Generalidades
Este artículo explica qué es DMARC y cómo puede ayudar a validar tus correos electrónicos para protegerte contra actividades fraudulentas.
¿Qué es DMARC?
La Autenticación de Mensajes Basada en Dominio, Reporte y Conformidad (DMARC, por sus siglas en inglés) es una política de correo Entrante construida sobre los registros DKIM y SPF, diseñada para detectar y prevenir correos fraudulentos.
Cuando agregas una política DMARC a tu dominio, eliges informar al destinatario de que tus correos están protegidos por registros DKIM y/o SPF y qué hacer si tu política DMARC no se alinea con esos registros.
Ejemplo del proceso de validación DMARC:
- El remitente agrega una política de DMARC a su dominio.
- El remitente envía el correo.
- El servidor del destinatario revisa si el correo contiene una política de DMARC.
- El servidor del destinatario verifica si los registros DKIM/SPF mencionados en la política DMARC del remitente son válidos.
- El servidor del destinatario verifica si los registros DKIM/SPF válidos también pasan algo llamado 'alignment' o 'alineación'.
- Si el 'alignment' pasa, el correo es recibido.
- Si el 'alignment' no pasa (aún si las verificaciones de DKIM/SPF pasan), entonces el mensaje falla.
Este proceso de validación ayuda a garantizar que las actividades fraudulentas que parecen provenir del dominio sean bloqueadas.
Configurar la política de DMARC
Los siguientes pasos explican cómo configurar una política DMARC en tu dominio.
Crear correos reporte
Crea dos direcciones de correo separadas para recibir informes agregados diarios y forenses de DMARC. Se recomienda crear dos direcciones de correo electrónico, ya que puedes recibir un gran número de informes. Por ejemplo:
- dmarc_agg@example.com
- dmarc_forensic@example.com
Crear registros DKIM y SPF
Configura un registro DKIM y/o SPF en tu dominio. Se recomienda habilitar ambos registros para aprovechar al máximo la política DMARC. Revisa los siguientes artículos para más información:
Agregar un registro DMARC en el panel
- Navega a la página Administrar Sitios Web.
- Da clic en el botón Administrar para abrir la página de Configuraciones de Dominios, la cual te permite ajustar múltiples configuraciones de tu sitio.
- Si estás en la Vista de Malla, da clic en el botón Administrar en la parte inferior de la caja del sitio.
- Si estás en la Vista de Lista, da clic en el botón Administrar a la derecha de tu dominio.
- Haz clic en la pestaña DNS.
- Da clic en el botón Añadir Registro.
- Pasa el cursor sobre la sección Registro TXT y haz clic en el enlace AÑADIR.
- Ingresa lo siguiente:
- Host: _dmarc
-
Valor de TXT*: A continuación, se presenta una configuración básica que cubre la mayoría de tus necesidades con DMARC. Solo asegúrate de ajustar las direcciones de correo a las que creaste anteriormente para recibir los informes entrantes.
v=DMARC1; p=quarantine; fo=1; rua=mailto:dmarc_agg@example.com;ruf=mailto:dmarc_forensic@example.com;pct=100
Revisa la sección 'Etiquetas de DMARC' a continuación para ver más detalles de las diferentes opciones que puedes usar.
- Haz clic en el botón Añadir Registro para guardar.
Después de hacer clic en el botón Añadir Registro, comienza la propagación de DNS del nuevo registro. Esto puede tardar hasta 6 horas antes de que el nuevo registro se actualice en línea.
¿Qué es una alineación o alignment?
La política DMARC verifica el nombre de dominio que aparece en el campo From: (De:) del mensaje. Luego compara ese dominio con otros nombres de dominio autenticados que figuran en el encabezado del correo electrónico.
- Si son idénticos, tu política DMARC está alineada.
- Si no están alineados, debes contactar a tu proveedor de servicios de correo y solicitar instrucciones para asegurarte de que tus registros estén alineados.
Alineación estricta (strict) y relajada (relaxed)
La alineación en su política puede configurarse como estricta o relajada:
- Alineación estricta : los dominios deben ser idénticos
- Alineación relajada: el 'Dominio Organizacional' de nivel superior debe coincidir.
-
El 'Dominio Organizacional' es el nombre de tu dominio, seguido del sufijo. Por ejemplo:
- example.com
- example.net
- example.com.au
¿Qué sucede si el mensaje falla la alineación?
La política DMARC del remitente contiene direcciones de correo para informes (establecidas en las etiquetas rua y ruf) para manejar los correos que fallan en la autenticación. Se pueden crear dos tipos de informes:
- Agregar reportes: Estos informes se envían en formato XML una vez al día, consistiendo en datos agregados de todas las fallas de DMARC. Esta dirección de correo se establece con la etiqueta rua.
- Reportes forenses (Conocidos como informes de fallos): Estos informes se generan inmediatamente y consisten en correos individuales que han fallado. Esta dirección de correo se establece con la etiqueta ruf.
Analizar los reportes
Puedes usar una herramienta como la siguiente para analizar tus informes.
Probar los correos recibidos por alineación.
Los siguientes pasos revisan los encabezados de los correos recibidos para confirmar si pasarán la alineación:
- Envía un correo a usted mismo (o a otra dirección que poseas).
- Revisa los encabezados de correo recibidos.
- Verifica la alineación del dominio identificando el dominio que figura como dirección de envío. Puede estar ubicado en los siguientes lugares:
Field Example El dominio del Remitente (Envelope From) From: admin@example.com El Camino de Regreso (Return-Path) o <admin@example.com> El d=domain en la firma de DKIM (DKIM-Signature) DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=example.com; Los dominios mencionados en todas estas áreas deben ser idénticos, de lo contrario, DMARC fallará en la alineación.
