Obtén una definición básica de Domain-based Message Authentication, Reporting & Conformance (DMARC) y cómo afecta tu correo.
DMARC te permite decidir qué mensajes se aceptan y ver quién está utilizando tu dominio.
¿Qué es DMARC?
DMARC, que en español significa Autenticación de Mensajes Basada en Dominio, Reporte y Conformidad, es un protocolo de autenticación de correo electrónico que ayuda a proteger los dominios de correo contra suplantaciones, phishing y otros tipos de ciberataques. DMARC se basa en dos protocolos existentes, SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail), para verificar la identidad del remitente y la integridad del mensaje. DMARC también proporciona una forma para que los destinatarios de correo electrónico informen a los remitentes sobre el estado de los mensajes recibidos, como si pasaron o no las verificaciones de autenticación, o si fueron rechazados, puestos en cuarentena o entregados.
¿Cómo funciona DMARC?
DMARC añade un registro TXT especial al DNS (Sistema de Nombres de Dominio) del dominio de correo electrónico, que especifica cómo el propietario del dominio quiere que los destinatarios manejen los mensajes que afirman provenir de ese dominio. El registro TXT contiene un conjunto de etiquetas y valores que definen la política de DMARC, como el modo de alineación, el porcentaje de mensajes a los que se aplica la política, las opciones de reporte y las acciones deseadas para los mensajes fallidos. Cuando un receptor recibe un correo electrónico de un dominio que tiene un registro DMARC, primero verifica si el mensaje tiene una firma SPF y DKIM válida, y luego compara los dominios utilizados en esas firmas con el dominio en el encabezado ‘From’ del mensaje. Si los dominios coinciden o se alinean, según la política de DMARC, el mensaje pasa la autenticación. Si no, el mensaje falla la autenticación y el receptor sigue la acción especificada por la política de DMARC, como rechazar, poner en cuarentena o ninguna (reject, quarantine o none).
¿Por qué es importante DMARC?
DMARC es importante porque ayuda a los remitentes y destinatarios a mejorar la seguridad y fiabilidad de la comunicación por correo electrónico. Mediante el uso de DMARC, los remitentes pueden proteger sus dominios de ser utilizados por actores maliciosos para enviar correos de spam, phishing o malware que pueden dañar su reputación y a sus destinatarios. DMARC también otorga a los remitentes más visibilidad y control sobre cómo se manejan sus mensajes por los destinatarios, y les permite recibir retroalimentación e informes sobre el estado de entrega y autenticación de sus mensajes. Los destinatarios, por otro lado, pueden usar DMARC para filtrar o marcar mensajes que fallan las verificaciones de autenticación, y reducir el riesgo de exponer a sus usuarios a correos fraudulentos o maliciosos. DMARC también ayuda a los destinatarios a confiar en los mensajes que pasan la autenticación y a entregarlos sin demoras ni modificaciones.
¿Cuáles son las limitaciones de DMARC?
DMARC no es una solución perfecta para la autenticación y seguridad del correo electrónico y tiene algunas limitaciones que deben considerarse:
• DMARC requiere que tanto el remitente como el receptor implementen y soporten el protocolo, de lo contrario no funcionará. No todos los dominios o proveedores de correo electrónico han adoptado DMARC y algunos pueden tener políticas o configuraciones diferentes o incompatibles.
• DMARC depende de SPF y DKIM para verificar al remitente y al mensaje, pero ambos protocolos tienen sus propias limitaciones y desafíos, como la suplantación de direcciones IP, la gestión de claves o problemas de reenvío.
• DMARC no encripta ni protege el contenido del mensaje, solo la identidad del remitente y la integridad del mensaje. Por lo tanto, DMARC no impide que el mensaje sea interceptado, leído o modificado por terceros durante la transmisión.
• DMARC no impide que el remitente utilice un dominio diferente al que poseen o tienen permiso para usar, siempre que tengan una firma SPF y DKIM válida para ese dominio. Por lo tanto, DMARC no impide que el remitente utilice un dominio legítimo o de confianza para enviar correos electrónicos maliciosos o engañosos.
Sintaxis de DMARC
La sintaxis de DMARC es el formato y la estructura del registro DMARC que se añade al DNS del dominio de correo electrónico. El registro DMARC es un registro TXT que comienza con el prefijo "v=DMARC1;", seguido por una serie de etiquetas y valores separados por puntos y comas. Cada etiqueta representa un aspecto diferente de la política de DMARC y cada valor define la configuración u opción para esa etiqueta. Las etiquetas y valores son insensibles a las mayúsculas y el orden de las etiquetas es irrelevante. La siguiente tabla resume las principales etiquetas y valores que se pueden usar en un registro DMARC, junto con sus significados y ejemplos.
