¿Cómo mejorar la seguridad en el correo electrónico? | Parte 1/2

¿Cómo mejorar la seguridad en el correo electrónico?

Hoy en día, el mundo digital cada vez se parece más al mundo real. En él, podemos, por ejemplo, guardar y crear recuerdos, podemos tener una identidad, podemos viajar por el mundo, y también podemos correr riesgos mientras estamos en él. Sin ninguna duda, el correo electrónico se ha vuelto uno de los medios (junto con las redes sociales) por el que el peligro tiene mejores vías de llegar a nosotros.

Es muy probable que utilicen el correo electrónico porque estas amenazas se pueden “camuflar” mejor, o porque, como los usuarios lo consideran una forma de comunicarse segura, no mantienen la alerta necesaria en este medio.

¿Qué amenazas pueden llegarnos a través del correo electrónico?

A través del correo el electrónico pueden llegar amenazas de varias formas, solo por exponer de forma muy básica algunos ejemplos:

¿Qué es el Spam?

El Spam es el correo electrónico que nos llega con publicidad no deseada, y cuyo objetivo es conseguir que el usuario compre algún producto o se dé de alta en algún servicio. Aunque no tiene peligro a simple vista, puede tenerlo si el sitio al que nos invita, no tiene un interés legítimo.

¿Qué es el Malware?

El Malware es el correo que contiene un enlace o archivo malicioso, que, al pinchar desenlaza una serie de tareas (sin que el usuario sea consciente). Puede desencadenar ejecuciones de diversa índole en nuestro ordenador, pero todas ellas con un denominador común: el atacante sacará beneficio de esas acciones.

¿Qué es el Phising?

El Phising es un correo con el que el atacante intenta “engañar” bajo la apariencia de un correo de confianza, para que el usuario entregue sus datos de acceso a un servicio (por ejemplo, el usuario y contraseña de la web del banco) y poder realizar acciones en ese sitio que le benefician a él, y por tanto perjudican al atacado.

Evidentemente, cada vez estas técnicas se vuelven más complejas y evolucionadas, y en muchos casos se combinan distintas amenazas para poder conseguir el objetivo final. Este es un breve resumen simplemente para poner en contexto la necesidad de lo que vamos a ver a continuación.

¿Cómo configurar SPF, DMARC y DKIM?

Como es normar, todos los usuarios y empresas quieren librarse de este tipo de amenazas y aunque la mejor protección sigue siendo formar al usuario y darle a conocer cómo detectar este tipo de amenazas, hay algunas configuraciones que los administradores de TI, pueden implementar con el objeto de reducir los ataques y correos de este tipo.

Una de ellas es configurar correctamente 3 elementos que impedirán que la gran mayoría de los correos maliciosos lleguen a su destino, y sean directamente rechazados, puestos en cuarentena, o enviados a la bandeja de Spam. Esos elementos son SPF, DMARC y DKIM.

¿Qué es el SPF? | Sender policy framework

Seguramente, este registro estará configurado ya que lo incluye Microsoft 365 por defecto, y por lo tanto, probablemente esté agregado en la configuración inicial.

El administrador de TI, publica las direcciones IP o desde las que sus servidores de correo envían correos. Cuando un servidor de correo de un tercero recibe un correo, consulta ese registro y comprueba la lista de direcciones IP publicadas. Si el correo proviene de una de esas direcciones IP, entiende que el correo es legítimo y lo deja pasar.

Por ejemplo, nuestro registro SPF indica que las direcciones de nombre de dominio desde las que envían nuestros servidores es: correo.jmcastillo.eu. Cuando un servidor de correo de otra empresa reciba un correo de la nuestra, comprobará (ya que es una información incluida en el correo) si viene de esas direcciones. Si no es así, lo rechazará o pondrá en la bandeja de no deseado.

¿Qué es el DMARC? | Domain-based Message Authentication, Reporting, and Conformance

El DMARC nace de la facilidad que tiene un atacante de camuflar la dirección real de envío con otra que puede resultar de confianza. Dicho de otra forma, DMARC comprueba que los campos MAILFROM (la dirección de correo real) y FROM (la dirección de correo que vemos en el campo De), coincidan. Si no es así, el correo se bloquea y nunca se entregará.

Por ejemplo, recibimos un correo malicioso en el cual la dirección de correo visible es la dirección de un compañero de trabajo, o del CEO de la empresa, pero contiene un enlace que nos redirige a un sitio malicioso. Este tipo de engaño es muy difícil de detectar por los usuarios ya que en el campo “de” aparece una dirección interna de la empresa y por lo tanto confiable.

¿Qué es el DKIM? | DomainKeys Identified Mail

Este sistema de DomainKeys Identified Mail, funciona usando certificados digitales para confirmar que son realmente envidadores válidos. Al igual que nosotros tenemos la posibilidad de certificar nuestra identidad mediante certificado digital, los servidores de correo tienen esa posibilidad tambien.

Por ejemplo, si nuestro servidor tiene configurado DKIM, el correo, al ser enviado incorpora una clave publica en el envío. Al recibir un correo un servidor de terceros, comprueba que tenemos DKIM, y espera esa clave. Si no se entrega esa clave, el correo es entendido como ilegítimo.

Eso si, con DKIM hay que aportar algo más de información, ya que el servidor de correo que recibe debe estar preparado para entender esta tecnología. Las versiones más antiguas de servidores de correo necesitan plug-ins, o directamente no permite la configuración.

En esos casos, aunque tengamos habilitado DKIM en nuestro servidor, el correo se gestionaría, verificando SPF y DMARK, pudiéndose entregar el correo legítimo con normalidad.

Requisitos previos a la configuración

Ahora que ya tenemos todos los ingredientes sobre la mesa, el siguiente paso será ponernos manos a la obra y configurar todos estos elementos. Para que podáis digerir toda la información, de momento os avanzo cuáles son los requisitos previos.

  1. En primer lugar, necesitamos tener acceso con permisos de Complianced Admin o Global Admin de Microsoft 365, y acceso como administrador al panel DNS
  2. Tener instalado el modulo de Powershell EXO v2 en el equipo desde el que vayamos a configurar
  3. Necesitamos que nuestro servidor tenga un dominio público

Nosotros para esta publicación usaremos el dominio jmcastillo.eu el cual es un dominio de laboratorio creado por mí, y que no tiene valor en producción. Pero esto os lo contaré en la segunda parte de este artículo, donde nos pondremos manos a la obra con la configuración de SPF, DMARC y DKIM.

Estad atentos y activad las notificaciones para no perderos la segunda parte.

José Manuel Castillo García - Modern Workplace Specialist en ENCAMINA.

Artículo escrito por José Manuel Castillo García, Modern Workplace Specialist en ENCAMINA.

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments

Relacionados

Tendencias

Más leídos

Se habla de..

0
Would love your thoughts, please comment.x
()
x