En 2012, ingenieros de Microsoft, PayPal, Yahoo! y Google se reunieron para discutir cómo hacer que la autenticación de correos electrónicos sea aún más a prueba de balas. Poco después, lanzaron DMARC al mundo.
Cuál es el propósito de DMARC, cómo se ve y funciona, así como muchas más preguntas relacionadas con el famoso protocolo de autenticación se responden en el texto a continuación. ¡Asegúrate de seguir leyendo!
¿Qué es DMARC?
Comenzaremos este artículo con la pregunta presente en la mente de la mayoría de los lectores: “¿Qué significa DMARC?”. Y la respuesta es: Autenticación de mensajes basada en dominio, informes y conformidad.
DMARC no solo tiene el nombre más complicado de los tres principales protocolos de autenticación de correo electrónico, sino que también es el más efectivo. Y es bastante fácil entender por qué.
DMARC aprovecha las comprobaciones DKIM (DomainKeys Identified Mail) y/o SPF (Sender Policy Framework) para realizar una validación más avanzada en cada mensaje de correo electrónico recibido.
La autenticación DKIM utiliza firmas DKIM para verificar la integridad del contenido de un correo electrónico y su origen. SPF, por otro lado, permite a un propietario de dominio autorizar direcciones IP para enviar correo electrónico bajo el nombre de dominio y es utilizado por proveedores de servicios de Internet como Gmail, Yahoo, etc.
Con la autenticación DMARC, un propietario de dominio puede especificar su propio procedimiento de autenticación, también conocido como política DMARC. Usando la directiva, instruyen a un servidor entrante sobre qué hacer si un correo electrónico no pasa la prueba DMARC.
Finalmente, la política también puede proporcionar informes con los detalles de cada verificación para mejorar los procesos y proporcionar una advertencia inmediata si alguien falsifica el dominio.
¿Cómo funciona DMARC?
La clave para comprender DMARC y cómo funciona DMARC es saber que requiere un registro SPF o un registro DKIM, o, mejor aún, ambos, para establecerse.
Cuando se recibe un correo electrónico, un servidor receptor realiza una búsqueda DNS (Sistema de nombres de dominio) y comprueba si hay un registro DMARC existente.
DKIM/SPF se realiza como de costumbre.
A continuación, el servidor receptor realiza una denominada “prueba de alineación DMARC” para verificar si:
- En el caso de SPF, la dirección de correo electrónico “envelope from” dentro del encabezado técnico oculto del correo electrónico coincide con la dirección “return-path”. En otras palabras, comprueba si la dirección de correo electrónico desde la que se envió el mensaje es la misma que la dirección a la que iría una posible respuesta.
- En el caso de DKIM, el valor detrás de la etiqueta “d” (dominio del remitente del correo electrónico) coincide con el dominio desde el que se envió el correo electrónico.
Por supuesto, si se establecen ambas autenticaciones, se realizan ambas pruebas de alineación.
Los requisitos de alineación pueden ser “strict” (los dominios deben coincidir con precisión) o “relaxed” (los dominios base deben coincidir, pero se permiten diferentes subdominios).
DMARC tendrá éxito en los siguientes escenarios:
- Si solo se configura una de las autenticaciones, su comprobación debe tener éxito, junto con una prueba de alineación respectiva.
- Si se configuran ambas autenticaciones, una de ellas debe tener éxito con la prueba de alineación respectiva, pero ambas no son necesarias.
Observe cómo DMARC seguirá teniendo éxito incluso si, por ejemplo, DKIM junto con la alineación de DKIM falla, pero SPF y su alineación tienen éxito (o al revés).
Ahora, supongamos que un correo electrónico falló una verificación DMARC por cualquier razón.
DMARC le permite instruir al servidor entrante sobre lo que debería suceder con los correos electrónicos que fallan en la autenticación.
Hay tres opciones disponibles (se denominan “políticas”):
- “none”: el correo electrónico debe tratarse de la misma manera que si no se configurara DMARC (el mensaje aún se puede entregar, colocar en spam o descartar en función de los otros factores). Esto se utiliza típicamente para observar el entorno y analizar los informes sin influir en la capacidad de entrega.
