Artículo de blog

  • 8 minutos leídos
Perfil del/a autor/a
  • Kiara Saloojee
  • DMARC Enthusiast

Técnicas DMARC : cómo los actores maliciosos aprovechan las brechas

Escudo digital con destellos rojos atravesándolo

Autenticación, notificación y conformidad de mensajes basados en dominio (DMARC) se produce cuando los atacantes envían un correo electrónico falsificado que aún supera DMARC . Sobre el papel, su dominio parece protegido. En realidad, un atacante decidido ha encontrado una forma de eludir sus controles.

Para los equipos de seguridad y correo electrónico, este es un problema de gran impacto. Si alguien puede eludir DMARC, puede enviar phishing convincentes directamente a las bandejas de entrada.

Para eludir DMARC, no se trata de «romper» el protocolo en sí. Más bien suele ser el resultado de Sender Policy Framework SPF) excesivamente amplios, DomainKeys Identified Mail DKIM), rutas de reenvío y comportamientos específicos de las aplicaciones. Comprender estas deficiencias es el primer paso para subsanarlas.

Antes de profundizar más, haz una DMARC rápida DMARC para ver si los atacantes ya podrían estar aprovechando tu dominio.

Analiza tu dominio

Formas habituales de eludir DMARC

1. Abuso de la infraestructura autorizada

Una de las formas más sencillas de eludir DMARC enviar desde una infraestructura en la que ya confías. Los atacantes buscan:

  • Rangos de IP que se han añadido a un SPF y nunca se han eliminado.
  • Plataformas de terceros que utilizabas anteriormente pero que ya no utilizas
  • Servidores y servicios autorizados oficialmente a través de DKIM.

Si un actor malintencionado puede enviar desde una dirección IP autorizada o desde el mismo servidor que usted utiliza, puede alinear SPF DKIM pasar DMARC. DMARC solo un estándar alineado (SPF DKIM) para pasar. Muchas organizaciones se apoyan en esa flexibilidad y no aplican ambos de manera coherente.

La debilidad no reside en DMARC , sino en cómo se definen los remitentes autorizados y cómo se aplica la alineación.

2. Uso de remitentes legítimos comprometidos

La apropiación de cuentas ofrece a los atacantes una forma perfecta DMARC . Cuando envían desde:

  • Buzones de correo de usuarios comprometidos
  • Sistemas configurados para enviar en su nombre

... todos los mensajes que envían parecen auténticos. SPF . DKIM . DMARC . Desde una perspectiva puramente de autenticación, nada parece estar mal. La detección de estos ataques se basa en controles basados en el comportamiento, el contenido y las anomalías, lo que significa que DMARC formar parte de una estrategia de seguridad del correo electrónico más amplia.

Riesgos de DMARC de Microsoft

Microsoft suele ser objeto de investigaciones DMARC . Su lógica de evaluación, su modelo de confianza y sus inquilinos heredados pueden influir en la forma en que DMARC aplica DMARC .

SCL y señales de confianza

En algunos casos, un correo electrónico que debería ser rechazado por DMARC llegando a la bandeja de entrada. Esto puede ocurrir cuando Microsoft asigna un valor de nivel de confianza de spam (SCL) de SCL:-1 a un mensaje. Esto suele deberse a conectores mal configurados o listas de permisos.

Además, muchos inquilinos antiguos de Microsoft 365 no aplican DMARC predeterminada, por lo que los mensajes falsificados pueden seguir entregándose a menos que los administradores ajusten la configuración.

Desde tu perspectiva, parece que Microsoft ha ignorado una DMARC de p=reject. En realidad, las señales de confianza y los ajustes de configuración han tenido prioridad, lo que ha permitido a un atacante eludir DMARC.

Reenvío y SRS

Microsoft utiliza el esquema de reescritura del remitente (SRS) para reescribir la dirección «De» de modo que SPF pasar al siguiente salto.

