Creado para proteger la bandeja de entrada del spam, el DMARC es un método sencillo que ofrece a los destinatarios de un correo electrónico la posibilidad de verificar su validez y evitar el abuso del dominio. Los protocolos existentes de correo electrónico SPF y DKIM han sido objeto de escrutinio durante años, pero DMARC es un gran paso adelante en la lucha contra la ciberdelincuencia, ya que se basa en los protocolos existentes para reforzar aún más el sistema de autenticación. 

Los ciberdelincuentes son bien conocidos por sus tácticas tortuosas. Utilizan la reputación de marcas de confianza para engañar a las víctimas para que abran archivos maliciosos o correos electrónicos que contienen malware, lo que les permite acceder al ordenador de la víctima para encontrar datos confidenciales, a través de la suplantación del correo electrónico. Un método común para llevar a cabo el abuso de los dominios de las empresas es a través de la suplantación de identidad, cuando los atacantes suplantan los dominios de las pequeñas, medianas y grandes empresas que no practican la autenticación del correo electrónico.

¿Cómo añadir un registro DMARC?

DMARC es un estándar de autenticación de correo electrónico que permite identificar y prevenir el phishing de correo electrónico y el uso indebido de los dominios de la empresa. Permite a las organizaciones publicar políticas de correo electrónico, revelando detalles sobre el uso de sus dominios para el envío de correos electrónicos. La configuración del protocolo requiere que el propietario del dominio añada un registro DMARC a su Sistema de Nombres de Dominio.

Un registro DMARC es un registro de texto con una sintaxis específica que apunta a la política DMARC que desea seleccionar para sus correos electrónicos salientes, sus modos de alineación SPF y DKIM, y las direcciones de correo electrónico en las que desea recibir sus informes agregados y forenses de DMARC.

Con DMARC puede dirigir sus servidores de recepción de correo electrónico a cualquiera de ellos:

  • Entregar los correos electrónicos que fallan la autenticación (con la política p=none)
  • Poner en cuarentena los correos electrónicos que no se autentiquen (con la política p=cuarentena)
  • Rechazar los correos electrónicos que no se autentiquen (con la política p=rechazar)

Es fácil equivocarse en la sintaxis del registro, lo que puede hacer que no sea válido. Le recomendamos que utilice una herramienta generadora de registros DMARC que lo crea al instante por usted. Además, explica individualmente todos los mecanismos de la caja de herramientas para que tengas una mejor comprensión del protocolo y sus funcionalidades.

¿Cómo protege DMARC los correos electrónicos de su dominio?

Para una empresa que envía boletines de noticias y hace uso de campañas de marketing por correo electrónico, DMARC garantiza que sólo reciba correos electrónicos auténticos y verificados de fuentes autorizadas para enviar correos electrónicos a sus destinatarios en su nombre. El spam y otros correos electrónicos fraudulentos con información falsa se detienen inmediatamente. Trabajando conjuntamente con SPF y DKIM, DMARC alinea las cabeceras de los correos electrónicos para identificar si el correo electrónico procede de una fuente legítima o ha sido manipulado mediante tácticas de ingeniería social para falsificar un dominio legítimo.

Junto con sus diversas ventajas contra el abuso de dominios y la suplantación de identidad, DMARC también:

  • Mejora la reputación del servidor
  • Mejora la entregabilidad del correo electrónico
  • Reduce la posibilidad de que sus correos electrónicos sean marcados como spam

PowerDMARC facilita a las empresas la adopción de DMARC

Configure hoy mismo nuestro analizador de informes DMARC para no sólo implementar el protocolo en 3 sencillos pasos, sino para pasar a una política aplicada con la máxima protección, en poco tiempo. Reciba sus primeros informes DMARC a las 72 horas de la configuración y visualícelos en un panel organizado y personalizado para su dominio.

PowerDMARC le ofrece la ventaja adicional de implementar otros protocolos de autenticación como MTA-STS y BIMI para hacer que su marca sea visualmente identificable e impulsar sus campañas de marketing por correo electrónico. Obtenga lo mejor de su solución de software DMARC hoy mismo.

Tener múltiples registros DMARC en su dominio es un completo no-no, y aquí está el porqué. Sabemos que la implementación de protocolos de autenticación de correo electrónico como DMARC es esencial para la reputación y la seguridad de los datos de una organización, y para ello los propietarios de dominios necesitan publicar un registro TXT en sus DNS. Pero una pregunta que a menudo resurge una y otra vez en la comunidad es que "¿Puedo tener varios registros DMARC en mi dominio?" La respuesta es no. Múltiples registros DMARC en el mismo dominio pueden invalidar su registro y, por lo tanto, la política de autenticación DMARC establecida para su dominio no funciona.

