Descripción general de DMARC
DMARC, que significa “Autenticación de mensajes basados en el dominio, generación de informes y conformidad”, es un protocolo de autenticación de correo electrónico. Se basa en los protocolos SPF y DKIM, ampliamente implementados, y agrega además una función de generación de informes que permite a los remitentes y receptores mejorar y monitorear la protección del dominio contra correos electrónicos fraudulentos, lo que propicia una comunicación por correo electrónico segura.
Las personas que envían correos no deseados a menudo “falsifican” o “falsean” las “direcciones de correo” en los correos electrónicos y hacen que parezca que provienen de su dominio. Para evitar este tipo de abusos con su dominio e informar a los demás dominios de destinatarios acerca de sus políticas de dominio saliente, puede publicar un registro DMARC mediante el cual los servicios de correo electrónico que emplean los estándares DMARC puedan gestionar los correos no autenticados. Esto también ayuda a controlar las actividades de retrodispersión de correo electrónico y suplantación de identidad mediante su dominio y ayuda a proteger la reputación de su dominio.
Antes de publicar DMARC
Una política DMARC permite que un remitente indique que sus correos electrónicos están protegidos por SPF o DKIM, e instruye a los destinatarios acerca de la acción, si fallan las verificaciones de SPF y DKIM, como poner en cuarentena o rechazar el mensaje. DMARC ayuda al receptor a gestionar mejor los mensajes fallidos y, por lo tanto, limita o elimina la exposición del receptor final a dichos correos electrónicos falsificados que utilizan el dominio. DMARC también ofrece una manera para que el receptor de correo electrónico informe al remitente sobre los correos electrónicos que pasan o fallan la evaluación DMARC.
La política DMARC será eficaz, solo si envía todos los correos electrónicos con sus propios dominios. El correo electrónico enviado en nombre de su dominio, a través de servicios de terceros, aparecerá como no autenticado y puede ser rechazado según su política DMARC publicada. Para autorizar los correos electrónicos a través de proveedores externos, debe compartir la clave DKIM para que se incluya en los encabezados, o los correos electrónicos se deben enviar a través de los servidores SMTP que ya tienen las claves DKIM autorizadas y los registros SPF publicados.
Debe configurar los registros del SPF y las claves DKIM para sus dominios antes de publicar la política DMARC. La política DMARC se basa en las claves SPF y DKIM para garantizar la autenticidad del correo electrónico. Un correo electrónico que utilice la dirección de correo electrónico de su dominio, que no pase la prueba SPF o DKIM, activará la política DMARC.
Publicación de la política DMARC
Para publicar la política DMARC, necesita crear un registro TXT en su DNS con el siguiente formato.
Nombre del registro TXT:
_dmarc.yourdomain.com, donde se debe reemplazar yourdomain.com con su nombre de dominio.
Valor del registro TXT:
“v=DMARC1; p=none; rua=mailto:admin@yourdomain.com”
"p=none" es la política básica que se recomienda. Más adelante, puede cambiarla a "p=quarantine" y, luego, a "p=reject".
Implementación de la política DMARC de manera gradual
Recomendamos encarecidamente implementar la política DMARC de manera gradual. Para implementarla de manera gradual, cambiará el parámetro “p” de none a quarantine y, finalmente, a reject. Del mismo modo, durante la fase 2 (fase de cuarentena) y la fase 3 (fase de rechazo), puede utilizar el parámetro opcional “pct” para controlar el porcentaje de correos electrónicos que quedan en cuarentena o se rechazan.
Fase 1: Supervisar los informes y el tráfico
“v=DMARC1; p=none; rua=mailto:admin@yourdomain.com”
En esta fase puede establecer la política como p=none. Esto le envía los informes de infracción a la dirección de correo electrónico especificada en la política. Los informes contienen información sobre las anomalías en los correos electrónicos, sobre la fuente de los correos electrónicos que no se firman o los correos electrónicos que parecen ser falsificados. Puede revisar las fuentes y, quizás, incluir las direcciones IP válidas en sus registros del SPF o configurar la fuente con DKIM si son legítimas. Una vez que encuentre los informes con solo correos electrónicos falsificados válidos, puede cambiar la política a cuarentena.
Fase 2: Cuarentena de correos electrónicos y análisis
“v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com”
En esta fase, puede configurar la política como p=quarantine. Esto le envía los informes de la infracción a la dirección de correo electrónico especificada en la política y también envía dichos correos electrónicos a cuarentena. Puede supervisar los correos electrónicos en cuarentena y aprobar o rechazar correos electrónicos desde cuarentena. Puede revisar sus informes y también supervisar los correos electrónicos de cuarentena.
También puede utilizar el parámetro “pct” en la plantilla de registro DMARC TXT, para especificar el porcentaje de correos electrónicos que se verán afectados por la política en la fase 2 y aumentar lentamente el porcentaje a un 100 % a fin de completar la implementación. Lo importante es asegurarse de supervisar los informes de correo electrónico con regularidad para garantizar que los correos válidos no se rechacen ni se vean afectados.
“v=DMARC1; p=quarantine; pct=20; rua=mailto:admin@yourdomain.com”
En el ejemplo anterior, solo el 20 % de los correos electrónicos que parecen falsificados se pondrán en cuarentena y el resto de los detalles del correo electrónico se incluirán solo en los informes.
Una vez que cambie el registro TXT al ejemplo anterior y elimine el parámetro pct, se rechazarán todos los correos electrónicos que no pasen la política DMARC.
Una vez que esté seguro de que solo se rechazarán los correos electrónicos falsificados y de que todos los correos válidos están firmados, puede cambiar la política a “Rechazar” para implementar DMARC por completo.
Fase 3: Rechazar correos electrónicos falsificados
“v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com”
En esta fase puede configurar la política como p=reject. Los correos electrónicos falsos que utilicen su nombre de dominio serán rechazados después de realizar este cambio. Puede hacer un seguimiento de los correos electrónicos rechazados a través de los informes que recibe por correo electrónico a la dirección de correo proporcionada en el registro TXT.