Guías y Consejos

Mejores prácticas de ciberseguridad en correos electrónicos
Guías y Consejos
Hits: 370

Mejores prácticas de ciberseguridad en correos electrónicos

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 

El correo electrónico es tan importante como el sitio web cuando se trata de seguridad. Como canal de ingeniería social, la entrega de malware y la explotación de recursos, una combinación de las mejores prácticas y la educación del usuario deben implementarse para reducir el riesgo de un compromiso relacionado con el correo electrónico.

Siguiendo esta lista de mejores prácticas de ciberseguridad, puedes hacer que la configuración de correo electrónico sea resistente a los ataques más comunes y asegurarte de que siga siendo así.

¿Qué es la seguridad del correo electrónico?

La seguridad del correo electrónico se refiere a varias medidas de ciberseguridad para asegurar el acceso y el contenido de una cuenta o servicio de correo electrónico.

La seguridad adecuada del correo electrónico puede proteger la información confidencial en las comunicaciones por correo electrónico, prevenir ataques de phishing, spear phishing y suplantación de identidad por correo electrónico y proteger contra el acceso no autorizado, la pérdida o el compromiso de una o más direcciones de correo electrónico.

¿Por qué es importante?

La seguridad del correo electrónico es importante porque el correo electrónico malicioso es un medio popular para difundir ransomware, spyware, gusanos, diferentes tipos de malware, ataques de ingeniería social como correos electrónicos de phishing o spear phishing y otras amenazas cibernéticas.

El correo electrónico también es un vector de ataque común para los atacantes que buscan obtener acceso a una red empresarial para robar datos confidenciales como información de identificación personal, información de salud protegida o propiedad intelectual (espionaje industrial).

Esto puede ayudar a cumplir con regulaciones como el RGPD al evitar violaciones de datos.

El correo electrónico seguro es necesario para las cuentas de correo electrónico individuales y comerciales, y hay varias medidas que las organizaciones deben tomar para mejorar la seguridad del correo electrónico que describimos a continuación.

Base de la seguridad del correo electrónico

El correo electrónico consta de tres componentes:

  • Sobre: Preocupado por cómo se enruta el correo electrónico, por ejemplo, la ruta que lleva llegar a su bandeja de entrada
  • Encabezado: contiene información sobre el remitente, el destinatario y varios detalles de autenticación.
  • Cuerpo del mensaje: el contenido del mensaje, por ejemplo, lo que lees y respondes.

Los métodos de autenticación (SPF, DKIM y DMARC) permiten la prevención de la suplantación de identidad del correo electrónico (las personas que fingen ser su dominio) y la verificación del remitente, dependen en gran medida de los registros DNS y agregan o verifican la información proporcionada:

  • Desde el encabezado: Esta es la identidad del autor del correo electrónico, generalmente lo que tu cliente de correo electrónico te muestra cuando recibes un correo electrónico. En última instancia, deseas tener confianza en que el dominio que se muestra es en realidad quién envió el correo electrónico. Esto solo es posible cuando utilizas todos los métodos de autenticación.
  • Encabezado de ruta de retorno: La identidad del servicio de correo electrónico de envío. Este valor se toma del comando MAIL FROM enviado al comienzo de una transacción de Protocolo simple de transferencia de correo (SMTP) por la máquina que envía el correo electrónico. Los servidores de correo y otros agentes de transferencia de mensajes usan SMTP para enviar y recibir mensajes de correo electrónico. El correo puede usar protocolos no estándar internamente, pero todos usan SMTP cuando envían o reciben correos electrónicos desde fuera de sus propios sistemas. El dominio en el encabezado no necesita ser el mismo que el dominio De y, a menudo, será diferente, por ejemplo, si el correo electrónico se reenvía a través de una lista de correo antes de llegar a su destino.

¿Qué es el Marco de políticas del remitente (SPF)?

Sender Policy Framework (SPF) es un método de autenticación de correo electrónico diseñado para detectar la falsificación de la dirección del remitente (encabezado de ruta de retorno) durante la entrega de un correo electrónico.

SPF permite al servidor de correo receptor verificar durante la entrega de correo que un correo electrónico que dice provenir de un dominio específico fue enviado por una dirección IP autorizada por el propietario de ese dominio.

¿Cómo implementarlo?

Para implementar SPF, debes agregar un DNS TXT registrado que enumere todas las direcciones IP autorizadas para enviar correos electrónicos en nombre de tu dominio.

Cada dominio puede tener un máximo de un registro SPF, definido como un tipo de registro TXT o SPF.

¿Cuál es el formato de un registro SPF?

Los registros SPF se definen como un simple fragmento de texto.