- “cuarentena”: permite el correo electrónico pero no lo envíes a una bandeja de entrada. Por lo general, estos mensajes van a la carpeta de spam.
- “rechazar”: descarte el correo electrónico que falló la verificación de inmediato.
Estas políticas también se pueden personalizar. Por ejemplo, con una política de “cuarentena”, podría decirle al servidor de correo electrónico que envíe solo el 10% de los correos electrónicos con un cheque fallido a la carpeta de spam e ignorar (“none”) el otro 90%.
Tenga en cuenta que solo porque instruya al servidor sobre qué hacer, no significa que seguirá completamente sus consejos. Aún así, le da mucho más control que en el caso de las autenticaciones DKIM y SPF.
Finalmente, un servidor receptor enviará informes para cada verificación DMARC fallida con datos agregados sobre comprobaciones fallidas. Esto es invaluable para analizar el rendimiento de su mensaje y mantenerlo al tanto si ocurre alguna estafa de phishing.
¿Por qué usar DMARC?
Lo dijimos varias veces, pero vale la pena repetirlo de nuevo: DMARC es la forma más efectiva de protegerse de la suplantación. Punto.
HMRC estima que el número de correos electrónicos de phishing enviados desde su dominio disminuyó en 500 millones en solo 1,5 años después de la implementación de DMARC.
Sin enumerar ningún otro beneficio de DMARC, esto solo debería ser una razón suficiente para agregar la implementación de DMARC a su próximo sprint.
Pero, si necesita más, hay dos beneficios principales de DMARC a considerar:
- Es mucho más probable que los ciberdelincuentes dejen de intentar falsificar un dominio si ven registros DMARC (configurados correctamente) en el DNS del dominio. La implementación de DMARC aún no está muy extendida, por lo que no será difícil encontrar algo que valga la pena.
- Los servidores receptores también saben que es mucho más probable que los correos electrónicos provenientes de dominios protegidos por DMARC sean legítimos que aquellos protegidos con solo uno de los otros métodos de autenticación (sin mencionar aquellos sin ninguna seguridad).
¿En qué consiste un registro DMARC?
¿Entendiste lo básico? ¡Excelente! Ahora, vamos a explicar un registro de DMARC.
En lugar de confiar en datos ficticios, usaremos el registro de Square, un proveedor unicornio de servicios financieros para pequeñas empresas. Muchos ciberdelincuentes probablemente sueñan con falsificar su correo electrónico, por lo que no es de extrañar que eligieran protegerse con DMARC.Puede acceder al registro de Square en este enlace que conduce a un sitio que le mostrará registros DMARC para cualquier dominio, dado, por supuesto, que se lo haya configurado.
v=DMARC1; p=reject; rua=mailto:dmarc-rua@square.com,mailto:dmarc_agg@vali.email,mailto:postmasters@squareup.com; ruf=mailto:dmarc-ruf@squareup.com
Repasemos cada parámetro DMARC del registro anterior, uno por uno.
v=DMARC1
Este es el identificador (una versión DMARC) que siempre debe incluirse en el registro DNS, ya que el servidor de correo receptor siempre lo busca. Si v=DMARC1 falta o se modifica de alguna manera, se omitirá toda la verificación.
p=reject
Esta es la política que Square eligió usar, que rechaza todos los correos electrónicos que fallan la verificación DMARC. Por supuesto, aún pueden ser entregados, pero se enviará una señal fuerte al servidor receptor para no permitir tales mensajes.
rua=
mailto:dmarc-rua@square.com
,mailto:dmarc_agg@vali.email,mailto:postmasters@squareup.com
Estas tres direcciones recibirán informes agregados diarios sobre correos electrónicos que fallaron la verificación. Los informes contendrán datos de alto nivel sobre las razones de los fallos sin dar ningún detalle para cada uno. Todas las direcciones añadidas aquí deben ir precedidas de “mailto:” como en el ejemplo anterior.
ruf=
mailto:dmarc-ruf@squareup.com
Esta es una dirección de correo electrónico a la que se enviarán informes forenses individuales (también conocidos como informes de fallas) en tiempo real, incluidos los detalles de cada falla.
