Afnic señala con el dedo la falta de protección del correo electrónico en el ecosistema .fr

Si bien las técnicas de phishing y compromiso de correo electrónico basadas en el robo de identidad (suplantación de identidad) siguen estando entre los vectores de ataque más frecuentes, está claro que los actores del ecosistema francés están luchando por implementar todos los mecanismos de protección de DNS disponibles, incluido DMARC. Así lo revela un reciente estudio realizado por Marc van der Wal, ingeniero de I+D de Afnic.

Actualmente se utilizan tres mecanismos principales que explotan la configuración DNS para verificar la identidad del remitente de un mensaje. SPF (Sender Policy Framework) define los servidores y dominios autorizados para enviar correos electrónicos en una organización. DKIM (DomainKeys Identified Mail) agrega una firma electrónica a los correos electrónicos salientes. Finalmente, el protocolo DMARC (Domain-based Message Authentication, Reporting and Conformance) se apoya en los dos anteriores para estandarizar la forma en que se autentican los mensajes enviados por una empresa. También establece reglas que le indican a los servidores de correo del destinatario cómo manejar los correos electrónicos que no pasan la verificación, con tres opciones posibles: ninguna acción específica, poner el mensaje en cuarentena o rechazarlo.

DMARC rara vez se configura con el nivel de seguridad más alto

Para elaborar un inventario del despliegue de estos tres mecanismos, Afnic analizó más de 4 millones de nombres de dominio .fr entre el 30 y el 31 de enero de 2023. Entre ellos, más de tres millones tenían servidores de mensajería registrados. De estos, el 57,8% publicó una política SPF, el 23,1% una política DKIM y solo el 7,8% una política DMARC. Si bien las tasas de implementación son ligeramente más altas para los dominios asociados con un sitio web, los órdenes de magnitud siguen siendo similares, lo que lleva a Afnic a concluir que hoy “menos del 10 % de los nombres de dominio publicados en . fr explotar al máximo el DNS para garantizar la autenticidad de sus envíos. »

Al examinar las configuraciones existentes, Afnic observa que los jugadores que usan SPF cumplen con prácticamente todas las mejores prácticas vigentes (97% del panel). Por otro lado, entre el pequeño porcentaje que tiene configurado DMARC, las políticas vigentes están destinadas principalmente a permitir el paso de correos electrónicos susceptibles de usurpaciones (en el 73,6% de los casos). Solo el 18,5 % está configurado para rechazar estos mensajes y el 7,9 % para ponerlos en cuarentena en la casilla de spam o en otro lugar.

Marc van der Wal apunta a varias razones que pueden explicar la baja adopción de DMARC, así como el hecho de que está configurado principalmente de forma abierta. Entre ellos, la necesidad de disponer de SPF y DKIM antes de explotar DMARC, así como posibles errores de configuración en los servidores de correo de los destinatarios. Pero la causa más probable radica en la renuencia de los propietarios de sitios web a endurecer su política DMARC, por temor a que bloqueen algunos de sus correos electrónicos. De hecho, solo el 1,3 % de los nombres de dominio .fr han desplegado hoy en día el nivel más alto de protección contra la usurpación, que "pueden tener graves consecuencias", recuerda Afnic, también "para los usuarios de Internet, que están expuestos al phishing, pero también para la imagen de marca del propietario/remitente del correo electrónico. »