Los registros SPF siempre comienzan con el elemento v = . Esto indica la versión SPF que se utiliza. Al momento de escribir, esto siempre debe ser spf1 ya que esta es la versión más común de SPF que se entiende por intercambios de correo.

Uno o más términos seguirán el indicador de versión. Estos definen las reglas para las cuales los hosts pueden enviar correo desde el dominio, o proporcionan información adicional para procesar el registro SPF. Los términos están formados por mecanismos y modificadores.

¿Cómo funcionan los mecanismos SPF?

Los siguientes mecanismos definen qué direcciones IP pueden enviar correos electrónicos desde el dominio:

  • una
  • mx
  • ip4
  • ip6
  • exists

Un servidor de correo comparará la dirección IP del remitente con las direcciones IP definidas en los mecanismos. Si la dirección IP coincide con uno de los mecanismos en el registro SPF, seguirá la regla de manejo resultante. La regla de manejo predeterminada es neutral.

El mecanismo de inclusión le permite autorizar hosts fuera de sus administraciones especificando sus registros SPF.

El mecanismo all coincide con cualquier dirección y generalmente aparece como el último mecanismo para definir cómo manejar cualquier IP de remitente que no esté incluida en los mecanismos anteriores.

Todos los mecanismos pueden especificar calificadores sobre cómo manejar una coincidencia:

  • +: pasar
  • -: fallar
  • ~: falla suave
  • ?: neutral

¿Cómo funcionan los modificadores SPF?

Los modificadores son pares de nombre / valor, separados por un signo =, que proporcionan información adicional.

El modificador de redireccionamiento se usa cuando tienes varios dominios y deseas aplicar el mismo contenido SPF en ellos. Los redireccionamientos solo deben usarse cuando controlas ambos dominios; de lo contrario, se usa una inclusión.

El modificador exp se utiliza para proporcionar una explicación en el caso de un calificador – (fallo).

¿Cuáles son los resultados de la verificación de SPF?

Estos son los posibles resultados de una verificación SPF;

  • Ninguno: no existe ningún registro SPF.
  • Neutral: se encontró un registro SPF sin afirmación positiva o negativa sobre el remitente, el resultado es equivalente a Ninguno.
  • Pase: el remitente está autorizado a enviar correo en nombre del dominio.
  • Error: el remitente no está autorizado y el servidor de correo puede optar por rechazar el correo electrónico.
  • Fallo de software: el remitente no está autorizado, pero el servidor de correo no debe rechazar el correo basándose únicamente en este resultado.

 ¿Por qué SPF no es suficiente para autenticar un correo electrónico?

SPF solo solo puede autenticar la fuente del mensaje (Ruta de retorno) pero no el autor original.

No hay nada que impida que un atacante configure su propio buzón y dominio, con un registro SPF que autoriza a la dirección IP del atacante a enviar correos electrónicos en nombre de ese dominio.

Cualquier correo electrónico enviado pasaría las verificaciones de SPF y podría falsificarse el encabezado From que no se encuentra dentro del alcance de SPF.

Solo en combinación con DMARC y DKIM se puede usar SPF para evitar la suplantación de identidad por correo electrónico , una técnica que se usa a menudo en campañas de phishing.

¿Qué es DomainKeys Identified Mail (DKIM)?

DomainKeys Identified Mail (DKIM) es un método de autenticación de correo electrónico diseñado para detectar direcciones de remitente falsificadas en correos electrónicos.

DKIM posibilita la verificación por el receptor de que un correo electrónico que supuestamente se envía desde un dominio específico fue autorizado por el propietario de ese dominio.

Esto se logra mediante la colocación de una firma digital, vinculada a un nombre de dominio a cada mensaje de correo electrónico saliente.

El sistema del destinatario puede verificar el correo electrónico buscando la clave pública del remitente, que se publica en el DNS.

Una firma válida también garantiza que algunas partes del correo electrónico (como los archivos adjuntos de correo electrónico) no se han modificado desde que se fijó la firma. Las firmas DKIM generalmente no son visibles para los usuarios finales y están pegadas o verificadas por la infraestructura en lugar de por el autor y los destinatarios del mensaje.

¿Cómo implementarlo?

