Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Implementación
SPF, DKIM y DMARC
en servicios públicos
Introducción
Más de 700 mil correos maliciosos Estas medidas de seguridad son
fueron bloqueados por la Red de fundamentales para garantizar la
Conectividad del Estado el año autenticidad y la integridad de los
2023, como medida preventiva. correos electrónicos enviados en
Esta cifra nos demuestra cuán nombre de la institución,
utilizado es el correo electrónico reduciendo así el riesgo de
como vector de entrada para un suplantación de identidad y
ciberataque y por qué es tan ataques de phishing.
necesario implementar medidas
de seguridad en este canal, como La información contenida en este
por ejemplo los protocolos de documento está orientada a los
autenticación. encargados de ciberseguridad
institucionales y a los
Por esta razón y con el objetivo de administradores de sistemas de
contribuir a proteger a las las unidades TIC, por lo que es
instituciones, el CSIRT de Gobierno necesario contar con
desarrolló este manual como guía conocimientos básicos para su
para implementar de forma adecuada comprensión y correcta
efectiva las políticas de aplicación.
autenticación de correo
electrónico SPF (Sender Policy
Framework), DKIM (DomainKeys
Identified Mail) y DMARC
(Domain-based Message
Authentication, Reporting, and
Conformance) en los servicios
públicos.
Capítulo 1
Conceptos básicos
Para evitar recibir y enviar correos ¿CÓMO FUNCIONA?
electrónicos de tipo spam o
El propietario, encargado de TI o
campañas de phishing, disminuir el
administrador debe crear un
riesgo de spoofing y asegurar la
registro TXT en el Servidor de
entrega de e-mails, existen tres
Nombres de Dominio o DNS para
protocolos de autenticación que
listar los servidores autorizados
permiten confirmar que el
para enviar corres electrónico. Si
servidor desde donde se envía un
algún servidor no está en la lista,
e-mail es seguro.
significa que no es un remitente
La implementación de estos autorizado. Cuando un servidor
protocolos es una medida de recibe un mensaje de correo
seguridad básica para el correo electrónico, realiza una
electrónico de las organizaciones. verificación SPF, comprobando si
Estos métodos de autenticación el dominio o IP que envió el correo
son: se encuentra en la lista. Si no es
así, la verificación SFP falla,
¿QUÉ ES SPF? bloquea el mail, envía a spam o
permite que ingrese a la bandeja
SPF significa “marco de políticas de entrada con una marca,
del remitente”. Este protocolo dependiendo de la configuración
permite identificar o listar los del receptor en sus equipos de
servidores de correo electrónico seguridad.
autorizados por la organización
para enviar mensajes desde su
dominio, tanto internos como DNS: Servidor que traduce
externos. Esto significa que evita nombres de dominio en
que terceros suplanten su dominio direcciones IP para
de correo electrónico. toda la red.
¿QUÉ ES DKIM?
Comando Descripción
+ Pass
especificado en el registro
SPF está autorizado para
enviar correos electrónicos.
El dominio especificado en
el registro SPF no puede ser
verificado. Esto ocurre
? Neutral
cuando el dominio no tiene
un registro SPF o no está
bien formado.
Validar y confirmar que la configuración esté
implementada correctamente.
Ejemplos de implementación
v=spf1 +all
-- Cualquier <ip> pasa el chequeo.
v=spf1 a -all
-- Las direcciones 192.0.2.10 y 192.0.2.11
pasan el chequeo.
v=spf1 a:example.org -all
-- Ninguna dirección de salida pasará porque
example.org no tiene registros A.
v=spf1 mx -all
-- Las direcciones 192.0.2.129 y 192.0.2.130
pasan.
v=spf1 mx:example.org -all
-- La dirección 192.0.2.140 pasa.
v=spf1 mx mx:example.org -all
-- Las direcciones 192.0.2.129, 192.0.2.130, y
192.0.2.140 pasan.
v=spf1 mx/30 mx:example.org/30 -all
-- Cualquier dirección que envía desde
192.0.2.128/30 o 192.0.2.140/30 pasa
v=spf1 ptr -all
-- La dirección que envía 192.0.2.65 pasa (el
DNS reverso es válido y está en example.com)
-- La dirección que envía 192.0.2.140 falla (el
DNS reverso es válido pero no está en example.com)
-- La dirección que envía 10.0.0.4 falla (La IP
reversa no es válida)
v=spf1 ip4:192.0.2.128/28 -all
-- La dirección que envía 192.0.2.65 falla
-- La dirección que envía 192.0.2.129 pasa
CONFIGURACIÓN DE DKIM 1
Generar claves DKIM. Para
esto, puedes utilizar una
openssl rsa -in
herramienta como OpenSSL,
private.key -out
biblioteca de software de
public.key -outform
código abierto que se utiliza
PEM -pubout
para generar y administrar
claves criptográficas. ¿Cómo
hacerlo?
Configurar las firmas DKIM en
Abre una terminal y dirígete los servidores de correo. Una
al directorio donde quieres vez generadas las claves, se
guardar las claves DKIM. deben configurar las firmas
DKIM en los servidores de
Ejecuta el siguiente comando
correo que se utilizarán para
para generar un par de llaves
enviar correo electrónico. Esta
RSA con 2048 bits (a pesar de
configuración variará según el
que parece que se genera
servidor de correo que se
sólo la llave privada, en
utilice, sin embargo, hay que
realidad se generan ambas):
considerar los siguientes
parámetros:
```
openssl genrsa -out Nombre de dominio que se quiere
private.key 2048 proteger con DKIM
v=DKIM1;k=rsa;
p=MIGfMA0GCSqGSIb3DQ
v Versión DMARC
EBAQUAA4GNADCBiQKBgQ
D4Y+4sA4b016X3n10h6+ p Política
0+2v
... Dirección de
3q9s7r8+wIDAQAB correo
rua electrónico
para los
informes de
CONFIGURACIÓN DE DKIM 2 DMARC.
Lo primero que se debe hacer
antes de configurar DMARC es Dirección de
correo
contar con los protocolos SPF y
electrónico
DKIM activados; de lo contrario, se ruf para los
pueden presentar problemas con informes
la entrega de los correos. DMARC fallidos
Posteriormente, hay que:
Las políticas disponibles son:
El correo
electrónico Política DMARC que se
que no pasa la especificó en el registro.
None
autenticación
DMARC se Dominio en el que se configuró
entregará. la política.
En caso de cambiar de
proveedor, dominios o
servidores de correo
electrónico, se deben
actualizar
correspondientemente los
valores configurados para el
uso de los protocolos SPF y
DKIM.