Para proteger su dominio y su identidad en línea de los estafadores que intentan hacerse pasar por usted, debe configurar DMARC para sus dominios de correo electrónico. DMARC funciona gracias a los esfuerzos de autenticación de correo electrónico acumulados de los protocolos SPF y DKIM. Posteriormente, los usuarios de DMARC también se benefician de recibir informes sobre los problemas de entrega, autenticación y fallos de alineación de sus correos electrónicos. Obtenga más información sobre qué es DM ARC aquí.

Si su informe agregado de DMARC dice "SPF alignment failed", vamos a discutir lo que significa tener su SPF alineado y cómo puede resolver este problema.

¿Qué es la alineación del FPS?

Un mensaje de correo electrónico se compone de varias cabeceras diferentes. Cada cabecera contiene información sobre ciertos atributos de un mensaje de correo electrónico, incluyendo la fecha de envío, desde dónde se envió y a quién se envió. El SPF se ocupa de dos tipos de cabeceras de correo electrónico:

  • The <From:> header
  • La cabecera Return-Path

Cuando el dominio en la cabecera From: y el dominio en la cabecera return-path coinciden para un correo electrónico, la alineación SPF pasa para ese correo. Sin embargo, cuando ambos no coinciden, falla en consecuencia. La alineación SPF es un criterio importante que decide si un mensaje de correo electrónico es legítimo o falso.

Se muestra un ejemplo en el que la cabecera From: está alineada (coincide exactamente) con la cabecera Return-path (Mail From), por lo que la alineación SPF pasaría para este correo electrónico.

¿Por qué falla la alineación del FPS?

Caso 1: El modo de alineación del FPS está configurado como estricto

Mientras que el modo de alineación SPF por defecto es relajado, establecer un modo de alineación SPF estricto puede llevar a fallos de alineación si el dominio de la ruta de retorno resulta ser un subdominio del dominio organizativo raíz, mientras que la cabecera From: incorpora el dominio organizativo. Esto se debe a que para que el SPF se alinee en un modo estricto, los dominios de las dos cabeceras deben coincidir exactamente. Sin embargo, para la alineación relajada, si los dos dominios comparten el mismo dominio de nivel superior, la alineación SPF pasará.

Se muestra arriba un ejemplo de un correo que comparte el mismo dominio de nivel superior pero el nombre de dominio no es una coincidencia exacta (el dominio de Correo desde es un subdominio del dominio organizativo empresa.com). En este caso, si su modo de alineación SPF está configurado como "relajado", su correo electrónico pasará la alineación SPF, sin embargo para un modo estricto, fallará igual. 

Caso 2: Su dominio ha sido suplantado

Una razón muy común para los fallos de alineación SPF es la suplantación de dominio. Se trata de un fenómeno en el que un ciberdelincuente se apropia de su identidad falsificando su nombre de dominio o dirección para enviar correos electrónicos a sus destinatarios. Mientras que el dominio From: sigue llevando su identidad, la cabecera Return-path muestra la identidad original del spoofer. Si tiene la autenticación SPF en su lugar para su dominio falsificado, el correo electrónico inevitablemente falla la alineación en el lado del receptor.

Corrección de "Alineación de SPF fallida"

Para arreglar los fallos de alineación del FPS se puede: 

  • Poner el modo de alineación en "relajado" en lugar de "estricto" 
  • Configure DMARC para su dominio, por encima de SPF y DKIM, de modo que incluso si su correo electrónico no supera la alineación del encabezado SPF y pasa la alineación DKIM, pasa DMARC y se entrega a su destinatario

Nuestro analizador de informes DMARC puede ayudarle a obtener el 100% de cumplimiento de DMARC en sus correos electrónicos salientes y a evitar intentos de suplantación o fallos de alineación debidos a errores de configuración del protocolo. Disfrute de una experiencia de autenticación más segura y fiable realizando su prueba gratuita de DMARC hoy mismo.

