miércoles, 29 de octubre de 2014

Un día DMARC en la vida del dominio APAREJADORESMADRID.ORG.

DMARCComentabamos en un POST ANTERIOR  cómo habíamos empezado a implementar el estándar DMARC para dificultar el envío y proliferación de spoofing (correos con el usuario falsificado) a través de nuestra cuentas  APAREJADORESMADRID.ORG.


Paso a paso

Dado que la documentación recomendaba una implementación paulatina; empezamos a configurando que el servidor NO HICIERA NADA con los correos sospechosos, llevando solamente un registro de cómo los correos van cumpliendo o fallando las reglas DMARC.  Y hemos ido revisando con paciencia los informes enviados por los proveedores de servicio que están afiliados al programa DMARC: GOOGLE, YAHOO, LINKEDIN, MICROSOFT, …

 

 

Nuestros vecinos

PHISINGY visto el resultado es bueno que conozcamos con quien compartimos la red; por eso he procedido a adjuntar la foto de la derecha. En el último informe enviado por GOOGLE, se registran 42 correos sospechosos de spoofing  (alguien envía correos como APAREJADORESMADRID.ORG sin hacerlo desde nuestro servidor).

En YAHOO no se han registrado correos sospechosos en los 2 últimos días, pero es la excepción.

Y no podemos quejarnos, porque recibimos una atención muy variada y cosmopolita, desde direcciones IP geolocalizadas en:

  • Couva, en Trinidad y Tobago
  • Telefónica del Perú
  • VietNam Post and Telecom Corporation
  • JSC Kazakhtelecom, supongo que en Kazastán
  • y no podía faltar un representante patrío desde la red de Vodafone; a la que hemos enviado un correo de “abuse@abuse@corp.vodafone.es

 

 

Cómo funciona

Así pues hemos incrementado el nivel de filtrado a 50% en cuarentena, que enviará directamente al correo basura el 50% de los correos detectados como spoof.

Esquema DMARC

blog1[1]