Los siguientes Métodos de autenticación contribuyen a la seguridad del correo electrónico y previene el Spoofing y Phisihing
Email
Headers
El header tiene sistemas de seguridad para detectar la suplantacion de identidad en los correos electronico.
Es muy fácil para un atacante enviar un mail haciéndose pasar por nuestro colega, amigo o jefe.
Tan solo debe ingresar a webs como https://emkei.cz para enviar el correo.
Lo que quiero decir es que el remitente se puede falsificar fácilmente, es por la razón que escribimos esta entrada.
Es muy importante tener en cuenta los métodos
de autenticación SPF,DKIM y DMARC
En primera instancia en la siguiente captura podemos observar los campos SPF y DKIM, ambos dicen PASS eso quiere decir que el mail podría ser legítimo, que los registros están bien configurados en nuestro dominio, pero lamentablemente hay más elementos que debemos analizar.
Lo primero a
analizar es ver el remitente del correo electrónico, por ejemplo, si el mail tiene una
template de Amazon por y vemos que en el campo ‘de’ tiene el dominio @emkei.cz
pueden desconfiar de ese mail con total seguridad debido que estariamos ante un caso de phishing.
Lo segundo es analizar el encabezado del mail, puede filtrar
por Received para saber la ip de quien envió el mail o buscar la línea X-Originating-ip
según el cliente de correo electrónico que estemos utilizando.
Luego de detectar la ip, la podriamos copiar y la analizar en la siguiente página http://www.arin.net/ lo cual podremos obtener más información del remitente para estudiar el origen y los servicio que utiliza.
Bien ahora pasemos a los métodos que debemos verificar para detectar que el mail es sospechoso.
Métodos de Autenticación.
Vamos a profundizar un poco en los métodos de autenticación que tienen los motores de correos para detectar mail anómalos o maliciosos.
Sender
Policy Framwork(SPF)
SPF es un registro DNS, parte de la zona dns de un dominio
que se utiliza para verificar el remitente.
Este registro TXT declara que dominios y host pueden o no enviar
correos electrónicos en nombre de un dominio.
El sistema reenvía el mensaje solo después de autenticar la
entidad del remitente.
Verifica la dirección de dominio para la autenticación y
agrega el estado de verificación en el campo de encabezado.
Desde el encabezado SPF valida el valor Return-Path para
autorizar la dirección de dominio de correo electrónico del remitente y el servidor
de Origen.
Campos propietarios que utiliza
Pass: la fuente de correo electrónico es valida
Softfail: fuente falsa posible o valida.
Neutral: La validez de la fuente es difícil de determinar
None: registro SPF no encontrado
Unknown: nose puede realizar la comprobación de SPF
Error: se produjo un erro durante la comprobación de SPF
Podemos comprobar los registros SPF de un mail agregándolos al
analizador de mxtoolbox.com
Podemos observar que la mayoría de los registros dicen PASS lo cual a priori nos da la sensación que estamos ante un dominio real y no falsificado.
Domain
Keys Identified Mail o DKIM
Es una de las medidas de seguridad primordiales para
prevenir la suplantación de identidad de correos, ayuda a prevenir la falsificación
de correos electrónicos.
Ayuda a los servidores de recepción de correos a verificar
la legitimidad de los correos electrónicos entrantes.
Ayuda identificar la llave mediante el sistema de cifrado si
es falso o no (El dominio tiene una llave única)
Al mamomento de analizar la llave DKIM él se pregunta: “Oye yo
soy dueño de este dominio y yo tengo la llave”
Es una técnica de autenticación de correo electrónico que
permite al receptor ver que un correo electrónico fue sin duda enviado y autorizado
por el dueño de ese dominio.
Esto es hecho al darle al correo electrónico una firma
digital. La Firma DKIM es un encabezado que es añadido al mensaje y está asegurado con encriptación.
Se basa en una criptografía de clave publica a través de la
cual se crea una firma digital. Los destinatarios pueden comprobar esta firma con
la clave publica DKIM y verificar la autenticidad del correo.
El registro DKIM es normalmente un registro TXT con clave
publica incluida en el valor del registro. El formato más común del nombre del
registro es
El prefijo Default se llama DKIM selector, que
puede tener un nombre diferente para los distintos servicios de correo
El prefijo _domainkey denota que el registro DNS es DKIM y siempre
sigue al selector DKIM
Aquí, puedes ver el formato final de un registro TXT de DKIM
que aparecen en las búsquedas de dns.
Aparte de un registro TXT de DNS, el registro DKIM también podría
ser un registro CNAME por ejemeplo
A continuación, puedes ver como aparecería un registro CNAME
DKIM en los comprobadores de DNS
¿Cómo funciona los registros DKIM?
