Crear una política de DMARC

Generalidades

La autenticación, informe y conformidad de mensajes basados ​​en dominio (DMARC) es una política de correo entrante construida sobre registros SPF y DKIM, diseñada para detectar y prevenir correos fraudulentos.

Cuando agregas una política DMARC a tu dominio, eliges informar al destinatario que tus correos están protegidos por registros SPF y/o DKIM, y qué hacer si tu política DMARC no se alinea con esos registros.

Ejemplo del proceso de envío de DMARC

  1. El remitente agrega una política DMARC a tu dominio.
  2. Un correo es enviado.
  3. El destinatario verifica si el correo contiene una política DMARC.
  4. Si es así, los registros SPF/DKIM mencionados en la política DMARC del remitente se validan.
  5. Si los registros SPF/DKIM pasan la validación, deben pasar algo llamado 'alineación'.
  6. Si la 'alineación' se pasa, se recibe el correo.

Si no se pasa la 'alineación' (incluso si se pasa la verificación SPF/DKIM), el mensaje falla. Esto ayuda a garantizar que la actividad fraudulenta que parece provenir del dominio esté bloqueada.

¿Qué es la alineación?

La política DMARC verifica el nombre de dominio que figura en el campo Remitente: del mensaje. Luego compara ese dominio con otros nombres de dominio autenticados que figuran en el encabezado del correo. Si son idénticos, tu política DMARC está alineada.

De lo contrario, debes comunicarse con tu servidor de correo y solicitar instrucciones sobre cómo asegurarte de que tus registros estén alineados.

Alineamiento estricto y relajado

La alineación en tu política puede establecerse como estricta o relajada.

  • Alineación estricta — los dominios deben ser idénticos.
  • Alineación relajada — el "dominio organizacional" de nivel superior debe coincidir.

El 'Dominio organizacional' es tu nombre de dominio seguido de su sufijo. Por ejemplo:

  • example.com
  • example.net
  • example.com.au

¿Qué pasa si el mensaje falla la alineación?

La política DMARC del remitente contiene información sobre cómo manejar los correos que fallan en la autenticación. Se pueden crear dos tipos de informes:

  • Reportes agregados — enviado como formato XML una vez al día, que consiste en datos agregados de todas las fallas de DMARC
  • Reportes forenses (también llamado informes de falla) — generado de inmediato y consiste en correos individuales que fallaron

Analizar los reportes

Puedes usar una herramienta como la siguiente para analizar tus reportes.

Configurar una política DMARC

  1. Configura un registro SPF y/o DKIM en tu dominio.
  2. Envía un correo a ti mismo (u otra dirección que poseas). Una vez recibido, veas tus encabezados. Verifica la alineación del dominio identificando el dominio listado como la dirección de envío. Se puede ubicar en los siguientes lugares:
    • El Sobre From dominio —  From: admin@example.com
    • El camino de regreso — <admin@example.com>
    • El d=dominio en la firma DKIM — DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=example.com;
    Los dominios mencionados en todas estas áreas deben ser idénticos, de lo contrario, DMARC fallará en la alineación.
  3. Crea dos direcciones de correo separadas para recibir informes forenses y agregados diarios de DMARC. Se recomienda que cree dos direcciones de correo, ya que puede recibir una gran cantidad de informes. Por ejemplo:

    • dmarc_agg@example.com
    • dmarc_forensic@example.com
  4. Crear el registro TXT.
    1. Navega a la página Administrar Sitios Web.
    2. Da clic en el botón Administrar para abrir la página Administrar Sitios Web, la cual te permite ajustar múltiples configuraciones de tu sitio.
      • Si estás en la Vista de Malla, pasa sobre tu dominio y da clic al botón Administrar.
      • Si estás en la Vista de Lista, da clic en el botón Administrar a la derecha de tu dominio.
      ES DNS tab
    3. Haz clic en la pestaña DNS.
    4. Da clic en el botón Agregar Registro.
    5. Coloca el cursor sobre la sección Registro TXT y haz clic en el enlace AÑADIR.
    6. Ingresa lo siguiente;
      • Host: _dmarc
      • Valor TXT *: — A continuación se muestra una configuración básica que maneja la mayoría de tus necesidades de DMARC. Solo asegúrate de ajustar las direcciones de correo a las direcciones que creaste anteriormente para recibir informes entrantes.
        v=DMARC1; p=none; fo=1; rua=mailto:dmarc_agg@example.com;ruf=mailto:dmarc_forensic@example.com;pct=100
        Ve la sección a continuación para obtener más detalles sobre las diferentes opciones que puedes usar.
    7. Haz clic en el botón Agregar Registro para guardar.