Al igual que SPF, la implementación de DKIM requiere que actualices tu DNS. Es un poco más complicado que SPF, ya que debes hacer lo siguiente:

  • Elige un selector DKIM: un selector puede ser lo que desees, como una palabra, un número o una cadena de letras y números. Se especifica como un atributo para una firma DKIM y se registra en el campo de encabezado DKIM-Signature. Como los selectores DKIM proporcionan distintos nombres de consulta DNS, el sistema utiliza esos selectores como un componente de nombre adicional para la validación. Los selectores habilitan múltiples claves DKIM bajo un nombre de dominio, lo que puede proporcionar diferentes controles entre departamentos, rangos de fechas o terceros que actúan en nombre de tu dominio. No hay dos servicios o productos que usen el mismo selector.
  • Genera un par de claves pública-privada.
  • Publica el selector y la clave pública: como registro TXT o CNAME apuntando al DNS de su proveedor.
  • Adjunta el token a cada correo electrónico saliente

Dicho esto, los registros DKIM a menudo son proporcionados por la organización que envía su correo electrónico.

¿Cómo funciona DKIM?

DKIM funciona colocando una firma en el correo electrónico como encabezado.

La firma incluye el dominio responsable de crear la firma, así como el selector.

La firma se crea utilizando la clave privada asociada con el registro DKIM y la clave pública que solo es conocida por el propietario del dominio.

¿Cuál es el beneficio de DKIM?

Al añadir una firma DKIM válida a un correo electrónico, se garantiza al receptor que la firma DKIM se ha diseñado por el propietario de ese dominio.

¿Por qué DKIM no es suficiente para autenticar un correo electrónico?

Una firma DKIM válida solo verifica que la firma DKIM fue creada por el propietario de ese dominio. No significa necesariamente que el dominio De sea el mismo.

Es sencillo para un atacante diseñar una firma DKIM válida para un dominio que está bajo su control mientras falsifica el dominio De.

Por lo tanto, al igual que SPF, DKIM solo no siempre es suficiente para autenticar el dominio en el encabezado From.

¿Qué es la autenticación, notificación y conformidad de mensajes basados ​​en dominio (DMARC)?

DMARC es un protocolo de autenticación de correo electrónico creado para otorgar a los propietarios de correo electrónico la capacidad de proteger su dominio del uso no autorizado, por ejemplo, suplantación de correo electrónico.

La finalidad y el resultado de aplicar DMARC es proteger un dominio para que no sea utilizado en ataques de compromiso de correo electrónico comercial, correos electrónicos de phishing, estafas de correo electrónico y otras amenazas de correo electrónico.

DMARC proporciona un mecanismo para:

  • Autenticar el dominio en el encabezado De de un correo electrónico, según los resultados de SPF y DKIM
  • Permitir a los propietarios de dominios establecer una política para manejar el correo electrónico en función del resultado de esa autenticación
  • Permitir a los propietarios de dominios obtener informes de comentarios de los receptores de correo sobre los resultados de las comprobaciones de DMARC.

¿Cómo implementarlo?

Al igual que SPF y DKIM, la implementación de DMARC requiere que actualices tu DNS.

Una vez que se publica la entrada DNS de DMARC, cualquier servidor de correo electrónico receptor puede autenticar el correo electrónico entrante según las instrucciones publicadas por el propietario del dominio dentro de la entrada DNS. Si el correo electrónico pasa la autenticación, se entrega y se puede confiar.

Si la verificación del correo electrónico falla, el elemento p del registro DMARC es la parte más importante del registro DMARC, ya que le indica al servidor de correo electrónico receptor qué hacer, a saber:

  • Ninguno: el propietario del dominio solicita que no se tomen medidas específicas con respecto a la entrega de los mensajes. Esto es efectivamente lo mismo que no tener ningún registro DMARC. Las políticas de filtrado de correo existentes no deberían verse afectadas, por ejemplo, SPF. En general, esto es utilizado por los propietarios de dominios que desean comenzar a recopilar informes de retroalimentación para determinar qué impacto tendrá DMARC una vez que se aplique una política más estricta.
  • Cuarentena: el propietario del dominio desea que los receptores de correo electrónico tengan correos electrónicos que no pasen la verificación DMARC por ser tratados como sospechosos. Esto generalmente significa que el correo electrónico terminará en spam.
  • Rechazar: el propietario del dominio desea que los receptores de correo electrónico que no pasan la verificación DMARC rechacen el correo electrónico.

¿Cómo funciona una verificación DMARC?

El proceso de realizar una verificación DMARC es para:

  • Extraer cualquier verificación de SPF que produzca un resultado de Pase
  • Extraer cualquier firma DKIM válida encontrada en el correo electrónico
  • Comparar el dominio utilizado para realizar la verificación SPF ( Return-Path ) y el dominio DKIM (según la firma DKIM) con el dominio From
  • Si el dominio no coincide con el dominio De, el resultado se descarta. Por defecto, se comparan los dominios organizativo o raíz
  • Si nos queda ya sea una firma válida DKIM o un cheque con un SPF Pass resultado, y el De partidos de dominio, a continuación, se satisface el cheque DMARC

¿Es DMARC suficiente para autenticar un correo electrónico?