DMARC es un protocolo estándar de autenticación de correo electrónico que, cuando se configura sobre los registros SPF y DKIM existentes, le ayuda a confirmar si una o ambas comprobaciones de autenticación han fallado. ¿Por qué es importante DMARC? Supongamos que alguien envía un correo electrónico en nombre de su empresa y que falla el DMARC, lo que significa que usted puede tomar una acción autorizada. DMARC ha sido diseñado para detener el spam y el phishing ayudando a las empresas a gestionar la seguridad del correo electrónico. Uno de los principales objetivos es ayudar a las empresas a proteger sus marcas y mantener su reputación. DMARC protege los correos electrónicos en tránsito y ayuda a prevenir los ataques de suplantación de identidad y phishing al rechazar los mensajes que no cumplen ciertas normas. Los servidores de correo también pueden informar de los mensajes que reciben de otros servidores de correo para ayudar al remitente a solucionar cualquier problema.

Proteger sus correos electrónicos es importante para mantener a sus clientes a salvo de los ciberdelincuentes que podrían robar su información personal. En esta entrada del blog, explicaremos la importancia de DMARC y lo que puedes hacer para implementarlo correctamente en tu dominio.

¿Por qué es importante DMARC y por qué debería utilizarlo?

Si todavía no está seguro de si debería utilizar DMARC, vamos a enumerar algunas de las ventajas que ofrece:

  • DMARC se ocupa de la seguridad y la entregabilidad del correo electrónico. Proporciona informes de autenticación sólidos, minimiza el phishing y reduce los falsos positivos.
  • Aumentar la entregabilidad y reducir los rebotes
  • Recibir informes completos sobre la autentificación de los mensajes
  • El protocolo DMARC ayuda a identificar a los emisores de spam y evita que los mensajes falsos lleguen a las bandejas de entrada
  • DMARC ayuda a reducir las posibilidades de que sus correos electrónicos sean marcados o señalados como spam
  • Le da mayor visibilidad y autoridad sobre sus dominios y canales de correo electrónico

¿Quién puede utilizar DMARC?

DMARC es compatible con Microsoft Office 365, Google Workspace y otras soluciones populares basadas en la nube. Desde 2010, DMARC forma parte del proceso de autenticación del correo electrónico. Su objetivo era dificultar a los ciberdelincuentes el envío de correos electrónicos de spam desde una dirección válida, ayudando a combatir la epidemia de ataques de phishing. Los expertos del sector animan a los propietarios de dominios de pequeñas empresas, así como a las empresas, a crear un registro DMARC para proporcionar instrucciones sobre cómo debe protegerse su dominio de correo electrónico. Esto, a su vez, ayuda a proteger la reputación e identidad de su marca. 

¿Cómo establecer el registro DMARC de su dominio? 

Los pasos para configurar su dominio con protocolos de autenticación de correo electrónico son los siguientes: 

  • Cree un registro SPF y compruébelo con un verificador SPF para asegurarse de que el registro es funcional y carece de posibles errores sintácticos
  • Active la autenticación DKIM para su dominio
  • Finalmente, configure su dominio con DMARC y habilite los informes DMARC configurando nuestro analizador de informes DMARC gratuito

DMARC no sólo ha adquirido una importancia sustancial en los últimos años, sino que algunas empresas se esfuerzan por hacerlo obligatorio para sus empleados a fin de evitar la pérdida de datos y recursos sensibles. Por lo tanto, es hora de que tenga en cuenta sus diversas ventajas y cambie a una experiencia de correo electrónico más segura con DMARC. 

Los registros DMARC son una combinación de varios mecanismos o etiquetas DMARC que comunican instrucciones específicas a los servidores de recepción de correo electrónico durante la transferencia del mismo. Cada una de estas etiquetas DMARC contiene un valor definido por el propietario del dominio. Hoy vamos a hablar de qué son las etiquetas DMARC y qué significa cada una de ellas. 

