Política de DMARC - Aplicar la política de DMARC para su dominio

Descripción general de DMARC

DMARC, que significa "Domain-based Message Authentication, Reporting & Conformance (Autenticación de mensajes basado en un dominio, informe y conformidad)", es un protocolo de autenticación de correo electrónico. Se basa en protocolos de SPF y DKIM ampliamente implementados, también agrega una función de presentación de informes que permite a los remitentes y receptores mejorar y monitorear la protección del dominio de correo electrónico fraudulento. 

Los remitentes de correos no deseados suelen "adulterar" o "falsificar" las "direcciones de remitentes" en los correos electrónicos, y hacen que parezca que viniera de su dominio. Para evitar este tipo de abusos utilizando su dominio y para hacer saber a los otros dominios de destinatario acerca de sus políticas de dominio salientes, puede publicar un registro de DMARC mediante los servicios de correo electrónico que utilizan los estándares de DMARC capaces de manejar el correo no autenticado. Esto también ayuda en el control de las actividades de "suplantación de identidad" mediante su dominio y ayuda a proteger la reputación de su dominio.  

Antes de publicar DMARC

Una política de DMARC permite al remitente indicar que sus correos electrónicos están protegidos por SPF o DKIM, e instruye a los receptores sobre la acción, si tanto las verificaciones de SPF como la de DKIM fallan, como la cuarentena o el rechazo de un mensaje. DMARC ayuda al receptor a manejar mejor los mensajes fallidos mejor y, por ende, limita o quita la exposición de los destinatarios finales a tales correos electrónicos falsificados utilizando el dominio. DMARC también proporciona un modo para que el receptor de correo electrónico informe al remitente acerca de los correos electrónicos que pasan o fallan la evaluación de DMARC.

La política de DMARC será eficaz solamente si envía todo el correo electrónico utilizando sus propios dominios. Los correos electrónicos enviados en nombre de su dominio por medio de servicios de terceros aparecerán no autenticados y pueden ser rechazados según la política de DMARC publicada. Para autorizar los correos electrónicos por medio de proveedores de terceros, debe compartir la clave DKIM para incluirla en los encabezados, o los correos electrónicos se deben enviar por medio de los servidores SMTP que ya publicaron los registros de SPF y las claves de DKIM autorizados. 

Debe configurar los registros de SPF y las claves de DKIM para sus dominios, antes de publicar la política de DMARC. La política de DMARC se basa en SPF y las claves de DKIM para asegurar la autenticidad del correo electrónico. Un correo electrónico que utiliza su dirección de correo electrónico de dominios, en el que falla la prueba SPF y/o la prueba DKIM, activará la política de DMARC. 

Publicar la política de DMARC

Para publicar la política de DMARC, debe crear un registro de TXT en su DNS en el siguiente formato. 

Nombre del registro de TXT:

_dmarc.yourdomain.comdonde yourdomain.com se debe reemplazar con el nombre de su dominio.

Valor del registro de TXT: 

"v=DMARC1; p=ninguno; rua=mailto:admin@yourdomain.com"

El p=none (p=ninguno) es la política básica que se recomienda. Más adelante puede cambiar a p=quarantine (p=cuarentena) y luego a =reject (p=rechazar). 

Implementación de la política de DMARC en forma gradual

Recomendamos implementar la política de DMARC en forma gradual. Para implementar en la forma gradual, deberá cambiar el parámetro "p" de ninguno a cuarentena y finalmente a rechazar. Asimismo, durante la fase 2 o (fase de cuarentena) y la fase 3 (fase de rechazo), puede utilizar el parámetro opcional "pct" para controlar el porcentaje de correos electrónicos que están en cuarentena o rechazados. 

Fase 1: informes de monitoreo y tráfico 

"v=DMARC1; p=ninguno; rua=mailto:admin@yourdomain.com"

Puede establecer la política de p=none (p=ninguno) en esta fase. Esto le envía los informes de violación a la dirección de correo electrónico especificada en la política. Los informes le brindan información acerca de las anomalías en los correos electrónicos, el origen de los correos que no sean firmados o los correos electrónicos que parecen ser suplantados. Puede revisar las fuentes y puede incluir las direcciones IP válidas en sus registros SPF o configurar la fuente con DKIM, si son legítimas. Una vez que encuentre los informes solo con correos electrónicos falsificados válidos, puede cambiar la política a cuarentena. 

Fase 2: correos electrónicos en cuarentena y analizar

"v=DMARC1; p=cuarentena; rua=mailto:admin@yourdomain.com"

Puede establecer la política de p=quarantine (p=cuarentena) en esta fase. Esto le envía los informes de la violación de la dirección de correo electrónico especificada en la política, y también envía estos correos electrónicos a cuarentena. Puede monitorear los correos electrónicos en cuarentena y aprobar o rechazar los correos de la cuarentena. Puede revisar sus informes y también monitorear los correos electrónicos en cuarentena.

Usted también puede hacer uso del parámetro "pct" en la plantilla del registro de TXT de DMARC para especificar el porcentaje de correos electrónicos que se verán afectados por la política en la fase 2, y lentamente aumentar el porcentaje al 100 % para hacer que termine de implementarse. El aspecto importante es garantizar que monitoree los informes de correo electrónico regularmente para asegurarse de que los correos electrónicos válidos no se rechacen ni se vean afectados.

"v=DMARC1; p=cuarentena; pct=20; rua=mailto:admin@yourdomain.com" 

En el ejemplo anterior, solo el 20 % de los correos electrónicos que aparecen suplantados se pondrán en cuarentena, y el resto de los detalles de correo electrónico solo se incluirán en los informes. 

Una vez que cambie el registro de TXT al ejemplo anterior y quite el parámetro pct, todos los correos electrónicos que no pasen la política de DMARC serán rechazados. 

Una vez que esté seguro de que solo los correos electrónicos falsificados serán rechazados y todos los correos electrónicos válidos están firmados, puede cambiar la política a "Reject (Rechazar)" para implementar completamente DMARC. 

Fase 3: rechazar correos electrónicos falsificados

"v=DMARC1; p=rechazar; rua=mailto:admin@yourdomain.com"

Puede establecer la política de =reject (p=rechazar) en esta fase. Los correos electrónicos que se falsifican utilizando su nombre de dominio serán rechazados después de realizar este cambio. Puede realizar un seguimiento de los correos electrónicos rechazados, por medio de los informes que recibe por correo electrónico a la dirección de correo proporcionada en el registro de TXT. 

Share this post : FacebookTwitter

Todavía no puede encontrar lo que está buscando?

Escríbenos: support@zohomail.com