de correo electrónico de una organización sea bastante fiable, y que es específicamente la razón por la que las principales empresas tecnológicas como Google, Microsoft y Yahoo siempre comprueban el correo entrante en busca de firmas DKIM.

DKIM vs. SPF

El Marco de Políticas del Remitente (SPF) es una forma de autenticación del correo electrónico que define un proceso para validar un mensaje de correo electrónico que ha sido enviado desde un servidor de correo autorizado con el fin de detectar falsificaciones y evitar estafas.

Aunque la mayoría de la gente opina que tanto el SPF como el DKIM deben utilizarse en las organizaciones, sin duda el DKIM tiene una ventaja añadida sobre los demás. Las razones son las siguientes:

  • En DKIM, el propietario del dominio publica una clave criptográfica, que se formatea específicamente como un registro TXT en el registro DNS general
  • La firma única DKIM que se adjunta a la cabecera del mensaje lo hace más auténtico
  • El uso de DKIM resulta ser más fructífero porque la clave DKIM utilizada por los servidores de correo entrante para detectar y descifrar la firma del mensaje demuestra que el mensaje es más auténtico y no está alterado.

En conclusión

Para la mayoría de las organizaciones empresariales, DKIM no sólo protegería sus negocios de los ataques de phishing y spoofing, sino que también ayudaría a proteger las relaciones con los clientes y la reputación de la marca.

Esto es especialmente importante, ya que DKIM proporciona una clave de cifrado y una firma digital que demuestra doblemente que un correo electrónico no ha sido falsificado o alterado. Estas prácticas ayudarán a las organizaciones y a las empresas a dar un paso más en la mejora de su capacidad de entrega de correo electrónico y a enviar un correo electrónico seguro, lo que ayudará a generar ingresos. Sobre todo, depende de las organizaciones en cuanto a la forma de utilizarlo e implementarlo. Esto es lo más importante y lo que se puede relacionar, ya que la mayoría de las organizaciones quieren librarse de los ciberataques y las amenazas.

Como proveedor de servicios DMARC, nos hacen esta pregunta a menudo: "Si DMARC sólo utiliza la autenticación SPF y DKIM, ¿por qué deberíamos molestarnos con DMARC? ¿No es innecesario?"

A primera vista puede parecer que no hay mucha diferencia, pero la realidad es muy diferente. DMARC no es sólo una combinación de las tecnologías SPF y DKIM, es un protocolo completamente nuevo por sí mismo. Tiene varias características que lo convierten en uno de los estándares de autenticación de correo electrónico más avanzados del mundo, y en una necesidad absoluta para las empresas.

Pero espere un momento. No hemos respondido exactamente por qué necesita DMARC. ¿Qué ofrece que no ofrezcan SPF y DKIM? Bueno, esa es una respuesta bastante larga; demasiado larga para una sola entrada del blog. Así que vamos a dividirla y a hablar primero del SPF. En caso de que no estés familiarizado con él, aquí tienes una rápida introducción.

¿Qué es el FPS?

SPF, o Sender Policy Framework, es un protocolo de autenticación de correo electrónico que protege al receptor del correo electrónico de los mensajes falsos. Es esencialmente una lista de todas las direcciones IP autorizadas para enviar correo electrónico a través de sus canales (el propietario del dominio). Cuando el servidor receptor ve un mensaje de su dominio, comprueba su registro SPF que está publicado en su DNS. Si la IP del remitente está en esta "lista", el correo electrónico se entrega. Si no, el servidor rechaza el correo.

Como puede ver, el SPF hace un buen trabajo al mantener alejados muchos correos electrónicos desagradables que podrían dañar su dispositivo o comprometer los sistemas de seguridad de su organización. Pero el SPF no es tan bueno como algunos podrían pensar. Esto se debe a que tiene algunos inconvenientes importantes. Hablemos de algunos de estos problemas.

Limitaciones del SPF

Los registros SPF no se aplican a la dirección From

Los correos electrónicos tienen varias direcciones para identificar a su remitente: la dirección del remitente que normalmente se ve, y la dirección de la ruta de retorno que está oculta y requiere uno o dos clics para verla. Con el SPF activado, el servidor de correo electrónico receptor mira la ruta de retorno y comprueba los registros SPF del dominio de esa dirección.

El problema es que los atacantes pueden aprovecharse de ello utilizando un dominio falso en su dirección de retorno y una dirección de correo electrónico legítima (o que parece legítima) en la sección del remitente. Incluso si el receptor comprobara la identificación del correo electrónico del remitente, vería primero la dirección del remitente, y normalmente no se molestaría en comprobar la ruta de retorno. De hecho, la mayoría de la gente ni siquiera sabe que existe la dirección de retorno.

El SPF se puede eludir con bastante facilidad utilizando este sencillo truco, y deja incluso a los dominios protegidos con SPF muy vulnerables.

Los registros SPF tienen un límite de búsqueda en el DNS

Los registros SPF contienen una lista de todas las direcciones IP autorizadas por el propietario del dominio para enviar correos electrónicos. Sin embargo, tienen un inconveniente crucial. El servidor receptor tiene que comprobar el registro para ver si el remitente está autorizado, y para reducir la carga del servidor, los registros SPF tienen un límite de 10 búsquedas de DNS.

Esto significa que si su organización utiliza varios proveedores de terceros que envían correos electrónicos a través de su dominio, el registro SPF puede acabar sobrepasando ese límite. A menos que se optimice adecuadamente (lo que no es fácil de hacer uno mismo), los registros SPF tendrán un límite muy restrictivo. Cuando se sobrepasa este límite, la implementación del SPF se considera inválida y su correo electrónico falla el SPF. Esto podría perjudicar sus índices de entrega de correo electrónico.

 

El SPF no siempre funciona cuando se reenvía el correo electrónico

El SPF tiene otro punto de fallo crítico que puede dañar la capacidad de entrega de su correo electrónico. Cuando has implementado el SPF en tu dominio y alguien reenvía tu correo, el correo reenviado puede ser rechazado debido a tu política de SPF.

Esto se debe a que el mensaje reenviado ha cambiado el destinatario del correo electrónico, pero la dirección del remitente sigue siendo la misma. Esto se convierte en un problema porque el mensaje contiene la dirección del remitente original, pero el servidor receptor ve una IP diferente. La dirección IP del servidor de correo electrónico de reenvío no está incluida en el registro SPF del dominio del remitente original. Esto puede hacer que el correo electrónico sea rechazado por el servidor receptor.

¿Cómo resuelve DMARC estos problemas?

DMARC utiliza una combinación de SPF y DKIM para autenticar el correo electrónico. Un correo electrónico debe pasar el SPF o el DKIM para pasar el DMARC y ser entregado con éxito. Además, añade una característica clave que lo hace mucho más eficaz que SPF o DKIM por sí solos: Los informes.

Con los informes DMARC, obtendrá información diaria sobre el estado de sus canales de correo electrónico. Esto incluye información sobre su alineación DMARC, datos sobre los correos electrónicos que fallaron en la autenticación y detalles sobre posibles intentos de suplantación.

Si te preguntas qué puedes hacer para que no te suplanten, echa un vistazo a nuestra práctica guía sobre las 5 mejores formas de evitar la suplantación de identidad en el correo electrónico.