El Phishing es un tipo de amenaza en Internet que se engloba dentro de lo que se conoce como estafas informáticas. Aprovechándose del desconocimiento y descuido de los usuarios y combinado con algo de ingeniería social, se consigue que, de forma fraudulenta, se pueda acceder a información y datos confidenciales sobre tarjetas de crédito, información bancaria de los usuarios, etc. El Phishing junto con el SPAM y/o el SCAM es uno de los principales problemas a los que se enfrentan los usuarios al navegar tranquilamente por Internet.

Empresas como Google, Paypal, Yahoo, Facebook, AOL, Microsoft y hasta un total de 15 grandes compañías de Internet, como son uno de los mayores objetivos del Phishing, han llegado a un acuerdo para trabajar de forma conjunta en la lucha contra el mismo. Resultado de esta colaboración es el estándar DMARC (Domain-based Message Authentication, Reporting, and Conformance) que está enfocado a garantizar que cualquier mensaje proviene de un remitente legítimo y que su identidad es válida evitando además que se propague correo electrónico que redirecciona a una página Web maliciosa.

El funcionamiento de DMARC es sencillo, se basa en, como su propio nombre indica, la autenticación de los mensajes de correo, informes y conformidad de los mismos. Cada mensaje de correo electrónico es certificado por las compañías y entidades que han creado DMARC, es decir, el correo electrónico es certificado por Gmail, Hotmail, etc. (al final será un estándar obligatorio) y tiene credenciales asociando su contenido al nombre y sistema del remitente. Si estas credenciales son válidas y el sistema de autentificación de los proveedores de correo así lo corrobora, ese correo llegará a su destinatario. Si, por el contrario, se trata de un mensaje de correo electrónico falso (Phishing) al no contar con credenciales válidas de DMARC, será rebotado por los autentificadores y no llegará a su destinatario.

El sistema se completa cuando se elabora y envía un informe a la compañía que fue usada como señuelo para el intento de Phishing en donde se detalla la cantidad de mensajes que fueron recibidos y cuántos y cuáles fueron denegados por el sistema DMARC.

Fig 1. Gráfico explicativo del funcionamiento de DMARC

DMARC es compatible con otras tecnologías que surgieron para luchar contra el SPAM como pueden ser SPF (Sender Policy Framework) ya tratado en hacktimes.com o DKIM (DomainKeys Identified Mail) y de hecho se basa en su funcionamiento. SPF permite que una organización defina de forma pública qué servidores están autorizados para enviar correo electrónico en su nombre. DKIM a su vez posibilita que una organización pueda añadir una firma criptográfica para cualquier mensaje de correo electrónico que se envía desde sus sistemas.

Lo primero que se indica en las especificaciones de DMARC es la necesidad de configurar SPF y DKIM. El registro SPF se define y publica en el Sistema de Nombres de Dominio (DNS) para indicar qué servidores pueden enviar mensajes de correo electrónico y cuáles no. Para el dominio hacktimes.com la especificación SPF sería parecida a la siguiente:

Lo que significa que cualquier correo electrónico que se envíe desde el servidor mx1.hacktimes.com es realmente de hacktimes.com descartando todos los demás.

Pocas organizaciones se han decidido finalmente a utilizar SPF y ese es uno de los motivos por el cual surge ahora DMARC. Mirando los registros de las 15 compañías que están impulsando el uso de DMARC se observan datos curiosos como que Yahoo.com no utiliza SPF o que AOL no lo tiene completamente definido, etc.

Para configurar DMARC se hace de forma similar al registro SPF en el sistema DNS. Es necesario modificar el fichero de zonas añadiendo el siguiente comando:

El parámetro V define la versión del protocolo a utilizar (DMARC1), la opción P indica la política a seguir, es decir, si se descarta el mensaje, si se envía a la cola de cuarentena o si se monitoriza simplemente. El parámetro PCT indica el porcentaje de mensajes sometido a filtrado, en este caso todos (100%) y RUA se utiliza para reportar los informes globales URI que resultan del bloqueo de los correos con Phishing.

El siguiente paso es someter DMARC al Internet Engineering Task Force, para que sea aceptado como estándar y pueda ser utilizado en todas las aplicaciones relacionadas con el correo electrónico.

Más información sobre DMARC en la página Web del proyecto o en la presentación del mismo:

http://dmarc.org/overview.html
http://dmarc.org/presentations/DMARC_general_overview_20120130.pdf