Implementar DMARC

Para Ciberseguridad Internet es importante recordar que DMARC es seguridad para per铆metro externo ya que para el interno est谩n principalmente el antivirus y el firewall, etc.

DMARC MTA-STS

Lo podrias hacer de forma domestica!!

Las configuraciones aqu铆 mostradas son para un ecosistema sencillo y en un CPANEL, es de tener en cuenta que hay muchos tipos de configuraciones para implementar DMARC en distintos servidores, etc. Por otro lado una empresa que no tenga implementado su DMARC o lo tenga configurado medianamente o deficientemente con respecto a las medidas de seguridad de DMARC, SPF, DKIM y MTA/STS – TLS/RPT, BLACKLIST, MX, NS, PTR, A, listas negras, env铆os indebidos, etc, est谩 en riesgo de sufrir varios tipos de ataques cibern茅ticos que podr铆an resultar en p茅rdidas econ贸micas y da帽os a su reputaci贸n, al tiempo de generar sanciones de los ecosistemas de envi贸 y navegadores por caer en spam. Aqu铆 hay algunos de los riesgos m谩s significativos:

  1. Phishing y suplantaci贸n de identidad: La falta de configuraci贸n adecuada de DMARC, SPF y DKIM facilita que los atacantes env铆en correos electr贸nicos falsificados que parecen provenir de la empresa leg铆tima. Estos correos pueden contener enlaces maliciosos o solicitar informaci贸n confidencial de los destinatarios, lo que puede llevar a p茅rdidas financieras y robo de datos.
  2. Ataques de ransomware: Los atacantes pueden aprovechar la falta de seguridad en el correo electr贸nico para distribuir ransomware. Si un empleado hace clic en un enlace o archivo adjunto malicioso, podr铆a activar un ataque de ransomware que cifra los datos de la empresa y exige un rescate para su liberaci贸n.
  3. Spam y abuso: Los spammers pueden explotar la falta de autenticaci贸n adecuada para enviar grandes cantidades de correo basura desde direcciones falsas de la empresa. Esto puede tener un impacto negativo en la reputaci贸n de la IP de correo de la empresa y podr铆a resultar en la inclusi贸n en listas negras de servicios de correo electr贸nico. Ademas puede que emitan cupones de descuento para tus clientes y tienes que responder por tu marca.
  4. Suplantaci贸n de CEO o ejecutivos: Los atacantes pueden aprovechar las debilidades en la configuraci贸n de seguridad para enviar correos electr贸nicos falsificados que parecen provenir de ejecutivos de la empresa. Estos correos electr贸nicos pueden ser utilizados para solicitar transferencias de dinero u otra informaci贸n confidencial a los empleados, lo que podr铆a resultar en p茅rdidas financieras.
  5. Da帽o a la reputaci贸n: Si los clientes, socios comerciales u otros destinatarios reciben correos electr贸nicos fraudulentos o maliciosos que parecen provenir de la empresa, esto podr铆a da帽ar la reputaci贸n de la empresa y erosionar la confianza en su comunicaci贸n.
  6. Incumplimiento de normativas: Dependiendo de la industria y la ubicaci贸n, la falta de medidas de seguridad adecuadas podr铆a resultar en incumplimiento de regulaciones de protecci贸n de datos, lo que a su vez podr铆a llevar a multas y sanciones financieras.

En resumen, la falta de una configuraci贸n adecuada de DMARC, SPF, DKIM y MTA-STS, etc, deja a la empresa vulnerable a una variedad de ataques cibern茅ticos, fraudes y robos, que podr铆an resultar en p茅rdidas econ贸micas, da帽os a la reputaci贸n y problemas legales. Configurar estas medidas de seguridad es esencial para mitigar estos riesgos y garantizar una comunicaci贸n segura y aut茅ntica, y sera importante que tengas una consola automatizada para que la configuracion quede de forma idonea, de lo contrario vas a dejar fallando algunos detalles y la visibilidad a medias.

Ataques comunes a falta del MTA-STS TLS report

La falta de implementacion de MTA-STS (Mail Transfer Agent Strict Transport Security) puede dejar a una empresa vulnerable a varios tipos de ataques cibern茅ticos y explotaciones que afectan la seguridad de las comunicaciones por correo electr贸nico. Aunque MTA-STS en s铆 mismo no es la 煤nica defensa contra estos ataques, su ausencia puede aumentar el riesgo de los siguientes escenarios:

  1. Ataques de intermediario (Man-in-the-Middle – MITM): En un ataque MITM, un atacante se coloca entre el servidor de correo del remitente y el servidor de correo del destinatario, interceptando y posiblemente modificando los mensajes en tr谩nsito. Si MTA-STS no est谩 configurado, los atacantes podr铆an explotar esta falta de seguridad para interceptar y manipular los mensajes de correo electr贸nico.
  2. Ataques de escucha (Eavesdropping): Si las comunicaciones de correo electr贸nico no est谩n protegidas con conexiones seguras, los atacantes pueden interceptar el tr谩fico y obtener acceso a la informaci贸n confidencial transmitida entre los servidores de correo. MTA-STS ayuda a garantizar conexiones seguras entre los servidores, reduciendo el riesgo de escuchas no autorizadas.
  3. Inyecci贸n de contenido malicioso: Los atacantes podr铆an aprovechar la falta de MTA-STS para inyectar contenido malicioso en los mensajes de correo electr贸nico en tr谩nsito. Esto podr铆a incluir malware, enlaces a sitios web maliciosos o archivos adjuntos da帽inos que podr铆an comprometer la seguridad del destinatario.
  4. Spoofing de servidor de correo: Sin MTA-STS, los atacantes pueden falsificar los registros DNS y hacerse pasar por el servidor de correo leg铆timo de la empresa. Esto podr铆a conducir a la entrega de correos electr贸nicos a servidores controlados por atacantes, lo que permite la manipulaci贸n y el robo de informaci贸n.
  5. Fishing de datos (Data Fishing): Los atacantes podr铆an aprovechar la falta de conexiones seguras y la autenticaci贸n inadecuada para recopilar datos confidenciales enviados por correo electr贸nico, como nombres de usuario, contrase帽as u otra informaci贸n personal.
  6. Ataques de denegaci贸n de servicio (DoS): Si los atacantes pueden interceptar el tr谩fico de correo electr贸nico y restringir o bloquear su entrega, podr铆a resultar en una interrupci贸n del servicio de correo electr贸nico y afectar la comunicaci贸n de la empresa.
  7. Aprovechamiento de vulnerabilidades: La falta de medidas de seguridad como MTA-STS podr铆a permitir que los atacantes exploten vulnerabilidades conocidas en los protocolos de correo electr贸nico para llevar a cabo una variedad de ataques cibern茅ticos.

Es importante destacar que la implementacion del MTA-STS no es la 煤nica capa de seguridad necesaria para proteger las comunicaciones por correo electr贸nico. Se recomienda implementar un conjunto completo de medidas de seguridad, incluyendo autenticaci贸n de correo electr贸nico (DMARC, SPF, DKIM), cifrado de mensajes (TLS), y buenas pr谩cticas de seguridad para reducir el riesgo de estos tipos de ataques.

Implementar SPF

Sender Policy Framework (Marco de pol铆tica del remitente) 

驴C贸mo implementar SPF?

  1. Selecciona los servidores que vas a usar para tu campa帽a.
  2. Entra en el panel de control del proveedor de alojamiento de tu dominio.
  3. Crea un registro TXT, completando los campos (pueden llamarse de modo diferente). Como ejemplo, te mostramos la configuraci贸n para env铆os hechos a trav茅s de Simla.com:

Name: @ (nombre de dominio o d茅jalo en blanco)

Tipo de registro: TXT

Value: v=spf1 include:spf.simla.com ?all

TTL: 21600 (o 鈥減or defecto鈥)

En algunos paneles de control hay que indicar tu dominio (por ejemplo, Simla.com) en vez de @. Si no puedes indicar nada, deja este campo en blanco.

  1. Espera a que se realicen los cambios: los servidores DNS necesitan hasta 72 horas para intercambiar los datos sobre los nuevos registros entre s铆.

Implementar DKIM

DomainKeys Identified Mail (DomainKeys Correo identificado)

DKIM qu茅 es?

