Spoofing de Email (Sin SPF/DKIM/DMARC)
Sin registros DNS SPF, DKIM y DMARC, cualquiera puede enviar emails fingiendo ser de tu dominio — habilitando ataques de phishing contra tus usuarios.
Cómo Funciona
SMTP fue diseñado sin autenticación. SPF lista qué servidores tienen permitido enviar desde tu dominio. DKIM agrega una firma criptográfica a cada email. DMARC le dice a los servidores receptores qué hacer cuando SPF o DKIM fallan. Sin los tres, los atacantes pueden crear emails que parecen venir exactamente de tu-empresa.com.
// MAL: zona DNS sin registros de autenticación de email
// tu-dominio.com DNS:
// Sin registro TXT para SPF
// Sin registro TXT para DKIM
// Sin registro TXT para DMARC
// Resultado: cualquier servidor puede enviar email como tu@tu-dominio.com// BIEN: registros DNS completos de autenticación de email
// SPF: lista los servidores de envío autorizados
tu-dominio.com. TXT "v=spf1 include:sendgrid.net include:_spf.google.com -all"
// DKIM: agregar vía el dashboard de tu proveedor de email (Sendgrid, SES, etc.)
// DMARC: establece política y reportes
_dmarc.tu-dominio.com. TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@tu-dominio.com"Ejemplo Real
Los ataques BEC (Business Email Compromise) costaron a las empresas $2.9 mil millones en 2023 (reporte FBI IC3). La mayoría tiene éxito suplantando direcciones de email de ejecutivos en dominios sin enforcement de DMARC.
Cómo Prevenirlo
- Agrega un registro SPF que liste cada servicio autorizado a enviar email desde tu dominio
- Habilita la firma DKIM en tu proveedor de email (Sendgrid, SES, Postmark) y agrega el registro DNS
- Agrega un registro DMARC empezando con p=none para monitorear, luego ajusta a p=quarantine o p=reject
- Usa MXToolbox o Google Admin Toolbox para verificar que los tres registros estén configurados correctamente
Tecnologías Afectadas
Data Hogo detecta esta vulnerabilidad automáticamente.
Escanea Tu Repo GratisVulnerabilidades Relacionadas
Inyección SMS
mediumIncluir input del usuario sin validar en mensajes SMS permite a los atacantes inyectar saltos de línea y crear mensajes fraudulentos que parecen venir de tu aplicación.
Inyección de Notificaciones Push
lowIncluir input del usuario sin sanitizar en payloads de notificaciones push permite a los atacantes crear notificaciones engañosas a nombre de tu app.