Los especialistas en pruebas de penetración desempeñan un papel fundamental a la hora de identificar y abordar las vulnerabilidades de la seguridad de una organización, incluida la seguridad del correo electrónico. Al comprender DMARC y su funcionamiento, los especialistas en pruebas de intrusión pueden evaluar mejor las defensas de seguridad del correo electrónico de una organización y ayudar a garantizar que sus clientes estén protegidos frente a los ataques basados en el correo electrónico.
Según el Informe de Adopción Global de DMARC-2019, 69.6% de los 500 principales dominios minoristas de Internet de la Unión Europea no utilizan DMARC. Los simulacros de pruebas de penetración actuales no cubren la seguridad del correo electrónico, y esto tiene que cambiar para conseguir un entorno digital más seguro.
¿Por qué es importante la autenticación del correo electrónico?
Las pruebas de penetración son un proceso que consiste en intentar un ataque simulado autorizado a la infraestructura informática de un sistema, incluidos los dominios de envío de correo electrónico, para encontrar vulnerabilidades de seguridad. Hay tres razones principales por las que autenticación de correo electrónico para las pruebas de penetración es importante.
Prevención del fraude
Los malos actores se aprovechan de que los buzones de correo no están construidos con protocolos de seguridad fuertes por defecto. Engañan y atraen a las víctimas para que compartan datos confidenciales convenciéndolas de que los correos electrónicos proceden de fuentes legítimas. Juntos SPF, DKIM y DMARC evitan esto permitiendo que sólo las entidades autorizadas envíen correos electrónicos utilizando sus dominios oficiales.
Protección de la imagen de marca
Aprender la autenticación del correo electrónico para probadores de penetración es importante, ya que evita los ataques que se intentan realizar en nombre de su marca, lo que, en consecuencia, protege la imagen de marca.
Mejora de la capacidad de entrega del correo electrónico
Los correos electrónicos devueltos no sólo dificultan sus campañas de relaciones públicas, marketing y ventas, sino que también provocan un índice de entregabilidad deficiente. La tasa de entregabilidad del correo electrónico es la capacidad de entregar correos electrónicos en las bandejas de entrada de los destinatarios y que no se marquen como spam o reboten. Más información sobre cómo la autenticación del correo electrónico ayuda a mejorar la capacidad de entrega.
¿Qué son SPF, DKIM y DMARC?
SPF, DKIM y DMARC son protocolos de autenticación de correo electrónico que verifican la autenticidad del remitente de un mensaje para garantizar que procede de la fuente indicada. Los dominios que no cumplen estos protocolos pueden ver cómo sus correos electrónicos se marcan como spam o se devuelven. Y no sólo eso, sino que los actores de amenazas pueden hacerse pasar fácilmente por ellos y enviar mensajes fraudulentos a las personas pidiéndoles que compartan datos confidenciales o realicen transacciones financieras.
¿Cómo funciona el FPS?
SPF o Sender Policy Framework es una forma de autenticación de correo electrónico para los probadores de penetración. en la que se crea una lista de servidores autorizados a enviar correos electrónicos y se añade al DNS de su dominio. Cualquier servidor de envío fuera de la lista es marcado.
¿Cómo funciona DKIM?
DKIM o DomainKeys Identified Mail permite a los propietarios de dominios firmar cabeceras de correo electrónico que ayudan al proceso de verificación. DKIM funciona sobre el concepto de criptografía, ya que implica una firma digital. Usted recibe un par de claves pública y privada; la primera se almacena en el DNS para acceso abierto, y la segunda se guarda en secreto en el servidor remitente.
El servidor del receptor coteja ambas claves; si el cotejo es correcto, la verificación DKIM pasa, de lo contrario, falla. La política DKIM impacto positivo de la política DKIM en la entrega del correo electrónico y en las medidas anti-spam..
¿Cómo funciona DMARC?
DMARC es la abreviatura de Domain-based Message Authentication Reporting and Conformance. Funciona en coordinación con SPF y DKIM.