Así es como puede suceder:

  1. Un atacante envía un correo electrónico falsificado que parece provenir de su dominio.
  2. El mensaje es reenviado por un sistema que realiza SRS en la dirección «De».
  3. Más adelante, el remitente reescrito pasa SPF

Cuando el correo electrónico llega al destinatario, puede parecer que ha superado SPF DMARC, aunque en realidad se trate de un mensaje falsificado.

Correo electrónico digital en la pantalla de un ordenador portátil

Pasos para protegerse contra DMARC

Para evitar DMARC , es necesario combinar una autenticación de correo electrónico sólida con la configuración adecuada de las aplicaciones y una formación continua de los usuarios.

1. Crear un inventario completo de remitentes.

Comience por identificar todos los sistemas que envían correos electrónicos para su dominio:

  • Plataformas de marketing, CRM y boletines informativos
  • Herramientas de venta de entradas y asistencia
  • Sistemas de nóminas, recursos humanos y finanzas

Asegúrese de que cada remitente esté correctamente configurado. Elimine los servicios que no se utilicen y las direcciones IP heredadas para que los atacantes no puedan ocultarse tras configuraciones antiguas. Cuando los conocimientos internos sean limitados, colabore con especialistas que gestionen a diario entornos de correo electrónico grandes y complejos.

2. Fortalecer SPF, DKIM y DMARC

Una vez que sepa quién envía los mensajes, concéntrese en reforzar sus protocolos:

  • Mantenga SPF concisos y específicos. Evite mecanismos innecesarios.
  • Asegúrese de que todos los remitentes críticos firmen el correo saliente.
  • Establecer explícitamente modos de alineación (aspf y adkim).
  • Progreso de p=none p=quarantine finalmente p=reject.

3. Supervisar DMARC en busca de anomalías.

Los informes DMARC y de fallos DMARC son señales de alerta temprana de intentos de elusión y configuraciones incorrectas. Úselos para:

  • Detecta remitentes desconocidos que utilizan tu dominio.
  • Detectar DKIM intermitentes de SPF DKIM

La revisión periódica de estos datos convierte a DMARC un protocolo estático en un control de seguridad continuo.

4. Reducir el riesgo DMARC de Microsoft

Debido a que Microsoft es tan ampliamente utilizado, su comportamiento suele ser el centro de los casos DMARC . Unas pocas comprobaciones específicas pueden cerrar las brechas más comunes:

  • Bloquear envíos directos no autenticados: habilite RejectDirectSend para detener el tráfico directo a MX no autenticado que suplantan su dominio.
  • Alinear la política y la aplicación: Asegúrese de que la política de Defender o Exchange Online Protection esté configurada para actuar ante DMARC . Los inquilinos heredados necesitan una habilitación explícita antes de que p=reject aplique p=reject .
  • Apriete los conectores, las reglas y las listas de permisos: Revise las reglas de flujo de correo, los conectores y las listas de permitidos; estos pueden asignar un SCL:-1 valor y/o omitir el filtrado de spam.
  • Mejorar la concienciación de los usuarios: alertar a los usuarios de que incluso los correos electrónicos «autenticados» pueden ser maliciosos y formarlos para que comuniquen cualquier solicitud inesperada de pago, credenciales o cambio de política.

Cómo Sendmarc le ayuda a cerrar las brechas DMARC

Gestionar la autenticación del correo electrónico de forma manual requiere mucho tiempo y es fácil cometer errores, especialmente en entornos grandes o en expansión. Sendmarc está diseñado para reducir ese riesgo.

Te ayuda a:

  • Descubra todos los sistemas que envían en nombre de su dominio y visualice DMARC SPF, DKIM y DMARC .
  • Pase de forma segura a p=reject cambios guiados y una aplicación por etapas para proteger el correo electrónico legítimo.

Cuando esté listo para obtener una mayor visibilidad y una seguridad mejorada, solicite una demostración con Sendmarc. Le ayudaremos a crear un entorno de correo electrónico protegido contra las técnicas reales DMARC , y no solo sobre el papel.

Reserva una demo