Filtrado DMARC en servidor de correo

Activando DMARC en tu dominio te aseguras que ningún hacker engañe a tus clientes y proveedores, enviando mensajes en tu nombre.

El filtrado DMARC de servidor es la otra cara de la moneda. Tu servidor de correo electrónico debe tener activado ese filtrado para que los hackers no te engañen a ti (y a los usuarios de tu dominio).

Esta medida la debe implementar el administrador del servidor con el que tengas contratado el servicio de hosting.

Si utilizas un servidor con panel Plesk, es bastante fácil y directo, basta con ir a «Herramientas y Opciones», «Configuración del Servidor de Correo» y activar la casilla «Activar DMARC para comprobar el correo entrante» que por defecto viene desactivada en algunos servidores.

SPF No es suficiente

Hoy hemos recibido un correo del Ministerio del Interior, relativo a una multa impagada.

La primera impresión es que se trataba de un correo fraudulento, pero al mirar el remitente, me ha parecido legítimo. Lo envía:

Ministerio del Interior<multas@interior.gob.es>

He revisado las cabeceras del mensaje, y me ha mosqueado bastante que el Ministerio del Interior utilice un servidor ruso para enviarme una notificación de una multa:

Received: from 194-58-108-196.ovz.vps.regruhosting.ru 
(194-58-108-196.ovz.vps.regruhosting.ru [194.58.108.196])

He consultado el registro SPF del subdominio interior.gob.es, y me he encontrado esto:

El Ministerio del Interior, sí tiene publicado un registro SPF en el que informa que los correos legítimos los envía desde los servidores autorizados para recibir correos (MX).

He revisado cuáles son estos servidores:

Y resulta que no tienen publicado ningún servidor de correo entrante para este subdominio (interior.gob.es). O sea, que aunque contestes a multas@interior.gob.es, ese correo será devuelto porque no hay dado de alta ningún servidor de correo para ese subdominio.

Por tanto, tal y como suponía, el servidor ruso que me ha enviado el correo con la multa, NO está autorizado por la política SPF del subdominio interior.gob.es

Y sin embargo, extrañamente, mi servidor de correo entrante no ha rechazado el correo.

Intrigado, he analizado todas las cabeceras del mensaje con la ayuda del servicio de MXToolbox

He ahí mi sorpresa: Puesto que el subdominio interior.gob.es no tiene activado DMARC, el SPF que consulta no es el del dominio interior.gob.es, sino el del servidor ruso que ha enviado el mensaje.

Esto me ha confirmado que tener publicado el registro SPF, si no tienes activado DMARC no sirve de nada. Cualquier hacker de medio pelo puede enviar correos haciéndose pasar por un usuario de ese dominio, y los servidores de correo no lo filtrarán.

Falso email de correos y cryptolocker

Hoy hemos recibido un correo «sospechoso».

01-email-phishing

 

Al seguir el enlace, además de confirmar a los hackers que tu dirección de correo electrónico es buena, el sistema te redirige a un dominio falso de correos:

04-correos-web-falsa

 

Una vez insertas el capcha, el sistema te descarga un fichero .zip

05-fichero-maligno-zip

 

El fichero ejecutable, lo hemos extraido al escritorio y lo hemos pasado por el antivirus AVAST actualizado. Este antivirus NO ha detectado que ese fichero es un troyano:

avast-no-detecta

 

Lógicamente hemos eliminado el fichero sin ejecutarlo.

Si lo hubiesemos hecho, habríamos instalado Cryptolocker en el ordenador, y el programa hubiese encriptado todos los ficheros de ofimática (e incluso otras extensiones de programas conocidos de contabilidad…) tanto del ordenador local, como del servidor (si este equipo hubiese tenido acceso al servidor).

Nos hubiesen exigido un rescate de unos 2500 euros, pagaderos en bitcoins no traceables.

Y da igual si pagas como si no, estás igual de fastidiado, porque lo normal es que ni siquiera pagando te envíen el programa de desencriptado.
Tienes más información de este troyano aquí: https://es.wikipedia.org/wiki/CryptoLocker

MORALEJA:

Ni siquiera el antivirus actualizado te protegerá de amenazas como esta.

La solución pasa por tener empleados formados, que sepan identificar un correo falso, que sepan que no se deben descargar, ni mucho menos ejecutar programas no autorizados.
Si ello lo complementamos con medidas técnicas (filtrado de correos electrónicos, políticas de seguridad que impidan la instalación de software…) mejor que mejor.