I penetration tester svolgono un ruolo fondamentale nell'identificare e risolvere le vulnerabilità della sicurezza di un'organizzazione, compresa la sicurezza delle e-mail. Conoscendo il DMARC e il suo funzionamento, i penetration tester possono valutare meglio le difese di sicurezza delle e-mail di un'organizzazione e contribuire a garantire che i loro clienti siano protetti dagli attacchi basati sulle e-mail.
Secondo il Global DMARC Adoption Report-2019, 69.6% dei primi 500 domini di rivenditori internet dell'Unione Europea non utilizza il DMARC. Le esercitazioni dei test di penetrazione contemporanei coprono poco la sicurezza delle e-mail e questo deve cambiare per un paesaggio digitale più sicuro.
Perché l'autenticazione delle e-mail è importante?
Il test di penetrazione è un processo che consiste nel tentare un attacco simulato autorizzato all'infrastruttura IT di un sistema, compresi i domini di invio delle e-mail, per individuare le vulnerabilità della sicurezza. Ci sono 3 ragioni principali per cui l'autenticazione delle e-mail per i penetration tester è importante.
Prevenzione delle frodi
I malintenzionati approfittano del fatto che le caselle di posta elettronica non sono costruite con forti protocolli di sicurezza predefiniti. Ingannano e attirano le vittime a condividere dettagli sensibili convincendole che le e-mail provengano da fonti legittime. Insieme SPF, DKIM e DMARC impediscono che ciò avvenga, consentendo solo alle entità autorizzate di inviare e-mail utilizzando i vostri domini ufficiali.
Protezione dell'immagine del marchio
Imparare l'autenticazione delle e-mail per i penetration tester è importante perché previene gli attacchi tentati a nome del vostro marchio, proteggendo di conseguenza l'immagine del brand.
Consegnabilità delle e-mail migliorata
I rimbalzi delle e-mail non solo ostacolano le campagne di PR, marketing e vendita, ma causano anche uno scarso tasso di deliverability delle e-mail. Il tasso di deliverability delle e-mail è la capacità di consegnare le e-mail alle caselle di posta dei destinatari senza che vengano contrassegnate come spam o rimbalzate. Per saperne di più come l'autenticazione delle email aiuta a migliorare la deliverability delle email.
Cosa sono SPF, DKIM e DMARC?
SPF, DKIM e DMARC sono protocolli di autenticazione delle e-mail che verificano l'autenticità di un mittente per garantire che provenga dalla fonte indicata. I domini non conformi a questi protocolli possono ritrovarsi con le e-mail contrassegnate come spam o respinte. Non solo, ma gli attori delle minacce possono facilmente impersonarli e inviare messaggi fraudolenti alle persone chiedendo loro di condividere dati sensibili o di effettuare transazioni finanziarie.
Come funziona la SPF?
SPF o Sender Policy Framework è un metodo di autenticazione delle e-mail per i penetration tester. per i penetration tester, in cui viene creato un elenco di server autorizzati a inviare e-mail e aggiunto al DNS del dominio. Qualsiasi server di invio al di fuori dell'elenco viene contrassegnato.
Come funziona DKIM?
DKIM o DomainKeys Identified Mail consente ai proprietari dei domini di firmare le intestazioni delle e-mail per facilitare il processo di verifica. Il DKIM si basa sul concetto di crittografia e prevede una firma digitale. L'utente riceve una coppia di chiavi pubbliche e private; la prima viene memorizzata sul DNS per un accesso aperto, mentre la seconda viene conservata segretamente presso il server di invio.
Il server del destinatario confronta entrambe le chiavi; se la corrispondenza ha esito positivo, la verifica DKIM passa, altrimenti fallisce. C'è un impatto positivo impatto positivo della politica DKIM sulla recapitabilità delle e-mail e sulle misure anti-spam.
Come funziona DMARC?
DMARC è l'abbreviazione di Domain-based Message Authentication Reporting and Conformance. Funziona in coordinamento con SPF e DKIM.
Il DMARC ha il compito di indicare alla casella di posta elettronica del destinatario come trattare le e-mail inviate dal vostro dominio che non superano i controlli di verifica SPF e/o DKIM. È possibile scegliere uno dei tre criteri DMARC p=nessuna (non viene intrapresa alcuna azione contro le e-mail che non superano i controlli di autenticazione), p=quarantena (le e-mail che non superano i controlli di autenticazione vengono contrassegnate come spam) o p=rifiuto (le e-mail che non superano i controlli di autenticazione vengono respinte).