Después de hacer clic en el botón Agregar Registro comienza la propagación del nuevo registro. Esto puede tardar hasta 6 horas antes de que el nuevo registro se actualice en línea.

Etiquetas que puedes usar en tu registro DMARC

Etiquetas requeridas

Hay 2 etiquetas requeridas, vp.

La etiqueta v

La etiqueta v identifica el registro de texto como un registro DMARC. Esta debe ser la primera etiqueta y tener un valor de DMARC1.

La etiqueta p

La etiqueta p identifica la acción que el propietario del dominio solicita al destinatario que tome para los mensajes fallidos. Las opciones son:

Etiqueta Descripción
p=none No se debe realizar ninguna acción para los correos que fallan la autenticación DMARC.
p=quarantine Si un correo falla la autenticación DMARC, debe tratarse como sospechoso. Cómo se maneja esto depende del destinatario, por ejemplo, se puede colocar en una carpeta de SPAM.
p=reject Si un correo falla la autenticación DMARC, el destinatario debe rechazar el correo durante la transacción SMTP.

Etiquetas de correo

Estos indican dónde se envían los informes.

Etiqueta Descripción
rua=mailto:dmarc_agg@example.com Esta dirección es donde se deben enviar los informes agregados de DMARC.
ruf=mailto:dmarc_forensic@example.com Indica a dónde se deben enviar los informes forenses de DMARC.

Etiqueta de informe

fo controla cuando se crea un informe de falla.

Etiqueta Descripción
0 Crea un informe si todos los pasos de autenticación fallan. (Defecto)
1 Crea un informe si alguno de los pasos de autenticación falla.
d Crea un informe de falla DKIM si el mensaje tenía una firma que falló la evaluación.
s Crea un informe de fallas SPF si el mensaje falló en la autenticación SPF.

Se recomienda una configuración de fo=1 ya que proporciona la mayor cantidad de datos sobre cualquier falla.

Etiquetas opcionales

Las siguientes etiquetas usan un valor predeterminado si la etiqueta no está configurada:
Etiqueta Descripción
adkim Establece una alineación de identificador DKIM estricta o relajada. (El valor predeterminado es relajado).
aspf Establece una alineación de identificador SPF estricta o relajada. (El valor predeterminado es relajado).
rf Formato para informes de fallas. (El valor predeterminado es Formato de informe de falla de autenticación, o 'AFRF').
ri Establece el número de segundos entre el envío de informes agregados. (El valor predeterminado es 86,400 segundos, o un día).
pct Establece el porcentaje de mensajes a los que se aplica DMARC. Establecer esto en 100 se aplicaría a cada correo y se recomienda.

Etiqueta de subdominio

La etiqueta sp se usa para establecer una política de informes diferente para un subdominio. Por ejemplo, puede configurar el dominio primario para usar p=reject mientras configura todos los subdominios bajo este dominio para usar sp=quarantine.

Etiqueta Descripción
sp Establece una política de informes para el subdominio, diferente del dominio principal. Por ejemplo:
v=DMARC1; p=none; sp=quarantine;fo=1; rua=mailto:dmarc_agg@example.com;ruf=mailto:dmarc_forensic@example.com;pct=100<

Ver también

¿Este artículo ha respondido sus preguntas?

Última actualización el PST.

¿Aún no encuentra lo que busca?