Como evitar que usen tu dominio para hacer phishing

Quizá tengas un dominio que no estés utilizando, que lo tengas en parking, redirigido o simplemente a la espera. En ese caso, puede ser una buena idea bloquear que nadie lo pueda utilizar para enviar emails en tu nombre.

¿Has oído hablar del phishing? Aunque no hayas oído hablar de él, lo que es seguro es que lo has sufrido. Esos correos que parecen que son de tu banco, de una ONG, de tu compañía eléctrica o de telefonía y que te envían a un sitio web donde debes introducir tu usuario y contraseña o tu tarjeta de crédito. Eso es el phishing: correos que suplantan a las verdaderas entidades para engañarte conseguir información (normalmente datos bancarios o contraseñas).

¿Sabrías reconocer el phishing?

Google ha creado un pequeño test en el que te explica cómo puedes detectar si un correo es real o es un intento de phishing.

Está disponible en: https://phishingquiz.withgoogle.com/

Vamos a suponer ahora que no solo eres el receptor de esos correos sino que esos mardito roedore están utilizando alguno de tus dominios para hacer el mal. La buena noticia es que tiene solución.

Si no estás utilizando tu dominio para el envío de correo (p.ej. puede que sea un dominio paraguas para redirigir a tu dominio principal), puedes forzar a que se deniegue todo intento de envío de correo en nombre de ese dominio, que cualquiera que reciba un email de ese dominio sepa que no está autorizado. Para eso utilizaremos SPF y DMARC.

SPF (Sender Policy Framework) es la forma más sencilla de otorgar o denegar permiso a terceros para utilizar. Para lo que nos interesa a nosotros ahora, lo que vamos a hacer es prohibir cualquier envío en nombre de nuestro dominio. Para ello, vamos a suponer que el dominio que no queremos que permita envíos se llama sasa.eh (existe la extensión .eh, por cierto, y se corresponde con el Sáhara Occidental). Usando SPF añadiremos la siguiente entrada DNS de tipo TXT en el dominio:

@  IN  TXT  "v=spf1 -all"

Con esto ya estamos impidiendo enviar emails utilizando nuestro nombre de dominio.

SPF es sencillo, pero no es perfecto. Una vuelta de tuerca adicional vino con DKIM. DKIM te permite cifrar los envíos de forma que el destinatario puede comprobar si la clave que recibe fue realmente emitida por el dominio en nombre del que se realiza el envío. Esto ya requiere un esfuerzo adicional por parte de los servidores de correo y es menos sencillo de implementar que el SPF. Para nuestro caso de uso, esto nos da igual, pero es importante saber que existe DKIM.

Cómo funciona DMARC (de Valimail)

DMARC, se apoya en SPF y DKIM para otorgar autenticidad al remitente del envío. Aquí también se trata de añadir entradas DNS en el dominio de forma que indiquen cómo debe comportarse en caso de que se pase la validación SPF o DKIM. Como nosotros lo que queremos es no permitir ningún envío desde sasa.eh, vamos a ser totalmente restrictivos y añadiremos esta entrada DNS de tipo TXT:

_dmarc  IN  TXT  "v=DMARC1; p=reject"

Con estas dos entradas DNS, estamos bloqueando que utilicen nuestro dominio para realizar envíos no autorizados.

DNS: Qué son los Glue Records

Cuando registras un dominio, tienes que proporcionar al registro (registry) que gestiona la extensión una serie de datos:

  • Datos del titular del dominio
  • Datos del contacto administrativo
  • Datos del contacto técnico
  • Servidores DNS

A la hora de indicar los servidores DNS que van a resolver el dominio en el hosting, puede que quieras utilizar un subdominio de ese dominio… y en ese caso tendríamos un problema

…me llaman el hombre bucle

Si yo quiero registrar el dominio chupicalabaza.info y los servidores DNS que quiero utilizar son:

  • ns1.chupicalabaza.info
  • ns2.chupicalabaza.info

Lo normal es que me dé error, puesto que el dominio principal, chupicalabaza.info, no está todavía registrado y para resolver un subdominio tengo que resolver antes el dominio principal.

DNS arbol.svg
Árbol DNS para resolver es.wikipedia.org
CC BY-SA 2.5, Wikimedia Commons

Para resolver este caso, es para lo que están los glue records. Estos registros permiten indicar al registry, la IP asociada a esos servidores DNS que están bajo un dominio pendiente de registrar. Así de (más o menos) sencillo.

Obviamente esto no nos exime de crear las entradas necesarias para la configuración del registro; es un paso necesario para poder asignar los hosts en estas situaciones particulares.

Referencias

  • DonDominio lo explica muy bien en su ayuda… hasta he puesto vocecitas en el diálogo ;)
  • En la Wikipedia [EN] tenéis también una breve explicación

El nombre de dominio a muerto (o no, o yo qué sé)

Porque, ¿para qué quiero un nombre de dominio? Porque forma parte de mi marca, es mi marca. Pero, ¿quien me encuentra por la marca? ¿Hay gente que va directamente a la URL? Alguna quedará.

La gente va a sus entornos: Facebook, Instagram, Twitter… lo que sea y allí realiza sus búsquedas. El dominio no es importante aquí.

¿Y en Internet? Pues aquí se usa el entorno de Google, y Google decide qué mostrarte en base a lo que buscas, por eso no es necesario en nombre del dominio y por eso se está ocultando de sus navegadores (Google Chrome ya dio otro paso adelante para terminar de matar las URLs).

Parisa Tabrizz, otra de las máximas responsables del desarrollo de Chrome, destacaba cómo propongan lo que propongan, la decisión acabará siendo «controvertida». Aún así creen que el cambio es importante, «porque todo el mundo está insatisfecho con las URLs. Básicamente apestan«.

En Xataka

¿Por qué se usan nombres de dominios? Porque una IP es complicada de recordar. Si dependiera solo de máquinas, no haría falta nombres de dominios, ni URL ni nada de eso.

¿Se pueden sustituir por otra cosa? ¿Se pueden simplemente ignorar? Claro, ¿por qué no? Pero, ¿por qué lo vamos a sustituir? ¿Por los resultados que me dé un buscador? ¿Es eso más fiable? ¿Por la gente que haya en una red social/ecosistema en el que se valide la fiabilidad de la cuenta?

No sé… ¿de verdad apestan tanto los nombres de dominio? ¿No hay mejores formas de curar la rabia que matar a todos los perros?

El futuro del dominio .eu para los británicos

Por definición, para registrar un dominio .eu, los Criterios Generales de Elegibilidad del titular son:

  1. una empresa que tenga su domicilio social, administración central o centro de actividad principal en la Unión Europea, Noruega, Islandia o Liechtenstein, o
  2. una organización establecida en la Unión Europea, Noruega, Islandia o Liechtenstein, sin perjuicio de la aplicación de la legislación nacional, o
  3. una persona física residente en la Unión Europea, Noruega, Islandia o Liechtenstein

Una vez se complete el Brexit, ¿qué va a ocurrir con aquellos titulares de dominios .eu que no cumplan los requisitos? Fácil de decir según la Comisión Europea: no cumplen los requisitos por lo que no se les renovará la titularidad de los mismos. Aquí paz y mañana gloria.

En EURid, la entidad gestora de los dominios .eu, se están preparando para la que les viene encima, en la medida en la que pueden hacerlo. Tienen un interesante papelón que espero que resuelvan con la misma solvencia en el caso del RGPD.