Conceptos básicos de DMARC

Para autenticar tu dominio, debes añadir un registro SPF (Sender Policy Framework) y un registro DKIM (DomainKeys Identified Mail) a la configuración de DNS de tu dominio.

Google (en español) y Yahoo (en inglés) han anunciado nuevas reglas para los remitentes que envían más de 5000 correos electrónicos en un día necesitarán configurar otro protocolo de seguridad, DMARC (por sus siglas en inglés), que consiste en la autenticación de mensajes basada en dominios, informes y conformidad).

DMARC son las siglas de Domain-based Message Authentication, Reporting, and Conformance (RFC 7489). Es un protocolo de autenticación, política e informes de correo electrónico que se configura en la configuración de DNS de un dominio como un registro TXT. Proporciona validación del origen de los correos electrónicos mediante la inspección de la dirección IP del remitente. 

Una política DMARC puede ayudar a proteger un dominio de la suplantación directa de dominios a través de la alineación de identificadores DKIM y SPF. En otras palabras, si el registro DKIM y/o SPF de un mensaje de correo electrónico que dice ser de tu dominio no se aprueba, la política DMARC indica a los servidores de correo electrónico de los destinatarios qué hacer con él. Esto ayuda a identificar los correos electrónicos fraudulentos de los correos electrónicos legítimos y evita que se produzcan estafas.

Se recomienda configurar una política DMARC si tu dominio de envío tiene un alto riesgo de ser suplantado o si deseas realizar un seguimiento de los correos electrónicos salientes enviados en nombre de tu dominio a través de la funcionalidad de informes que proporciona.

Si deseas utilizar DMARC, te recomendamos que contrates los servicios de empresas consultoras de DMARC para configurar este tipo de registro DNS correctamente, a fin de reducir cualquier posible impacto negativo en la entrega de tu correo electrónico.

Un registro DMARC verifica que el dominio en el campo Encabezado/De (el correo electrónico del remitente) es el remitente real del mensaje comparándolo con uno o ambos dominios que se encuentran en el registro DKIM o SPF.

Para asegurarte de que estos dominios están alineados, el dominio utilizado para crear la firma DKIM debe coincidir con el dominio Header/From, y el SPF verifica que la dirección IP del servidor de envío ha sido aprobada por el propietario del dominio especificado en el comando SMTP MailFrom.

Puedes establecer la alineación para que sea una de las siguientes:

• Estricto: los dominios deben coincidir exactamente.

• Relajado: los dominios pueden tener diferentes subdominios del mismo dominio raíz.

Un registro DMARC se compone de varias etiquetas. Algunas son obligatorias y otras son opcionales. 

Un ejemplo de un registro DMARC básico:

v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com

Etiquetas obligatorias

Las siguientes etiquetas deben incluirse en un registro DMARC para que sea valanchor:

• v - Identifica el registro como DMARC y debe ser listado al principio. Siempre es DMARC1.

• p - Indica la política que has elegido para tu registro. Esta política será aplicada por los proveedores de buzones de correo electrónico cuando tu correo electrónico no supere las comprobaciones de autenticación y alineación DMARC. 

Hay tres políticas DMARC que puedes utilizar según tus necesidades:

• p=none - Conocida como la política de monitoreo, no le dice a los servidores de correo electrónico de los destinatarios que hagan nada, pero te permite rastrear los correos electrónicos que se envían en nombre de tu dominio. 

• p=quarantine - Indica a los servidores de correo electrónico de los destinatarios que envíen el mensaje a la carpeta de correo no deseado o spam si no supera la comprobación DMARC. También realiza un seguimiento de todos los correos electrónicos que se envían en tu nombre.

• p=reject - Indica a los servidores de correo electrónico de los destinatarios que rechacen todos los correos electrónicos que no superen la comprobación DMARC. Esto da como resultado que estos correos electrónicos reboten y no se entreguen a ninguna carpeta del destinatario. También realiza un seguimiento de todos los correos electrónicos que se envían en tu nombre. 

Etiquetas opcionales

Estas etiquetas proporcionan opciones adicionales que ayudan a personalizar el registro DMARC y su funcionalidad de informe:

• rua=mailto:address@domain.com - especifica la dirección de correo electrónico a la que los proveedores de buzones de correo  participantes deben enviar informes completos. Estos informes diarios ayudan a identificar la actividad maliciosa y los posibles problemas de autenticación en tu dominio. 