Ejemplo de sintaxis de DMARC
v=dmarc1 p=none sp=none rua=mailto:dmarc@domain.com pct=100
P= Tag
| Definición | Valores | Ejemplos |
|
Requerido. La política para el dominio. |
none: Sin acción, solo monitorear e reportar. quarantine: Mover el mensaje a la carpeta de spam o basura. reject: Rechazar el mensaje y no entregarlo |
p=quarantine |
SP= Tag
| Definición | Valores | Ejemplos |
|
Opcional. Política para los subdominios del dominio.
|
none: Sin acción, solo monitorear e reportar. quarantine: Mover el mensaje a la carpeta de spam o basura. reject: Rechazar el mensaje y no entregarlo |
sp=quarantine |
PCT= Tag
| Definición | Valores | Ejemplos |
|
Opcional Porcentaje de mensajes a los que se aplica la política. Si no se especifica, se aplica 100% por defecto. |
Un número entre 0 y 100. | pct=50 |
RUA= Tag
| Definición | Valores | Ejemplos |
|
Opcional. Las direcciones de correo para enviar reportes agregados. Pueden agregarse varias direcciones separadas por comas |
Una lista de URIs mailto. | rua=mailto:admin@ejemplo.com,mailto:dmarc@ejemplo.com |
RUF= Tag
| Definición | Valores | Ejemplos |
|
Opcional. Las direcciones de correo para enviar reportes forenses o de fallas. Pueden agregarse varias direcciones separadas por comas. |
Una lista de URIs mailto. | ruf=mailto:admin@ejemplo.com |
ADKIM= Tag
| Definición | Valores | Ejemplos |
|
Opcional. Modo de alineación DKIM. Si no se especifica, el valor predeterminado es r (relaxed). |
R: Relaxed. |
adkim=s |
ASPF= Tag
| Definición | Valores | Ejemplos |
|
Opcional. El modo de alineación para SPF. |
r or s | aspf=r |
FO= Tag
| Definición | Valores | Ejemplos |
|
Opcional. Las condiciones para generar informes de fallas.
|
0: Genera un informe si todos los métodos de autenticación fallan. |
fo=1 |
RF= Tag
| Definición | Valores | Ejemplos |
|
Opcional. El formato de los reportes de fallas. Si no se especifica, el valor predeterminado es afrf (Formato de Informe de Fallas de Autenticación). |
afrf or iodef (Incident Object Description Exchange Format). | rf=iodef |
RI= Tag
| Definición | Valores | Ejemplos |
|
Opcional. El intervalo para enviar informes agregados, en segundos. Si no se especifica, el valor predeterminado es 86400 (24 |
Un número entero positivo | ri=43200 |
¿Qué son los reportes DMARC?
La generación de reportes es una característica de DMARC que permite a los propietarios de dominios monitorear y analizar el estado de autenticación de los mensajes enviados desde sus dominios. Consiste en dos tipos de recursos: reportes agregados y reportes de fallas.
Reportes agregados
Los informes agregados son resúmenes periódicos de los resultados de DMARC para todos los mensajes recibidos por un dominio que implementa DMARC. Contienen información como el número y porcentaje de mensajes que pasaron o fallaron la validación de DMARC, el modo de alineación y la política del dominio emisor, los identificadores y direcciones IP de los remitentes, etc. Los informes agregados son útiles para que los propietarios de dominios evalúen la efectividad y cobertura de su política de DMARC y para identificar posibles fuentes de suplantación o desalineación.
Reportes forenses
Los reportes forenses son provocados por mensajes individuales que fallan la validación de DMARC. Contienen información más detallada sobre la fuente y el contenido de los mensajes, como los encabezados, cuerpo, adjuntos, etc. Los reportes de fallas son útiles para que los propietarios de dominios investiguen y solucionen incidentes específicos de fallas de DMARC y tomen acciones correctivas si es necesario.
Cómo habilitar el reporte DMARC
Para habilitar el reporte DMARC, los propietarios de dominios necesitan especificar una o más URIs (generalmente direcciones de correo electrónico) en sus registros DMARC, utilizando las etiquetas rua y ruf. La etiqueta rua indica dónde se deben enviar los reportes agregados, y la etiqueta ruf indica dónde se deben enviar los reportes de fallas. Se pueden especificar múltiples URIs, separadas por comas. Por ejemplo, el registro DMARC a continuación instruye al dominio receptor para enviar informes agregados a ejemplo@ejemplo.com y informes de fallas a ejemplo@ejemplo.com:
v=DMARC1; p=nonereject; rua=mailto:example@ejemplo.com; ruf=mailto:example@ejemplo.com; ...
Frecuencia del reporte DMARC
La frecuencia del reporte DMARC depende de la configuración de los dominios emisores y destinatarios. El dominio emisor puede especificar el intervalo de los informes agregados usando la etiqueta ri en su registro DMARC. El valor predeterminado es 86400 segundos, que significa un informe por día. El dominio receptor puede decidir con qué frecuencia enviar reportes de fallas, dependiendo de sus recursos y preferencias. Algunos dominios pueden enviar reportes de fallas inmediatamente después de cada mensaje que falla la validación de DMARC, mientras que otros pueden enviarlos en lotes o a intervalos regulares.
Limitaciones del reporte DMARC
El reporte DMARC también tiene algunas limitaciones que los propietarios de dominios deben tener en cuenta. No todos los dominios que reciben mensajes de un dominio con política DMARC enviarán reportes de vuelta al propietario del dominio. Algunos dominios pueden no admitir el reporte DMARC en absoluto, o pueden tener problemas técnicos o preocupaciones de privacidad que les impidan enviar reportes. Además, los reportes pueden no enviarse siempre con la frecuencia que el propietario del dominio desearía, especialmente para los reportes de fallas, que dependen de la discreción del dominio receptor. Por lo tanto, los propietarios de dominios no deben confiar únicamente en el reporte DMARC para monitorear su estado de autenticación de correo electrónico, sino también utilizar otras herramientas y métodos para complementarlo.
El reporte DMARC es una herramienta poderosa para que los propietarios de dominios mejoren su seguridad y reputación de correo electrónico y para proteger a sus usuarios y clientes de ataques de phishing y suplantación.
¿Necesitas ayuda?
soporte@sendmarc.com está disponible para asistirte.