¿Cómo se procesa un registro DMARC en los MTA?

Un registro DMARC publicado en el DNS de su dominio tiene el siguiente aspecto:

TXT midominio.com v=DMARC1; p=reject; rua=mailto:[email protected]

Por lo tanto, cuando un dominio que tiene configurado DMARC envía un correo electrónico, el MTA que recibe el correo electrónico recupera todos los registros TXT que empiezan por v=DMARC1. El MTA consulta el DNS del dominio remitente y puede encontrarse con los siguientes escenarios:

  1. Encuentra un único registro DMARC válido en el DNS del dominio de origen y procesa el correo electrónico de acuerdo con las especificaciones de la política DMARC
  2. No encuentra ningún registro DMARC para el dominio remitente y el procesamiento DMARC cesa automáticamente, el correo electrónico se entrega sin verificar el origen
  3. Encuentra múltiples registros DMARC en el mismo dominio y en este caso el procesamiento DMARC también se interrumpe y la política aplicada no se ejecuta

Múltiples registros DMARC: ¿Cómo solucionarlo?

Cuando configuras DMARC para tu dominio y estableces una política, quieres que los MTAs respondan a tus correos electrónicos de una manera que se ajuste a tus intenciones. Así es como DMARC puede proteger su dominio contra la suplantación y el spoofing. Para que el protocolo configurado funcione eficazmente, recomendamos los siguientes pasos:

  • Asegúrese de que no ha publicado varios registros DMARC para su dominio
  • Asegúrese de que su registro DMARC no contiene errores de sintaxis
  • En lugar de generar manualmente su registro DMARC, utilice herramientas fiables como nuestrogenerador gratuito de registros DMARC para que haga el trabajo por usted
  • Habilite los informes DMARC para su dominio a fin de supervisar el flujo de correo electrónico y los resultados de la autenticación de vez en cuando, de modo que pueda rastrear los problemas de entrega y tomar medidas contra las fuentes de envío malintencionadas
  • Asegúrese de estar por debajo del límite de búsqueda del SPF 10 para evitar el resultado de permerror

Una alternativa a los diversos pasos que puede dar para implementar DMARC correctamente para su dominio y evitar múltiples registros DMARC sería simplemente registrarse en nuestro analizador DMARC.

PowerDMARC se encarga de la mayor parte de las complejidades en segundo plano para automatizar su viaje de autenticación de correo electrónico y ayudarle a mitigar cualquier error de configuración que pueda causar problemas en la entregabilidad del correo electrónico.

¿Qué es un informe DMARC?

Antes de llegar a cómo leer los informes DMARC, conozcamos primero qué es un informe DMARC. Informes de autenticación de mensajes basados en el dominio y conformidad (DMARC) no sólo protege su dominio contra los ataques de BEC, suplantación de dominio y fraude por correo electrónico, sino que también le proporciona visibilidad de sus canales de correo electrónico, para que siempre esté al tanto de lo que ocurre en segundo plano.

DMARC proporciona un mecanismo de información, en forma de informes DMARC, que permite a los propietarios de dominios leer los resultados de la autenticación de cada correo electrónico que se envía en nombre de su dominio. Esto le ayuda esencialmente a realizar un seguimiento de los problemas de entregabilidad, a tomar medidas contra las fuentes de envío maliciosas y a resolver rápidamente los errores de implementación del protocolo. 

Informes y entregabilidad: ¿Cómo puede la visibilidad aumentar el alcance de sus clientes en 2022?

Cuando se obtiene una mayor visibilidad de los datos de autenticación del correo electrónico, se pueden solucionar más rápidamente los errores existentes en el sistema de intercambio de correo electrónico. A menudo, cuando las organizaciones envían correos electrónicos en masa, debido a protocolos de seguridad mal configurados, muchos de estos correos electrónicos de marketing y empresariales se pierden en tránsito.

¿Qué significa esto? Significa que su empresa se pierde muchos clientes potenciales que podrían haber estado interesados en interactuar con sus productos.

Supervisar sus dominios con la ayuda de los informes DMARC es una forma eficaz de asegurarse de que los correos electrónicos que envía llegan inevitablemente a sus clientes.

¿Por qué necesita informes DMARC?

Antes de llegar a cómo leer los informes DMARC, entendamos por qué lo necesita en primer lugar. A pesar de los mecanismos SPF y DKIM, existe una cierta probabilidad de que los mensajes originales se procesen correctamente y la identidad del remitente pase desapercibida. Además, es frecuente que los informes del destinatario sobre los fallos no lleguen al remitente. En general, los servicios están en continua evolución y mejora.

