Enviado por dtorres el Mié, 26/06/2019 - 17:37

 

Guía para evitar que personas no autorizadas envíen correos electrónicos a nombre del dominio de nuestra entidad.

1.- Servidor de correo no configurado de manera segura - Open Relay

1.1  ¿Que es Open Relay?

Se entiende como "open relay"  un servidor SMTP configurado de tal manera que permite que cualquier usuario de Internet lo use para enviar correo electrónico a través de él.

 

 

1.2 Comprobar si nuestro servidor es un  "open relay"

- Podemos comprobar si nuestro servidor es un  "open relay" (a correos internos) con la siguiente herramienta: http://www.dnsexit.com/Direct.sv?cmd=testMailServer

 

- Podemos comprobar si nuestro servidor es un  "open relay" (a correos externos): https://mxtoolbox.com/SuperTool.aspx

1.3 Deshabilitando Open Relay (Postfix 3.x en Debian 9)

En  el archivo /etc/mail/main.cf 

Declaran los dominios a los que se autorizará mandar mensajes a través de nuestro servidor:

Configurar la lista de direcciones IPs que pueden mandar correos. (Típicamente solo la IP del servidor de correos):

 

2.- Servidor DNS no configurado de manera segura

Un atacante puede falsificar el remitente de los correos modificando los header:

2.1.- Registro SPF

Sender policy Framework (SPF), registro que ayuda a prevenir el envío de correos electrónicos no autorizados desde tú dominio (conocido como spoofing), en consecuencia, si tú dominio no tiene configurado este registro es posible que servidores que tienen implementado esta política rechacen o marquen el correo como spam.

El servidor que recibe el correo electrónico compara el dominio del mismo con la lista de los equipos autorizados para realizar el envío de mensajes desde ese dominio. Según el registro, el servidor decide si dejar que el correo se envíe y se entregue al destinatario o, por el contrario bloquearlo.

 

¿Cómo funciona?

Comprobar si tenemos configurado SPF en nuestro dominio:

https://mxtoolbox.com/SuperTool.aspx

¿Cómo configurar el registro TXT?

Usar la siguiente herramienta:

https://mxtoolbox.com/SPFRecordGenerator.aspx?domain=entidad.gob.bo&prefill=true

Deberá llenar desde que dominios e IPs envía correos electrónicos:

El registro generado con la herramienta deberá ser configurado en el servidor de DNS:

Una vez configurado el servidor DNS tardara un tiempo en propagarse.

¿Cómo funciona el registro TXT?

El servidor de correo destinatario verificará el correo entrante con los registros TXT del dominio origen, si se llega a comprobar correctamente dejará pasar el correo añadiendo la cabecera Received-SPF

2.2.- Registro DMARC

DMARC indica cómo debe manejarse los correos que fallen las comprobaciones SPF y DKIM.  Existen 3 opciones de para tratar un correo que falle la comprobación SPF y DKIM:

Podemos usar la herramienta en linea https://mxtoolbox.com/SuperTool.aspx para comprobar el registro DMARC.

2.3 Adicionando registro DMARC en el servidor DNS

Adicionar un registro TXT en el servidor DNS con el siguiente contenido: