Alineación DMARC: Modos de alineación relajado y estricto

Blog

La alineación DMARC es el proceso de alinear (o hacer coincidir) dominios bajo varias secciones de la cabecera de su correo electrónico durante las comprobaciones de autenticación.

por Maitham Al Lawati

Tiempo de lectura: 8 min
Alineación DMARC: Modos de alineación relajado y estricto
Índice-

La activación de DMARC (Domain-based Message Authentication Reporting and Conformance) pone en marcha una serie de marcas de verificación para determinar si un correo electrónico procede de la fuente reclamante. DMARC ofrece una flexibilidad increíble en términos de políticas y modos de alineación que pueden ser configurados por el propietario del dominio, para moldear el nivel de seguridad que desean alcanzar.

DMARC afirma que el nombre de dominio anexado a varias partes de un mensaje de correo electrónico se alinea correctamente, lo que indica que el correo electrónico es legítimo y no es probable que forme parte de intentos de suplantación de identidad o phishing.

Puntos clave

  1. La autenticación DMARC proporciona un marco sólido para verificar la legitimidad de una fuente de correo electrónico.
  2. La alineación de los identificadores SPF y DKIM es esencial para lograr la conformidad con DMARC y la protección contra la suplantación de identidad.
  3. Elegir entre una alineación DMARC relajada o estricta depende de las prácticas de correo electrónico y los objetivos de seguridad de su organización.
  4. El reenvío de correos electrónicos puede complicar la alineación DMARC, provocando a menudo fallos de autenticación si no se gestiona adecuadamente.
  5. Supervisar y ajustar su configuración DMARC puede mejorar significativamente la entregabilidad del correo electrónico y reducir el riesgo de fraude.

¿Qué es la alineación DMARC?

La alineación DMARC es el proceso de alinear (o hacer coincidir) dominios bajo varias secciones de la cabecera de su correo electrónico durante las comprobaciones de autenticación. DMARC se alinea para su correo electrónico si el mensaje pasa una o ambas alineaciones de identificadores SPF y DKIM.

Para garantizar que sus correos electrónicos son legítimos y están protegidos contra una serie de ataques fraudulentos por correo electrónico que incluyen phishing, suplantación de identidad, ransomware, etc.

spf dkim

El protocolo de autenticación DMARC comprueba la alineación del identificador DMARC para establecer si un dominio de correo electrónico es potencialmente falsificado. Cuando se valida su correo electrónico, DMARC comprueba 3 identificadores:

  • El encabezado De
  • La dirección Return-Path
  • El nombre de dominio en la firma DKIM

Si los identificadores de autenticación SPF o DKIM están alineados, el correo electrónico logra la alineación DMARC y supera la autenticación DMARC, y se entrega de forma segura en la bandeja de entrada del usuario.

¡Simplifique la seguridad con PowerDMARC!

Prueba de 15 díasAgendar demo

¿Cómo funciona la alineación DMARC?

spf dkim cabecera

Para entender la alineación DMARC necesitamos entender cómo funciona. Cuando implementa DMARC, vincula los resultados de SPF y DKIM para autenticar todos los correos electrónicos procedentes de su dominio. Para cualquier correo electrónico, DMARC utiliza lo que se conoce como "identidad central", que es el dominio que se encuentra en el encabezado "De". Este se considera el dominio de origen de su correo electrónico y tendrá el nombre de dominio de su organización en él.

Cuando un correo electrónico de su dominio llega al servidor receptor, SPF comprueba su ruta de retorno y DKIM valida la firma cifrada. Ambas comprobaciones tienen lugar por separado en dos dominios diferentes. DMARC toma el resultado de la autenticación de cada uno y comprueba si el dominio utilizado en SPF o DKIM coincide con el dominio del remitente (la identidad central). Si cualquiera de los dos es cierto, se consigue la alineación DMARC.

Sin embargo, hay un pequeño problema. Cualquiera, incluidos los delincuentes, puede comprar un dominio e implementar SPF y DKIM. Así que, en teoría, debería ser posible que alguien enviara un correo electrónico con el dominio de tu organización en la dirección De: (la identidad central) y que la Ruta de Retorno de su propio dominio pasara la autenticación SPF. Los usuarios normalmente sólo ven la dirección From: y no la Return Path, por lo que ni siquiera sabrán que hay una discrepancia entre ambas.

El papel de la alineación de identificadores SPF y DKIM

Su alineación de identificador de autenticación significa si el remitente de su correo electrónico está autorizado o no a enviar el correo electrónico en nombre de su dominio. Esto puede determinarse comprobando la autenticidad del correo electrónico con SPF (Sender Policy Framework) o DKIM (DomainKeys Identified Mail). Los correos electrónicos alineados pasan en última instancia las comprobaciones de verificación del remitente, que pueden ser utilizadas como ejemplo base por los servidores de correo receptores para delimitar los correos electrónicos maliciosos o no autorizados y filtrarlos. 

