DMARC o Domain-based Message Authentification Reporting and Conformance, es un protocolo de autenticación de correo electrónico de código abierto que suministra protección a nivel de dominio para el canal de correo electrónico. Esta autenticación detecta y evita las técnicas de spoofing o suplantación de correo electrónico que se usan en el phishing, los ataques de compromiso de correo electrónico corporativo (BEC) y otros ataques basados en correo electrónico. Tomando como punto de partida los estándares existentes DKIM, DMARC y SPF, la primera tecnología de amplio espectro de aplicación que puede lograr establecer la fiabilidad del dominio del encabezado del remitente (“De”) es DMARC. El propietario del dominio puede publicar un registro DMARC en el sistema de nombres de dominio (DNS) y crear una política para indicarles a los destinatarios qué hacer con los correos electrónicos que no superen la autenticación.

Ejemplos

• Spoofing (suplantación) de dominios: un atacante falsifica el dominio de una compañía para que su correo electrónico parezca legítimo.
• Spoofing (suplantación) de correo electrónico: un término para actividades que implican la suplantación de identidad en correo electrónico.
• Compromiso de correo electrónico empresarial (BEC, del inglés “Business Email Compromise”): un correo electrónico que parece provenir de un ejecutivo en una organización, en el que se solicita el envío de dinero o de información sensible.
• Correo electrónico impostor: un email suplantado, enviado por un impostor que afirma ser otra persona.
• Phishing de correo electrónico: un correo electrónico que intenta que sus víctimas instalen malware o revelen sus credenciales. Un correo electrónico de phishing casi siempre luce igual que una marca conocida, para así parecer legítimo.
• Phishing al consumidor: un email falsificado que se le envía al consumidor de una empresa, afirmando que lo envía dicha empresa, con la intención de robarles sus credenciales.
• Spoofing (suplantación) de socios: un correo electrónico empresarial suplantado entre socios en una cadena de suministro, cuyo contenido pretende cambiar los detalles del pago para desviar fondos.
• Whaling Phishing o estafas “balleneras”: un correo electrónico fraudulento enviado a un empleado de alto nivel de una organización, con el objetivo de lograr un gran beneficio financiero.

Estándares

• Autenticación de Mensajes Basada en Dominios, Informes y Conformidad (DMARC): un sistema de validación de correo electrónico que detecta y evita el spoofing de correo electrónico. Ayuda a combatir ciertas técnicas que se usan con frecuencia en el phishing y en el spam de correo electrónico, tales como correos electrónicos con direcciones de remitente falsificadas, que lucen como si proviniesen de organizaciones legítimas.
• El Convenio de Remitentes (SPF, del inglés “Sender Policy Framework”): un protocolo de validación de correo electrónico diseñado para detectar y bloquear correos electrónicos. Permite a los intercambiadores de correo electrónico entrante verificar que un mensaje de correo electrónico proviene de una dirección IP autorizada por los administradores de ese dominio.
• Correo Identificado por Claves de Dominio (DKIM, del inglés “DomainKeys Identified Mail”): un método de autenticación capaz de detectar el email spoofing. Le permite al receptor comprobar si un correo electrónico que afirma provenir de un dominio específico estaba autorizado por el dueño del dominio.
• Directiva Operacional Vinculante 18-01: el Departamento de Seguridad Interior de los EE. UU. ha promulgado la Directiva Operacional Vinculante 18-01, que estipula que las agencias deben actualizar la seguridad de su correo electrónico y web. Las agencias deberán implementar DMARC, SPF y STARTTLS de manera eficaz.

SPF y DKIM

SPF y DKIM son dos de los mecanismos básicos que juegan un papel crucial en DMARC. Cada uno está basado en unos registros únicos que ayudan a confirmar la legitimidad de los correos electrónicos.

El Convenio de Remitentes (SPF, del inglés “Sender Policy Framework”) es un protocolo de validación de correo electrónico que le permite a una organización enviar correo electrónico desde su dominio. Las organizaciones pueden autorizar a los remitentes dentro de un registro SPF publicado dentro del Sistema de Nombres de Dominio (DNS, del inglés “Domain Name System”). Este registro incluye a las direcciones IP aprobadas de los remitentes de correo electrónico, incluyendo las direcciones IP de proveedores de servicios que estén autorizados para enviar correos en nombre de la organización. Publicar y verificar registros SPF es una manera fiable de detener el phishing y otras amenazas basadas en correo electrónico que son forjadas desde direcciones y dominios de remitente.

El Correo Identificado por Claves de Dominio (DKIM, del inglés “DomainKeys Identified Mail”) es un protocolo de autenticación de correo electrónico que le permite al destinatario comprobar que un correo electrónico de un dominio específico realmente estuvo autorizado por el propietario de ese dominio. Le permite a una organización hacerse responsable de la transmisión de un mensaje adjuntándole una firma digital. La verificación se realiza mediante autenticación criptográfica usando la clave pública del firmante, publicada en el DNS. La firma garantiza que las partes interesadas del correo electrónico no hayan sido modificadas desde el momento en que se adjuntó la firma digital.

Tanto SPF como DKIM ayudan a establecer la autenticidad de los correos y prevenir amenazas comunes de seguridad en el correo, como spoofing y ataques de phishing. En el contexto de DMARC, estos mecanismos de autenticación son usados en conjunto para validar la identidad del remitente. La DMARC policy, publicada como un registro DNS, instruye a los servidores que reciben el mensaje la manera de tratar los emails que fallan las comprobaciones SPF o DKIM. Combinando resultados SPF y DKIM con DMARC policy, los dueños de los dominios web pueden especificar si prefieren poner en cuarentena o rechazar los correos que no pasan la autenticación, permitiendo un mejor control sobre la entrega de emails y reduciendo el riesgo de correos fraudulentos intentando atacar o piratear su dominio.

Cómo comprobar y verificar DMARC

Para que un mensaje pueda aprobar esta autenticación, debe primero superar la autenticación SPF y la alineación SPF, y/o superar la autenticación DKIM y la alineación con DKIM. Si un mensaje no aprueba DMARC, los remitentes pueden indicarles a los destinatarios qué hacer con ese mensaje mediante una política de implantación. Existen tres políticas o DMARC policy options, que el propietario del dominio puede implementar: “ninguno” (el mensaje se entrega al destinatario y el informe se envía al propietario del dominio), “cuarentena” (el mensaje se envía a una carpeta de cuarentena) y “rechazar” (el mensaje no se entrega).

La política de DMARC “ninguno” es un excelente primer paso. Así, el propietario del dominio puede garantizar que todos los correos electrónicos legítimos se estén autenticando adecuadamente. El propietario del dominio recibe informes que les ayudan a garantizar que todos los correos electrónicos legítimos sean identificados y superen la autenticación. Una vez que el propietario del dominio está seguro de que se hayan identificado a todos los remitentes legítimos y de que se hayan resuelto los problemas de autenticación, pueden pasarse a una política de “rechazar” y bloquear al phishing, el compromiso de correo electrónico empresarial y otros ataques de correo electrónico fraudulento. Como destinataria de un correo electrónico, una organización puede garantizar que su puerta de enlace protegida de correo electrónico haga valer la política DMARC implementada al propietario del dominio. Esto protege a los empleados contra amenazas en el correo electrónico entrante.