Cómo reparar el DMARC

El mecanismo DMARC tiene sus inconvenientes, pero hemos desarrollado una tecnología para solucionarlos.

A lo largo de la historia del correo electrónico, se han ideado muchas tecnologías diseñadas para proteger a los destinatarios de correos electrónicos fraudulentos (principalmente phishing). Los protocolos DKIM y SPF presentaban importantes inconvenientes, por lo que el DMARC (Autenticación de Mensajes Basada en Dominios, Informes y Conformidad por sus siglas en inglés) se diseñó para identificar mensajes con un dominio de remitente falso. Pero DMARC tampoco resultó ser una solución ideal. Por ello, nuestros investigadores han desarrollado una tecnología adicional para eliminar los inconvenientes de esta estrategia.

Cómo funciona DMARC

Una empresa que quiere evitar que otros envíen correos electrónicos en nombre de sus empleados puede configurar un DMARC en su registro de recursos de nombres de dominio. En resumen, esto permite que los destinatarios de los mensajes puedan estar seguros de que el nombre de dominio del remitente sea el mismo que en DKIM y SPF. Además, el registro indica la dirección a la que los servidores de correo envían informes sobre los mensajes recibidos que no pasaron la verificación (por ejemplo, si ocurrió un error o se detectó un intento de suplantar a un remitente de forma fraudulenta).

En el mismo registro de recursos, también puedes configurar la política del DMARC para especificar qué sucede con el mensaje si no pasa la verificación. Tres tipos de políticas del DMARC cubren tales casos: rechazar, cuarentena y ninguno.

  • Rechazar es la política más estricta. Elígela para bloquear todos los correos electrónicos que no pasen la verificación del DMARC.
  • Con la política Cuarentena, según la configuración exacta del proveedor de correo, el mensaje terminará en la carpeta de correo no deseado o lo recibirás, pero etiquetado como sospechoso.
  • Ninguno es el modo que permite que el mensaje llegue al buzón del destinatario con normalidad, aunque se sigue enviando un informe al remitente.

Los inconvenientes del DMARC

En general, el DMARC actúa de forma competente. La tecnología hace que el phishing sea mucho más difícil. Pero al resolver un problema, este mecanismo provoca otro: falsos positivos. Los mensajes legítimos se pueden bloquear o marcar como spam en dos tipos de casos:

  • Mensajes reenviados. Algunos sistemas de correo rompen las firmas SPF y DKIM en los mensajes reenviados, independientemente de que los mensajes se reenvíen desde varios buzones de correo o se redirijan entre nodos intermedios de correo (retransmisiones).
  • Configuraciones incorrectas. No es raro que los administradores del servidor de correo cometan errores al configurar el DKIM y el SPF.

En lo que respecta al correo electrónico comercial, es complicado decir qué situación es peor: dejar pasar un correo electrónico de phishing o bloquear un mensaje legítimo.

Nuestra estrategia para corregir los errores del DMARC

Sin duda valoramos la utilidad de esta tecnología, por lo que decidimos fortalecerla añadiendo la tecnología de aprendizaje automático al proceso de validación para minimizar los falsos positivos sin debilitar los beneficios del DMARC. Así es cómo funciona.

Cuando los usuarios redactan correos electrónicos, utilizan un agente de usuario de correo (MUA por sus siglas en inglés) como Microsoft Outlook. El MUA es responsable de generar el mensaje y enviarlo al Agente de transferencia de correo (MTA por sus siglas en inglés) para su posterior enrutamiento. El MUA agrega los encabezados técnicos necesarios al cuerpo del mensaje, el asunto y la dirección del destinatario (que completa el usuario).

Para eludir los sistemas de seguridad, los atacantes suelen utilizar sus propios MUA. Por regla general, se trata de motores de correo caseros que generan y completan mensajes de acuerdo con una plantilla determinada. Por ejemplo, generan encabezados técnicos para los mensajes y su contenido. Cada MUA tiene su propia “escritura”.

Si el mensaje recibido no pasa la verificación del DMARC, ahí es cuando nuestra tecnología entra en juego. Se ejecuta en un servicio en la nube que se conecta con la solución de seguridad del dispositivo. Comienza con un análisis más exhaustivo de la secuencia de encabezados, así como los contenidos de los encabezados X-Mailer y Message-ID utilizando una red neuronal, lo que permite que la solución distinga un correo electrónico legítimo de uno de phishing. Esta tecnología se ha probado en una enorme recopilación de mensajes de correo electrónico (alrededor de 140 millones de mensajes, de los cuales el 40 % era spam).

La combinación de la tecnología del DMARC y el aprendizaje automático ayuda a garantizar la protección del usuario contra los ataques de phishing y, a su vez, minimiza la cantidad de falsos positivos. Ya hemos implementado la tecnología en cada uno de nuestros productos que incluyen un componente antispam: Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server, Kaspersky Security for Mail Gateway (partes de Kaspersky Total Security for Business) y Kaspersky Security for Microsoft Office 365.

Consejos