DMARC como primer eslabón de (in)seguridad del ecosistema mail

Cualquier persona podría enviar correos suplantando el dominio legítimo de la organización objetivo. Depende de la organización interesada cómo de bien quiere protegerse con DMARC.

Cualquier dominio puede ser suplantado al enviar correos electrónicos en el campo visible del mail-from. Esta suplantación puede darse independientemente de si la organización objetivo tiene configurado un registro DNS de tipo TXT con una política DMARC; sin importar si está configurada con valor none, quarantine o reject.  

Aplicar dicha política DMARC es una decisión que depende exclusivamente del proveedor de mail del destinatario, en base a los dos métodos de autentificación de correos más comunes: SPF y DKIM. Por defecto en DMARC, mientras se cumpla uno de los dos estándares, tu correo será considerado legítimo. Dependerá de la organización establecer si quiere que se cumpla tanto SPF como DKIM para validar el correo.

Los grandes proveedores respetan y cumplen con DMARC haciendo exactamente lo que esté establecido en tu dominio:

          

  • None: No hacer nada, de modo que, cualquier correo suplantado llega directamente a la bandeja de entrada del buzón de correo del usuario final. Dependiendo del proveedor, puede ser que se active algún banner o flag alertando que el correo recibido no está autenticado.
  • Quarantine: Como su propio nombre indica, se establece que cualquier correo que no esté autentificado mediante DKIM o SPF sea puesto en cuarentena, o lo que es lo mismo, en la carpeta de spam.
  • Reject: Implica que cualquier correo no autenticado sea rechazado directamente, de modo que nunca llegue al buzón de correo del usuario (ni siquiera a spam).

  

Como se puede apreciar, aquellas organizaciones que tengan configurada para sus dominios una política DMARC en none pueden ser el peor phising para sus clientes, proveedores, socios, empleados, inversores… Más aún cuando el usuario medio final se fía en la mayoría de las ocasiones de estos correos suplantados, al ver que vienen remitidos superficialmente por el dominio oficial (aunque no realmente si se analiza el mensaje original en su conjunto, especialmente atendiendo al envelope y/o return-path). Esto es sumamente serio atendiendo a las estadísticas oficiales de DMARC para dominios configurados con el valor none, que a fecha de 2022 se situaban en el 65,7% (DMARC, 2022).

Pero… ¿para qué existe el valor none? Realmente es la mejor opción para aquellas organizaciones que no controlan el flujo de los correos que envían con su dominio, pudiendo haber numerosos servidores de correo propios o externos que siguen operando con una infraestructura legacy que no autentifica los correos que envían, principalmente, mediante el registro SPF.

En dicho caso, no hace falta deshacerse de dicha infraestructura, sino simplemente saber exactamente qué servidores son los que se necesitan validar en SPF para ser considerados como remitentes legítimos de emails con el dominio de la parte interesada. Una vez logrado, el último paso sería hacer la transición de la política DMARC hacia los valores quarantine o reject.

Por ello, ¡animamos a vuestra organización a dar este paso, quedando a vuestra disposición para ayudar en todo lo necesario!

Podemos ayudar tanto identificando y/o mapeando los servidores de correo legítimos que envían correos en nombre del dominio a tratar, así como cualquiera de sus subdominios. También podemos monitorizar casos reales de phising, o bien hacer una demostración del proceso completo de suplantación del dominio de la organización interesada: desde el envío del correo suplantado hasta la recepción en la bandeja de entrada de dicho email.

DMARC de un dominio y sus subdominios correspondientes.">