• Explicación de "DMARC Best Guess Pass": Qué significa y cómo solucionarlo

Explicación de "DMARC Best Guess Pass": Qué significa y cómo solucionarlo

Blog, DMARC

¿Le confunde el término «DMARC Best Guess Pass»? Descubra qué significa, por qué se produce, cuáles son los riesgos y cómo solucionar los problemas de Best Guess Pass para proteger su correo electrónico.

por YunesTarada

Última actualización:
5 Tiempo de lectura: 5 minutos
Explicación de "DMARC Best Guess Pass": Qué significa y cómo solucionarlo
Índice-

Puntos clave

  • "Pasa la mejor suposición" es un término informal en los informes de autenticación de correo electrónico que indica que los mensajes han pasado las comprobaciones SPF y/o DKIM, pero no existe ningún registro DMARC.
  • No se define en la especificación oficial DMARC (RFC 7489).
  • Microsoft Exchange Online Protection lo utiliza para mostrar la alineación con el dominio del remitente.
  • Gmail y algunos proveedores aplican la "mejor suposición" principalmente al SPF sintetizando un registro que falta.
  • La presencia de "Best Guess Pass" pone de manifiesto una registro DMARC ausentecreando una brecha de seguridad.
  • Publicación de un DMARC con una política clara (ninguno, cuarentena o rechazo) evita este problema y refuerza la protección del dominio. evita este problema y refuerza la protección del dominio.

"Best Guess Pass" no es oficial DMARC y no aparece en la especificación DMARC (RFC 7489). El término proviene del modo en que algunos servidores de correo receptores, como Microsoft Exchange Online Protection, gestionan los correos electrónicos que superan las comprobaciones SPF o DKIM pero carecen de un registro DMARC. En estos casos, el servidor interpreta la autenticación como válida y la etiqueta como "best guess pass", lo que significa que si DMARC estuviera configurado, el correo electrónico habría pasado. Aunque la frase "best guess" se relaciona más comúnmente con SPF, su aparición en los informes DMARC apunta a un problema crítico: la ausencia de una política DMARC. Reconocer esta carencia es esencial para mejorar la seguridad del correo electrónico.

No confundir:

  • Microsoft → etiqueta los informes DMARC con dmarc=bestguesspass.
  • Gmail → sintetiza los registros SPF que faltan (no DMARC).

Cómo funciona DMARC en situaciones normales

Para entender el problema de la "mejor suposición", recapitulemos rápidamente cómo se supone que funciona DMARC. DMARC se basa en otros dos protocolos de autenticación de correo electrónico, SPF y DKIM:

  • SPF: Se trata de un registro DNS que enumera las direcciones IP que tienen derecho a enviar correo electrónico en nombre de su dominio. Puede utilizar un generador SPF gratuito para crear tu registro SPF si no tienes uno. Si tienes uno pero no estás seguro de su exactitud, utiliza un comprobador SPF.
  • DKIM: Este protocolo proporciona una firma criptográfica que comprueba si un mensaje ha sido o no manipulado en tránsito. A generador de registros DKIM y comprobador de registros DKIM pueden ayudarle si tiene problemas para configurar DKIM.

A continuación, DMARC comprueba que al menos uno de estos métodos (SPF o DKIM) no sólo se apruebe, sino que además coincida con el dominio de la dirección "De" (es decir, la que ve el destinatario).

Basándose en esta comprobación, un receptor que cumple con DMARC produce uno de los dos resultados oficiales (pero los detalles de la información pueden diferir):

  • Aprobado: El correo electrónico está autenticado y alineado.
  • Fallo: El correo electrónico no está autenticado o alineado.

Su dirección política DMARC da instrucciones al receptor sobre cómo tratar los correos electrónicos que no superan la comprobación:

  • p=ninguno: Sólo supervisar. Entregar el correo electrónico. Tenga en cuenta que, mientras los correos electrónicos se siguen entregando, comienzan los informes agregados, que es la principal ventaja de p=none.
  • p=cuarentena: Envía el correo electrónico a la carpeta de correo no deseado o spam.
  • p=rechazar: Bloquea el correo electrónico por completo.

¿Qué provoca una "DMARC Best Guess Pass"?

El resultado "Best Guess Pass" suele aparecer cuando no existe ningún registro DMARC y se superan las comprobaciones SPF/DKIM subyacentes.

Este es el escenario típico:

  1. Usted u otra persona autorizada envía un correo electrónico desde su dominio.
  2. Su dominio tiene registros SPF y/o DKIM válidos.
  3. El servidor receptor comprueba SPF/DKIM, y pasan con la alineación adecuada.
  4. A continuación, el receptor busca un registro DMARC para ver qué política aplicar.
  5. No encuentra ningún registro DMARC.
  6. Dado que la autenticación subyacente ha pasado, el receptor hace una "mejor suposición" y deja pasar el correo electrónico sin tomar ninguna acción DMARC. Esto se registra como algo parecido a dmarc=bestguesspass.

