En el vertiginoso mundo digital de hoy, la suplantación de correo electrónico se ha convertido en una preocupación omnipresente para organizaciones y usuarios individuales por igual. En un esfuerzo por salvaguardar la integridad y la seguridad de sus comunicaciones, especialmente en entornos como Office 365, se requiere una acción proactiva.

CVE-2024-21413: Vulnerabilidad en Microsoft Outlook

Para evitar la suplantación de correo electrónico en Office 365, puede tomar varias medidas, incluida habilitar la protección antisuplantación de identidad, configurar registros DNS SPF, DKIM y DMARC y crear reglas de correo antisuplantación de identidad. Estos son los pasos que puede seguir según los resultados de la búsqueda:

1. Habilite la protección contra suplantación de identidad : active la inteligencia de suplantación de identidad y los indicadores de remitentes no autenticados en Outlook. Especifique la acción para los remitentes falsificados bloqueados. Cree manualmente entradas de permiso o bloqueo para remitentes falsos antes de que sean detectados.
   

2. Configure registros DNS SPF, DKIM y DMARC : configure registros DNS SPF, DKIM y DMARC en su dominio para evitar técnicas de phishing y suplantación de identidad.
   

3. Cree reglas de correo antisuplantación de identidad : configure reglas de correo en Office 365 para etiquetar los correos electrónicos con un descargo de responsabilidad para alertar al destinatario de que puede ser un correo electrónico falsificado. Agregue excepciones para sistemas externos como la mesa de ayuda para garantizar que sus correos electrónicos aún sean aceptados.

Además, es importante asegurarse de que su correo electrónico esté autenticado correctamente para evitar que se marque como spam o phishing. Si sigue estos pasos, puede mejorar las medidas contra la suplantación de identidad en su entorno de Office 365 y reducir el riesgo de ser víctima de ataques de suplantación de correo electrónico.

Cómo configurar registros DNS DKIM y DMARC en Office 365

Para configurar registros DNS DKIM y DMARC en Office 365, puede seguir estos pasos:

1. Configurar DKIM : cree 2 registros DKIM tipo CNAME en cada dominio en su DNS. Estos registros se verán como los siguientes:

 Configurar DMARC : 

• Cree un registro DMARC y publíquelo en el DNS. El registro DMARC debe especificar la política para el correo electrónico que no pasa las comprobaciones SPF y/o DKIM.
  

• También puede utilizar proveedores externos que ofrezcan informes DMARC para Office 365 para mejorar su implementación de DMARC.

Estos pasos lo ayudarán a configurar DKIM y DMARC en Office 365, mejorando la seguridad de su autenticación de correo electrónico y reduciendo el riesgo de ataques de suplantación de identidad y phishing.

¿Cuáles son los beneficios de configurar DKIM y DMARC en Office 365?

Configurar DKIM y DMARC en Office 365 proporciona varios beneficios, que incluyen:

1. Prevención de suplantación de identidad y suplantación de correo electrónico : DKIM y DMARC ayudan a prevenir el uso no autorizado de su dominio para suplantación de identidad y suplantación de identidad, garantizando que solo los remitentes autorizados puedan enviar correos electrónicos en nombre de su dominio.
   

2. Mejora de la capacidad de entrega del correo electrónico : al configurar DKIM y DMARC, puede mejorar la capacidad de entrega del correo electrónico y reducir el riesgo de que sus correos electrónicos se marquen como spam o phishing.
   

3. Mejora de la seguridad del correo electrónico : DKIM y DMARC fortalecen las comunicaciones por correo electrónico, actuando como escudos vitales contra el fraude y mejorando colectivamente la seguridad del correo electrónico.
   

4. Generar confianza con sus clientes : al implementar DKIM y DMARC, puede generar confianza con sus clientes, garantizando que sus correos electrónicos sean auténticos y seguros.

En general, configurar DKIM y DMARC en Office 365 es esencial para reforzar la seguridad del correo electrónico, proteger contra ataques de phishing y mantener la confianza de las partes interesadas en un mundo cada vez más digital.

¿Cuáles son los desafíos comunes al configurar DKIM y DMARC en Office 365?

Al configurar DKIM y DMARC en Office 365, pueden surgir varios desafíos comunes, entre ellos:

1. Proceso que requiere mucho tiempo : implementar y administrar DKIM y DMARC en Office 365 puede consumir mucho tiempo y ser propenso a errores, ya que implica garantizar que los registros SPF y DKIM estén actualizados y configurados correctamente.
   

2. Identificación de todos los remitentes de correo electrónico : antes de aplicar una política DMARC, los administradores deben identificar a todos los remitentes de correo electrónico que utilizan sus dominios, incluidos los terceros que envían correo electrónico legítimamente en su nombre, lo que puede resultar un desafío para las organizaciones con numerosos dominios y remitentes.
   

