¿Es seguro mi correo?

La seguridad total no existe, pero al menos, hagamos lo que está en nuestra mano

Cómo funciona el correo

Antes de entrar en faena, vamos a ver de forma muy básica, qué ocurre cuando mandas un correo electrónico.

Lo primero que haces antes de nada, es abrir la página de gmail/hotmail/yahoo o el proveedor que uses. Si usas outlook, te conectas directamente a tu servidor de correo. En todos estos casos, necesitas un usuario y una contraseña, así que en ningún momento se te ocurre pensar que cualquiera puede enviar correos como si fueses tu.

¿Alguna vez has pensado como "hablan" entre si los servidores de correo? ¿Que pasa si alguien se hace pasar por tu servidor de correo? ¿Se lo creerá el otro servidor de correo o pondrá pegas?

Cuando mandas un correo, tu servidor se conecta al servidor que recibe los correos del otro dominio y ocurre una conversación muy parecida a la siguiente "hola, tengo un correo para bill@microsoft.com de steve@apple.com y el mensaje es este: <mensaje>. Por cierto, el hola del principio no es una licencia literaria, sino que lo primero que hace un servidor de correo al conectarse a otro es saludar.

Y ahí está el problema. El servidor de microsoft, no tiene ninguna forma de saber si ese mensaje realmente viene de Steve o por otra parte en realidad es el principe de Nigeria que acaba de heredar y necesita tu ayuda para recibir el dinero. De hecho, el servidor de @microsoft no tiene ninguna forma de saber si esa conexión viene del verdadero servidor de "apple, o por el contrario es un adolescente que se las gasta de "hacker".

Y aquí es donde empieza el phising y el spam. Si no hay forma de diferenciar los correos que manda tu banco de forma legítima, de los que manda algún hacker de Estafa-landia, cómo no van a aprovechar esa oportunidad.

Cómo defendemos nuestro correo

Te habrás dado cuenta que nunca recibes spam, o phising de las direcciones de google, ebay, paypal y aquellos bancos que se toman en serio la seguridad. Te preguntarás cómo lo hacen, y supones que como tienen tantos recursos, algo podrán hacer para evitarlo, pero sea lo que sea que hagan, seguro que tu no puedes pagarlo.

Pues por suerte, no es el caso. Los recursos que emplean estas grandes compañías están al alcance de cualquiera y no cuesta ni un céntimo aplicarlos. 

Así que ¿Cómo lo hacen?.

Lo Primero: Decir al mundo que servidores pueden mandar correos en su nombre.

En el ejemplo anterior, cuando el servidor de @microsoft recibe el correo de steve@apple.com, mira a ver si el servidor que le está entregando el correo, está en la lista de servidores autorizados de apple.com.

Esta tecnología se llama SPF y por suerte casi todos los proveedores de hoy en día te permiten configurarlo.

Segundo: Firmar electrónicamente los correos.

De la misma forma que tu firmas los documentos para acreditar que realmente eres tú quien ha escrito el documento, tu servidor de correo puede firmar digitalmente los correos para acreditar que realmente es el. De esta forma, recurriendo al ejemplo anterior, cuando el servidor de correo de microsoft recibe el correo, mira a ver si está firmado. Si está firmado comprueba si está la firma es una de las firmas que el propietario del dominio ha dicho que son válidas, y si no lo está, o la firma es de otro dominio, pues sospecha.

Esta tecnología se llama DKIM, y es soportada por muchos proveedores.

Y  Tercero: Decir al mundo que tu dominio "mola", así que no acepta correos sospechosos.

La tercera tecnología, es decir a todo el mundo como tratar tus correos. Puedes decir al mundo por ejemplo, que los mensajes sospechosos (los que no pasan la validación de las 2 opciones anteriores) sea rechazados.

De esta forma, cuando un servidor reciba una correo que dice venir de tu dominio, comprueba primero si viene de un servidor autorizado, luego mira si está firmado y por último mira que has dicho que pase. Si pasa las 2 pruebas, se marca como correo legítimo. Si falla ambas, hace lo que tu le digas que haga (puedes elegir entre no hacer nada, mandarlo a spam o rechazarlo directamente).

