DMARC, que significa «Autenticación de mensajes basada en dominios, Informes y Conformidad», es un protocolo de autenticación de correo electrónico. Este protocolo, construido sobre los protocolos SPF y DKIM, ampliamente desplegados, añade una función de informes que permite a los remitentes y receptores mejorar y monitorizar la protección del dominio frente al correo electrónico fraudulento, facilitando la comunicación segura por correo electrónico.
Los spammers a menudo ‘falsifican’ las ‘direcciones de origen’ en los correos electrónicos, haciéndolos parecer como si vinieran de su dominio. Para prevenir este tipo de abuso utilizando su dominio, y para informar a otros dominios receptores sobre las políticas de su dominio saliente, puede publicar un registro DMARC. Este registro permite a los servicios de correo electrónico que utilizan los estándares DMARC manejar los correos electrónicos no autenticados. Esto también ayuda a controlar la actividad de retrodispersión de correo electrónico y phishing usando su dominio, protegiendo así la reputación de su dominio.
Antes de Publicar DMARC
Una política DMARC permite a un remitente indicar que sus correos electrónicos están protegidos por SPF y/o DKIM, e instruye a los receptores sobre la acción a tomar si ambas comprobaciones fallan, como poner en cuarentena o rechazar el mensaje. DMARC ayuda al receptor a manejar mejor los mensajes fallidos, limitando o eliminando la exposición del destinatario final a tales correos electrónicos falsificados usando el dominio. DMARC también proporciona una forma para que el receptor del correo electrónico informe al remitente sobre los correos electrónicos que pasan y/o fallan en la evaluación DMARC.
La política DMARC será efectiva sólo si envía todos los correos electrónicos usando sus propios dominios. Los correos electrónicos enviados en nombre de su dominio, a través de servicios de terceros, aparecerán como no autenticados y pueden ser rechazados en función de su política DMARC publicada. Para autorizar los correos electrónicos a través de proveedores de terceros, necesitará compartir la clave DKIM para ser incluida en los encabezados, o los correos electrónicos deben ser enviados a través de los servidores SMTP que ya tienen las claves DKIM autorizadas y los registros SPF publicados.
Es necesario configurar los registros SPF y las claves DKIM para sus dominios antes de publicar la política DMARC. La política DMARC se basa en SPF y las claves DKIM, para asegurar la autenticidad del correo electrónico. Un correo electrónico utilizando la dirección de correo electrónico de su dominio, que falla en la prueba SPF y/o en la prueba DKIM, activará la política DMARC.
Publicando la Política DMARC
Para publicar la política DMARC, necesita crear un registro TXT en su DNS en el siguiente formato.
Nombre del registro TXT:
_dmarc.sudominio.com donde sudominio.com debe ser reemplazado por el nombre de su dominio.
Valor del registro TXT:
"v=DMARC1; p=none; rua=mailto:[email protected]"
La p=none es la política básica que se recomienda. Posteriormente, se puede modificar a p=quarantine y finalmente a p=reject.
Implementación Gradual de la Política DMARC
Es altamente recomendable implementar la política DMARC de forma gradual. Para hacerlo de esta manera, cambiará el parámetro ‘p’ de none a quarantine y finalmente a reject. Durante la Fase 2 (Fase de Cuarentena) y la Fase 3 (Fase de Rechazo), puede utilizar el parámetro opcional ‘pct’ para controlar el porcentaje de correos electrónicos que se pondrán en cuarentena o se rechazarán.
Fase 1: Monitorización de Informes y Tráfico
"v=DMARC1; p=none; rua=mailto:[email protected]"
En esta fase, puede establecer la política a p=none. Esto le enviará los informes de las violaciones a la dirección de correo electrónico especificada en la política. Los informes le proporcionarán información sobre las anomalías en los correos electrónicos, sobre el origen de los correos electrónicos que no se firman, o los correos electrónicos que parecen ser suplantados. Puede revisar las fuentes, e incluso incluir las direcciones IP válidas en sus registros SPF o configurar la fuente con DKIM si son legítimas. Una vez que encuentre los informes con solo correos electrónicos suplantados válidos, puede cambiar la política a Cuarentena.
Fase 2: Puesta en Cuarentena de Correos Electrónicos y Análisis
"v=DMARC1; p=quarantine; rua=mailto:[email protected]"
En esta fase, puede establecer la política a p=quarantine. Esto le enviará los informes de las violaciones a la dirección de correo electrónico especificada en la política, y también enviará esos correos electrónicos a la Cuarentena. Puede monitorizar los correos electrónicos en Cuarentena y aprobar o rechazar correos electrónicos desde la Cuarentena. Puede revisar sus informes y también monitorizar los correos electrónicos en Cuarentena.
Puede hacer uso del parámetro ‘pct’ en la plantilla del registro TXT DMARC, para especificar el porcentaje de correos electrónicos que serán afectados por la política en la fase 2, e incrementar lentamente el porcentaje al 100% para completar la implementación. Es importante asegurarse de que monitoriza regularmente los informes de correo electrónico para garantizar que los correos electrónicos válidos no sean rechazados o afectados.
"v=DMARC1; p=quarantine; pct=20; rua=mailto:[email protected]"
En el ejemplo anterior, solo el 20% de los correos electrónicos que parecen ser suplantados serán puestos en cuarentena, y el resto de los detalles del correo electrónico solo se incluirán en los informes.
Una vez que cambie el registro TXT al ejemplo anterior y elimine el parámetro pct, todos los correos electrónicos que no pasen la política DMARC serán rechazados.
Cuando esté seguro de que solo los correos electrónicos suplantados serán rechazados y todos los correos electrónicos válidos estén firmados, puede cambiar la política a ‘Reject’ para implementar completamente DMARC.
Fase 3: Rechazar Correos Electrónicos Suplantados
"v=DMARC1; p=reject; rua=mailto:[email protected]"
En esta fase, puede establecer la política a p=reject. Los correos electrónicos que son suplantados utilizando el nombre de su dominio, serán rechazados después de hacer este cambio. Puede hacer un seguimiento de los correos electrónicos rechazados a través de los informes que recibe por correo electrónico a la dirección proporcionada en el registro TXT.
En resumen, DMARC es una herramienta poderosa para mejorar la seguridad de su correo electrónico. Con una implementación cuidadosa y monitorización constante, puede proteger la reputación de su dominio, mejorar la confiabilidad de su correo electrónico y reducir la cantidad de spam y phishing que se realiza en su nombre. La implementación gradual de la política DMARC asegura una transición suave y eficiente, minimizando cualquier impacto negativo potencial en la entrega de correo legítimo.