Tipos de etiquetas DMARC

Aquí están todas las etiquetas DMARC disponibles que un propietario de dominio puede especificar en su registro DMARC:

Etiqueta DMARC Tipo Valor por defecto Qué significa
v obligatorio La etiqueta v representa la versión del protocolo DMARC y siempre tiene el valor v=DMARC1 
pct opcional 100 Esta etiqueta representa el porcentaje de correos electrónicos a los que se aplica el modo de política. Más información sobre la etiqueta DMARC pct
p obligatorio Esta etiqueta se refiere al modo de la política DMARC. Puede seleccionar entre rechazar, poner en cuarentena y ninguno. Más información sobre qué es la política DMARC para tener claro qué modo seleccionar para su dominio.
sp opcional El modo de política configurado para su dominio principal (p) Especificando la política de subdominio, la etiqueta sp se configura para definir un modo de política para sus subdominios. Obtenga más información sobre la etiqueta sp de DMARC para entender cuándo debe configurarla. 
rua Opcional pero recomendado La etiqueta rua es una etiqueta DMARC opcional que especifica la dirección de correo electrónico o el servidor web donde las organizaciones informantes deben enviar sus Datos rua agregados DMARC

Ejemplo: rua=mailto:[email protected];

ruf Opcional pero recomendado Del mismo modo, el mecanismo ruf especifica la dirección a la que el Informe ruf forense DMARC se debe enviar. Actualmente, no todas las organizaciones informantes envían datos forenses. 

Ejemplo: ruf=mailto:[email protected]

para opcional 0 La etiqueta fo se refiere a las opciones disponibles de informes de fallos/forenses que los propietarios de dominios pueden elegir. Si no ha habilitado ruf para su dominio, puede ignorar esto. 

Las opciones disponibles para elegir son: 

0: se le envía un informe de fallo/forense DMARC si su correo electrónico no supera la alineación SPF y DKIM

1: se envía un informe de fallo/forense DMARC cuando su correo electrónico falla la alineación SPF o DKIM

d: se envía un informe de fallo de DKIM si la firma DKIM del correo electrónico no se valida, independientemente de la alineación

s: se envía un informe de fallo SPF si el correo electrónico no supera la evaluación SPF, independientemente de la alineación.

aspf opcional Esta etiqueta DMARC representa el modo de alineación SPF. El valor puede ser estricto(s) o relajado(r)
adkim opcional Del mismo modo, la etiqueta DMARC adkim representa el modo de alineación DKIM, cuyo valor puede ser estricto(s) o relajado(r) 
rf opcional afrf La etiqueta DMARC rf especifica los distintos formatos para la presentación de informes forenses.
ri opcional 86400 La etiqueta ri se refiere al intervalo de tiempo en segundos entre dos informes agregados consecutivos enviados por la organización informante al propietario del dominio.

Para crear un registro para DMARC al instante, utilice nuestro generador de DMARC gratuito. Alternativamente, si tiene un registro existente, compruebe su validez realizando una búsqueda de DMARC.

Regístrese hoy mismo para obtener una prueba gratuita de prueba de DMARC para obtener asesoramiento de expertos sobre cómo proteger su dominio de los spoofers.

La etiqueta DMARC pct forma parte de este registro e indica al receptor del correo electrónico qué porcentaje de mensajes bajo esta política se verán afectados. Si usted, como propietario de un dominio, quiere especificar qué hacer con un correo electrónico que falla la autenticación, los registros DMARC pueden ayudarle con eso. Una empresa puede publicar un registro de texto en el DNS y especificar lo que quiere que ocurra con los correos electrónicos que fallan en la alineación de la fuente, determinando si los entrega, los pone en cuarentena o incluso los rechaza directamente. 

¿Qué significa pct en DMARC?

Un registro TXT para cualquier protocolo de autenticación de correo electrónico contiene un montón de mecanismos o etiquetas que significan instrucciones dedicadas a los servidores de recepción de correo electrónico. En un registro DMARC, pct es un acrónimo de porcentaje que se incluye para abordar el porcentaje de correos electrónicos a los que se aplica la política DMARC definida por el propietario del dominio.

