El protocolo DMARC les dice a los destinatarios de correo electrónico lo que deben hacer con los correos electrónicos no aprobados (posiblemente fraudulentos): rechazarlos, ponerlos en cuarentena o aceptarlos.
Existen 3 políticas DMARC:
- Monitorear (p=none) permite que los correos electrónicos que no han calificado vayan a la bandeja de entrada del destinatario o a otras carpetas.
- Cuarentena (p=cuarentena) dirige los correos electrónicos no aptos a la carpeta de correo no deseado o spam del destinatario.
- Rechazo (p=reject) impide que los correos electrónicos que no han calificado lleguen al destinatario.
En esta publicación, explicaremos brevemente en qué consiste DMARC, cómo configurar el registro DMARC, cuáles son los tres tipos de políticas DMARC y qué hacen, cuál debe usar y cuándo usarla, y cómo diagnosticar y solucionar problemas con DMARC.
¿Qué es DMARC?
DMARC (Domain-Based Message Authentication, Reporting & Conformance o Autenticación de Mensajes Basada en Dominios, Informes y Conformidad) es un protocolo de autenticación de correo electrónico que evita que se falsifiquen dominios. DMARC colabora con Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM) para verificar la autenticidad del correo electrónico.
Concretamente, DMARC ayuda a los sistemas receptores de correo electrónico a reconocer aquellos mensajes que no provienen de dominios aprobados de organizaciones concretas y les dice a dichos sistemas qué deben hacer en estas situaciones. Estas políticas se publican en el DNS de un dominio como un registro TXT.
Para conocer más consulte la guía Qué es DMARC.
Configuración del registro de DMARC
Si no tiene una política de DMARC configurada, puede generar un registro de DMARC aquí o seguir esta guía detallada de configuración de DMARC. Tenga en cuenta que primero deberá implementar SPF y DKIM (o uno de los dos) durante un mínimo de 48 horas antes de poder configurar DMARC.
Si ya tiene un registro DMARC y desea actualizar la política, solo debe editarlo en su DNS. Puede consultar el registro DMARC aquí para ver qué política se aplica actualmente.
Cuando haya terminado, el registro DMARC ubicado en el DNS debería tener este aspecto:
V=DMARC1; p=reject; rua=mailto:dmarc-feedback@
Como puede ver en este ejemplo, la política está establecida en "p=reject". Esto significa que la política de DMARC está configurada para "rechazar". ¿Qué significa esto? A continuación, explicamos "rechazar" y las otras dos políticas de DMARC.
¿Qué son las 3 políticas DMARC?
Hay tres políticas de DMARC: "none" (monitorear solamente), "cuarentena" y "rechazo".
1. La política "none", a veces denominada política de "monitoreo", le dice al proveedor de correo electrónico del destinatario que no tome ninguna medida si un correo electrónico no cumple los requisitos de DMARC.
2. La política de "cuarentena" traslada los correos electrónicos sospechosos a una carpeta diferente, como la carpeta de correo no deseado de su destinatario, en lugar de la bandeja de entrada.
3. La política de "rechazo" le dice al proveedor que bloquee cualquier correo electrónico que no cumpla con DMARC, por lo que el correo electrónico ni siquiera llega a su destinatario.
¿Por qué usar una política DMARC y no otra?
Quizás se pregunte qué política DMARC debe usar. O bien, puede tener la tentación de ir directamente a "rechazar" para que ningún correo electrónico no deseado llegue a sus destinatarios.
Desafortunadamente, la política de "rechazo" bloquea todo lo que no reconoce. Si olvidó incluir en la lista de permitidos alguno de los servicios de envío de correo electrónico, podrían identificarse como falsos y bloquearse. Así que asegúrese de incluir todos los servicios de envío de correo electrónico en la lista de permitidos antes de aplicar la política "rechazar".
A continuación, revisamos algunos aspectos que debe verificarse antes de aplicar la política "rechazar":
- El sistema de correo electrónico corporativo (por ejemplo, Exchange o G Suite)
- Plataformas de marketing por correo electrónico (por ejemplo, Mailchimp)
- Plataformas de automatización de marketing (por ejemplo, Marketo)
- Plataformas de ventas / CRM (por ejemplo, Salesforce)
- Plataformas de atención al cliente (por ejemplo, Outpost)
- Recursos humanos y otras plataformas SaaS para empleados (por ejemplo, Workday)
- Cualquier otro sistema que envíe correos electrónicos
En lugar de ir directamente a "rechazar", puede que sea más seguro aplicar primero la política "none" y después "cuarentena", antes de escalar a "rechazar".
En primer lugar, la política "none" no impide que los correos electrónicos lleguen a sus destinatarios, pero comienza a monitorear los correos electrónicos enviados desde su dominio y le envía reportes. Esto le ayudará a determinar qué fuentes son auténticas y cuáles podrían no serlo, sin afectar la capacidad de entrega.
Después, puede escalar a la política de "cuarentena" que envía correos electrónicos no aptos a las carpetas de correo basura de los destinatarios. Esta opción hace que los correos electrónicos sospechosos terminen en el correo no deseado, y si se bloquea algún correo electrónico auténtico, los destinatarios lo reciben (aunque les llega a la carpeta de correo no deseado).
