rvlsoft - Fotolia
¿Dónde queda corta la seguridad IMAP y cómo puede arreglarse?
Los protocolos de correo electrónico heredados como IMAP son objetivos principales para los hackers Arregle la seguridad IMAP con una mejor configuración, más cifrado y mandatos de autenticación multifactor.
El Protocolo de acceso a mensajes de internet, especificado por primera vez en la década de 1980, permite a los usuarios remotos ver y administrar los mensajes almacenados en los servidores de correo. Si bien IMAP se ha vuelto menos importante a medida que las empresas y los usuarios pasan a los servicios de correo web para administrar los directorios y mensajes de correo electrónico, aún se implementa y utiliza ampliamente, a menudo detrás de firewalls y gateways. Esto significa que la gestión de los problemas de seguridad de IMAP sigue siendo un desafío para muchos usuarios y organizaciones.
Al igual que muchas otras especificaciones de protocolo para aplicaciones de internet que se originaron cuando internet era en gran parte una red académica y de investigación, la seguridad IMAP se dejó como un ejercicio para los implementadores. Y al igual que esos otros protocolos, las implementaciones IMAP totalmente complacientes exponen a todos los usuarios al permitir que los usuarios remotos se autentiquen con ID de usuario y contraseñas de texto simple.
La mayoría de los problemas de seguridad de IMAP se han abordado en las décadas desde que el protocolo se documentó por primera vez como una especificación experimental propuesta. Pero IMAP sigue siendo un punto de problemas de seguridad del correo electrónico porque se implementa y se despliega ampliamente en muchos entornos diferentes, y como parte de muchas plataformas diferentes.
Problemas de seguridad de IMAP
El principal problema de seguridad de IMAP se debe al hecho de que fue diseñado para aceptar credenciales de inicio de sesión de texto sin formato. Si bien este no es el único problema, probablemente sea el desafío más intransigente para los defensores.
Otra vulnerabilidad de la seguridad de IMAP tiene que ver con la falta de soporte para una autenticación sólida, en particular la aplicación de la autenticación multifactor (MFA) para clientes de correo electrónico de terceros al iniciar sesión en servicios IMAP alojados en servicios en la nube. Un ejemplo reciente son los ataques de rociado de contraseñas contra Microsoft Office 365: Si bien Office 365 puede configurarse para que requiera un segundo factor para autenticar a los usuarios remotos, ese paso de autenticación se puede omitir al acceder a los servicios IMAP desde un cliente de correo electrónico de terceros.
Los profesionales de seguridad siempre han estado conscientes de los peligros de los protocolos de aplicación que permiten las credenciales de texto simple, y la configuración predeterminada para el software IMAP siempre ha sido permitir el cifrado TLS de las credenciales. Sin embargo, todavía no hay ningún mecanismo en el protocolo IMAP para requerir el uso de MFA.
De manera similar, los clientes IMAP de terceros no siempre admiten las políticas de inicio de sesión de Office 365 que podrían cerrar a los usuarios remotos que intentan iniciar sesión demasiadas veces, lo que abre la puerta a los atacantes que intentan ataques de fuerza bruta en las cuentas.
La vulnerabilidad más obvia del protocolo IMAP, la transmisión de credenciales y las interacciones de correo electrónico en texto sin formato, se ha abordado en gran medida mediante el uso de TLS implícito para todos los protocolos de correo electrónico. El protocolo IMAP sobre TLS, explicado en RFC 8314, aclara que todos los protocolos de correo electrónico heredados, incluidos SMTP y POP, deben usar TLS de manera predeterminada para el cifrado de las sesiones de correo del usuario, o al menos implementar el cifrado oportunista a través del protocolo STARTTLS. Sin embargo, el requisito de TLS por sí solo no es suficiente para evitar los ataques de rociado de contraseñas IMAP.
Apretando la seguridad IMAP
Saber que hay problemas es el primer paso para fortalecer la seguridad IMAP. La protección de los sistemas vulnerables debe comenzar con la identificación de todos los lugares donde se despliegan los protocolos vulnerables, seguido de cerca de asegurarse que todos los servicios de protocolo estén configurados correctamente para aplicar el cifrado a través de STARTTLS o IMAP a través de TLS.
El puerto predeterminado original para IMAP es el puerto 143 para las solicitudes de los clientes, pero el puerto 993 se especifica para IMAP a través de TLS; la reconfiguración de todos los clientes y servidores para usar el puerto 993 puede ayudar a eliminar las conexiones de texto sin formato. Los firewalls y otros sistemas de pasarela también pueden configurarse para bloquear las conexiones en el puerto no seguro 143.
Otras formas de proteger IMAP deben abordar las diferentes formas en que se accede a los servidores IMAP. Por ejemplo, algunas tácticas incluyen:
- Utilice reglas de firewall para evitar el acceso remoto directo a los servidores IMAP.
- Habilite la autenticación multifactor de la forma más amplia y extensa posible para el acceso remoto.
- Use modelos de confianza cero para restringir que los usuarios accedan a los servicios IMAP sin MFA.
- Reconfigure el correo electrónico y otros servicios para deshabilitar el acceso remoto no autenticado.
- Como medida extrema, deshabilite por completo el acceso del usuario final a los servicios de correo electrónico heredados y solicite que accedan al correo electrónico de forma remota a través de los servicios HTTPS.
Si bien puede que todavía no sea práctico eliminar todos los servicios de protocolo de correo electrónico heredados, es posible proteger estos servicios contra las vulnerabilidades más comunes y los ataques que los aprovechan.