DMARC interviene como un programa de autenticación de correo electrónico que garantiza que su comunicación por correo electrónico está autenticada por SPF o DKIM. Garantiza que sus correos electrónicos sean de confianza y ayuda a eliminar las posibilidades de suplantación de identidad al permitir que el receptor compruebe si las cabeceras son válidas incluso antes de abrir el correo. Para garantizar la seguridad de sus datos, necesita una seguridad del correo electrónico altamente fiable y sólida. DMARC es uno de esos estándares que comprueba la integridad de sus direcciones y ayuda a prevenir los ataques de phishing, al tiempo que mejora sus índices de entrega de correo electrónico.

Cuando publica un registro DMARC en su DNS, le permite especificar cómo debe reaccionar su dominio cuando se recibe un correo electrónico que falla la autenticación DKIM y SPF. Con un registro DMARC correctamente configurado, los proveedores de correo le enviarán informes directamente a su dirección de correo electrónico, HTTP o HTTPS, permitiéndole supervisar la entrega de los correos electrónicos enviados desde su dominio. Al configurar los informes DMARC podrá obtener mucha información valiosa sobre su tráfico de correo saliente. Esta información puede utilizarse para autenticar sus fuentes genuinas y bloquear las ilegítimas.

Ahora cubriremos cómo leer los informes crudos de DMARC, y cómo puede hacerlos legibles para su comprensión.

¿Cómo activar los informes DMARC para sus dominios?

Para configurar el informe DMARC para su dominio es necesario:

  1. Cree un registro DMARC para su dominio
  2. Al crear su registro, en el criterio "rua", debe introducir la dirección de correo electrónico a la que desea que se envíen sus informes agregados
  3. En el criterio "ruf", tienes que introducir la dirección de correo electrónico a la que quieres que se envíen tus informes forenses
  4. Una vez que haya rellenado correctamente los demás criterios y haya pulsado el botón "generar", la IA creará un registro TXT para que lo publique en sus DNS

Nota: Los informes forenses DMARC no son compatibles con todos los dominios. Más información.

Cómo leer los informes DMARC: Cómo leer los informes DMARC sin procesar

Los informes DMARC, también llamados informes sin procesar, proporcionan datos esenciales sobre la actividad del correo electrónico en su dominio que son necesarios para ayudarle a protegerse contra futuros ataques de phishing. Están disponibles en formato XML y suelen enviarse por correo electrónico con el asunto "Informe DMARC". Existen esencialmente dos tipos de informes:

  • Informe agregado de DMARC (RUA)
  • Informe forense DMARC (RUF)

Puede visitar la base de conocimientos de PoweDMARC para saber más sobre cada uno de ellos y cómo configurarlos para su dominio fácilmente.

La lectura de los informes DMARC RUA puede ser un poco complicada para una persona no técnica, aquí hay un ejemplo de un informe en bruto:

<?xml version=”1.0″ encoding=”UTF-8″ ?>

<feedback>

  <report_metadata>

    <org_name>google.com</org_name>

    <email>[email protected]</email>

   <extra_contact_info>http://google.com/dmarc/support</extra_contact_info>

    <report_id>8293631894893125362</report_id>

    <date_range>

      <begin>1234573120</begin>

      <end>1234453590</end>

    </date_range>

  </report_metadata>

  <policy_published>

    <domain>yourdomain.com</domain>

    <adkim>r</adkim>

    <aspf>r</aspf>

    <p>none</p>

    <sp>none</sp>

    <pct>100</pct>

  </policy_published>

  <record>

    <row>

      <source_ip>302.0.214.308</source_ip>

      <count>2</count>

      <policy_evaluated>

        <disposition>none</disposition>

        <dkim>fail</dkim>

        <spf>pass</spf>

      </policy_evaluated>

    </row>

    <identifiers>

      <header_from>yourdomain.com</header_from>

    </identifiers>

    <auth_results>

      <dkim>

        <domain>yourdomain.com</domain>

        <result>fail</result>

        <human_result></human_result>

      </dkim>

      <spf>

        <domain>yourdomain.com</domain>

        <result>pass</result>

      </spf>

    </auth_results>

  </record>

</feedback>

Desglose de un informe DMARC Raw

Vamos a repasar las distintas secciones del informe para ayudarle a entender cómo leer los informes DMARC, qué significan y cómo leerlos. En el archivo bruto de sus informes, puede encontrar información sobre:

