Conceptos básicos de DMARC

Para autenticar tu dominio, debes añadir un registro SPF (Sender Policy Framework) y un registro DKIM (DomainKeys Identified Mail) a la configuración de DNS de tu dominio.

Google (en español) y Yahoo (en inglés) han anunciado nuevas reglas para los remitentes que envían más de 5000 correos electrónicos en un día necesitarán configurar otro protocolo de seguridad, DMARC (por sus siglas en inglés), que consiste en la autenticación de mensajes basada en dominios, informes y conformidad).

DMARC son las siglas de Domain-based Message Authentication, Reporting, and Conformance (RFC 7489). Es un protocolo de autenticación, política e informes de correo electrónico que se configura en la configuración de DNS de un dominio como un registro TXT. Proporciona validación del origen de los correos electrónicos mediante la inspección de la dirección IP del remitente. 

Una política DMARC puede ayudar a proteger un dominio de la suplantación directa de dominios a través de la alineación de identificadores DKIM y SPF. En otras palabras, si el registro DKIM y/o SPF de un mensaje de correo electrónico que dice ser de tu dominio no se aprueba, la política DMARC indica a los servidores de correo electrónico de los destinatarios qué hacer con él. Esto ayuda a identificar los correos electrónicos fraudulentos de los correos electrónicos legítimos y evita que se produzcan estafas.

Se recomienda configurar una política DMARC si tu dominio de envío tiene un alto riesgo de ser suplantado o si deseas realizar un seguimiento de los correos electrónicos salientes enviados en nombre de tu dominio a través de la funcionalidad de informes que proporciona.

Si deseas utilizar DMARC, te recomendamos que contrates los servicios de empresas consultoras de DMARC para configurar este tipo de registro DNS correctamente, a fin de reducir cualquier posible impacto negativo en la entrega de tu correo electrónico.

Un registro DMARC verifica que el dominio en el campo Encabezado/De (el correo electrónico del remitente) es el remitente real del mensaje comparándolo con uno o ambos dominios que se encuentran en el registro DKIM o SPF.

Para asegurarte de que estos dominios están alineados, el dominio utilizado para crear la firma DKIM debe coincidir con el dominio Header/From, y el SPF verifica que la dirección IP del servidor de envío ha sido aprobada por el propietario del dominio especificado en el comando SMTP MailFrom.

Puedes establecer la alineación para que sea una de las siguientes:

• Estricto: los dominios deben coincidir exactamente.

• Relajado: los dominios pueden tener diferentes subdominios del mismo dominio raíz.

Un registro DMARC se compone de varias etiquetas. Algunas son obligatorias y otras son opcionales. 

Un ejemplo de un registro DMARC básico:

v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com

Etiquetas obligatorias

Las siguientes etiquetas deben incluirse en un registro DMARC para que sea valanchor:

• v - Identifica el registro como DMARC y debe ser listado al principio. Siempre es DMARC1.

• p - Indica la política que has elegido para tu registro. Esta política será aplicada por los proveedores de buzones de correo electrónico cuando tu correo electrónico no supere las comprobaciones de autenticación y alineación DMARC. 

Hay tres políticas DMARC que puedes utilizar según tus necesidades:

• p=none - Conocida como la política de monitoreo, no le dice a los servidores de correo electrónico de los destinatarios que hagan nada, pero te permite rastrear los correos electrónicos que se envían en nombre de tu dominio. 

• p=quarantine - Indica a los servidores de correo electrónico de los destinatarios que envíen el mensaje a la carpeta de correo no deseado o spam si no supera la comprobación DMARC. También realiza un seguimiento de todos los correos electrónicos que se envían en tu nombre.

• p=reject - Indica a los servidores de correo electrónico de los destinatarios que rechacen todos los correos electrónicos que no superen la comprobación DMARC. Esto da como resultado que estos correos electrónicos reboten y no se entreguen a ninguna carpeta del destinatario. También realiza un seguimiento de todos los correos electrónicos que se envían en tu nombre. 

Etiquetas opcionales

Estas etiquetas proporcionan opciones adicionales que ayudan a personalizar el registro DMARC y su funcionalidad de informe:

• rua=mailto:address@domain.com - especifica la dirección de correo electrónico a la que los proveedores de buzones de correo  participantes deben enviar informes completos. Estos informes diarios ayudan a identificar la actividad maliciosa y los posibles problemas de autenticación en tu dominio. 

• fo - Permite a los proveedores de buzones de correo electrónico saber que deseas que se envíen muestras del texto en los correos electrónicos que no superaron SPF y/o DKIM. Hay cuatro opciones de valor:

  • 0 - Crea un informe de fallos de DMARC si tanto SPF como DKIM no logran generar un resultado PASS alineado. Este es el valor predeterminado.

  • 1 - Crea un informe de fallos DMARC si el registro SPF o DKIM genera cualquier otro tipo de resultado de alineación que no sea PASS. Esto se recomienda.

  • d - Crea un informe de fallos DKIM si la firma del correo electrónico no ha superado su evaluación, a pesar del resultado de la alineación.

  • s - Crea un informe de fallas de SPF si el SPF del correo electrónico no superó su evaluación, a pesar del resultado de la alineación.

• ruf=mailto:address@domain.com- especifica la dirección de correo electrónico donde los informes forenses (message-level) deben ser enviados por los proveedores de correo participantes. Estos informes son más detallados y se entregan después de que se haya detectado un fallo de autenticación DMARC. 

•  rf - Este es el formato para los informes de errores de mensajes. El valor predeterminado es afrf (Authenticate Failure Reporting Format, que es el único valor admitido por ahora. 

• ri - El número de segundos que deben transcurrir antes de que los proveedores de buzones de correo electrónico participantes envíen el siguiente informe. El valor predeterminado de segundos es 86400, que es un día completo.

• sp - Indica una de las tres políticas solicitadas para todos los subdominios en los que el correo electrónico no supera las comprobaciones de autenticación y alineación DMARC. Se recomienda cuando el propietario del dominio desea políticas diferentes para el dominio principal y todos sus subdominios. Si esta etiqueta no se utiliza para los subdominios, la política principal configurada en la etiqueta p se aplicará al dominio principal y a todos sus subdominios.

• pct- El porcentaje de correos electrónicos que incluirán la autenticación DMARC. Esta etiqueta es útil para probar el impacto y el efecto de la política a medida que se implementa gradualmente.

• adkim - Indica si la alineación del identificador DKIM es estricta o relajada. El valor predeterminado es relajado. 

• aspf - Indica si la alineación del identificador SPF es estricta o relajada. El valor predeterminado es relajado.

Para mantener una seguridad de correo electrónico de buena reputación, los informes agregados de DMARC proporcionan detalles sobre el estado de autenticación de los mensajes enviados en nombre de un dominio. Permiten al propietario del dominio ver qué correos electrónicos enviados desde su dominio han pasado o no la autenticación SPF y DKIM.

Si bien estos informes no incluyen ninguna información sobre el correo electrónico de envío, pueden incluir:

• Detalles sobre la fuente que lo envió

• El nombre de dominio utilizado

• La dirección IP del remitente

• El número de mensajes enviados en una fecha determinada

• El dominio de envío DKIM y SPF 

• El resultado de la autenticación DKIM y SPF

• La política aplicada por el receptor de correo electrónico 

Para empezar a recibir estos informes agregados, asegúrate de que tu registro DMARC incluya la etiqueta RUA ( rua=mailto:address@domain.com ). Las organizaciones de informes DMARC pueden enviar los informes a esta dirección de correo electrónico.

Para obtener más información sobre cómo funciona DMARC, consulta dmarc.org.