Autenticación integral del correo electrónico: de DMARC a Business Email Compromise

Autenticación integral del correo electrónico: de DMARC a Business Email Compromise

A menudo, es difícil para los usuarios de correo electrónico reconocer si los mensajes proceden realmente del remitente especificado. Y más difícil aún es evaluar si estos mensajes han permanecido inalterados en toda ruta de transmisión. Los estándares SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) han estado abordando esta problemática durante mucho tiempo.

Ambos mecanismos, sin embargo, solo suelen complementarse y completarse con el uso de DMARC (Domain-based Message Authentication, Reporting and Conformance). Esta especificación igualmente tiene como objetivo proteger mejor a remitentes y destinatarios de correos electrónicos frente a remitentes falsos. En este contexto, DMARC representa, en cierto modo, el vínculo con SPF y DKIM. Fue creado por iniciativa de gigantes del sector como Google, Yahoo, Microsoft, Facebook, AOL, PayPal y LinkedIn. Gracias a una creciente aceptación y distribución entre sus clientes corporativos, Retarus también implementará en el futuro el estándar en el marco de sus Email Security Services. A continuación, le explicamos brevemente los motivos por los que es aconsejable que las empresas confíen de la misma medida en estos tres estándares en lo que se refiere a la recepción de correo electrónico.

DMARC completa a SPF y DKIM

La especificación DMARC fue desarrollada para combatir la falsificación de remitentes o dominios, principalmente la llamada suplantación de identidad por correo electrónico (Email-Spoofing). Técnicamente, DMARC complementa SPF y DKIM, intentando, hasta cierto punto, solventar sus «deficiencias». Mientras que SPF determina quién puede enviar un correo electrónico en nombre de su propio dominio, DKIM asegura que este mensaje proceda del remitente sin haber sufrido cambios. DMARC, a su vez, permite al propietario del dominio de remitente determinar cómo el sistema de correo electrónico del destinatario procesará los resultados para autenticar el dominio. Y aún más importante: cómo proceder en el caso de un error.

Notificación automática al propietario del dominio en caso de abuso

En este caso, los correos electrónicos son automáticamente rechazados o puestos en cuarentena. Además, el destinatario puede informar al propietario sobre el presunto uso indebido de su dominio y sobre los problemas con la autenticación. Es precisamente este aspecto el que también crea un incentivo para que los remitentes utilicen DMARC y puedan identificar así, en una fase muy temprana, ataques perpetuados bajo su propio nombre. Las directrices de DMARC pueden guardarse sin mucho esfuerzo para cada dominio, y de manera visible para todos, en la entrada correspondiente del Domain Name System (DNS). Retarus validará esta información en el futuro —si lo desea y configura el cliente— asegurando así una verificación integral de la autenticidad de los correos electrónicos.

Complementar con Advanced Threat Protection es la opción lógica

Sin embargo, sigue habiendo un problema: por regla general, cada propietario de un dominio puede configurar entradas DMARC sin que se verifique, de forma independiente, si se trata de una página web que se utiliza legítimamente o que tiene buena reputación. Por lo tanto, sigue siendo posible enviar correos electrónicos desde un dominio engañosamente similar (la llamada Domain Similarity o similitud de dominio, por ejemplo, intercambiando letras individuales o usando diferentes conjuntos de caracteres), e incluso mostrar una entrada SPF y DKIM correcta confirmada por DMARC. Para garantizar una protección óptima también en estos casos, se recomienda el uso de métodos como CxO Fraud Protection como medida de seguridad adicional para defenderse de ataques tipo Business Email Compromise (BEC).

Puede solicitar más información sobre este tema directamente a su interlocutor personal así como al equipo de asistencia de Retarus en cualquier momento.

Tags: // // //

Enviar comentario

Tu dirección de correo electrónico no será publicada.