Añadir DMARC

[nukeador]

Hola,

Nos han contactado para sugerir la posibilidad que incluyamos DMARC como parte del análisis de las webs.

Nos gustaría hablar con vosotros para saber si estaríais interesados en añadir DMARC como uno de los criterios de WebSegura. En dicho caso, podríamos ofreceros la posibilidad de analizar todas las webs que mostráis en la página y de daros un resultado con el grado de aplicación de DMARC (incluido DKIM y SPF) y las políticas (None, Quarantine o Reject) que aplica cada sitio.

Somos una organización sin ánimo de lucro y DMARC está entre las soluciones de ciberhigiene básica que estamos promocionando a escala mundial.

Si queréis saber más sobre nuestro trabajo:

globalcyberalliance.org

Y sobre lo que hacemos con DMARC:

globalcyberalliance.org/dmarc

¿Qué os parece? Lanzo algunas preguntas:

• ¿Entraría esto dentro de la seguridad de las webs al ser algo sobre su email? ¿Debería mostrarse separado?
• ¿Es posible que haya dominios que no tengan/usen email? ¿Cómo saberlo?
• ¿Sería mejor proponer incorporar esto al Mozilla Observatory en vez de hacer nuestra implementación propia?
• Si hacemos una propia, ¿cómo lo evaluaríamos en conjunto con la nota del observatory?

[GCAcernuda]

Hola!

Soy el impulsor de la propuesta (me enteré de vuestra genial iniciativa gracias al artículo de Diario.es).

La idea de base de mi propuesta es que, más allá del correo electrónico, DMARC aporta seguridad y confianza en los dominios y, con ello, en las marcas u organizaciones) que lo utilizan.

Activar DMARC es activar un compromiso frente al spam y el phishing, entre otras cuestiones. Entidades como AgenciaTributaria.es y Correos.es son suplantadas continuamente, así que un compromiso público en ese sentido sería una gran noticia.

De hecho, países como EEUU, el Reino Unido, los Países Bajos, Dinamarca, Australia o Nueva Zelanda lo están exigiendo como requisito para sus agencias públicas y para las interacciones con ellas. Sería ideal que España se sumara al carro.

Podemos ayudar con una pieza de código que permite analizar cientos de dominios de una tacada. La pieza se presenta en la web de DMARC de mi organización, Global Cyber Alliance:

https://www.globalcyberalliance.org/dmarc/

Y está disponible en GitHub, por cierto:

https://github.com/GlobalCyberAlliance/DomainSecurityScanner

Os animo a echarle un vistazo. Encantado de resolver las dudas que podáis tener.

Saludos a todos y enhorabuena por la iniciativa!

[palmerabollo]

Gracias por la idea. A mí sí me parece interesante. En el propio workflow de github actions que ahora llama al observatory se podría añadir una llamada adicional bien al servicio de globalcyberalliance.org (si tiene API), o clonar el repositorio y utilizarlo (más tedioso) o si lo incorporan en Mozilla Observatory también sería cómodo para nosotros.

No sé el tiempo que tarda en escanear un dominio. Deberían ser pocos segundos (idealmente < 1s) para que nos entre sin problemas en los 2000 minutos de github actions mensuales que tenemos, según creo recordar.

[GCAcernuda]

¡Hola!

La API solo sirve para búsquedas aisladas, pero el servicio va bastante rápido en consultas en bloque, así que la integración quizá sería la mejor opción. Hemos llegado a cargarlo con varios miles de una tacada.

Por otro lado, los compañeros que llevan el proyecto ya están en contacto con Mozilla Observatory.

Pronto veremos cuál es la mejor opción, pero lo bueno es que hay interés mutuo.

¡Buen fin de semana!

[nukeador]

@GCAcernuda hola de nuevo, ¿al final se hizo alguna integración con el Mozilla Observatory que podamos usar mediante un API o similar?

[GCAcernuda]

¡Hola, @nukeador! Sí. Mantuvimos una reunión con Mozilla Observatory y les dijimos cómo utilizar e integrar nuestra herramienta de análisis automático de DMARC. Se acordó que lo instalarían y os lo comunicarían. No he vuelto a hacer más seguimiento, pero creo que la pelota estaba en su tejado. ¿No lo tenéis disponible aún?

[nukeador]

Estoy preguntando a la gente de Mozilla, porque veo que hubo un PR aceptado pero en el sitio en producción no sale

mozilla/http-observatory-website#248

[nukeador]

@GCAcernuda Ya tenemos implementado el análisis de DMARC en la web y enlazamos el resultado de análisis de globalcyberalliance.org, pero me doy cuenta que no mostráis el análisis de DNSSEC.

Si el dominio no tiene DNSSEC, tener SPF o DMARC importa al final poco si te puedes suplantar el DNS ¿no? ¿Tenéis pensado añadirlo?

Un saludo.

[GCAcernuda]

@nukeador ¡Genial! Muchas gracias. Espero que ayude.

Si os parece bien, podemos darle difusión a la nueva función en las redes sociales. Lo dejo en vuestras manos.

En cuanto al DNSSEC, aunque entiendo que es muy importante, no hay planes de incorporarlo. Nuestro mecanismo de análisis está centrado en promover DMARC, y en hacer entender que SPF y DKIM son componentes necesarios. Tiene una finalidad pedagógica, como apoyo a las guías gratuitas que publicamos respecto a DMARC.

Cuando hablamos de DMARC, siempre decimos que es una capa esencial de seguridad pero no la única. En ese sentido, vuestro análisis de múltiples indicadores ofrece una visión más completa.

Si queréis y os interesa, puedo ver si podríamos publicar algo sobre vuestro trabajo. En breve abriremos una sección (semi)técnica en nuestro blog.

¡Saludos y gracias de nuevo!

[nukeador]

Gracias. Adicionalmente estamos yendo un poco más al detalle y considerando que deben tener p=reject para considerarse realmente protegidos. Adicionalmente estamos viendo si analizar solo el dominio base o también subdominios y sus políticas, ya que ahí se hace bastante más compleja la cosa.

[GCAcernuda]

Hola:

Son todos pasos muy necesarios, especialmente el p=reject, pero también hay que entender que a los entornos complejos puede llevarles más tiempo ejecutarlos. Tenednos al tanto, y estaremos encantados de ayudaros en la medida de lo posible.

Y lo dicho: si queréis difusión o visibilidad, decídnoslo y podemos ayudar (@nukeador: tienes mi correo electrónico para cualquier consulta directa).

Saludos!