El mecanismo DMARC verifica el dominio del remitente real de un correo electrónico y, por lo tanto, puede desenmascarar correos electrónicos falsos. Los expertos de Kaspersky han resuelto las desventajas de la Conformidad e informes de autenticación de mensajes basados en dominios (DMARC) a través de una tecnología recientemente desarrollada.
A lo largo de la historia del correo electrónico, las personas han ideado muchas tecnologías para proteger a los destinatarios de correos electrónicos fraudulentos (principalmente phishing). DomainKeys Identified Mail (DKIM) y Sender Policy Framework (SPF) tenían importantes inconvenientes, por lo que se desarrolló el mecanismo de autenticación de correo de Conformidad e informe de autenticación de mensajes basado en dominio (DMARC) para identificar mensajes con un dominio de remitente falsificado. Sin embargo, DMARC no resultó ser una panacea. Por lo tanto, los investigadores de Kaspersky han desarrollado tecnología adicional para eliminar las desventajas de DMARC.
Cómo funciona DMARC
Una empresa que desee evitar que otros envíen correos electrónicos en nombre de sus empleados puede configurar DMARC en su registro de recursos de DNS. Básicamente, esto permite que los destinatarios del mensaje se aseguren de que el nombre de dominio en el encabezado "De:" sea el mismo que en DKIM y SPF. Además, el registro de recursos especifica la dirección a la que los servidores de correo envían informes de mensajes recibidos que no superan la verificación (por ejemplo, cuando se produjo un error o se detectó un intento de hacerse pasar por el remitente de forma fraudulenta).
En el mismo registro de recursos, también se puede configurar la política DMARC para determinar qué sucede con el mensaje si falla la verificación. Tres tipos de pólizas DMARC cubren estos casos:
- El rechazo es la política más estricta. Si selecciona esta opción, se bloquearán todos los correos electrónicos que no pasen la verificación DMARC.
- Con la política de cuarentena, según el proveedor de correo, el mensaje termina en la carpeta de spam o se entrega pero se marca como sospechoso.
- Con Ninguno, el mensaje llega a la bandeja de entrada del destinatario, aunque todavía se envía un informe al remitente.
Desventajas de DMARC
Desventajas de DMARC
En general, DMARC es bastante capaz. La tecnología hace que el phishing sea mucho más difícil. Pero al resolver un problema, este mecanismo provoca otro: falsos positivos. Los mensajes inocentes se pueden bloquear o marcar como spam en dos tipos de casos.
- Mensajes reenviados: algunos sistemas de correo rompen las firmas SPF y DKIM en los mensajes reenviados, independientemente de si los mensajes se reenvían desde diferentes buzones de correo o si se redirigen a través de nodos de correo intermedios (retransmisiones).
- Configuración incorrecta: no es raro que los administradores del servidor de correo cometan errores al configurar DKIM y SPF.
Cuando se trata de correo electrónico comercial, es difícil decir qué escenario es peor: dejar pasar un correo electrónico de phishing o bloquear un mensaje legítimo.
El enfoque de Kaspersky para abordar las fallas de DMARC
Sin duda, esta tecnología es útil, por lo que Kaspersky decidió fortalecerla agregando el aprendizaje automático al proceso de validación, minimizando así los falsos positivos sin socavar los beneficios de DMARC. Y así es como funciona:
Cuando los usuarios redactan correos electrónicos, utilizan un agente de usuario de correo (MUA), un programa de correo electrónico como Microsoft Outlook. El programa es responsable de generar el mensaje y enviarlo al Agente de transferencia de correo (MTA) para su posterior enrutamiento. El programa de correo electrónico agrega los encabezados técnicos necesarios al cuerpo del mensaje, el asunto y la dirección del destinatario (que debe completar el usuario).
Los atacantes suelen utilizar sus propios programas de correo electrónico para eludir los sistemas de seguridad. Por regla general, estos son motores de correo caseros que generan y completan mensajes de acuerdo con una plantilla determinada. Por ejemplo, generan encabezados técnicos para los mensajes y su contenido. Cada programa de correo electrónico tiene su propia "escritura a mano".
Distinga el correo electrónico legítimo de un correo electrónico de phishing
Si el mensaje recibido no pasa la verificación de DMARC, entonces entra en juego nuestra tecnología. Se ejecuta en un servicio en la nube que se conecta a la solución de seguridad del dispositivo. Comienza analizando más a fondo la secuencia de encabezados y el contenido de los encabezados X-Mailer y Message-ID utilizando una red neuronal, lo que permite que la solución distinga un correo electrónico legítimo de un correo electrónico de phishing. La tecnología se entrenó en una gran colección de mensajes de correo electrónico (alrededor de 140 millones de mensajes, el 40% de los cuales eran spam).
La combinación de la tecnología DMARC y el aprendizaje automático ayuda a garantizar la protección del usuario contra los ataques de phishing al tiempo que reduce la cantidad de falsos positivos. Ya hemos implementado la tecnología en cada uno de nuestros productos que tienen un componente antispam: Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server, Kaspersky Security for Mail Gateway (en parte en Kaspersky Total Security for Business) y Kaspersky Security for Microsoft Oficina 365.
Obtenga más información en el blog de Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/