Alineación DMARC | Herramienta gratuita de supervisión del correo electrónico

Q: ¿Qué es la alineación DMARC?

La alineación DMARC garantiza que un atacante no pueda utilizar una dirección From: y una dirección Return Path diferentes para eludir SPF y DKIM

La activación de DMARC pone en marcha una serie de marcas de verificación para determinar si un correo electrónico procede de la fuente solicitante. DMARC ofrece una flexibilidad increíble en términos de políticas y modos de alineación que pueden ser configurados por el propietario del dominio, para moldear el nivel de seguridad que desean alcanzar.

DMARC afirma que el nombre de dominio anexado a varias partes de un mensaje de correo electrónico se alinea correctamente, lo que indica que el correo electrónico es legítimo y no es probable que forme parte de intentos de suplantación de identidad o phishing.

¿Qué es la alineación DMARC?

La alineación DMARC es el proceso de alinear (o hacer coincidir) dominios bajo varias secciones del encabezado de su correo electrónico durante las comprobaciones de autenticación para garantizar que sus correos electrónicos son legítimos y están protegidos contra una serie de ataques fraudulentos por correo electrónico que incluyen phishing, suplantación de identidad, ransomware, etc.

El protocolo de autenticación DMARC comprueba la alineación del identificador DMARC para establecer si un dominio de correo electrónico es potencialmente falsificado. Cuando se valida su correo electrónico, DMARC comprueba 3 identificadores:

La cabecera From:
La dirección de la ruta de retorno
El nombre de dominio en la firma DKIM

Si los identificadores para SPF o DKIM están alineados, el correo electrónico logra la alineación DMARC y supera la autenticación DMARC, y se entrega de forma segura en la bandeja de entrada del usuario.

¿Cómo funciona la alineación DMARC?

Para entender la alineación de DMARC necesitamos entender cómo funciona. Cuando se implementa DMARC, se vinculan los resultados de SPF y DKIM para autenticar todos los correos electrónicos procedentes de su dominio. Para cualquier correo electrónico, DMARC utiliza lo que se conoce como "identidad central", que es el dominio que se encuentra en la cabecera From:. Este se considera el dominio de origen de su correo electrónico, y tendrá el nombre de dominio de su organización en él.

Cuando un correo electrónico de su dominio llega al servidor receptor, SPF comprueba su ruta de retorno y DKIM valida la firma cifrada. Ambas comprobaciones tienen lugar por separado en dos dominios diferentes. DMARC toma el resultado de la autenticación de cada uno y comprueba si el dominio utilizado en SPF o DKIM coincide con el dominio From: (la identidad central). Si cualquiera de los dos es cierto, se consigue la alineación DMARC.

Sin embargo, hay un pequeño problema. Cualquiera, incluidos los delincuentes, puede comprar un dominio e implementar SPF y DKIM. Así que, en teoría, debería ser posible para alguien enviar un correo electrónico con el dominio de su organización en la dirección From: (la identidad central) y tener su propia Return Path (ruta de retorno) del dominio para pasar la autenticación SPF. Los usuarios normalmente sólo ven la dirección From: y no la Return Path, por lo que ni siquiera sabrán que hay una discrepancia entre ambas.

Alineación relajada DMARC: Configuración de coincidencias de dominio de nivel superior

La alineación SPF y DKIM específicamente tiene 2 tipos: relajada y estricta. Si la alineación relajada está configurada para ambos, significa esencialmente que ha implementado la alineación relajada para su implementación general de DMARC.

Tanto para SPF como para DKIM, en una configuración relajada, incluso si el dominio en la cabecera From y los dominios en las cabeceras Return-path (para SPF) y DKIM signature (para DKIM) son una coincidencia organizativa - la alineación DMARC es una coincidencia. Por consiguiente, en este escenario, incluso los subdominios se alinearán con DMARC.

Ejemplo de alineación relajada DMARC

v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=r; adkim=r

Las etiquetas DMARC "aspf" y "adkim" son las respectivas etiquetas de alineación para definir el modo de su elección, y "r" significa relajado.

