Office 365 agrega soporte para DKIM y DMARC

office-365-agrega-soporte-para-dkim-y-dmarc_001

Así lo anunciaron Terry Zink y Shobhit Sahay del equipo de producto de Office 365 en este artículo, en el cual aseguran que ambas funcionalidades obedecen a la necesidad que tienen las compañías que decidieron confiar sus correos electrónicos a Microsoft de mantener a sus usuarios seguros.

Hasta hoy, Exchange Online ofrecía soporte para DKIM a los mensajes recibidos desde direcciones IPv6. Pero finalmente el equipo de Microsoft ha decidido extender la verificación a los mensajes recibidos desde direcciones IPv4 también.

Este proceso, que se espera esté finalizado hacia mediados de 2015, garantizará a los usuarios de Office 365 que todos los correos electrónicos que reciban habrán pasado previamente por una verificación de DKIM.

DKIM (o DomainKeys Identified Mail, por sus siglas en inglés) es un mecanismo de autenticación que permite a las organizaciones certificar que los correos electrónicos enviados desde sus dominios fueron procesados por servidores de correo en los que ellos confían. De alguna manera, DKIM protege contra la manipulación del correo electrónico, proporcionando integridad de extremo a extremo.

De acuerdo a lo establecido en la RFC 6376, se inserta una firma DKIM en la cabecera del mensaje, y el módulo de comprobación (en los servidores de correo del receptor del mensaje) valida la firma obteniendo la clave pública del firmante buscando la cadena “_domainkey” y un selector del campo de la firma DKIM en sus DNS (por ej. mail._domainkey.pablofain.com).

El receptor puede utilizar esta información para descifrar el valor de la firma del campo de la cabecera y para recalcular el valor de la firma del mensaje recibido. Si los dos resultados coinciden, esto prueba criptográficamente que el mensaje fue firmado por el dominio indicado y que no ha sido alterado en tránsito.

Por su parte, DMARC intenta sortear las deficiencias de los mecanismos SPF y DKIM en conjunto, garantizando que los mensajes provengan de donde dicen ser. Para ello verifica las direcciones de los valores 5321.MailFrom y 5322.From de acuerdo a las especificaciones de las RFC 5321 y 5322 respectivamente.

En un caso práctico podríamos decir que recibimos un mensaje de la dirección phishing@nullmibanco.com.

El valor 5321.MailFrom del mensaje es phishing@nullmibanco.net y pasa satisfactoriamente la prueba de SPF ya que el atacante configuró correctamente los registros SPF del dominio apócrifo mibanco.net.

Sin embargo, el valor 5322.From del mensaje es phishing@nullmibanco.com, lo cual nos haría suponer que el mensaje proviene de nuestro banco. Dado que los valores 5321 y 5322 no coinciden, el mensaje no supera la prueba DMARC y es interpretado como malicioso.

Aquellos mensajes que no superen la prueba DMARC serán enviados a la cuarentena, y podrán ser analizados por los administradores de cada organización de Office 365.

¡Hasta la próxima!

 

Deja un comentario