Otros registros de ejemplo de DMARC
En el ejemplo del registro Square DMARC, mostramos un registro con una política de “rechazo”. Para cubrir las dos variaciones de póliza restantes, ahora usaremos algunos datos ficticios simplemente con fines de demostración.
Registro DMARC con una política de “none”:
v=DMARC1; p=none; rua=mailto:dmarcreports@example.com; ruf=mailto:dmarcfailures@example.com;
Explicación:
- “p=none” especifica una política de “none”, lo que significa que no se debe tomar ninguna acción en los correos electrónicos que fallan la autenticación DMARC.
Registro DMARC con una política de “cuarentena”:
v=DMARC1; p=quarantine; rua=mailto:dmarcreports@example.com; ruf=mailto:dmarcfailures@example.com;
Explicación:
- “p=quarantine” especifica una política de “cuarentena”, lo que significa que los correos electrónicos que fallan la autenticación DMARC deben ser puestos en cuarentena o marcados como sospechosos por el sistema de correo electrónico del destinatario, pero aún así enviados a la bandeja de entrada del destinatario.
Algunas etiquetas DMARC opcionales para personalización
Como suele ser el caso, también hay varios campos opcionales que se pueden añadir a un registro DMARC para personalizarlo un poco.
Tag | Significado |
pct | Establece el porcentaje de correos electrónicos fallidos a los que debe aplicarse la directiva establecida. El valor debe ser un número entre 1 y 100. |
sp | Establece una política específica para los correos electrónicos enviados desde subdominios. Por ejemplo, puede optar por ignorar los correos electrónicos fallidos enviados desde el dominio principal (p=none), pero poner en cuarentena los enviados desde los subdominios. |
adkim | Puede elegir aquí el enfoque mencionado anteriormente para determinar qué tan estricto debe ser DMARC al comparar el dominio del remitente con la etiqueta “d” de DKIM. Como se mencionó anteriormente, “strict” y “relaxed” son las opciones posibles. Por defecto, el enfoque es “relaxed”. |
aspf | La misma opción que la anterior, solo para la alineación del SPF. Usted decide si SPF debe apuntar a una coincidencia perfecta de la dirección de dominio “envelope from” y “return-path” o si también se deben permitir los subdominios del dominio “envelope from”. Además, puedes optar por ser “strict” o “relaxed”. |
ri | Establece los intervalos para la frecuencia con la que desea recibir informes agregados con resultados de autenticación (etiqueta “rua”). El valor se expresa en segundos y, por defecto, es 86400 (cada 24 horas). |
fo | Configuración de los informes forenses (etiqueta “ruf”). Puede optar por enviar el informe si: “0” – todas las comprobaciones subyacentes no devuelven un resultado DMARC positivo; “1” – cualquier mecanismo falla; “d” – DKIM no pudo verificar; “s” – SPF no pudo verificar. Por defecto, es “0”. |
Cómo implementar registros DMARC
Todo el proceso de implementación de DMARC se reduce a los siguientes pasos:
- Validación si SPF/DKIM está configurado y los dominios están alineados.
- Generar un registro DMARC y especificar la configuración de DMARC.
- Añadirlo al DNS de su dominio.
Verificar si DKIM y/o SPF están configurados correctamente
Como se mencionó anteriormente, tener DKIM o SPF es obligatorio para que DMARC trabaje. Pero que cualquiera de los dos devuelva resultados negativos para correos electrónicos legítimos tampoco servirá de nada. La prueba DMARC fallará automáticamente si falla el SPF o DKIM.
Si solo tiene SPF configurado, verifique si los siguientes dos coinciden:
- Dirección “Envelope from”: la dirección desde la que se envían los correos electrónicos.
- Dirección “Return-path”: los correos electrónicos de la dirección se dirigirán a si un destinatario responde a un correo electrónico.
Si solo usa DKIM, compruebe si las siguientes dos coinciden:
- Dirección “Envelope from”: la dirección desde la que se envían los correos electrónicos.
- “d” etiqueta de su registro DKIM.
Si utiliza ambos métodos (¡y con razón!), realice ambas comprobaciones, por supuesto.
Elija una cuenta de correo electrónico para recibir registros DKIM
Una gran cosa sobre DMARC es que, cuando se configura, su servidor comienza a enviarle informes diarios de cómo se desempeñaron sus correos electrónicos (informes forenses y agregados separados). De esta manera, puede detectar rápidamente cualquier anomalía y mejorar su rendimiento utilizando datos.
