Las alertas relacionadas con la seguridad en Microsoft 365 y Exchange Online están aumentando de forma notable en estos momentos. En general, el panorama de la seguridad del correo electrónico es cada vez más complejo. Como expertos con muchos años de experiencia en seguridad del correo electrónico e infraestructuras de comunicación críticas para las empresas, en Retarus hemos recopilado la información más relevante sobre esta situación que está generando preocupación en torno a Microsoft y la hemos analizado para usted.
Desde hace algunos días, los informes relacionados con la denominada problemática de los «Ghost Senders» están generando debate entre los responsables de correo electrónico. Desde la aparición de las primeras noticias, en Retarus hemos mantenido un estrecho contacto con nuestros clientes para abordar esta cuestión.
Qué debería hacer ahora
A la luz de la situación actual, queremos compartir algunas recomendaciones para que usted o sus administradores de correo, puedan revisar de forma específica el flujo de correo electrónico y la configuración actual de los Security Gateways implementados. El caso de los «Ghost Senders» demuestra una vez más que la seguridad de las infraestructuras de correo electrónico no depende únicamente de mecanismos de protección individuales o de determinados modelos de despliegue, sino, sobre todo, de una implementación técnica correcta.
1. Compruebe la vulnerabilidad frente a la entrega directa
Se recomienda verificar cuanto antes si su entorno es vulnerable a la entrega directa al tenant eludiendo la ruta prevista a través del Security Gateway. Una prueba específica, por ejemplo mediante una herramienta como ghost-sender.com, puede ofrecer una primera evaluación rápida. Si la comprobación revela que sus buzones de Exchange Online son accesibles desde el exterior mediante la técnica «Ghost Sender», le recomendamos seguir los siguientes pasos.
2. Defina claramente la ruta prevista para la entrega del correo
Un aspecto fundamental es la propia ruta de entrega. Los correos electrónicos entrantes deben dirigirse de forma inequívoca a través del Secure Email Gateway situado delante de Exchange Online. En la práctica, esto significa que el registro MX (Mail Exchange) debe configurarse para que los mensajes entrantes pasen primero por el gateway y no lleguen directamente a Exchange Online. Al mismo tiempo, en Exchange Online debe configurarse un Inbound Partner Connector que refleje exactamente esta ruta.
3. Configure el Inbound Connector de forma restrictiva
Otro paso importante consiste en configurar el conector de la forma más restrictiva posible. Es esencial permitir únicamente las direcciones IP de origen autorizadas del gateway. De este modo se evita que conexiones entrantes fuera de la ruta definida sean tratadas como legítimas. Como medida adicional, también puede ser conveniente proteger el flujo de correo mediante Transport Layer Security (TLS) o mediante una validación adecuada del dominio o del certificado TLS.
4. Impida la entrega SMTP directa a Exchange Online
Las entregas directas a Exchange Online fuera de la ruta autorizada del gateway deben bloquearse de forma sistemática. La forma de hacerlo —ya sea mediante reglas de transporte u otras restricciones— dependerá del entorno de cada organización. Lo importante es que, tras realizar los cambios técnicos, no solo se revise la configuración, sino que también se compruebe en la práctica que los escenarios de Direct-to-Tenant o de spoofing quedan realmente bloqueados.
5. Revise periódicamente la autenticación de los remitentes
Este quinto punto va más allá de la situación actual: revise periódicamente los mecanismos básicos de protección relacionados con Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting and Conformance (DMARC). Una política DMARC correctamente implementada y progresivamente más restrictiva contribuye de manera significativa a reducir los flujos de correo no deseados y los riesgos de spoofing. En Retarus consideramos estos mecanismos como un componente esencial de una estrategia sólida de seguridad del correo electrónico.
Retarus, su socio para todos los aspectos relacionados con el correo electrónico
Quienes protegen de forma sistemática la ruta de entrada de los correos electrónicos e impiden accesos directos no autorizados pueden reducir considerablemente el riesgo de spoofing y de mensajes fraudulentos. En Retarus nos consideramos un socio que comprende estos desafíos y ayuda a las empresas a implementar una estrategia integral de seguridad del correo electrónico.
Si necesita ayuda para identificar y mitigar este tipo de riesgos relacionados con el flujo de correo en su entorno, no dude en ponerse en contacto con nuestros expertos.
