Os testadores de penetração desempenham um papel fundamental na identificação e resolução de vulnerabilidades na postura de segurança de uma organização, incluindo a segurança de correio eletrónico. Ao compreenderem o DMARC e o seu funcionamento, os testadores de penetração podem avaliar melhor as defesas de segurança de correio eletrónico de uma organização e ajudar a garantir que os seus clientes estão protegidos contra ataques baseados em correio eletrónico.
De acordo com o Relatório Global de Adopção de DMARC-2019, 69.6% dos 500 principais domínios de retalhistas da Internet da União Europeia não utilizam o DMARC. As simulações de testes de penetração contemporâneas cobrem mal a segurança do correio electrónico, e isto tem de mudar para uma paisagem digital mais segura.
Porque é que a autenticação de correio electrónico é importante?
O teste de penetração é um processo de tentativa de ataque simulado autorizado à infra-estrutura de TI de um sistema, incluindo domínios de envio de correio electrónico, para encontrar vulnerabilidades de segurança. Existem 3 razões principais pelas quais autenticação de correio electrónico para os testadores de penetração é importante.
Prevenção de fraudes
Os maus actores aproveitam-se do facto de as caixas de correio não serem construídas com protocolos de segurança fortes por defeito. Enganam e induzem as vítimas a partilhar dados sensíveis, convencendo-as de que as mensagens de correio electrónico provêm de fontes legítimas. Juntos SPF, DKIM e DMARC impedem que isto aconteça, permitindo que apenas entidades autorizadas enviem mensagens de correio electrónico utilizando os seus domínios oficiais.
Protecção da imagem da marca
Aprender a autenticação de correio electrónico para testadores de penetração é importante porque evita ataques tentados em nome da sua marca, o que consequentemente protege a imagem da marca.
Entregabilidade melhorada do correio electrónico
A devolução de mensagens de correio eletrónico não só prejudica as suas campanhas de RP, marketing e vendas, como também provoca uma fraca taxa de entrega de mensagens de correio eletrónico. A taxa de entrega de correio eletrónico é a capacidade de entregar correio eletrónico nas caixas de entrada dos destinatários e não ser marcado como spam ou devolvido. Saiba mais sobre como a autenticação de correio eletrónico ajuda a melhorar a capacidade de entrega de correio eletrónico.
O que são SPF, DKIM, e DMARC?
SPF, DKIM e DMARC são protocolos de autenticação de correio electrónico que verificam a autenticidade de um remetente de correio electrónico para garantir que provém da fonte que diz. Os domínios que não estão em conformidade com estes protocolos podem ver os seus e-mails marcados como spam ou devolvidos. Além disso, os agentes de ameaças podem facilmente fazer-se passar por eles e enviar mensagens fraudulentas às pessoas, pedindo-lhes que partilhem dados sensíveis ou efectuem transacções financeiras.
Como funciona a SPF?
SPF ou Sender Policy Framework é uma forma de autenticação de correio electrónico para testadores de penetração, em que é criada e adicionada ao DNS do seu domínio uma lista de servidores autorizados a enviar e-mails. Qualquer servidor de envio que não esteja na lista é sinalizado.
Como é que o DKIM funciona?
DKIM ou DomainKeys Identified Mail (Correio Identificado por Chaves de Domínio) permite que os proprietários de domínios assinem cabeçalhos de correio electrónico que ajudam o processo de verificação. O DKIM funciona com base no conceito de criptografia, uma vez que envolve uma assinatura digital. O utilizador recebe um par de chaves públicas e privadas; a primeira é armazenada no DNS para acesso livre e a segunda é mantida em segredo no servidor de envio.
O servidor do destinatário faz a correspondência de ambas as chaves; se a correspondência for bem sucedida, a verificação DKIM é aprovada; caso contrário, falha. Há um impacto positivo impacto positivo da política DKIM na capacidade de entrega de correio electrónico e nas medidas anti-spam.
Como é que o DMARC funciona?
DMARC é a abreviatura de Domain-based Message Authentication Reporting and Conformance. Funciona em coordenação com SPF e DKIM.
O DMARC é responsável por dizer à caixa de correio do destinatário como tratar os e-mails enviados do seu domínio que falham nas verificações SPF e/ou DKIM. Pode escolher uma das três políticas DMARC para decidir isto; p=nenhuma (não é tomada qualquer acção contra os e-mails que falham nas verificações de autenticação), p=quarentena (os e-mails que falham nas verificações de autenticação são marcados como spam) ou p=rejeitar (os e-mails que falham nas verificações de autenticação são devolvidos).