DKIM (DomainKeys Identified Mail) representa la firma digital de tus emails e interact煤a con dos servidores: el de remitente y el de destinatario. El proceso de la autentificaci贸n se controla por dos claves:  una p煤blica y otra privada.

La clave privada es el c贸digo secreto que est谩 en el servidor del proveedor de correo. Al usarlo, el servidor remitente firma cada mensaje con el DKIM que contiene en forma encriptada email y nombre del destinatario, tiempo de env铆o e informaci贸n relacionada al remitente.

La clave p煤blica est谩 en el campo TXT del registro DNS. Al usarla, el servidor destinatario descifra la firma DKIM y compara la informaci贸n que est谩 adentro con el contenido del correo. Si encuentra cualquier inconsistencia, dirige el mensaje a la carpeta de Spam.

Ciberseguridad Internet genera este proceso por ti y te ayuda a llegar a una politica rechazo sin trabar tus comunicaciones.

驴C贸mo implementar DKIM?

  1. Copia la clave p煤blica en los ajustes de tu correo electr贸nico.
  2. Entra en el panel de control desde tu cuenta de hosting.
  3. Crea un registro TXT. Luego, en el campo Value, introduce la clave p煤blica que copiaste anteriormente. M谩s abajo puedes ver un ejemplo de la clave que se usa para env铆os hechos a trav茅s de Simla.com.

Name: simla._domainkey

Tipo de registro: TXT

Value: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBb87bdgzUiRs4fPm+8oNigaqFAbZ6p+mdqf0yJvljIOMonZ/SPz6Kh9bujhd7s6bA056EXXp/OghYZNE1NLC7Q4Ut+gjNfzvJyYA6DZ1rjkGFf9iFTOJbVvp/NP2ThRarMkUrpPfS6xDMrDn2qdPGazMSmq1vmW/P7SGh22OQIDAQAB;

TTL: 21600 (o 鈥減or defecto鈥)

  1. Espera a que se realicen los cambios.
Ciberseguridad-Internet-SSL Globalsign DMARC
Ciberseguridad-Internet-SSL

驴C贸mo verificar la configuraci贸n de DKIM?

Para comprobar que la clave est谩 implementada, usa servicios de verificaci贸n del registro DKIM:

Otra posibilidad de comprobarlo es enviar un correo de prueba a buzones diferentes. Te lo mostramos con Yandex.Mail. Abre el correo y encuentra el elemento en el men煤 鈥淧ropiedades del mail鈥.

En una pesta帽a nueva ver谩s el c贸digo del mail con encabezados del servicio. Encuentra entre ellos uno que se llama DKIM-Signature.

M谩s arriba de la firma DKIM ver谩s una l铆nea Authentication-ResultEn caso de verificaci贸n exitosa debe tener escrito dkim=pass. Si en vez de pass ves fail, comprueba que est茅s usando las claves correctas.

Implementar DMARC con las Politicas mas idoneas

Para implementar DMARC de forma correcta debes tener la policita 芦p=cuarentena禄 o 芦p=rechazar禄. Nosotros simepre vamos a llegar hasta la implementacion DMARC en la policita Reject que es la mas segura. siendo que implementar DMARC en politica Quarantine tiene sus riesgos y no es la mejor politica. 

驴C贸mo implementar y verificar un registro DMARC?

Implementar DMARC Ciberseguridad Internet
  1. Entra en el panel de control desde tu cuenta de hosting DNS.
  2. Crea un registro TXT, completando los campos con los valores siguientes. Como ejemplo te mostramos nuestra pol铆tica: especifica la versi贸n del protocolo DMARC1, selecciona 鈥渘o hacer nada鈥 y 鈥淓nviar鈥 el reporte al correo del administrador.

En vez del admin@simla.com indica el correo destinatario para todos los reportes sobre los mails no verificados .

Name: _dmarc.simla.com.

