Índice
¿Qué es DMARC?
DMARC, que significa autenticación, informes y conformidad de mensajes basada en dominios, es un protocolo de autenticación de email que mejora la seguridad de la comunicación por correo electrónico al impedir la suplantación de marcas y los ataques de phishing. DMARC trabaja en colaboración con dos tecnologías de autenticación de emails existentes: SPF (Marco de directivas de remitente) y DKIM (Autenticación de mensajes, informes y conformidad basada en dominios).
¿Por qué utilizar DMARC?
-
Autenticación: DMARC añade una capa adicional de autenticación para verificar que el remitente de un email sea legítimo.
-
Protección contra el phishing: Te ayuda a protegerte de los ataques de phishing al garantizar que los emails enviados desde un dominio estén autorizados y no hayan sido manipulados.
-
Protección de marca: DMARC te ayuda a proteger la reputación de tu marca al reducir la probabilidad de que agentes malintencionados suplanten tu dominio.
- Iniciativas de seguridad del email de Gmail y Yahoo para el 2024: En su compromiso continuo por fortalecer las bandejas de entrada, tanto Gmail como Yahoo han anunciado la implementación de nuevos estándares de protección para los remitentes que realizan envíos masivos de emails. Para saber más sobre este tema, consulta la siguiente guía.
Etiquetas DMARC
Las etiquetas DMARC son componentes clave en un registro DMARC. Ayudan a definir la política DMARC para un dominio y especifican cómo deben gestionar los receptores los emails que dicen provenir de dicho dominio. Aquí están algunas de las etiquetas DMARC más importantes:
Políticas DMARC para mensajes no autenticados
Estas políticas se configuran con la etiqueta "p" en el registro DMARC y definen la acción que debe tomarse si falla la autenticación DMARC. Elige la política que mejor se alinee con los requisitos de seguridad de tu organización y con su tolerancia al riesgo.
Para empezar, recomendamos implementar una política de "p=none". Una vez que confíes en la autenticación de tu tráfico, puedes pasar a opciones más restrictivas como "p=quarantine" o, la más estricta, "p=reject". Por favor, recuerda tener cuidado con la política "p=reject", ya que puede afectar significativamente a todo el tráfico que se envíe desde tu dominio y solo debe configurarse si se está completamente seguro de su funcionamiento.
Entendiendo la conformidad con DMARC y por qué es crucial
DMARC opera según el principio de conformidad y determina la validez de un mensaje en función de cuánto coincide el encabezado "De:" con el definido para el dominio de envío por SPF y DKIM.
Mientras que SPF y DKIM son tecnologías bien conocidas, es importante tener en cuenta que de forma individual no tienen ningún efecto en la dirección De (la parte visible para los usuarios). Esto permite que ocurran ataques de phishing, spoofing y otras actividades maliciosas. DMARC actúa como un elemento crucial de control, al abordar estas vulnerabilidades y mejorar la seguridad del email.
La conformidad con identificadores es el núcleo de DMARC, uniendo los mecanismos de SPF y DKIM con la política de cumplimiento que aparece descrita en el registro DMARC. La conformidad se refiere específicamente a la relación entre el dominio en la dirección del encabezado De y los dominios verificados con las comprobaciones de autenticación SPF y DKIM. Una conformidad exitosa supone que los dominios coinciden, lo que permite que los emails pasen DMARC. Por el contrario, si los dominios no coinciden, eso lleva a un fallo en DMARC.
Veamos cómo funciona la conformidad con los siguientes ejemplos:
Que tus emails prueben su conformidad indica al resto del mundo que un proveedor específico (en este caso Mailjet) o un servidor está autorizado expresamente a enviar emails en nombre de tu organización. Lograr dicha conformidad garantiza que solo se entreguen los emails aprobados, lo que te permite indicar a los receptores que descarten los mensajes no autorizados. Sin la conformidad, surge la incertidumbre cuando los receptores de emails tratan de verificar el origen y la fiabilidad de un mensaje.