Como é que os Testes de Penetração exploram uma má configuração DMARC?
Como testadores de penetração, podem efectuar um ataque simulado para detectar vulnerabilidades de autenticação de correio electrónico de um domínio sob observação. Eis como podem proceder.
Obter o seu domínio
O primeiro passo da autenticação de correio electrónico para os testadores de penetração inclui ter um domínio para instalar um spoofer de correio electrónico e enviar mensagens de correio electrónico fazendo-se passar por uma empresa. Pode utilizar qualquer fornecedor de domínios que se adeqúe às suas necessidades e orçamento.
Configurar o domínio
Quando tiver o domínio, adicione-o ao painel DNS. Elimine tudo o que estiver no painel "Gestão do DNS" para simular um ataque. Em seguida, deve substituir o servidor de nomes fornecido no painel do fornecedor de serviços de domínio. Obterá uma chave API para o ficheiro de configuração para as próximas etapas da sua simulação de autenticação de correio electrónico para testadores de penetração.
Configurar o VPS
Tenha em atenção que poderá ter de repetir este passo se os seus IPs VPS tiverem uma má reputação, uma vez que os seus e-mails não são entregues nesta situação.
Uma vez que o VPS não consome muitos recursos, pode optar por um VPS barato e ainda assim obter uma instância a funcionar corretamente. Lembre-se de definir o nome do anfitrião exatamente como o seu nome de domínio, caso contrário, não conseguirá simular um ataque.
Utilize os seguintes comandos:
apt-get install git
apt-get update && apt-get install docker-compose
Em seguida, copie o repositório GitHub e vá para o "Newly Created Directory" (Directório recém-criado), onde tem de editar as definições e adicionar o seu domínio e a chave da API.
Quando tiver concluído estes passos, escreva 'docker-compose up' e aguarde alguns minutos para que o seu servidor Web seja activado.
Envio do e-mail de phishing
Por fim, envie o e-mail de phishing aos alvos para obter uma visão geral da má configuração do DMARC.
Relatório de teste de penetração
Agora que já sabe o suficiente sobre autenticação de e-mail para testadores de penetração e como explorar uma configuração incorrecta de DMARC, é importante redigir um relatório excelente depois de simular um ataque.
Eis quatro aspectos a acrescentar a um relatório de teste de intrusão profissional.
1. Resumo executivo da direcção estratégica
Isto inclui uma visão de alto nível dos riscos e do impacto das vulnerabilidades de autenticação de correio electrónico em inglês simples (ou qualquer outra língua preferida). Esta parte destina-se normalmente a executivos que poderão não estar muito familiarizados com terminologias técnicas.
2. Explicação dos riscos técnicos
É necessário classificar a intensidade dos riscos para que a equipa de TI possa fazer um movimento rápido e com impacto para corrigir as lacunas do sistema de correio electrónico.
3. Impacto potencial da vulnerabilidade
Os riscos relacionados com a segurança do correio electrónico são divididos em duas partes - probabilidade e impacto potencial. Isto ajuda a equipa de correcção a dar prioridade à correcção das vulnerabilidades em função do seu potencial impacto.
4. Métodos de correcção múltiplos
Certifique-se de que os métodos de correcção sugeridos não se limitam a desactivar o domínio ou as contas de correio electrónico. Inclua métodos como pesquisas de registos, achatamento de registos SPF, políticas DMARC mais rigorosas, etc.
Proteger o seu domínio dos riscos de segurança do correio electrónico
O conhecimento da autenticação de correio electrónico para testadores de penetração é importante para proteger os activos digitais contra phishing e spamming. A conformidade de SPF e/ou DKIM é obrigatória para DMARC uma vez que indica ao servidor do destinatário como lidar com os e-mails que falham nas verificações de autenticação. É possível definir uma política de nenhum, quarentena ou rejeição.
O PowerDMARC oferece um teste gratuito para o ajudar a iniciar a sua viagem DMARC em direcção a um ambiente de e-mail mais seguro. Entre em contacto connosco para saber mais.
- Aumento de fraudes fiscais e ataques de imitação de e-mail do IRS durante a época fiscal - 2 de maio de 2024
- Segurança de e-mail 101 para combater fraudes de criptografia - 30 de abril de 2024
- Como encontrar o melhor fornecedor de soluções DMARC para a sua empresa? - 25 de abril de 2024