3. La complejidad de la configuración : el proceso de configuración de DKIM y DMARC en Office 365 es complejo y puede requerir una cuidadosa atención a los detalles, especialmente cuando se trata de múltiples dominios y remitentes de terceros.
   

4. Mantenimiento y actualizaciones : mantener SPF, DKIM y DMARC actualizados y alineados con los cambios en la infraestructura de correo electrónico, como nuevos proveedores o modificaciones por parte de proveedores existentes, puede ser un desafío, particularmente para organizaciones con personal y recursos limitados.

Abordar estos desafíos requiere una planificación cuidadosa, una comprensión profunda del proceso de configuración y un mantenimiento continuo para garantizar la eficacia de DKIM y DMARC a la hora de mitigar los riesgos de suplantación de identidad y phishing de correo electrónico en Office 365.

Uso de la suplantación de identidad (spoofing) en ataques de phishing

Los remitentes suplantados en los mensajes tienen las siguientes implicaciones negativas para los usuarios:

• Engaño: los mensajes de remitentes suplantados pueden engañar al destinatario para que seleccione un vínculo y ceda sus credenciales, descargue malware o responda a un mensaje con contenido confidencial (conocido como compromiso de correo electrónico empresarial o BEC).

• El siguiente mensaje es un ejemplo de suplantación de identidad (phishing) que usa el remitente suplantado msoutlook94@service.outlook.com:

Este mensaje no proviene de service.outlook.com, pero el atacante ha falsificado el campo de encabezado De para que parezca que es así. El remitente intentó engañar al destinatario para que seleccionara el vínculo cambiar la contraseña y proporcionar sus credenciales.

El siguiente mensaje es un ejemplo de BEC que usa el dominio de correo electrónico falsificado contoso.com:

• El mensaje parece legítimo, pero el remitente es falso.

• Confusión: incluso los usuarios que saben sobre la suplantación de identidad pueden tener dificultades para ver las diferencias entre los mensajes reales y los mensajes de remitentes suplantados. El siguiente mensaje es un ejemplo de un mensaje de restablecimiento de contraseña real desde la cuenta de Microsoft Security:

Distintos tipos de suplantación

Microsoft diferencia entre dos tipos diferentes de remitentes suplantados en los mensajes:

• Suplantación de identidad en la organización: también conocida como suplantación de identidad propia. Por ejemplo: Los mensajes que producen un error de autenticación compuesta debido a la suplantación de identidad dentro de la organización contienen los siguientes valores en los encabezados: Authentication-Results: ... compauth=fail reason=6xx X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11
  

• El remitente y el destinatario están en el mismo dominio: De: chris@contoso.com Para: michelle@contoso.com

• El remitente y el destinatario están en subdominios del mismo dominio: De: laura@marketing.fabrikam.com Para: julia@engineering.fabrikam.com

• El remitente y el destinatario están en dominios diferentes que pertenecen a la misma organización (es decir, los dos dominios están configurados como dominios aceptados en la misma organización): De: remitente @ microsoft.com Para: destinatario @ bing.com Los espacios se usan en las direcciones de correo electrónico para evitar la recolección de bots de correo no deseado.
  

• Suplantación entre dominios: los dominios del remitente y el destinatario son distintos, y no tienen ninguna relación entre sí (también conocidos como dominios externos). Por ejemplo: De: chris@contoso.com Para: michelle@tailspintoys.com Los mensajes que producen un error de autenticación compuesta debido a la suplantación de identidad entre dominios contienen los siguientes valores en los encabezados:
  

Authentication-Results: ... compauth=fail reason=000/001

X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

• reason=000 indica que el mensaje falló en la autentificación explícita del correo electrónico. reason=001 indica que el mensaje ha producido un error de autenticación de correo electrónico implícita.
  

SFTY es el nivel de seguridad del mensaje. 9 indica phishing, .22 indica suplantación de identidad entre dominios.

Consideraciones para la protección contra la suplantación de identidad

Si es un administrador que actualmente envía mensajes a Microsoft 365, debe asegurarse de que el correo electrónico se haya autenticado correctamente. En caso contrario, es posible que se marque como correo no deseado o phishing. Para obtener más información, consulte Cómo evitar errores de autenticación por correo electrónico al enviar correo a Microsoft 36.

Los remitentes de las listas de remitentes seguros de usuarios individuales (o administradores) omiten partes de la pila de filtrado, incluida la protección contra suplantación de identidad. Para más información, consulte Remitentes seguros de Outlook.

Si es posible, los administradores deben evitar el uso de listas de remitentes permitidas o listas de dominios permitidas en las directivas contra correo no deseado. Estos remitentes omiten la mayor parte de la pila de filtrado (los mensajes de phishing y malware de alta confianza siempre están en cuarentena). 

Fuente: https://learn.microsoft.com/