Protección del servidor de correo electrónico de su pequeña empresa: de DNSSEC a DMARC, DKIM y SPF
Introducción
Como propietario de una pequeña empresa, proteger su servidor de correo electrónico debe ser una prioridad. Los ciberdelincuentes se dirigen constantemente a los servidores de correo electrónico para acceder a información confidencial, distribuir malware o cometer fraude. La implementación de DNSSEC, DMARC, DKIM y FPS puede ayudarlo a proteger su servidor de correo electrónico y mantener la integridad de sus comunicaciones comerciales. En este artículo, exploraremos estas medidas de seguridad y discutiremos las trampas del reenvío de correo directo que podría causar resultados SPF falsos positivos.
- DNSSEC: extensiones de seguridad del sistema de nombres de dominio
DNSSEC es un protocolo de seguridad esencial que proporciona autenticación e integridad al Sistema de nombres de dominio (DNS). Garantiza que la información que recibe de los servidores DNS es auténtica e inalterada. Al implementar DNSSEC, puede proteger su servidor de correo electrónico del envenenamiento de caché de DNS y otros ataques basados en DNS.
Para habilitar DNSSEC:
- Póngase en contacto con su registrador de dominio y pídale que habilite DNSSEC para su dominio.
- Genere un par de claves, que consta de una clave pública y una privada.
- Cree un registro de DS para su dominio y envíelo a su registrador de dominios.
- DMARC: Autenticación, informes y conformidad de mensajes basados en dominios
DMARC es un protocolo de autenticación de correo electrónico que ayuda a proteger su dominio del uso no autorizado, como el phishing y la suplantación de identidad. Funciona verificando que el dominio del remitente haya publicado registros SPF y DKIM, e instruyendo a los servidores receptores sobre cómo manejar los correos electrónicos no autenticados.
Para implementar DMARC:
- Publica un registro SPF para tu dominio.
- Configure la firma DKIM para su servidor de correo electrónico.
- Cree un registro de política DMARC en la configuración de DNS de su dominio, especificando el nivel de cumplimiento y las opciones de informes.
- DKIM: correo identificado con claves de dominio
DKIM es un método de autenticación de correo electrónico que utiliza firmas criptográficas para verificar la autenticidad de un mensaje de correo electrónico. Al firmar sus correos electrónicos salientes con una clave privada, puede probar que el mensaje fue enviado desde su dominio y no ha sido manipulado durante el tránsito.
Para habilitar DKIM:
- Genere un par de claves DKIM para su dominio.
- Agregue la clave pública a los registros DNS de su dominio como un registro TXT.
- Configure su servidor de correo electrónico para firmar los mensajes salientes con la clave privada.
- SPF: marco de política del remitente
SPF es un estándar de autenticación de correo electrónico que permite a los propietarios de dominios especificar qué direcciones IP están autorizadas para enviar correos electrónicos en su nombre. Esto ayuda a proteger su dominio de ser utilizado en campañas de spam y phishing.
Para implementar SPF:
- Cree un registro SPF para su dominio en la configuración de DNS, enumerando las direcciones IP autorizadas.
- Configure su servidor de correo electrónico para verificar los registros SPF de los mensajes entrantes y rechazar a los remitentes no autorizados.
- Peligros del reenvío de correo directo y falsos positivos SPF
El reenvío de correo directo a veces puede causar falsos positivos de SPF. Cuando se reenvía un correo electrónico, se conserva la dirección IP del remitente original, lo que hace que el servidor receptor verifique el registro SPF del remitente original. Si la dirección IP del servidor de reenvío no está autorizada en el registro SPF del remitente original, el correo electrónico puede marcarse como fallido.
Para evitar este problema:
- Utilice un servicio de reenvío de correo que admita SRS (esquema de reescritura del remitente) para reescribir la ruta de retorno, asegurándose de que las comprobaciones de SPF se realicen correctamente.
- Agregue la dirección IP del servidor de reenvío al registro SPF del remitente original, si tiene control sobre él.
Conclusión
Proteger el servidor de correo electrónico de su pequeña empresa es crucial en el panorama digital actual. Al implementar DNSSEC, DMARC, DKIM y SPF, puede mejorar significativamente la seguridad de su correo electrónico y proteger su negocio de las ciberamenazas. Tenga cuidado con el reenvío de correo directo y tome las medidas necesarias para evitar falsos positivos de SPF. Con estas medidas implementadas, puede proteger sus comunicaciones por correo electrónico y concentrarse en hacer crecer su negocio.
Antes de profundizar en la implementación de cada protocolo de seguridad, es esencial comprender su sintaxis. La siguiente tabla proporciona ejemplos de sintaxis para registros DNSSEC, DMARC, DKIM y SPF. Tenga en cuenta que estos son solo ejemplos y debe reemplazar los marcadores de posición con su dominio real, direcciones IP y claves públicas. Además, es posible que deba ajustar los valores de TTL (tiempo de vida) según sea necesario. Una vez que esté familiarizado con la sintaxis, puede comenzar a configurar los registros DNS de su dominio para mejorar la seguridad de su servidor de correo electrónico.
| Protocolo de seguridad | Sintaxis de muestra |
|---|---|
| DNSSEC | ejemplo.com. 86400 EN DS 12345 8 2 0234567890ABCDEF1234567890ABCDEF1234567890 |
| DMARC | _dmarc.ejemplo.com. 86400 IN TXT "v=DMARC1; p=rechazar; exportar=correo a:informes@ejemplo.com" |
| DKIM | selector._domainkey.example.com. 86400 EN TXT "v=DKIM1; k=rsa; p=PUBLIC_KEY_HERE" |
| SPF | ejemplo.com. 86400 IN TXT "v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all" |
*Tenga en cuenta que estas son sintaxis de muestra y debe reemplazar los marcadores de posición con su dominio real, direcciones IP y claves públicas. Es posible que también deba ajustar los valores de TTL (tiempo de vida) según sea necesario.
A continuación se muestra una tabla que enumera varios registros DNS y su sintaxis de muestra. Estos registros se utilizan para diferentes propósitos, como apuntar su dominio a un servidor web, servidor de correo electrónico o verificar la propiedad del dominio.
| Tipo de registro DNS | Sintaxis de muestra | Propósito |
|---|---|---|
| A | ejemplo.com. 86400 EN UN 192.0.2.1 | Asigna un dominio a una dirección IPv4 |
| AAAA | ejemplo.com. 86400 EN AAAA 2001:0db8:85a3:0000:0000:8a2e:0370:7334 | Asigna un dominio a una dirección IPv6 |
| CNOMBRE | www.example.com. 86400 EN CNOMBRE ejemplo.com. | Crea un alias para otro dominio |
| MX | ejemplo.com. 86400 IN MX 10 correo.ejemplo.com. | Especifica el servidor de correo para un dominio. |
| TXT | ejemplo.com. 86400 IN TXT "v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all" | Almacena información basada en texto para varios propósitos. |
| SRV | _sip._tcp.ejemplo.com. 86400 EN SRV 0 5 5060 sipserver.example.com. | Proporciona información sobre los servicios disponibles. |
| NS | ejemplo.com. 86400 EN NS ns1.ejemplo.com. | Delega una zona DNS para usar servidores de nombres específicos |
| PTR | 1.2.0.192.in-addr.arpa. 86400 EN PTR ejemplo.com. | Asigna una dirección IP a un dominio (DNS inverso) |
| SOA | ejemplo.com. 86400 EN SOA ns1.ejemplo.com. hostmaster.ejemplo.com. (serie, actualizar, reintentar, caducar, mínimo) | Contiene información administrativa sobre una zona DNS |