Después de asegurarse de haber incluido todos los servicios de envío de correo electrónico en la lista de permitidos, puede escalar a la política de "rechazo", que bloquea directamente los correos electrónicos no aptos para que no lleguen a la bandeja de entrada de los destinatarios, y al mismo tiempo bloquea los correos electrónicos auténticos de los servicios de envío de correo electrónico no incluidos en la lista de permitidos.
Problemas con las políticas de DMARC y cómo solucionarlos
Si DMARC marca como no apto algún correo electrónico interno auténtico, siga estos pasos esenciales para reducir el volumen de falsos positivos.
Primero, es sumamente importante que configure los registros DMARC para que funcionen en combinación con SPF y DKIM. DMARC resuelve la mayoría de los problemas mediante el uso de estos dos protocolos.
También deberá autorizar los servicios que envían correos electrónicos legítimos a los empleados en su nombre, incluidos los remitentes externos mencionados anteriormente, así como los servicios que facilitan invitaciones de calendario, por ejemplo.
Por el contrario, si sus empleados siguen recibiendo correos electrónicos fraudulentos que falsifican los dominios en la bandeja de entrada, se aplican los mismos elementos esenciales. Si no se implementa DMARC para que funcione tanto con SPF como con DKIM, es probable que aumenten los falsos negativos.
Sin embargo, si configura DMARC en combinación con SPF y DKIM, y aún se registra un alto nivel de falsos negativos, use nuestro generador de registros DMARC para asegurarse de que el registro DMARC se haya configurado correctamente. De ser así, verifique el nivel de cumplimiento establecido. Si se aplica la política p=none de DMARC, por ejemplo, los correos electrónicos falsos se entregarán sin verificación.
Por esta razón, también es recomendable abstenerse de usar la etiqueta "sp" en el registro de DMARC, ya que aplica la misma política de un dominio de nivel superior a todos los que se encuentran debajo. Si el dominio de nivel superior se establece en p=none, p=quarantine o p=reject, lo mismo ocurrirá con todos los dominios debajo de este, lo que aumenta la probabilidad de falsos positivos y falsos negativos según la configuración. Es mejor implementar DMARC en cada dominio individual por separado.
Tenga en cuenta que, si bien DMARC es compatible con los principales proveedores de correo electrónico, como Google Gmail y Microsoft Office 365, no todos los servidores receptores realizan una verificación de DMARC. En algunos casos, el servidor receptor puede invalidar una verificación de DMARC y, en su lugar, implementar su propia política.
Cómo leer reportes agregados de DMARC
Una vez que haya publicado el registro DMARC, los ISP receptores le enviarán informes de DMARC. Un reporte DMARC contiene información sobre el estado de autenticación de los correos electrónicos enviados en nombre de (o explotando) un dominio.
Estos reportes se envían diariamente y proporcionan visibilidad acerca de los dominios utilizados para enviar estos correos electrónicos, la IP de envío, la cantidad de correos electrónicos enviados en una fecha específica, el resultado de la autenticación SPF/DKIM, el resultado de DMARC, entre otros.
Recibirá reportes DMARC independientemente de la política que elija.
- Si elige la política "none", recibirá un reporte de los resultados de la autenticación DMARC en la dirección de correo electrónico de la política que implementó. También verá la fuente del correo electrónico y quizás también la dirección IP.
- Con la política de "cuarentena", el reporte DMARC incluirá la misma información, pero los correos electrónicos que no superen la autenticación DMARC también se pondrán en cuarentena en una carpeta de correo basura o similar.
- Por último, con la política de "rechazo", el reporte de DMARC también incluirá datos sobre los correos electrónicos que no han podido llegar a una bandeja de entrada. Algunos proveedores de buzones de correo electrónico también incluirán "ejemplos de errores" detallados, también llamados reportes forenses, para correos electrónicos que no pasan la autenticación DMARC.
Los reportes de DMARC llegan en formato XML y se envían a la dirección de correo electrónico indicada en el registro de DMARC (la <dmarc-feedback@</dmarc-feedback@ parte del ejemplo de DMARC anterior). Estos registros XML no son fáciles de interpretar manualmente, por lo que probablemente debería utilizar un servicio agregador de reportes DMARC para limpiar el reporte DMARC y ayudarle a leerlos y comprenderlos. Estos reportes le ayudarán a diagnosticar qué correos electrónicos fraudulentos no se han bloqueado y qué correos electrónicos legítimos se han bloqueado.
Desde aquí a una aplicación total de DMARC
Se tarda solo unos minutos en crear un registro DMARC y establecer una política. Pero las complicaciones que se mencionan aquí, así como muchas otras, empeoran exponencialmente cuando se aplican a una empresa con cientos o miles de dominios.
Se recomienda a las grandes empresas que busquen soluciones que puedan optimizar y agilizar este proceso en su ecosistema de correo electrónico. Implementando una solución como Agari Brand Protection™, de Fortra, que automatiza y simplifica los flujos de trabajo de implementación, administración y generación de reportes de DMARC, se reducirá drásticamente el tiempo para la aplicación total de DMARC.
Vea Agari en acción
Solicite una demostración en vivo y nuestro equipo le mostrará las principales funcionalidades de la línea de productos Agari y responderá todas sus preguntas.