Como DMARC opera en base a un dominio, es esencial configurar los emails que se envían en tu nombre. Accede al DNS de tu organización y coordina con Mailjet para conformar la configuración de envío. Teniendo en cuenta las variaciones únicas de cada método de configuración, es crucial identificar, organizar y gestionar estas fuentes dentro de tu ecosistema de emails.
Tu objetivo último es lograr una conformidad cercana al 100 %. El paso siguiente es implementar una política DMARC cada vez más restrictiva y pasar progresivamente de p=none a p=quarantine y a p=reject.
Opciones de conformidad con DMARC
Modos de conformidad
Tienes flexibilidad para elegir dos modos de conformidad: estricto y relajado. El modo de conformidad se especifica en el registro DMARC utilizando las etiquetas "aspf" y "adkim" para SPF y DKIM, respectivamente.
Por defecto, DMARC opera con una política "relajada" para la conformidad con SPF y DKIM. Esta elección tiene como objetivo propocionar una mayor flexibilidad y adaptarse a los escenarios más comunes en el envío de emails. Aunque una conformidad "estricta" te ofrece una mayor protección contra ciertos casos de spoofing, puede suponer más rechazos o emails marcados como spam de los subdominios asociados.
Conformidad estricta:
- SPF (Sender Policy Framework): Requiere una coincidencia exacta entre el dominio en el "Encabezado de" y el dominio en el "Return path".
- DKIM (DomainKeys Identified Mail): Requiere una coincidencia exacta entre el dominio en el "Encabezado de" y el dominio en la firma DKIM.
Nota importante: Una conformidad estricta puede provocar que mensajes de los subdominios asociados fallen la autenticación DMARC.
Conformidad relajada:
-
SPF (Sender Policy Framework): Requiere una coincidencia exacta O parcial* entre el dominio en el "Encabezado de” y el dominio en el “Return path”.
* En la conformidad SPF, una coincidencia parcial tiene lugar cuando el dominio en el "Encabezado de" y el dominio en el "Return path" tienen dominios principales/raíz coincidentes.Ejemplo:
- Dominio "Encabezado de" = tudominio.com
- Dominio "Return path" = bnc3.tudominio.com
Aunque no es una coincidencia exacta, es una coincidencia parcial porque "tudominio.com" es el dominio principal/raíz tanto en el dominio en el "Encabezado de" y en "Return path". En este caso, una conformidad SPF en modo relajado otorgará un aprobado (PASS).
-
DKIM (DomainKeys Identified Mail): Requiere una coincidencia exacta O parcial* entre el dominio en el "Encabezado de” y el dominio en la firma DKIM.
* En la conformidad DKIM, una coincidencia parcial tiene lugar cuando el dominio en el "Encabezado de" y el dominio en la firma DKIM tienen dominios principales/raíz coincidentes.Ejemplo:
- Dominio "Encabezado de" = tudominio.com
- Dominio en la firma DKIM = prueba.tudominio.com
Aunque no es una coincidencia exacta, es una coincidencia parcial porque "tudominio.com" es el dominio principal/raíz tanto en el dominio en el "Encabezado de" y en la firma DKIM. En este caso, una conformidad DKIM en modo relajado otorgará un aprobado (PASS).
Nota importante: Cuando utilices Mailjet para enviar emails, considera personalizar tu Return path para lograr la conformidad SPF. Esta personalización supone sustituir el "bnc3.mailjet.com" predeterminado con "bnc3.tudominio.com". A pesar de esto, sugerimos utilizar una comprobación SPF "relajada" para garantizar la conformidad con DMARC, ya que una coincidencia exacta puede no ser factible. Por ejemplo, "bnc3.tudominio.com" es diferente de tu encabezado De, que normalmente es "tudominio.com". Este enfoque equilibrado optimiza la autenticación de emails al tiempo que tiene en cuenta las distinciones específicas de cada dominio.
Una conformidad relajada te proporciona suficiente protección contra el spoofing y se usa normalmente para evitar rechazos o emails marcados como spam de forma innecesaria.
Por otra parte, con DKIM es factible lograr una conformidad "estricta" si lo configuras correctamente con Mailjet.