• fo - Permite a los proveedores de buzones de correo electrónico saber que deseas que se envíen muestras del texto en los correos electrónicos que no superaron SPF y/o DKIM. Hay cuatro opciones de valor:

  • 0 - Crea un informe de fallos de DMARC si tanto SPF como DKIM no logran generar un resultado PASS alineado. Este es el valor predeterminado.

  • 1 - Crea un informe de fallos DMARC si el registro SPF o DKIM genera cualquier otro tipo de resultado de alineación que no sea PASS. Esto se recomienda.

  • d - Crea un informe de fallos DKIM si la firma del correo electrónico no ha superado su evaluación, a pesar del resultado de la alineación.

  • s - Crea un informe de fallas de SPF si el SPF del correo electrónico no superó su evaluación, a pesar del resultado de la alineación.

• ruf=mailto:address@domain.com- especifica la dirección de correo electrónico donde los informes forenses (message-level) deben ser enviados por los proveedores de correo participantes. Estos informes son más detallados y se entregan después de que se haya detectado un fallo de autenticación DMARC. 

•  rf - Este es el formato para los informes de errores de mensajes. El valor predeterminado es afrf (Authenticate Failure Reporting Format, que es el único valor admitido por ahora. 

• ri - El número de segundos que deben transcurrir antes de que los proveedores de buzones de correo electrónico participantes envíen el siguiente informe. El valor predeterminado de segundos es 86400, que es un día completo.

• sp - Indica una de las tres políticas solicitadas para todos los subdominios en los que el correo electrónico no supera las comprobaciones de autenticación y alineación DMARC. Se recomienda cuando el propietario del dominio desea políticas diferentes para el dominio principal y todos sus subdominios. Si esta etiqueta no se utiliza para los subdominios, la política principal configurada en la etiqueta p se aplicará al dominio principal y a todos sus subdominios.

• pct- El porcentaje de correos electrónicos que incluirán la autenticación DMARC. Esta etiqueta es útil para probar el impacto y el efecto de la política a medida que se implementa gradualmente.

• adkim - Indica si la alineación del identificador DKIM es estricta o relajada. El valor predeterminado es relajado. 

• aspf - Indica si la alineación del identificador SPF es estricta o relajada. El valor predeterminado es relajado.

Para mantener una seguridad de correo electrónico de buena reputación, los informes agregados de DMARC proporcionan detalles sobre el estado de autenticación de los mensajes enviados en nombre de un dominio. Permiten al propietario del dominio ver qué correos electrónicos enviados desde su dominio han pasado o no la autenticación SPF y DKIM.

Si bien estos informes no incluyen ninguna información sobre el correo electrónico de envío, pueden incluir:

• Detalles sobre la fuente que lo envió

• El nombre de dominio utilizado

• La dirección IP del remitente

• El número de mensajes enviados en una fecha determinada

• El dominio de envío DKIM y SPF 

• El resultado de la autenticación DKIM y SPF

• La política aplicada por el receptor de correo electrónico 

Para empezar a recibir estos informes agregados, asegúrate de que tu registro DMARC incluya la etiqueta RUA ( rua=mailto:address@domain.com ). Las organizaciones de informes DMARC pueden enviar los informes a esta dirección de correo electrónico.

Para obtener más información sobre cómo funciona DMARC, consulta dmarc.org.

To authenticate your domain, you need to add an SPF (Sender Policy Framework) and a DKIM (DomainKeys Identified Mail) record to your domain’s DNS settings.

Although not required in the authentication process, some users decide to also add a DMARC policy on their DNS settings to further protect their domains from spoofing and phishing email attacks.

It's important to understand both the benefits and potential downsides of implementing a DMARC record, as improper implementation can lead to emails not being delivered to their intended recipients.

DMARC stands for Domain-based Message Authentication, Reporting, and Conformance (RFC 7489). It is an email authentication, policy, and reporting protocol that is set up on the DNS settings of a domain as a TXT record. It provides validation of the origin of the emails by inspecting the sender's IP address. 

A DMARC policy can help protect a domain from direct domain spoofing through DKIM and SPF identifier alignment. In other words, if the DKIM and/or SPF record of an email message that claims to be from your domain fails to pass, the DMARC policy tells the recipients’ email servers what to do with it. This helps identify fraudulent emails from legitimate emails and prevents scams from occurring.