¿Por qué necesita la etiqueta DMARC pct?

La etiqueta pct es una forma de configurar y probar las políticas DMARC de su dominio que a menudo se pasa por alto, pero que es muy eficaz. Un registro DMARC con una etiqueta de porcentaje se parece a lo siguiente: 

v=DMARC1; p=rechazo; pct=100; rua=mailto:[email protected];

En el registro DNS DMARC mostrado arriba, el porcentaje de correos electrónicos para los que la política de rechazo DMARC es aplicable es del 100%. 

El tiempo que tarda un dominio en pasar de no utilizar DMARC en absoluto, a utilizar la configuración más restrictiva es un periodo de rampa. El objetivo es dar tiempo a los dominios para que se sientan cómodos con su nueva configuración. Para algunas empresas, esto puede llevar varios meses. Es posible que los dominios realicen una actualización instantánea, pero esto es poco habitual debido al riesgo de que se produzcan más errores o reclamaciones. La etiqueta pct se diseñó como una forma de aplicar gradualmente las políticas DMARC para acortar el período de implementación para las empresas en línea. La intención es poder desplegarla para un lote más pequeño de correos electrónicos primero antes de desplegarla completamente a todo el flujo de correo como en el caso que se muestra a continuación: 

v=DMARC1; p=rechazo; pct=50; rua=mailto:[email protected];

En este registro DNS DMARC, la política de rechazo para DMARC se aplica sólo al 50% de los correos electrónicos, mientras que la otra mitad del volumen se somete a una política de cuarentena para DMARC, que es la segunda política más estricta de la línea. 

¿Qué ocurrirá si no incluye una etiqueta pct en su registro DMARC?

Mientras se crea un registro DMARC utilizando un generador de registros DMARCpuede optar por no definir una etiqueta pct y dejar ese criterio vacío. En este caso, la configuración por defecto para pct se establece en 100, lo que significa que su política definida se aplicará a todos sus correos electrónicos. Por lo tanto, si quiere definir una política para todos sus correos electrónicos, una forma más sencilla de hacerlo sería dejar el criterio pct en blanco, como en este ejemplo:

v=DMARC1; p=cuarentena; rua=mailto:[email protected];

Advertencia: Si desea una política reforzada para DMARC, no publique un registro con pct=0

La lógica detrás de esto es simple: si quiere definir una política de rechazo o cuarentena en su registro, esencialmente quiere que la política se aplique a sus correos electrónicos salientes. Establecer su pct a 0 anula su esfuerzo ya que su política es ahora aplicable a cero correos electrónicos. Esto es lo mismo que tener el modo de política establecido en p=none. 

Nota: Para proteger su dominio de los ataques de suplantación de identidad y evitar cualquier posibilidad de que su dominio sea suplantado por los atacantes, la política ideal debería ser DMARC en p=reject; pct=100;

Pase a la aplicación de DMARC de forma segura iniciando su viaje de DMARC con PowerDMARC. Realice una prueba gratuita de prueba de DMARC hoy mismo.

El atributo "sp" es la abreviatura de política de subdominio y no es un atributo muy utilizado actualmente. Permite que un dominio especifique que se debe utilizar un registro DMARC diferente para los subdominios del dominio DNS especificado. Para simplificar las cosas, recomendamos que se omita el atributo "sp" en el propio dominio de la organización. Esto conducirá a una política por defecto que evita la suplantación de identidad en los subdominios. Es importante recordar que el comportamiento de los subdominios siempre está determinado por la política organizativa predominante. 

Los subdominios heredan la política del dominio principal a menos que se anule explícitamente mediante un registro de política de subdominio. El atributo "sp" puede anular esta herencia. Si un subdominio tiene un registro DMARC explícito, este registro tendrá prioridad sobre la política DMARC del dominio principal, incluso si el subdominio utiliza la configuración predeterminada de p=none. Por ejemplo, si se define una política DMARC de prioridad 'all', el elemento 'sp' influirá en el procesamiento DMARC en los subdominios no cubiertos por ninguna política específica.