  •  Su ISP, el nombre de su proveedor de servicios de correo electrónico

<?xml version=”1.0″ encoding=”UTF-8″ ?>

<feedback>

  <report_metadata>

    <org_name>google.com</org_name>

    <email>[email protected]</email>

   <extra_contact_info>http://google.com/dmarc/support</extra_contact_info>

  •  El número de identificación del informe

 <report_id>8293631894893125362</report_id>

  • El rango de fechas de inicio y fin (en segundos)

<date_range>

      <begin>1234573120</begin>

      <end>1234453590</end>

    </date_range>

  • Las especificaciones de su registro DMARC publicadas en el DNS de su dominio

 <policy_published>

    <domain>yourdomain.com</domain>

    <adkim>r</adkim>

    <aspf>r</aspf>

    <p>none</p>

    <sp>none</sp>

    <pct>100</pct>

  </policy_published>

  • Dirección IP de la fuente de envío

<source_ip>302.0.214.308</source_ip>

  • Una visión general de los resultados de la autenticación (resumen de los resultados de SPF y DKIM que pasan/no pasan)

  <policy_evaluated>

        <disposition>none</disposition>

        <dkim>fail</dkim>

        <spf>pass</spf>

      </policy_evaluated>

  • De: dominio

 <header_from>yourdomain.com</header_from>

  • Resultados de la autenticación DKIM

<dkim>

        <domain>yourdomain.com</domain>

        <result>fail</result>

        <human_result></human_result>

      </dkim>

  • Resultados de la autenticación SPF

<spf>

        <domain>yourdomain.com</domain>

        <result>pass</result>

      </spf>

Informes DMARC de PowerDMARC legibles por humanos

Como probablemente ya haya comprendido, aunque los informes DMARC son extremadamente importantes para supervisar el flujo de correo electrónico de su organización y ver los resultados de la autenticación, no son muy agradables a la vista. Con los informes DMARC inundando sus bandejas de entrada todos los días, no querrá el dolor de revisarlos y analizarlos línea por línea, pescando información útil. Aquí hablaremos de cómo leer los informes DMARC más fácilmente con PowerDMARC.

Por ello, PowerDMARC le ayuda a ver sus informes DMARC Aggregate RUA fácilmente en un formato tabular organizado, analizando los datos y segregando la información en categorías con la opción de filtrar los datos según las direcciones IP, las organizaciones, las fuentes de envío y las estadísticas específicas.

Uso de un buzón dedicado VS Uso del lector de informes DMARC de PowerDMARC

Para organizar sus informes DMARC de manera más fácil y eficiente, puede mantener un buzón de correo dedicado en el que pueda redirigir todos los informes DMARC que reciba de varios terceros y proveedores de correo electrónico que utilice para enviar sus correos electrónicos de marketing y empresariales. Si usted es una empresa que tiene un flujo constante de correos electrónicos (a granel) a su clientela sobre una base diaria, no configurar un buzón de correo dedicado para reunir sus datos bajo una sola bandera puede hacer que sea casi imposible mantener una pestaña en ellos.

Sin embargo, tenga en cuenta que un buzón de correo dedicado a sus informes sólo le ayudará a organizar y gestionar mejor sus datos, no le ayudará a analizar o leer los archivos XML, y no le proporcionará una interfaz fácil de usar o procesable para ver, clasificar o filtrar sus resultados de autenticación.

Ventajas de configurar los informes DMARC de PowerDMARC: 

  • En el panel de control, puede ver los informes de DMARC RUA en 7 formatos de visualización distintos, para ver los resultados: por organización, por resultado, por fuente de envío, por host, por país, según las geolocalizaciones, y segregar las estadísticas detalladas.
  • Introduzca el dominio o los dominios que desee para filtrar los resultados sólo de ese dominio en particular en la barra de búsqueda
  • Seleccione un rango de fechas específico para filtrar los resultados de esa línea de tiempo
  • Un esquema de colores brillantes y un panel de control interactivo que le ayuda a entender los resultados de la autenticación de un vistazo cuando tiene prisa, así como con gran detalle.

Regístrese hoy mismo para obtener su analizador DMARC gratuito.

Si te encuentras con el aviso " Política DMARC no habilitada" para tu dominio, significa que tu dominio no está protegido contra la suplantación de identidad con la autenticación de correo electrónico DMARC. Es posible que te encuentres con este aviso al realizar búsquedas inversas de DNS para tu dominio. Sin embargo, suele tener una fácil solución. En este artículo, vamos a explicarte los pasos que debes seguir para configurar DMARC y establecer la política adecuada para tu dominio, de modo que no vuelvas a encontrarte con el mensaje "La política DMARC no está habilitada".