DMARC se encarga de indicar al buzón del destinatario cómo debe tratar los correos electrónicos enviados desde su dominio que no superen las comprobaciones de verificación SPF y/o DKIM. Puede elegir una de las tres políticas DMARC para decidir esto; p=none (no se toma ninguna acción contra los correos electrónicos que fallan las comprobaciones de autenticación), p=quarantine (los correos electrónicos que fallan las comprobaciones de autenticación se marcan como spam), o p=reject (los correos electrónicos que fallan las comprobaciones de autenticación se devuelven).
¿Cómo aprovechan los especialistas en pruebas de intrusión una configuración errónea de DMARC?
Como probadores de penetración, puede realizar un ataque simulado para detectar vulnerabilidades de autenticación de correo electrónico de un dominio bajo observación. Puede proceder de la siguiente manera.
Obtener su dominio
El primer paso de la autenticación de correo electrónico para los probadores de penetración incluye disponer de un dominio para instalar un spoofer de correo y enviar correos haciéndose pasar por una empresa. Puede utilizar cualquier proveedor de dominios que se adapte a sus necesidades y presupuesto.
Configuración del dominio
Una vez que tengas el dominio, añádelo al panel DNS. Borra todo lo que haya en el panel "Gestión DNS" para simular un ataque. A continuación, sustituye el servidor de nombres dado en el panel del proveedor de servicios de dominio. Obtendrás una clave de API para el archivo de configuración para los próximos pasos en tu simulacro de autenticación de correo electrónico para penetration testers.
Configuración del VPS
Tenga en cuenta que es posible que tenga que repetir este paso si sus IPs VPS tienen una mala reputación porque sus correos electrónicos no se entregan en esta situación.
Dado que los VPS no consumen muchos recursos, puede optar por uno barato y aún así obtener una instancia que funcione correctamente. Recuerde configurar el nombre de host exactamente como su nombre de dominio, de lo contrario, no será capaz de simular un ataque.
Utiliza los siguientes comandos:
apt-get install git
apt-get update && apt-get install docker-compose
A continuación, copia el repositorio de GitHub y ve al "Directorio recién creado", donde tendrás que editar la configuración y añadir tu dominio y la clave de la API.
Cuando hayas completado estos pasos, escribe 'docker-compose up' y espera unos minutos para que tu servidor web se ponga en marcha.
Envío del correo electrónico de phishing
Por último, envíe el correo electrónico de phishing a los objetivos para obtener una visión general de la configuración incorrecta de DMARC.
Informe de Pen Test
Ahora que sabes lo suficiente sobre la autenticación de correo electrónico para los probadores de penetración y cómo explotar una configuración errónea DMARC, es importante redactar un informe excepcional después de simular un ataque.
He aquí cuatro cosas que añadir a un informe de pen test profesional.
1. Resumen de la Dirección Estratégica
Esto incluye una visión de alto nivel de los riesgos y el impacto de las vulnerabilidades de autenticación de correo electrónico en inglés sencillo (o cualquier otro idioma preferido). Esta parte suele estar destinada a ejecutivos que quizá no estén muy versados en terminología técnica.
2. Explicación de los riesgos técnicos
Hay que evaluar la intensidad de los riesgos para que el equipo informático pueda tomar medidas rápidas e impactantes para parchear las lagunas del sistema de correo electrónico.
3. Impacto potencial de la vulnerabilidad
Los riesgos relacionados con la seguridad del correo electrónico se dividen en dos partes: probabilidad e impacto potencial. Esto ayuda al equipo de reparación a priorizar la corrección de vulnerabilidades en función de su impacto potencial.
4. Múltiples métodos de reparación
Asegúrese de que los métodos de corrección sugeridos van más allá de la simple desactivación del dominio o de las cuentas de correo electrónico. Incluya métodos como búsqueda de registrosSPF, políticas DMARC más estrictas, etc.
Proteja su dominio de los riesgos de seguridad del correo electrónico
El conocimiento de la autenticación de correo electrónico para los probadores de penetración es importante para proteger los activos digitales del phishing y el spam. El cumplimiento de SPF y/o DKIM es obligatorio para DMARC ya que indica al servidor del receptor cómo tratar los correos electrónicos que no superan las comprobaciones de autenticación. Puede establecer una política de ninguno, cuarentena o rechazo.
PowerDMARC ofrece una prueba gratuita para ayudarle a comenzar su viaje DMARC hacia un entorno de correo electrónico más seguro. Póngase en contacto con nosotros para obtener más información.