Cuando DKIM está habilitado, cada correo electrónico que envías está firmado con una firma digital.
Esta firma contiene partes seleccionadas
del correo electrónico que están cifradas con la clave privada DKIM del
servidor de correo electrónico.
Antes de enviar un correo electrónico, el servidor de correo
electrónico saliente agrega la firma a los encabezados del mail. Es importante tener
en cuenta que DKIM no cifra el mensaje de correo electrónico en sí, sino solo
la firma digital.
verificación de un mensaje DKIM firmado..
Cuando un destinatario de correo electrónico recibe un mail, su servidor de correo electrónico puede buscar la llave publica asociada con el registro DKIM del dominio del mail.
El servidor de correo utiliza esa la clave publica
para verificar la firma de correo y desencriptarlo, el destinatario puede estar
seguro de que el correo electrónico fue enviado desde el que dice originarse y
que no ha sido modificado en su tránsito.
¿Cómo previene DKIM la suplantación de dominio?
El spoofing de correo electrónico es una táctica de estafa en que los atacantes envían emails haciéndose pasar por personas o marcas de confianza.
El objetivo final para
ellos es ganarse la confianza de sus víctimas y hacerlas revelar información sensible.
Sin embargo,
dado que los estafadores no tienen acceso al servidor de correo autorizado
del dominio que suplantan. No puede usar a clave privada DKIM
Por lo tanto,
cuando DKIM está habilitado, los destinatarios pueden verificar si un correo electrónico se origina en el servidor de dominio reclamado comprobando la firma
con la clave publica del dominio del registro de DNS. El destinatario puede
concluir que el correo electrónico esta falsificado si la firma no coincide con
la clave publica
Valores para tener en cuenta propio de DKIM
V: versión de la aplicación. Actualmente solo existe la versión
1, por lo que este campo siempre debe establecerse en 1.
A: algoritmos utilizados para el cifrado. Debería ser
rsa-sha256 en la mayoría de los casos. Algunos pueden usar rsa-sha1, pero no se
recomienda debido a los riegos de seguridad.
C: algoritmos utilizados para canonicalizacion
S: nombre del registro del selector utilizado con el dominio
Campos de encabezado firmados que se utilizan en el
algoritmo de firma para crear el hash en la etiqueta b=bh:hash del cuerpo del
mensaje
B: datos hash de los encabezados enumerados en la etiqueta
h= también llamados DKIM
D: Dominio utilizado con el registro selector
Vuelvo a dejar la página de MXToolBox para comprobar DKIM.
Email
Header Analyzer, RFC822 Parser - MxToolbox
Solo tenemos que copiar el header del mail y pegarlo en
MxToolsBox, por ejemplo
La siguiente imagen muestra un registro DKIM correcto.
La siguiente imagen corresponde a un DKIM y SPF falso propio
de una falsificación de identidad.
DMARC
DMARC (Domain-based Message Authentication Reporting and Conformance,
Autentication, autenticación de mensaje Basada en Dominio, Informes y
Conformidad) es un mecanismo de autenticación de correo electrónico. Ha sido
diseñado para otorgar a los propietarios de dominio de correo electrónico la
capacidad de proteger su dominio frente a su uso no autorizado, comúnmente
conocido como email spoofing
Pasando en blanco esto,
Al momento de enviar el correo electrónico entra en juego el
protocolo DMARK activando DMARK-SPF y DMARK-DKIM
DMARC-SPF analiza el SPF
Si hay un problema en el Check DMARK DKIM RESULT va a devolver
FAIL
Lo mismo Sucede con el DKIM CHEK, si todo esta en PASS vamos
a recibir el correo electronico.
La siguiente imagen corresponde a un registro DMARC falso
Email Body
Cuando interactúe con archivos
adjuntos, proceda con precaución y asegúrese de no hacer doble clic en el
archivo adjunto de un correo electrónico por accidente!
El body del
mail puede contener archivos o direcciones añadidas, para identificar esto
debemos ver el código del mensaje.
A la hora de
analizar el body vamos a concentrarnos en los siguientes encabezados
Content-Type
es nos dice que es una aplicación application/pdf.
Content-Disposition
especifica que es un archivo adjunto.
Content-Transfer-Encoding
nos dice que está codificado en base64 y el cual podemos decodificar en la
siguiente página de CyberChef.
Por ejemplo, la siguiente captura es el header de un mail
donde nos muestra información del tipo de aplicación, si contiene archivos
adjuntados, que tipo de archivo es, en este caso es un pdf y el tipo de codificación
que tiene, en este caso base64.
No hay comentarios.:
Publicar un comentario