DMARC Alineación Estricta: Configuración de coincidencias de dominio exactas

Si los propietarios de dominio habilitan la alineación estricta tanto para SPF como para DKIM, esto significa esencialmente que ha implementado la alineación estricta para su implementación general de DMARC.

Para ambos protocolos, en una configuración estricta, sólo si el dominio en la cabecera From y los dominios en las cabeceras Return-path (para SPF) y DKIM signature (para DKIM) coinciden exactamente - la alineación DMARC es una coincidencia. Por lo tanto, en este escenario, los subdominios no se alinearán contra DMARC.

Ejemplo de alineación relajada DMARC

v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; adkim=s

Las etiquetas DMARC "aspf" y "adkim" son las respectivas etiquetas de alineación para definir el modo de su elección, y "s" significa estricto.

Relajado vs Estricto: ¿Qué modo de alineación DMARC es mejor?

La elección entre los modos de alineación DMARC relajado y estricto depende de las políticas de autenticación de correo electrónico de su organización, su tolerancia a los falsos positivos y sus objetivos generales de seguridad.

El modo Relajado ofrece más flexibilidad y es menos probable que produzca falsos positivos. Puede ser útil cuando tiene varios sistemas o servicios de correo electrónico que envían mensajes en nombre de su dominio y pueden utilizar subdominios diferentes. Sin embargo, también es menos estricto y puede permitir que algunos correos electrónicos con discrepancias menores pasen, dejando potencialmente espacio para intentos de suplantación de identidad o phishing.

El modelo Estricto aplica una política de alineación más estricta, garantizando que el dominio exacto del encabezado "De" coincida con los dominios especificados en SPF y DKIM. Aunque esto proporciona una mayor protección contra la suplantación de identidad y el phishing, puede ser menos indulgente si su infraestructura de correo electrónico utiliza diferentes subdominios para fines legítimos. Implementar una alineación estricta puede requerir una configuración y supervisión cuidadosas para evitar el bloqueo de correos electrónicos legítimos.

¿Cómo supervisar los correos electrónicos con una alineación DMARC estricta?

PowerDMARC le ayuda a supervisar sus correos electrónicos mientras sigue una estricta política de alineación DMARC con la ayuda de nuestro analizador DMARC de DMARC. Le ayudamos a rastrear sus fuentes de envío de correo electrónico, comprobar si hay fallos de alineación y optimizar su configuración de autenticación directamente desde nuestro panel de control.

Póngase en contacto hoy mismo para empezar.

Acerca de
Últimas publicaciones

Ahona Rudra

Director de Marketing Digital y Redacción de Contenidos en PowerDMARC

Ahona trabaja como responsable de marketing digital y redacción de contenidos en PowerDMARC. Es una apasionada escritora, bloguera y especialista en marketing de ciberseguridad y tecnologías de la información.

Últimas publicaciones de Ahona Rudra (ver todas)

Seguridad Web 101 - Mejores Prácticas y Soluciones - 29 de noviembre de 2023
¿Qué es el cifrado de correo electrónico y cuáles son sus diversos tipos? - noviembre 29, 2023
¿Qué es MTA-STS? Configurar la política MTA-STS adecuada - 25 de noviembre de 2023

Alineación DMARC: Modos de alineación estricto frente a relajado

¿Qué es la alineación DMARC?

¿Cómo funciona la alineación DMARC?

Alineación relajada DMARC: Configuración de coincidencias de dominio de nivel superior

Ejemplo de alineación relajada DMARC

DMARC Alineación Estricta: Configuración de coincidencias de dominio exactas

Ejemplo de alineación relajada DMARC

Relajado vs Estricto: ¿Qué modo de alineación DMARC es mejor?

¿Cómo supervisar los correos electrónicos con una alineación DMARC estricta?

Conocimiento

Herramientas

Producto

Pruebe con nosotros