Si. DMARC te permite autenticar un correo electrónico porque DMARC alinea el dominio del SPF y los resultados de DKIM del dominio De y te da confianza sobre la identidad del autor.

¿Qué sucede cuando hay un conflicto entre las políticas SPF y DMARC?
SPF y DMARC proporcionan un mecanismo para decidir cuándo se debe rechazar el correo electrónico y es posible que no siempre estén de acuerdo.

Por ejemplo, la verificación de SPF puede generar un error, que dirige al receptor a rechazar el correo electrónico. Pero si hay una firma DKIM válida para el dominio De, eso satisfaría la verificación DMARC. Recuerda, verifica si hay una firma DKIM válida o un resultado de Pase SPF.

En esta situación, depende de las políticas locales de protección de correo electrónico.

Recomendaciones de SPF, DKIM y DMARC

Recomendamos a todas las organizaciones que implementen una política DMARC efectiva (p = cuarentena o p = rechazar) en todos los dominios con implementaciones DKIM y SPF compatibles. La política debe aplicarse a todos los subdominios, es decir, s p = none no debe usarse.

Esto protegerá de los ciberdelincuentes que fingen ser tu organización en los correos electrónicos salientes. Además, obedecer las políticas de DMARC protegerá contra los correos electrónicos entrantes.

Si tu organización no delega el control de subdominios a terceros que no son de confianza, entonces el modo de alineación relajada predeterminado puede usarse para comparar dominios SPF y DKIM.

La buena noticia es que hay muchos productos SaaS diseñados para ayudarte a migrar a una política DMARC efectiva. También te ayudan a identificar problemas de configuración al agregar y analizar informes de receptores de correo.

Finalmente, tu política SPF no debe ser demasiado permisiva.

Si has seguido nuestras recomendaciones anteriores, es decir, si tienes una política DMARC implementada con p = cuarentena o p = rechazar, puedes usar un programa general de falla suave (~ todos).

Esto ayuda a evitar la situación en la que los receptores de correo rechazan el correo en función del resultado del SPF antes de verificar DMARC.

No te olvides de DNSSEC

DNSSEC proporciona una forma de protección contra la falsificación de DNS y es una parte a menudo pasada por alto de la seguridad del correo electrónico. La falsificación de DNS es un tipo de ataque cibernético en el que un atacante redirige una dirección DNS válida a la IP de un servidor malicioso.

Como SPF, DKIM y DMARC dependen de los registros TXT de DNS, la falsificación de DNS socava la seguridad que brindan.

Controles adicionales de seguridad de correo electrónico

Hay una variedad de soluciones de seguridad de correo electrónico adicionales que puedes emplear para mejorar tu seguridad de correo electrónico más allá de SPF, DKIM, DMARC y DNSSEC, tales como:

  • Cifrado de correo electrónico: Cifrar o disfrazar el contenido de mensajes de correo electrónico o archivos adjuntos de correo electrónico para proteger la información potencialmente confidencial de ser leída por otra persona que no sea el destinatario. Esto también puede ayudar con la prevención de pérdida de datos (DLP) .
  • Antivirus: el software antivirus a menudo tiene protección contra amenazas avanzada en tiempo real que puede detectar firmas de virus y malware conocidas
  • Puerta de enlace de correo electrónico segura: un dispositivo o software alojado en la nube o en las instalaciones que se utiliza para monitorizar los correos electrónicos que se envían y reciben.
  • Anti-spam: se refiere a cualquier software, hardware o procesos que se utilizan para combatir la proliferación de spam o evitar que el spam ingrese a un sistema. Por ejemplo, el correo electrónico opcional es un proceso común contra correo no deseado.
  • Contraseñas seguras: Requerir a los empleados que usen contraseñas seguras y obliguen a cambios de contraseña periódicamente.
  • Capacitación sobre conciencia de seguridad cibernética: los equipos de seguridad deben invertir en capacitar a su personal, ya que muchos ataques cibernéticos se propagan a través de archivos adjuntos de correo electrónico malicioso.

Fuente: https://ciberseguridad.com/guias/correos-electronicos/

Tags: ,
Rating:
( 0 Rating )

Búscar

Últimas Noticias

Información

CSIRT CELEC EP

Respuesta a Incidentes de Ciberseguridad (Análisis, Gestión, Coordinación) de nuestra Comunidad Objetivo.

Dirección: Panamericana Norte Km 7 Cuenca-Ecuador

Zona horaria: América / Guayaquil (GMT-0500)

Teléfono: +593 02 2900400  Ext: 3119

 

Últimas Noticias

Csirts Ecuador

Acceso Rápido

Search