Políticas DMARC. Qué son y cómo configurarlas
A través de ataques de phishing, el correo electrónico se ha convertido en una de las formas de entrada más comunes para los ciberdelincuentes. A través de un simple correo electrónico fraudulento, se puede desencadenar un ciberataque mucho más peligroso de lo que nos podemos imaginar.
A continuación, veremos qué son las políticas DMARC y cómo nos pueden ayudar a prevenir la suplantación de identidad.
¿Qué son las Políticas DMARC?
El término DMARC (Domain-Based Message Authentication, Reporting & Conformance) se refiere a la “Autenticación de mensajes basados en el dominio, generación de informes y conformidad”. Las políticas DMARC son un método de autenticación de dominios para asegurar una comunicación por correo electrónico segura.
Dentro de las políticas DMARC existen tres posibles clasificaciones:
- Política de monitoreo. Esta es la política más genérica, ya que establece que el proveedor de correo del destinatario debe omitir los mensajes que no se ajustan a la política DMARC.
- Política de cuarentena. Esta política redirige los correos electrónicos que se consideren sospechosos a una carpeta separada, como la de spam del destinatario, para así evitar que lleguen a la bandeja de entrada principal.
- Política de rechazo. Establece una configuración de bloqueo para los correos electrónicos que no cumplan con los estándares DMARC, evitando su entrega en la bandeja de entrada del destinatario.
No obstante, para que DMARC pueda operar y verificar la autenticidad del correo electrónico, necesita pasar primero por Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM) para poder operar.
- Sender Policy Framework (SPF). Se trata de mecanismos de autenticación de correos electrónicos para verificar que el dominio de procedencia sea realmente enviado desde servidores autorizados por ese dominio.
- DomainKeys Identified Mail (DKIM). Es un método de autenticación que permite responsabilizar a los remitentes de los mensajes que envía. Este proceso se hace mediante la firma digital del contenido del correo usando una clave privada, que luego puede ser verificada por los servidores de correo receptores utilizando la clave pública publicada en el DNS del dominio remitente.
Estas políticas son muy útiles, ya que los ciberdelincuentes cuando quieren lanzar un ciberataque a menudo falsifican los dominios en los correos electrónicos para que parezcan de una organización verificada.
¿Cómo podemos configurar las Políticas DMARC?
Para poder configurar las Políticas DMARC y así proteger los correos electrónicos, primero se debe configurar los SPF y los DKIM previamente explicados.
Para el SPF se debe publicar el registro en el DNS para que autorice a los servidores de correo legítimos a enviar correos en nombre de un dominio. En cuanto al DKIM, se debe configurar la firma DKIM en el servidor de correo y publicar la clave pública DKIM en el DNS.
Una vez realizada esta fase previa, se deben seguir los pasos explicados a continuación:
Creación de la Política DMARC
El primer paso a realizar, es la publicación de la política DMARC. Para ello, se debe publicar en el DNS del dominio un archivo en formato TXT, que especifique:
“_dmarc.tudominio.com IN TXT "v=DMARC1; p=none;
rua=mailto:reportes@tudominio.com; ruf=mailto:fallos@tudominio.com; fo=1”
En el texto anterior, “tudominio.com” corresponde al dominio, “fallos@tudominio.com” y “reportes@tudominio.com” a las direcciones de correo electrónico en las que se reciben los informes DMARC. En este caso hemos seleccionado la política p=none, ya que es la recomendada, pero más adelante se podrá cambiar por las p=quarantine o p=reject.
Interpretar los informes y el tráfico
Este proceso de implementación de las Políticas DMARC debe ser gradual, primero se empieza por fase de monitoreo, para seguir con la fase de cuarentena y finalmente acabar con la fase de rechazo.
En esta fase se envían los informes de posibles infracciones a la dirección de correo especificada en la creación de la política. Estos informes nos ayudan a detectar y comprender mejor las anomalías en los correos electrónicos, como la ausencia de firma o la sospecha de falsificación, para protegerte de posibles amenazas.
Cuarentena de los correos sospechosos
Es momento de configurar la política como p=quarantine, por lo que los correos ahora pasarán a estar en “cuarentena”. Cuando esto sucede, significa que los correos que e han rechazado una vez, automáticamente, cuando se vuelve a recibir alguno del mismo remitente, este, automáticamente es dirigido a la carpeta de spam, sin pasar por la bandeja de entrada.
En esta fase se podrá añadir el parámetro “pct”, que se refiere al porcentaje de correos a los que se le aplica la política, en este caso, la p=quarantine. Este aspecto se debe ir aumentando progresivamente hasta llegar al 100% de los correos enviados a dicha política.
Rechazo de los correos fraudulentos
En esta última fase, una vez analizados los correos y puestos en cuarentena, los mensajes de correo electrónico fraudulentos que se envíen utilizando dicho dominio serán bloqueados tras implementar este cambio.
Además, se pueden supervisar estos correos bloqueados a través de informes que se remitirán por correo electrónico a la dirección proporcionada al realizar el registro TXT.
Como especialistas en ciberseguridad recomendamos la implementación de este tipo de políticas, como método de protección de ataques como el phishing o el ransomware, que lo que buscan es atacar directamente al activo más importante de una empresa, los datos.
En caso de dudas sobre la aplicación y configuración de las políticas DMARC, puedes contactar con nosotros a través de la imagen y botón que encontrarás a continuación.