It is recommended to set up a DMARC policy if your sending domain has a high risk of being spoofed or if you want to track any outgoing emails sent on behalf of your domain via the reporting functionality it provides.

If you want to use DMARC, we recommend that you employ the services of DMARC consulting companies to set this type of DNS record up properly for you, to reduce any potential negative impact on your email delivery.

A DMARC record verifies that the domain in the Header/From field (the sender email) is the actual sender of the message by comparing it to one or both domains found in the DKIM or SPF record.

To make sure these domains are aligned, the domain used to create the DKIM signature should match the Header/From domain, and the SPF verifies that the sending server's IP address has been approved by the owner of the domain specified in the SMTP MailFrom command.

You can set the alignment to be one of the following:

• Strict - the domains must be an exact match.

• Relaxed - the domains can have different subdomains of the same root domain. 

A DMARC record is made up of several tags. Some are required and some are optional. 

An example of a basic DMARC record:

v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com

Required tags

The following tags have to be included in a DMARC record for it to be valanchor:

• v - Identifies the record as DMARC and it must be listed at the beginning. It is always DMARC1.

• p - Indicates the policy that you have chosen for your record. This policy will be applied by the email mailbox providers when your email fails DMARC authentication and alignment checks.

There are three DMARC policies that you can use according to your needs:

• p=none - Known as the monitor policy, it doesn’t tell the recipients’ email servers to do anything, but it allows you to track the emails that are being sent on your domain’s behalf. 

• p=quarantine - Tells the recipients’ email servers to send the message to the junk or spam folder if it fails the DMARC check. It also tracks all of the emails that are sent on your behalf.

• p=reject - Tells the recipients’ email servers to reject all emails that fail the DMARC check. This results in having these emails bounce and not being delivered to any folder of the recipient. It also tracks all of the emails that are sent on your behalf. 

Optional tags

These tags provide additional options that help customize the DMARC record and its report functionality:

• rua=mailto:address@domain.com - Specifies the email address where complete reports should be sent by participating email mailbox providers. These daily reports help identify malicious activity and potential authentication issues in your domain. 

• fo - It lets email mailbox providers know that you want samples of the text sent in the emails that failed SPF and/or DKIM. There are four value options:

  • 0 - Create a DMARC failure report if both SPF and DKIM fail to generate an aligned PASS result. This is the default.

  • 1 - Create a DMARC failure report if the SPF or DKIM record generates any other type of alignment result that is not PASS. This is recommended.

  • d - Create a DKIM failure report if the email’s signature failed its evaluation, despite the alignment’s result.

  • s - Create an SPF failure report if the email’s SPF failed its evaluation, despite the alignment result.

• ruf=mailto:address@domain.com - Specifies the email address where forensic (message-level) reports should be sent by participating email mailbox providers. These reports are more detailed and are delivered after a DMARC authentication failure has been detected. 

• rf - This is the format for message failure reports. The default is afrf (Authenticate Failure Reporting Format, which is the only value supported for now.

• ri - The number of seconds that need to pass before the next report is sent by participating email mailbox providers. The default value of seconds is 86400, which is one full day.

• sp - It indicates one of the three requested policies for all subdomains where the email fails DMARC authentication and alignment checks. It’s recommended when the owner of the domain wants different policies for the primary domain and all of its subdomains. If this tag is not used for subdomains, then the primary policy set up in the p tag will be applied to the primary domain and all of its subdomains.

• pct - The percentage of emails that will include the DMARC authentication. This tag is useful to test the impact and effect of the policy as it is gradually implemented.

• adkim - It indicates whether the DKIM identifier alignment is strict or relaxed. The default is relaxed. 

• aspf - It indicates whether the SPF identifier alignment is strict or relaxed. The default is relaxed.

To maintain reputable email security, DMARC aggregate reports provide details about the authentication status of messages sent on behalf of a domain. They allow the domain owner to see which emails sent from their domain have passed or failed the SPF and DKIM authentication.

While these reports do not include any information about the sending email, they can include:

• Details about the source that sent it

• The domain name used

• The sender IP address

• The number of messages sent on a particular date

• The DKIM and SPF sending domain 

• The result of the DKIM and SPF authentication

• The policy that was applied by the email receiver 

To start receiving these aggregate reports, make sure your DMARC record includes the RUA tag ( rua=mailto:address@domain.com ). DMARC reporting organizations can send the reports to this email address.

To learn more about how DMARC works, check dmarc.org.