En PowerDMARC, vamos un paso más allá alineando sus mensajes con los identificadores SPF y DKIM para ayudarle a alcanzar el 100% de conformidad DMARC para sus correos electrónicos con la política p=reject. Esto le ayuda a ser testigo de mejoras visibles en la entregabilidad de su correo electrónico, y a observar diferencias notables en sus tasas de spam y rebotes en tan sólo unas semanas con una supervisión adecuada y la asistencia de nuestro equipo de soporte técnico especializado. 

¿Qué factores pueden afectar a la alineación de los identificadores SPF y DKIM? 

  • Los clientes de correo electrónico y proveedores de servicios de correo electrónico de terceros pueden introducir complicaciones y fallar en la alineación.
  • Sus mensajes reenviados pueden fallar alineación  

¿Cuál es la solución?

PowerDMARC le ayuda a alinear de forma correcta y precisa todos sus proveedores externos y a modificar y actualizar fácilmente sus registros en el portal a medida que añade más servicios y proveedores, para asegurarse de que su correo electrónico legítimo tiene la mayor probabilidad de llegar a sus clientes. 

PowerDMARC le ayuda a configurar SPF, DKIM y ARC junto con DMARC para abordar esos complicados escenarios de reenvío de correo electrónico en los que los servidores intermediarios pueden realizar modificaciones en sus correos electrónicos, lo que provoca fallos de autenticación no deseados. 

La interfaz intuitiva de PowerDMARC le ayuda a actualizar fácilmente su registro de directivas para conseguir el máximo cumplimiento, lo que garantiza que su dominio esté adecuadamente protegido contra la suplantación de identidad y los ataques de phishing

Tipos de alineación DMARC: Alineaciones de identificadores estrictas frente a relajadas 

La alineación de identificadores DMARC puede ser de dos tipos en función del nivel de gravedad y precisión con el que desee realizar sus comprobaciones de autenticación. A continuación te explicamos cuáles son: 

1. Alineación relajada DMARC

La alineación SPF y DKIM específicamente tiene 2 tipos: relajada y estricta. Si la alineación relajada está configurada para ambos, significa esencialmente que ha implementado la alineación relajada para su implementación general de DMARC.

Tanto para SPF como para DKIM, en un modo de alineación relajado, incluso si el dominio en el comando Mail From y los dominios en la cabecera Return-path o en las cabeceras bounce email address (para SPF) y DKIM signature (para DKIM) son una coincidencia organizativa - la alineación DMARC es una coincidencia. Posteriormente, en este escenario, incluso los subdominios se alinearán contra DMARC.

El correo electrónico debe pasar la autenticación DMARC en el lado del receptor del correo electrónico si el dominio del encabezado se alinea con cualquiera de los requisitos de alineación.

Ejemplo de alineación relajada DMARC

v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=r; adkim=r

Configuración de alineación descodificada: Las etiquetas DMARC "aspf" y "adkim" son las respectivas etiquetas de alineación para definir el modo de su elección, y "r" significa relajado.

2. Alineación estricta DMARC

Si los propietarios del dominio habilitan la alineación estricta tanto para SPF como para DKIM, esto significa esencialmente que ha implementado un modo estricto para su implementación general de DMARC.

Para ambos protocolos, en un modo de alineación estricto, sólo si el dominio en la cabecera From y los dominios en las cabeceras Return-path (para SPF) y DKIM signature (para DKIM) coinciden exactamente - la comprobación de alineación DMARC es una coincidencia. Por lo tanto, en este escenario, los subdominios no se alinearán contra DMARC.

Alineación estricta DMARC con ejemplos

v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=s; adkim=s

Configuración de alineación descodificada: Las etiquetas DMARC "aspf" y "adkim" son las respectivas etiquetas de modo de alineación para definir el modo de su elección, y "s" representa el objetivo de alineación, que es estricto.

¿Qué modo de alineación DMARC es mejor?

La elección entre los modos de alineación DMARC relajado y estricto depende de las políticas de protocolo de autenticación de correo electrónico de su organización, su tolerancia a los falsos positivos y sus objetivos generales de seguridad.

El modo Relajado ofrece más flexibilidad y es menos probable que produzca falsos positivos. Puede ser útil cuando tiene varios sistemas o servicios de correo electrónico que envían mensajes en nombre de su dominio y pueden utilizar subdominios diferentes. Sin embargo, también es menos estricto y puede permitir que algunos correos electrónicos con discrepancias menores pasen, dejando potencialmente espacio para intentos de suplantación de identidad o phishing.

