Una Guia Completa sobre DMARC: Assegurant la Integritat i Confiança del Correu Electrònic
Mentre desenvolupava Voices.ink, un projecte col·laboratiu amb @Ester Martí que transcriu notes de veu a Notion, vaig enfrontar un problema comú. Com podia assegurar que els nostres correus transaccionals arribessin a safates d'entrada en lloc de carpetes d'spam — o pitjor, evitar que atacants usessin el nostre domini per a phishing? La meva investigació em va portar a DMARC.
El correu electrònic forma la columna vertebral de la comunicació professional, però les seves vulnerabilitats de seguretat segueixen sent sorprenents. Els atacants cibernètics enganyen constantment mitjançant suplantació d'identitat i phishing. A mesura que el frau augmenta, les solucions robustes esdevenen imperatives. DMARC — un protocol avançat de correu electrònic — restaura la confiança a les nostres safates d'entrada.
Per Què Necessitem DMARC?
Les vulnerabilitats inherents del correu electrònic permeten la suplantació de domini, on els atacants envien correus fingint ser de fonts de confiança. SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail) contrarresten aquestes amenaces però segueixen sent imperfectes. DMARC (Domain-based Message Authentication, Reporting & Conformance) omple aquest buit aprofitant tant SPF com DKIM.
Entenent la Importància de DMARC
DMARC serveix tres propòsits principals:
- Autenticació: Assegurar que un correu electrònic que diu ser d'un domini específic genuïnament s'origina d'aquest domini.
- Report: Permetre als destinataris del domini reportar al remitent sobre els resultats de l'avaluació DMARC, oferint així informació sobre problemes potencials.
- Aplicació de Polítiques: Atorgar als propietaris de dominis el poder d'especificar com s'han de gestionar els correus electrònics no autenticats.
Crèdit: Emailonacid (Com funciona la política DMARC)
Els Blocs de Construcció de DMARC: SPF i DKIM
SPF verifica que el servidor d'enviament del correu electrònic té l'autorització del propietari del domini. Utilitza un registre TXT específic al DNS, com:
v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 a:mail.example.com -all
Aquest registre essencialment diu, "Només el rang d'IP 192.0.2.0 a 192.0.2.255 i 198.51.100.123 estan autoritzats per enviar correus electrònics per al meu domini."
Explicació:
v=spf1: Això indica la versió de SPF que s'està utilitzant, que és la versió 1 de SPF.ip4:192.0.2.0/24: Autoritza el rang d'IP 192.0.2.0 a 192.0.2.255 per enviar correus electrònics per al domini.ip4:198.51.100.123: Autoritza l'adreça IP específica 198.51.100.123.a:mail.example.com: Autoritza l'adreça IP resolta del nom de domini mail.example.com.-all: Especifica que no es permet a altres hosts enviar correus electrònics. (El '-' és una fallada dura, la qual cosa significa que els correus electrònics d'altres fonts han de ser rebutjats.~allseria una fallada suau, suggerint que haurien de ser acceptats però marcats.)
DKIM, d'altra banda, assegura la integritat del correu electrònic utilitzant signatures criptogràfiques. Un registre DNS TXT típic de DKIM podria veure's com:
v=DKIM1; p=MIGfMA0GCSqG...
Aquest registre conté la clau pública utilitzada pels servidors receptors per desxifrar la signatura DKIM del correu electrònic i verificar la seva autenticitat.
El nom del registre típicament inclou un prefix selector, permetent al domini tenir múltiples claus DKIM. En enviar un correu electrònic, el servidor mencionarà quin selector està utilitzant, guiant al servidor receptor al registre DNS correcte.
Explicació:
v=DKIM1: Això significa la versió de DKIM que s'està utilitzant.p=: Aquesta és la clau pública que els servidors receptors utilitzen per desxifrar la signatura DKIM a la capçalera del correu electrònic. La clau real seria una cadena llarga (truncada a l'exemple).
DMARC en Acció
Quan s'implementa DMARC, els propietaris de dominis publiquen una política DMARC
en els seus registres DNS TXT (utilitzant el nom _dmarc), tal com:
v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; aspf=r; adkim=r
Aquest registre es tradueix a: "Si un correu electrònic falla l'autenticació DMARC, rebutja'l. I envia reports agregats de DMARC a [email protected]."
Explicació:
v=DMARC1: Indica la versió de DMARC.p=reject: Política a aplicar als correus electrònics que fallen DMARC. Altres valors poden sernoneoquarantine.rua=mailto:[email protected]: Adreça on s'han d'enviar els reports agregats de DMARC.ruf=mailto:[email protected]: Adreça on s'han d'enviar els reports forenses (detallats) de DMARC.pct=100: Percentatge de correus electrònics als quals s'ha d'aplicar la política DMARC.aspf=r: Mode d'alineació SPF. 'r' significa relaxat (predeterminat), mentre que 's' significa estricte.adkim=r: Mode d'alineació DKIM. 'r' és per a relaxat, i 's' és per a estricte.
Una vegada que es rep un correu electrònic, el servidor receptor el valida contra SPF i DKIM. Perquè DMARC passi, almenys un d'aquests, SPF o DKIM, ha de ser vàlid i estar alineat amb el domini reclamat. Els correus electrònics que fallen aquesta comprovació es tracten d'acord amb la política DMARC — poden ser rebutjats, posats en quarantena o deixats passar sense acció.
La Conclusió
Els atacs de phishing sofisticats fan que la confiança sigui primordial en la comunicació digital. DMARC va més enllà de la seguretat del correu — assegura que els correus genuïns arribin als destinataris mentre els maliciosos romanguin bloquejats. Per a organitzacions i individus per igual, implementar DMARC ens acosta a una comunicació digital més segura.
Quan revisis les teves mesures de seguretat de correu, recorda: DMARC no és opcional — és necessari.
Recursos i Eines Addicionals
Per explorar DMARC més a fons:
- Guia DMARC: Una guia completa per la Global Cyber Alliance que cobreix els matisos de DMARC en detall. Mira-la aquí.
- Verificador de Configuració DMARC: Una eina inavaluable proporcionada per la Global Cyber Alliance. No només verifica si el teu DMARC està configurat correctament, sinó que també ofereix consells sobre rectificacions si és necessari. Prova l'eina aquí.