In che modo i penetration tester sfruttano una configurazione errata di DMARC?
Come penetration tester, potete eseguire un attacco simulato per rilevare le vulnerabilità di autenticazione delle e-mail di un dominio sotto osservazione. Ecco come potete procedere.
Ottenere il dominio
Il primo passo dell'autenticazione delle e-mail per i penetration tester consiste nel disporre di un dominio per installare uno spoofer di posta e inviare e-mail spacciandosi per un'azienda. È possibile utilizzare qualsiasi provider di domini che si adatti alle proprie esigenze e al proprio budget.
Impostazione del dominio
Una volta ottenuto il dominio, aggiungetelo al pannello DNS. Eliminate tutto ciò che si trova sotto il pannello "Gestione DNS" per simulare un attacco. A ciò dovrebbe seguire la sostituzione del nameserver indicato nel pannello del fornitore di servizi di dominio. Otterrete una chiave API per il file di configurazione per le prossime fasi dell'esercitazione sull'autenticazione e-mail per i penetration tester.
Impostazione del VPS
Si noti che potrebbe essere necessario ripetere questo passaggio se gli IP del VPS hanno una cattiva reputazione, perché in questo caso le e-mail non vengono consegnate.
Poiché le VPS non consumano molte risorse, è possibile scegliere una VPS economica e ottenere comunque un'istanza funzionante. Ricordate di impostare l'hostname esattamente come il nome del vostro dominio, altrimenti non sarete in grado di simulare un attacco.
Utilizzare i seguenti comandi:
apt-get installa git
apt-get update && apt-get install docker-compose
Quindi, copiare il repository GitHub e andare alla "Newly Created Directory", dove si devono modificare le impostazioni e aggiungere il proprio dominio e la chiave API.
Una volta completati questi passaggi, digitate "docker-compose up" e attendete qualche minuto per attivare il server web.
Invio dell'e-mail di phishing
Infine, inviate l'e-mail di phishing agli obiettivi per ottenere una panoramica della misconfigurazione DMARC.
Rapporto sul Pen Test
Ora che sapete abbastanza sull'autenticazione delle e-mail per i penetration tester e su come sfruttare una configurazione errata del DMARC, è importante redigere un rapporto eccezionale dopo aver simulato un attacco.
Ecco quattro cose da aggiungere a un rapporto di pen-test professionale.
1. Sintesi della direzione strategica
Questo include una visione di alto livello dei rischi e dell'impatto delle vulnerabilità di autenticazione delle e-mail in inglese semplice (o in qualsiasi altra lingua preferita). Questa parte è solitamente destinata ai dirigenti che potrebbero non essere troppo esperti di terminologie tecniche.
2. Spiegazione dei rischi tecnici
È necessario valutare l'intensità dei rischi in modo che il team IT possa intervenire in modo rapido e incisivo per correggere le falle del sistema di posta elettronica.
3. Impatto potenziale della vulnerabilità
I rischi legati alla sicurezza delle e-mail sono suddivisi in due parti: probabilità e impatto potenziale. Questo aiuta il team di bonifica a stabilire le priorità di correzione delle vulnerabilità in base al loro impatto potenziale.
4. Metodi di riparazione multipli
Assicuratevi che i metodi di rimedio suggeriti vadano oltre la semplice disabilitazione del dominio o degli account di posta elettronica. Includete metodi come ricerca dei record, appiattimento dei record SPF, politiche DMARC più rigide, ecc.
Proteggere il proprio dominio dai rischi della sicurezza delle e-mail
La conoscenza dell'autenticazione delle e-mail per i penetration tester è importante per proteggere le risorse digitali dal phishing e dallo spamming. La conformità di SPF e/o DKIM è obbligatoria per DMARC in quanto indica al server del destinatario come gestire le e-mail che non superano i controlli di autenticazione. È possibile impostare un criterio di esclusione, quarantena o rifiuto.
PowerDMARC offre una prova gratuita per aiutarvi a iniziare il vostro viaggio DMARC verso un ambiente e-mail più sicuro. Contattateci per saperne di più.