Tenga en cuenta que los informes se envían en un formato crudo y difícil de leer, por lo que es posible que desee utilizar herramientas como Dmarcian o MXToolbox para aprovechar al máximo los datos.
Generar el registro DMARC
Y ahora, finalmente generemos un registro DMARC.
Dmarc.org recomienda una serie de recursos para esta tarea. Además, hay varias etiquetas mencionadas anteriormente que debe usar en el registro y varias opcionales.
Tenga en cuenta que la etiqueta “p” (como en “política”) representará directamente el paso anterior.
Añade el registro DMARC al DNS de tu dominio
Una vez que tenga su registro, puede seguir adelante y añadirlo como un registro DNS. Usted puede ser capaz de hacer esto por su cuenta, o, en algunos casos, la ayuda de su proveedor de alojamiento puede ser necesaria.
En el registrador de dominios, debe añadir el DMARC recién creado como un registro TXT. No revisaremos ningún detalle aquí, ya que el proceso difiere para cada proveedor de alojamiento.
Si hizo todo correctamente, debería recibir sus primeros informes dentro de las próximas 24 horas.
Tres grandes mitos de DMARC reventados
DMARC se establece solo por razones de seguridad
Parcialmente cierto. DMARC tiene como objetivo prevenir la suplantación de identidad de correo electrónico y los ataques de phishing. Sin embargo, hay más en DMARC que eso.
Las políticas de cumplimiento de DMARC y las capacidades avanzadas de informes mejoran significativamente la entrega legítima de correo. Ayudan a construir y mejorar la confianza y el análisis de la marca. Por lo tanto, DMARC puede proporcionar un gran impulso a cualquier campaña de marketing.
DMARC es solo para dominios que envían correo
No es cierto. El hecho de que su dominio no envíe correos electrónicos no significa que no se pueda suplantar. De hecho, cuanto más famosa sea su marca, empresa, organización o personalidad, mayores serán las posibilidades de que algún spammer quiera falsificar su dominio y usarlo para actividades maliciosas como el envío de correos electrónicos fraudulentos, ya sea de marketing o transaccionales.
Los destinatarios de correos electrónicos maliciosos enviados desde “su” marca probablemente no podrán identificar que su dominio no está configurado para enviar correo. Como resultado, tendrá que enfrentar muchas consecuencias desagradables relacionadas con su reputación y credibilidad.
Establecer la política de DMARC en “none” es suficiente para la seguridad del correo electrónico
Falso. Establecer la política de DMARC en “none” suele ser el primer paso para asegurarse de que los informes y la entrega de DMARC se establezcan correctamente, pero no mejora su seguridad ni ayuda a proteger su dominio de ser suplantado.
Eventualmente, para aprovechar al máximo la mejora de la seguridad y el marketing de DMARC, deberá usar la política de (al menos) p=quarantine o (la mejor de todas) p=reject en un pct=100.
Además, si decide actualizarse y adoptar BIMI como la última estrategia de autenticación de marca, su registro DMARC debe establecerse en la política de “reject” para calificar para la certificación BIMI.
Consideraciones Finales
La seguridad del correo electrónico nunca debe subestimarse. Cuanto más grande eres, más tienes a perder si alguien falsifica tu dominio y engaña a tus clientes en algo que probablemente no aprobarías.
Dado lo fácil que es agregar cada método de autenticación y cuánto ganas al tenerlos todos configurados correctamente, hay pocas razones para no intentarlo.
Lo que es absolutamente genial de DMARC es que puede comenzar con una política de “none” y observar lo que sucede. Esto básicamente significa que sus correos electrónicos pasarán por las comprobaciones pertinentes en el lado receptor, pero si fallan, no influirá en su capacidad de entrega de correo electrónico.
Además de eso, recibirá toneladas de datos a través de los informes DMARC que cubren problemas de autenticación. Usando esto, puede identificar rápidamente si alguien está tratando de falsificar su dominio y potencialmente pedir a los destinatarios que proporcionen información confidencial o si hay un problema de su lado para que pueda hacer la resolución de problemas adecuada.