¿Qué es la alineación DMARC?

La alineación DMARC garantiza que un atacante no pueda utilizar una dirección From: y una dirección Return Path diferentes para eludir SPF y DKIM

SPF y DKIM validan el correo electrónico de cualquier dominio registrado. La alineación DMARC es lo que vincula la autenticación a su dominio.

Para entender la alineación de DMARC necesitamos entender cómo funciona. Cuando se implementa DMARC, se vinculan los resultados de SPF y DKIM para autenticar todos los correos electrónicos procedentes de su dominio. Para cualquier correo electrónico, DMARC utiliza lo que se conoce como "identidad central", que es el dominio que se encuentra en la cabecera From:. Este se considera el dominio de origen de su correo electrónico, y tendrá el nombre de dominio de su organización en él.
Cuando un correo electrónico de su dominio llega al servidor receptor, SPF comprueba su ruta de retorno y DKIM valida la firma cifrada. Ambas comprobaciones tienen lugar por separado en dos dominios diferentes. DMARC toma el resultado de la autenticación de cada uno y comprueba si el dominio utilizado en SPF o DKIM coincide con el dominio From: (la identidad central). Si cualquiera de los dos es verdadero, se logra la alineación DMARC.
Sin embargo, hay un pequeño problema. Cualquiera, incluidos los delincuentes, puede comprar un dominio e implementar SPF y DKIM. Así que, en teoría, debería ser posible que alguien enviara un correo electrónico con el dominio de su organización en la dirección From: (la identidad central) y tuviera su propia Return Path (ruta de retorno) para pasar la autenticación SPF. Los usuarios normalmente sólo ven la dirección From: y no la Return Path, por lo que ni siquiera sabrán que hay una discrepancia entre ambas.

Aquí es donde entra en juego la alineación DMARC. Cuando se valida su correo electrónico, DMARC comprueba 3 identificadores:
- La cabecera From:
- La dirección de la ruta de retorno
- El nombre de dominio en la firma DKIM
Si los identificadores para SPF o DKIM están alineados, el correo electrónico logra la alineación DMARC y pasa la autenticación DMARC y se entrega de forma segura a la bandeja de entrada del usuario.
La alineación SPF y DKIM tiene específicamente 2 tipos:
- Alineación estricta
- Alineación relajada
Laalineación estricta requiere que los dominios tanto en la cabecera From: como en el campo Return Path/"d=" DKIM coincidan al 100%.

Laalineación relajada es más, bueno, relajada en sus requisitos. Incluso se permiten subdominios, siempre que estén bajo el mismo dominio organizativo (el dominio From:).
La alineación DMARC aborda específicamente las limitaciones de SPF asegurando que los dominios From: y Return Path coincidan, evitando que los atacantes intenten utilizar dominios diferentes para cada uno.
También resuelve la laguna que puede utilizarse para explotar DKIM al exigir que el encabezado From: también coincida con el dominio indicado en la firma DKIM, eliminando las posibilidades de que alguien reenvíe el correo electrónico con campos de encabezado adicionales.

¿Está preparado para evitar el abuso de la marca, las estafas y obtener la alineación DMARC en sus correos electrónicos?