El modelo Estricto aplica una política de alineación más estricta, garantizando que el dominio exacto del encabezado "De" coincida con los dominios especificados en SPF y DKIM. Aunque esto proporciona una mayor protección contra la suplantación de identidad y el phishing, puede ser menos indulgente si su infraestructura de correo electrónico utiliza diferentes subdominios para fines legítimos. Implementar una alineación estricta puede requerir una configuración y supervisión cuidadosas para evitar el bloqueo de correos electrónicos legítimos.

¿Cómo supervisar los correos electrónicos con una alineación DMARC estricta?

PowerDMARC le ayuda a supervisar sus correos electrónicos mientras sigue una estricta política de alineación DMARC con la ayuda de nuestro analizador DMARC DMARC. Le ayudamos a rastrear sus fuentes de envío de correo electrónico, comprobar si hay fallos de alineación y optimizar su configuración de autenticación directamente desde nuestro panel de control.

Póngase en contacto hoy mismo para empezar.

¿Cómo comprobar la alineación DMARC de los correos electrónicos?

Para verificar la alineación DMARC de sus mensajes de correo electrónico, puede registrarse en el portal PowerDMARC y seguir los pasos que se indican a continuación: 

  • Ir a Informes en el menú principal 
  • Haga clic en DMARC Aggregate Reports y amplíe la lista desplegable
  • Seleccione Por resultado de la lista
  • Supervise sus fuentes de envío por resultado para ver la conformidad DMARC y los detalles de alineación de cada resultado individual.

Cuando se supera la alineación DMARC 

La alineación DMARC se aprobará para el correo electrónico si se aprueba la alineación del identificador DKIM y/o SPF, 

Por qué falla la alineación DMARC 

El fallo de alineación DMARC se produce cuando ni los identificadores DKIM ni SPF se alinean para el correo electrónico. Esto suele ocurrir cuando el dominio del encabezado Mail From no coincide ni con el dominio del encabezado return-path ni con el dominio del encabezado de firma DKIM. 

¿Qué es un dominio de retorno? 

Un dominio de ruta de retorno, también conocido como dirección de rebote o dominio Envelope From es el dominio que recibirá tus mensajes no entregados o rebotados. En situaciones en las que un correo electrónico se devuelve o no se entrega, el campo de encabezado oculto contiene el dominio Envelope From al que se devuelve el correo electrónico. Incluso si, como propietario de un dominio, utilizas servicios de terceros para enrutar tus mensajes de correo electrónico, el correo electrónico se puede rastrear hasta el dominio principal utilizando la dirección de rebote. Esta es una clara demarcación entre los mensajes enviados por malos actores y un remitente real que tiene buenas intenciones.  

Dominio SPF La alineación SPF durante una comprobación DMARC viene determinada por el dominio en la dirección de la ruta de retorno. 

¿Qué es un dominio de firma DKIM?

Un dominio de firma DKIM es el nombre de dominio utilizado durante la creación de firmas DKIM para sus mensajes, es decir, el dominio de firma. Cuando la validación de alineación de dominio DKIM está en proceso durante una comprobación DMARC, el remitente verifica si el dominio de firma DKIM está alineado con el dominio De. La alineación DMARC pasará en un modo DKIM relajado si el dominio de organización coincide. En un modo DKIM estricto, la alineación DMARC pasa sólo si se establece una coincidencia de dominio exacta. 

Cómo afecta el reenvío de correo electrónico a la alineación DMARC

El reenvío de servidores de correo electrónico y listas de discusión de correo electrónico introduce complicaciones en el camino de la alineación DMARC al reescribir la dirección "header from" a la dirección del servidor de reenvío, así como al incluir nuevos elementos en el cuerpo y contenido del mensaje. Esto provoca fallos en la alineación SPF y DKIM debido a que la identidad del dominio Mail From no coincide con la dirección de rebote reescrita y el contenido del mensaje alterado. 

¿Cómo controlar los fallos de alineación?

Para supervisar la alineación, puede activar los informes agregados y los informes forenses (informes de fallos), que le ayudarán a supervisar y cumplir sus objetivos de alineación, y a solucionar los problemas de entregabilidad con mayor rapidez.

Últimos comentarios de Maitham Al Lawati (ver todos)
Seguridad web 101 - Buenas prácticas y solucionesSeguridad web 101 - Buenas prácticas y solucionesGoogle ARCGoogle incluye ARC en las directrices para remitentes de correo electrónico de 2024