Además, le dices a los servidores que reciban el correo que te manden estadísticas, con las que puedes hacer gráficas así de chulas:

 

¿Os acordáis del correo que mandamos en clase, haciéndonos pasar por info@momentoscoquetos.es? pues ahí lo tenéis.:

 

No solo puedes hacer gráficas chulas, también puedes ver la salud de tu correo.

¿Como se si mi correo es seguro?

Por suerte, no es necesario hacer como en clase y simular un ataque. Hay herramientas online que te permite revisar el estado de las tecnologías mencionadas anteriormente.

Lo primero, comprueba si tu dominio tiene SPF:

Para ello, en la siguiente herramienta pone el nombre de tu dominio (la dirección de tu web, sin https, www, o / o lo que viene detrás del @ en tu dirección de correo)

https://dmarcian.com/spf-survey/

Esa herramienta te mostrará el registro SPF tal cual lo has publicado en internet, así que si te dice que no lo encuentra, ¡ya tienes trabajo!

Si encuentra el registro, tienes que mirar que termine en ~all o en -all. Si termina en cualquier otra cosa, le estás diciendo a internet quien puede mandar mensajes en tu nombre, y los que no estén en la lista, pues también.

Y para terminar, comprueba que la herramienta no muestre ningún error o aviso, pues de ser así, deberías tratar de solucionarlo.

Lo segundo (y último) DMARC

Si os fijáis, estamos saltando DKIM, ya que por como funciona la única forma de comprobarlo es analizando un correo enviado por tu servidor. Pero no te preocupes, si se ha implementado DMARC casi con total seguridad se habra implementado DKIM. De hecho, si has implementado DMARC, puedes comprobar el estado de la firma de mensajes (DKIM) en los reportes que recibes.

Para probar DMARC introduce tu dominio en el DMARC Inspecto (el de la derecha)

https://dmarcian.com/dmarc-inspector/

Ahora que tienes tu registro, lo primero comprueba que existe (Si te dice que no hay registro, ya tienes trabajo). Si existe tienes que buscar que "dice" al mundo.

Primero fíjate en la parte de "politica" (policy). En política puede poner una de las 3 opciones.

  • None: ¡No estás haciendo nada! los correos pasarán como si ni hubieses configurado dmarc. Esto se usa cuando estás desplegando DMARC, para recibir los informes, pero no bloqueas ningún correo por si acaso has configurado mal algo..

  • quarantine: Todo los correos que no pasen las pruebas, son marcados (y normalmente acaban en la carpeta spam).

  • reject: Para los que ya lo tienen bien montado. Los correos que no pasan las pruebas, son directamente rechazados, y no pueden llegar al destinatario.

Y lo segundo que tienes que mirar es el campo PCT. Es el porcentaje de correos al que se aplica la política. Así que asegúrate que pone 100, para que se aplique a todos tus correos.


¿Cómo monto todo eso con mi correo?

Cada servicio es un mundo, así que dar instrucciones universales es imposible. Por suerte, no estás solo y la mayoría de proveedores de hosting te explican como hacerlo en su sección de ayuda, o contactando con atención al cliente.

Por desgracia no siempre podrás desplegar estas medidas de seguridad. Pese a que todos estos estándares tienen ya sus añitos a las espaldas, aún hoy sigue habiendo proveedores que no soportan estas tecnologías.

En ese caso recuerda que aunque tu compras el hosting como un paquete indivisible, en realidad está compuesto de varios servicios (normalmente: Servidor DNS, Servidor de correo, hosting web y bases de datos) y que si quieres puedes cambiar cualquiera de esos componentes a otro proveedor. Por ejemplo, puedes tener tu web alojada en 1and1 y emplear para el sistema de correo G Suite (la versón empresarial de Gmail que ofrecemos) sin que se interfieran entre ellos.


Y tu correo ¿Es seguro?

Con Crazy Projects no te tienes que preocupar de SPF, DMARC, DKIK o esas cosas, por que nosotros nos ocupamos de todo, para que tu puedas estar tranquilo.