¿Por qué necesita la etiqueta DMARC sp?

Si tiene su registro DMARC como: 

v=DMARC1; p=reject; sp=none; rua=mailto:[email protected];

En este caso, mientras que su dominio raíz está protegido contra los ataques de suplantación, sus subdominios, aunque no los utilice para intercambiar información, seguirían siendo vulnerables a los ataques de suplantación.

Si tiene su registro DMARC como: 

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected];

En este caso, si bien no se compromete a una política de rechazo en el dominio raíz que utiliza para enviar sus correos electrónicos, sus subdominios inactivos siguen estando protegidos contra la suplantación. 

Si quieres que las políticas de tu dominio y subdominio sean las mismas, puedes dejar el criterio de la etiqueta sp en blanco o desactivado al crear un registro, y tus subdominios heredarán automáticamente la política impuesta al dominio principal. 

Si utiliza nuestro generador de registros DMARC para crear un registro DMARC para su dominio, debe activar manualmente el botón de política de subdominio y definir la política deseada, como se muestra a continuación:

 

Después de crear su registro DMARC es importante comprobar la validez de su registro utilizando nuestra herramienta de búsqueda de registros DMARC para asegurarse de que su registro no tiene errores y es válido.

Comience su viaje de DMARC con PowerDMARC para maximizar la seguridad del correo electrónico de su dominio. Tome su prueba gratuita de prueba de DMARC hoy mismo.

Debido a las amenazas que acechan en Internet, las empresas deben demostrar que son legítimas empleando métodos de autenticación sólidos. Un método común es a través de DomainKeys Identified Mail (DKIM), una tecnología de autenticación de correo electrónico que utiliza claves de cifrado para verificar el dominio del remitente. DKIM, junto con SPF y DMARC ha mejorado drásticamente la postura de seguridad del correo electrónico de las organizaciones en todo el mundo.

Más información sobre qué es DKIM.

Al configurar DKIM para sus correos electrónicos, una de las principales decisiones que debe tomar es determinar la longitud de la clave DKIM. En este artículo, le mostraremos la longitud de clave recomendada para una mejor protección y cómo actualizar sus claves en Exchange Online Powershell.

Importancia de actualizar la longitud de su clave DKIM

La elección de 1024 bits o 2048 bits es una decisión importante que debe tomarse al elegir su clave DKIM. Durante años, la PKI (infraestructura de clave pública) ha utilizado claves DKIM de 1024 bits para su seguridad. Sin embargo, a medida que la tecnología se vuelve más compleja, los hackers se esfuerzan por encontrar nuevos métodos para paralizar la seguridad. Por ello, la longitud de las claves es cada vez más importante.

A medida que los hackers siguen inventando mejores formas de romper las claves DKIM. La longitud de la clave está directamente correlacionada con la dificultad de romper la autenticación. El uso de una clave de 2048 bits proporciona una mayor protección y una mejor seguridad contra los ataques actuales y futuros, lo que pone de manifiesto la importancia de actualizar su longitud de bits.

Actualización manual de sus claves DKIM en Exchange Online Powershell

  • Comience por conectarse a Microsoft Office 365 PowerShell como administrador (asegúrese de que su cuenta de Powershell está configurada para ejecutar scripts de Powershell firmados)
  • En caso de que DKIM esté preconfigurado, para actualizar sus claves a 2048 bits ejecute el siguiente comando en Powershell: 

Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guid del Signing Config existente}

  • En caso de que no haya implementado DKIM previamente, ejecute el siguiente comando en Powershell: 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • Por último, para verificar que ha configurado correctamente DKIM con un bitness actualizado de 2048 bits, ejecute el siguiente comando:

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Nota: Asegúrese de estar conectado a Powershell durante la realización del procedimiento. Los cambios pueden tardar hasta 72 horas en implementarse.

DKIM no es suficiente para proteger su dominio contra el spoofing y el BEC. Mejore la seguridad del correo electrónico de su dominio configurando DMARC para office 365.