Tipo de registro: TXT

Value: v=DMARC1; p=none; rua=mailto:admin@simla.com

  1. Espera a que se realicen los cambios.

驴Registros para implemetar DMARC?

p=none: el servidor destinatario no hace nada, pero recibir谩s el reporte en tu email. Usa este tipo de registro para saber si generas tr谩fico no deseado. Por ejemplo:

v=DMARC1;p=none;rua=mailto:admin@simla.com

p=quarantine: los mails no verificados terminan en la carpeta Spam. Por ejemplo:

v=DMARC1;p=quarantine;rua=mailto:admin@simla.com

p=reject: rechazar los mails no verificados por DMARC. Puedes elegir el porcentaje de rechazo de mails sospechosos con el tag pct. El valor por defecto es 100%, pero hemos decidido rechazar un 25% de los emails. Para implementar DMARC:

v=DMARC1;p=reject;pct=25;rua=mailto:admin@simla.com

 Recuento SMTP y avances

Incialmente surge el protocolo simple de trasferencia de correo

Luego se le agrega un SSL (Capa de sockets seguros), posterior el TLS (capa de trasporte segura) y luego STARTLS (extensi贸n a los protocolos de comunicaci贸n de texto plano) el cual tambi茅n tenia fallas de seguridad (intercepci贸n).

Luego MTS- STS (Agente de transferencia de correo de seguridad estricta de transporte). El cual agrego otra capa de Seguridad y adem谩s oscurece el texto encriptado.

Una vez implementado el MTA- STS (Agente de transferencia de correo de seguridad estricta de transporte), podr谩s ver en la consola los informes TLS-RPT, donde se muestran los problemas de encriptaci贸n con el fin de generar las alineaciones y correcciones necesarias en pro de la seguridad, entrega y visibilidad de correo.  

Con lo anterior Ciberseguridad Internet contribuye a reducir las amenazas de Man-in-the-Middle (MitM), que en espa帽ol significa 鈥渉ombre en el medio鈥, DNS Spoofing y ataques de downgrade (destinado a desconfigurar el TLS y el STARTLS, haciendo que la informaci贸n se genere en texto claro para poder verla).

Problemas a solucionar

Campa帽as de desprestigio con emision de cupones o descuentos a tu nombre.

Ataques a terceros y secuestro de informaci贸n internos y externos en nombre de nuestra empresa.

Perder dinero en transacciones por intercepci贸n

Perder la confidencialidad de la informaci贸n de nuestra empresa.

Algunas reglas de localidades en LATAM

Algunas leyes que protegen al consumidor

Colombia Ley 1480 de 2011

Chile Ley 19496

Bolivia la Ley 453 2013

Ley 24240 Argentina

M茅xico Ley Federal de Protecci贸n al Consumidor (LFPC) 

Como defenderse ante procesos

La Buena fe no te exime de pagar por los da帽os, no se puede alegar la propia la falta de diligencia en defensa propia, por lo cual, respondes por tu marca o dominio.

Implementar BIMI    

Indicadores de marca para identificaci贸n de mensajes. Para implementar BIMI debes tener quarantine pero en lo posible debes tener Reject, pues implemetar BIMI con DMARC en qurantine es poco funcional.

1.    Crear Logo

Logos figurativos (solo im谩genes) y mixtos (im谩genes + letras).

Formato SVG Scalable Vector Graphic (SVG)

programa que trabaje con pixeles y medidas exactas.

Programaci贸n en bloc notas.

El SVG debe adherirse al perfil SVG Portable/Secure (SVG-P/S)

Estar en formato SVG

Estar alojado en una URL accesible p煤blicamente a trav茅s de HTTPS (protocolo de transferencia de hiper texto seguro).

2.    Registrar logo

En los paises autorizados a nivel mundial.

inscribir logo.

Patentar

3. Certificado final

Generar certificado

VMC 鈥 Verified Mark Certificate (Certificado de marca verificada).

En Ciberseguridad Internet Y GODMARC somos expertos en seguridad informatica y estamos en plena capacidad para implementar DMARC y ejecutarlo de forma mas idonea por vos. Recuerda no confundir firewall o antivirus con DMARC ya que por eso muchas empresas pierden dinero y ademas recuerda comparar ya que algunas marcas de la competencia de DMARC a pesar de ser muy reconocidas; dejan mal configurado y reactivo e incluso te meten en lista negra, etc., etc.

0
    0
    Your Cart
    Your cart is emptyReturn to Shop