27 feb. 2013

Protocolo DMARC, para asegurar el correo (I)

Hace unos días se conoció que Twitter estaba incorporando nuevas medidas de seguridad en sus correos para evitar ataques de Phishing a sus usuarios. La solución planteada va de la mano del protocolo DMARC (Domain-based Message Authentication, Reporting and Conformance) ya implementado por AOL, PayPal, LinkedIn, GMail, Hotmail y Yahoo!. En estos días, la especificación de DMARC [PDF] ha cumplido un año [PDF] y se ha transformado en una importante opción para instalar en los servidores de correo.

El protocolo DMARC funciona reforzando la autenticación del correo electrónico dentro de los sistemas de una compañía. DMARC comprueba la información del remitente del email con los datos disponibles para descubrir si esa información concuerda.

Si se demuestra que un email no procede del remitente que dice ser, entonces el protocolo ofrecerá al receptor un mensaje sobre la mejor manera de tratar con ese correo.

Las tecnologías SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) para la autenticación de los correos electrónicos se desarrollaron hace más de una década a fin de proporcionar una mayor garantía de la identidad del remitente de un mensaje. La adopción de estas tecnologías ha aumentado constantemente, pero el problema de los correos electrónicos fraudulentos y engañosos no ha disminuído. Si los remitentes utilizarían estas tecnologías, los receptores de los correo fácilmente podrían diferenciar los mensajes fraudulentos de los que están debidamente autenticados en el dominio.

Gran cantidad de remitentes de correo trabajan sobre un escenario complejo con muchos sistemas de envío de correo electrónico, que por lo general incluye proveedores de servicios. Asegurar que todos los mensajes se pueden autenticar usando SPF o DKIM es una tarea compleja, sobre todo teniendo en cuenta que estos ambientes se encuentran en permanente cambio.

Si un propietario de dominio envía mensajes, algunos de los cuales pueden ser autenticados y otros no, entonces los receptores del correo están obligados a discernir entre los mensajes legítimos que no se autentican y los mensajes fraudulentos que tampoco se autentican. Por naturaleza, los algoritmos de spam son propensos a errores y surge la necesidad de hacer cambios constantemente para responder a los nuevos desafíos de los spammers. El resultado es que algunos mensajes fraudulentos, inevitablemente, llegan a la bandeja de entrada del usuario final.

A menos que los mensajes de rebote vuelvan al remitente, no hay manera de determinar cuántos mensajes legítimos se están enviando que no pueden ser autenticados o incluso el alcance de los correos fraudulentos. Esto hace que la resolución de problemas sea muy difícil, especialmente en entornos de correo complejas.

La única manera de afrontar estos problemas pueden ser cuando los remitentes y receptores de la información se comparte con los demás. Los receptores brindan a los remitentes información sobre la infraestructura de autenticación, mientras que los receptores dicen lo que deben hacer cuando se recibe un mensaje el cual no se autentica.

En el 2007, PayPal fue pionera en este enfoque y elaboró ​​un nuevo sistema junto a con Yahoo! y GMail. Los resultados fueron muy satisfactorios, y llevó a a una disminución significativa en los correos electrónico fraudulentos que pretendían ser de PayPal ser y eran aceptados por los receptores.

El objetivo que persigue DMARC es construir, entre sistema de emisores y receptores, un entorno colaborativo para mejorar las prácticas de autenticación de correo de los remitentes y para permitir a los receptores rechazar mensajes no autenticados.

DMARC y el Proceso de Autentificación de Correo Electrónico

DMARC está diseñado para agregar un proceso de autenticación en los servidores de correos ya existentes. La forma en que funciona permite determinar si el mensaje recibido se "alinea" con lo que el receptor conoce del remitente. Si no, DMARC incorpora una orientación sobre cómo manejar los mensajes "no alineados". Por ejemplo, suponiendo que un receptor implementa SPF y DKIM, además de sus propios filtros de spam, el flujo puede ser algo como se ve a continuación:

En este ejemplo, las pruebas de alineación DMARC se aplican en el mismo punto donde podría aplicarse la extensión de DKIM llamada ADSP (Author Domain Signing Practices) y las demás pruebas no se verán afectadas.

En líneas generales, DMARC está diseñado para satisfacer los siguientes requisitos:
  • Reducir al mínimo los falsos positivos.
  • Proporcionar información de autenticación robusta.
  • Afirmar directivas del remitente en los receptores.
  • Reducir la entrega exitosa de mensajes de phishing.
  • Minimizar la complejidad de la comunicación.
Es importante tener en cuenta que tanto DomainKeys Identified Mail (DKIM) y Sender Policy Framework (SPF) se basan en las especificaciones de DMARC que se están desarrollando actualmente en la IETF. y DMARC está diseñado para sustituir ADSP añadiendo soporte para:
  • Políticas comodines o subdominio,
  • No existen subdominios,
  • Despliegue lento (por ejemplo, experimentos ciento)
  • SPF
  • Cuarentena de correo
Fuente: DMARC

Mauro D. Gioino de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!