Etiquetas de DMARC
Los registros DMARC utilizan etiquetas para definir cómo se debe implementar el registro DMARC. De las 11 etiquetas disponibles, solo 2 son obligatorias, pero se recomiendan otras. Revisa la información a continuación para más detalles.
Etiquetas requeridas
Las etiquetas v y p son requeridas.
La etiqueta v
| Etiqueta | Descripción |
|---|---|
| v=DMARC1 | La etiqueta v identifica el registro de texto como un registro DMARC. Esta debe ser la primera etiqueta y tener un valor de DMARC1. |
La etiqueta p
La etiqueta p identifica la acción que el propietario del dominio solicita que el destinatario tome para los mensajes fallidos.
Se recomienda comenzar usando p=none y rua=mailto:dmarc_agg@example.com por lo menos durante una semana. Esto te permite recibir informes diarios sin que los mensajes sean rechazados o marcados como Spam.
Durante este período inicial, puedes revisar los informes para ver si los correos válidos están siendo rechazados o enviados al Spam, lo que te permite resolver cualquier problema en la política de DMARC.
Cuando te sientas cómodo con los informes entrantes y con qué correos están siendo marcados, entonces puedes cambiar esto a p=quarantinee.
Las opciones son:
| Etiqueta | Descripción |
|---|---|
| p=none (nada) | No se debe tomar ninguna acción para los correos que fallen en la autenticación DMARC. |
| p=quarantine (cuarentena) | Si un correo falla en la autenticación DMARC, debe ser tratado como sospechoso. Cómo se maneje esto depende del destinatario. Por ejemplo, podría ser colocado en una carpeta de SPAM. |
| p=reject (rechazar) | Si un correo falla en la autenticación DMARC, el destinatario debe rechazar el correo durante la transacción de SMTP. |
Etiquetas de correos (Recomendado)
Estas indican dónde se envían los informes.
| Etiqueta | Descripción |
|---|---|
| rua=mailto:dmarc_agg@example.com | La dirección a la que se deben enviar los informes DMARC agregados. |
| ruf=mailto:dmarc_forensic@example.com | La dirección a la que deben enviarse los informes forenses de DMARC. |
Etiquetas opcionales
Las siguientes etiquetas utilizan un valor predeterminado si la etiqueta no está configurada.
adkim
Establece un modo de alineación de identificador DKIM. Esto determina cuán estrictamente las firmas DKIM (d=example.com) deben coincidir con el dominio desde el cual se envía el correo.
| Tag | Description |
|---|---|
| adkim=r |
modo relaxed o relajado (predeterminado): Esto permite que los subdominios envíen correos Por ejemplo, validará si el correo se envía desde una dirección especificada en el registro DKIM (d=example.com) o desde un subdominio (blog.example.com). |
| adkim=s | modo strict o estricto: Esto prohíbe que los subdominios envíen correos. Solo validará si el correo se envía desde una dirección especificada en el registro DKIM. (d=example.com). |
aspf
Establece un modo de alineación de identificador SPF estricto o relajado. Esto determina cuán estrictamente deben coincidir las firmas SPF con el dominio desde el cual se envía el correo. Esto se puede observar en las cabeceras del correo al comparar la dirección Mail-From (también conocida como Return-Path) y los campos de dirección De o From.
| Etiqueta | Descripción |
|---|---|
| aspf=r | modo relaxed o relajado (predeterminado): Esto permite que los subdominios envíen correo. |
| aspf=s | modo strict o estricto: Esto prohibe a los subdominios enviar correo. |
rf, ri, and pct
| Etiqueta | Descripción |
|---|---|
| rf=afrf | El Formato de Informe para los informes de fallos. La única opción actual es el Formato de Informe de Fallo de Autenticación, o afrf). |
| ri=86400 | Establece el número de segundos entre el envío de informes agregados. (El valor predeterminado es de 86,400 segundos, o un día). |
| pct=100 |
Establece el porcentaje de mensajes a los que se aplica DMARC. Visita DMARC Percentage Tag para más información. |
fo
Las Opciones de Informe de Fallos (fo) controlan cuándo se crea un informe de fallo. La etiqueta ruf también debe estar definida para que esta etiqueta funcione.
| Etiqueta | Descripción |
|---|---|
| fo=0 | Crea un informe si fallan los pasos de autenticación de DKIM y SPF. (Predeterminado) |
| fo=1 | Crea un informe si falla cualquiera de los pasos de autenticación de DKIM o SPF. |
| fo=d | Crea un informe de fallo de DKIM si el mensaje falla la validación de DKIM. |
| fo=s | Crea un informe de fallo de SPF si el mensaje falla la validación de SPF. |
Se recomienda configurar fo=1 ya que proporciona la mayor cantidad de datos sobre cualquier fallo.
sp
La etiqueta Política de Subdominio (sp) se usa para establecer una política de informes diferente para un subdominio. Si no se establece, la etiqueta p se aplicará a todos los subdominios.
Por ejemplo, podrías configurar el dominio principal para usar p=reject, mientras configuras todos los subdominios bajo este dominio para usar sp=quarantine.
| Etiqueta | Descripción |
|---|---|
| sp=none |
Entrega los mensajes que no pasen la autenticación desde este subdominio. |
| sp=quarantine | Marca los mensajes como SPAM si no pasan la autenticación desde este subdominio. |
| sp=reject | Rechaza los mensajes que no pasen la autenticación desde este subdominio. |
Ver también
- DMARC Overview — DMARC Resources Page
- DMARC — Wikipedia
- Agregar registros de DNS personalizados
- Agregar un correo electrónico