Para más información sobre cómo configurar SPF y DKIM correctamente con Mailjet para lograr una conformidad DMARC óptima, consulta nuestra guía.
Comprobaciones DMARC
Para que un mensaje paase DMARC, debe superar con éxito al menos una de las siguientes comprobaciones:
- Autenticación SPF y conformidad SPF.
- Autenticación DKIM y conformidad DKIM.
Nota importante
Mientras que una conformidad relajada proporciona normalmente una protección suficiente contra los ataques de suplantación de identidad, adoptar una conformidad estricta puede suponer más rechazos o emails marcados como spam de los subdominios asociados.
Configurar DMARC
Paso 1: Configuración del registro DNS
-
Accede a los ajustes del DNS:
- Inicia sesión en tu registrador de dominio o proveedor de alojamiento DNS.
- Inicia sesión en tu registrador de dominio o proveedor de alojamiento DNS.
-
Crea un registro TXT de DMARC:
- Añade un registro TXT de DMARC a tus ajustes de DNS. El registro tiene que especificar cuál es la directiva para gestionar los emails que no superan la autenticación DMARC.
Ejemplo de registro TXT de DMARC:
v=DMARC1; p=none; rua=mailto:tu@email.com; ruf=mailto:tu@email.com
-
v=DMARC1
: Indica que estás usando la versión 1 de DMARC. -
p=none
: Especifica la directiva a seguir si un email no supera la autenticación DMARC. Las opciones son "none" (ninguna), "quarantine" (cuarentena) o "reject" (rechazar).
-
Especifica la dirección agregada y la de informes de fallos:
-
rua=mailto:tu@email.com
: Esta dirección de email recibirá los informes agregados. -
ruf=mailto:tu@email.com
: Esta dirección de email recibirá los informes de fallos.
-
Paso 2: Implementación gradual
Tras la implementación inicial, el paso crucial es hacer un seguimiento de tu tráfico ("p=none"). Revisa tus informes DMARC forenses y/o agregados a diario. A medida que acumules suficientes datos que prueben que tus emails legítimos se autentican correctamente, podrás gradualmente y con seguridad implementar una política DMARC más estricta ("p=quarantine" o "p=reject"). Este enfoque gradual te permite mejorar la seguridad de tus emails con el tiempo.
Paso 3: Ajustar la directiva
-
Cambia a poner en cuarentena o rechazar:
- Una vez que estés seguro de los resultados, modifica la directiva DMARC a "quarantine" o "reject" para protegerte de los emails no autorizados.
Ejemplo de registro TXT de DMARC para rechazar:
v=DMARC1; p=reject; rua=mailto:tu@email.com; ruf=mailto:tu@email.com
Nota: Ten en cuenta que nuestra asistencia se limita a proporcionarte pautas para configurar DMARC. No ofrecemos asistencia con el propio proceso de configuración (ya que es particular para cada caso). Tampoco ofrecemos asistencia para el análisis de los informes DMARC.
Las mejores prácticas
-
Implementa SPF y DKIM:
- Asegúrate de que el marco de directivas de remitente (SPF) y la autenticación de mensajes, informes y conformidad basada en dominios (DKIM) estén configurados correctamente.
-
Implementa gradualmente las directivas:
- Empieza con una directiva "none", analiza los informes y cambia gradualmente a "quarantine" (poner en cuarentena) o "reject" (rechazar).
-
Revisa periódicamente los informes:
- Mantente informado sobre los resultados de la autenticación de emails a través de los informes DMARC.
-
Actualiza los registros SPF y DKIM:
- Actualiza periódicamente los registros SPF y DKIM para incluir todas las fuentes de email legítimas.
Conclusión
La implementación de DMARC es una medida esencial para proteger tu comunicación por email, impedir los ataques de phishing y salvaguardar la reputación de tu marca. Revisa periódicamente los informes, ajusta las directivas según sea necesario y sé proactivo para mantener un entorno de email seguro.
Recuerda que el éxito de la implementación de DMARC radica en la continua monitorización, análisis y adaptación a la evolución de las amenazas del email.