Configuración de DMARC para proteger contra la suplantación de identidad 

DMARC, que es la abreviatura de Domain-based Message Authentication, Reporting and Conformance, es un estándar para autenticar los mensajes de correo electrónico salientes, para asegurar que su dominio está adecuadamente protegido contra los intentos de BEC y de suplantación de dominio directo. DMARC funciona alineando el dominio de la ruta de retorno(dirección de rebote), el dominio de la firma DKIM y el dominio De:, para buscar una coincidencia. Esto ayuda a verificar la autenticidad de la fuente de envío y evita que fuentes no autorizadas envíen correos electrónicos que parecen proceder de usted.

El dominio de su empresa es el escaparate digital responsable de su identidad digital. Organizaciones de todos los tamaños utilizan el marketing por correo electrónico para llegar a sus clientes y atraerlos. Sin embargo, si su dominio es suplantado y los atacantes envían correos electrónicos de suplantación de identidad a sus clientes, esto afecta drásticamente no sólo a sus campañas de marketing por correo electrónico, sino que también afecta a la reputación y credibilidad de su organización. Por ello, adoptar DMARC se convierte en un imperativo para salvaguardar su identidad.

Para empezar a implementar DMARC para su dominio:

  • Abra su consola de gestión de DNS
  • Navegue hasta la sección de registros
  • Publique su registro DMARC, que puede generar fácilmente utilizando nuestra herramienta gratuita de generación de registros DMARC, y especifique una política DMARC para habilitarla para su dominio (esta política especificará cómo responde el MTA receptor a los mensajes que no superan las comprobaciones de autenticación)
  • Las DNS pueden tardar entre 24 y 48 horas en procesar estos cambios, y ya está.
  • Puede verificar la exactitud de su registro utilizando nuestra herramienta gratuita de búsqueda de registros DMARC después de configurarlo para su dominio

Cómo solucionar el problema "Política de cuarentena/rechazo DMARC no habilitada"

Cuando reciba una advertencia de "Política de cuarentena/rechazo de DMARC no habilitada" o a veces simplemente "Política de DMARC no habilitada" o "No hay protección de DMARC" eso simplemente indica que su dominio está configurado con una política de DMARC de ninguno que permite solamente el monitoreo.

Si acaba de empezar su viaje de autenticación de correo electrónico, y desea supervisar sus dominios y el flujo de correo electrónico para garantizar una entrega de correo electrónico sin problemas, entonces le recomendamos que empiece con una política DMARC de ninguno. Sin embargo, una política "none" no ofrece ninguna protección contra la suplantación de identidad, por lo que se encontrará con el frecuente mensaje "DMARC policy not enabled": "Política DMARC no habilitada", donde se le recuerda que su dominio no está adecuadamente protegido contra el abuso y la suplantación.

Para solucionar esto, todo lo que tiene que hacer es modificar el mecanismo de política (p) en su registro DMARC de p=none a p=reject/quarantine, y así cambiar a la aplicación de DMARC. Si su registro DMARC estaba previamente:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];

Su registro DMARC optimizado será:

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected];

O, v=DMARC1; p=cuarentena; rua=mailto:[email protected]; ruf=mailto:[email protected];

He solucionado el problema de la "Política DMARC no habilitada", ¿qué sigue?

Después de resolver el aviso de "política DMARC no habilitada", la supervisión de los dominios debe ser un proceso continuo para garantizar que la implementación de DMARC no afecte a la capacidad de entrega del correo electrónico, sino que la mejore. Los informes DMARC pueden ayudarle a obtener visibilidad en todos sus canales de correo electrónico para que nunca se pierda lo que está sucediendo. Después de optar por una política de aplicación de DMARC, PowerDMARC le ayuda a ver los resultados de la autenticación del correo electrónico en informes agregados de DMARC con formatos fáciles de leer que cualquiera puede entender. Con esto, podría ver un aumento del 10% en su tasa de entregabilidad de correo electrónico con el tiempo.

Además, debe asegurarse de que su SPF no se rompa debido a demasiadas búsquedas de DNS. Esto puede provocar un fallo del SPF y afectar a la entrega del correo electrónico. El SPF dinámico es una solución fácil para mantenerse por debajo del límite duro del SPF, así como para estar actualizado en todo momento sobre cualquier cambio realizado por sus ESP.

Haga que su proceso de despliegue de DMARC sea lo más fluido posible, registrándose en nuestro analizador de DMARC gratuito hoy mismo.