Se trata de un mecanismo alternativo. El proveedor intenta evitar el bloqueo de correo electrónico potencialmente legítimo solo porque falta un registro DMARC, pero pone de manifiesto un importante descuido en la configuración.

¿Por qué es un problema el "pase de la mejor suposición"?

¿Por-qué-el-"Mejor-Adivinanza"-es-un-Problema?

Confiar en un "Best Guess Pass" es arriesgado y socava el propósito de DMARC.

Crea confusión

Este estado no oficial hace que los informes DMARC sean más difíciles de interpretar. Puedes pensar que tu dominio está protegido cuando no lo está.

Debilita la visibilidad de la seguridad 

Un "Best Guess Pass" no le dice nada sobre correos electrónicos fraudulentos. Al no tener una política DMARC, no recibirá informes sobre intentos de suplantación de identidad, lo que le dejará ciego ante los ataques dirigidos a su dominio.

Permite el phishing y la suplantación de identidad

Sin p=cuarentena o p=rechazar no tienes defensa. Los estafadores pueden seguir suplantando su dominio, y los servidores receptores que no realicen esta comprobación de "mejor suposición" (que son la mayoría) no tendrán instrucciones para bloquear los correos fraudulentos.

Cómo solucionar los problemas de "DMARC Best Guess Pass

La solución es sencilla: publique un registro DMARC para su dominio. Esto ayudará a evitar conjeturas y le dirá al mundo exactamente qué hacer con su correo electrónico.

1. Configure correctamente SPF y DKIM

Antes de crear un registro DMARC, asegúrese de que sus registros SPF y DKIM están correctamente configurados. Deben incluir todos los servicios de envío legítimos.

2. Verificar la alineación de los dominios

Asegúrese de que el dominio utilizado para SPF (el dominio Return-Path) y/o el dominio en la firma DKIM (la etiqueta d=) coincide con el dominio de la dirección "De".

3. Publicar un registro DMARC

Comience con una política de supervisión (p=ninguno). Esto le permite recopilar datos sin afectar a la entregabilidad de su correo electrónico. Un registro inicial básico tiene este aspecto: v=DMARC1; p=none; rua=mailto:[email protected];

  • Coloque este registro TXT en _dmarc.sudominio.com.

4. Utilice una plataforma de informes DMARC

Los informes DMARC sin procesar son archivos XMLy son bastante difíciles de leer. A plataforma de supervisión convertirá estos informes en cuadros de mando legibles. Te dará una visión clara de quién está enviando correos electrónicos desde tu dominio.

Buenas prácticas para evitar falsos aprobados

Buenas prácticas para evitar los resultados falsos

Auditoría de registros DNS

Compruebe siempre sus registros SPF, DKIM y DMARC para asegurarse de que son precisos y están actualizados.

Control diario de los informes DMARC

Vigile de cerca sus informes DMARC para detectar nuevas fuentes de envío o posibles fallos de autenticación.

Aplicar una política más estricta

Una vez que esté seguro de que todos sus correos electrónicos legítimos pasan las comprobaciones DMARC, puede pasar gradualmente a una política más estricta como p=cuarentena y, finalmente, p=rechazar. Esto le ayudará a bloquear activamente los correos fraudulentos.

Formar equipos

Forme a sus equipos informáticos y de seguridad para que sepan interpretar los datos DMARC y responder a posibles amenazas.

Resumen

"Best Guess Pass" no es una señal de correo electrónico seguro; es una señal de advertencia. Significa que la seguridad del correo electrónico de tu dominio es incompleta y depende del comportamiento no estándar de unos pocos proveedores de buzones de correo. Debes ir más allá de las conjeturas y configurar DMARC para tomar el control de la reputación y la seguridad de tu dominio.

Nuestro equipo de expertos de PowerDMARC puede ayudarle. Nos encargamos de todo lo relacionado con DMARC para que pueda comunicarse con seguridad, no con confusión. Póngase en contacto hoy mismo.

Preguntas frecuentes

¿Por qué veo en mis informes "Best Guess Pass"? 

Es probable que vea este resultado en los informes de Microsoft 365 o Exchange. Significa que el dominio de envío tiene SPF/DKIM configurado, pero no tiene un registro DMARC. El sistema indica que el correo electrónico habría pasado DMARC si existiera una política.

¿Es "Best Guess Pass" un riesgo para la seguridad? 

Sí, significa que no existe una política de aplicación de DMARC (cuarentena o rechazo). Sin aplicación (cuarentena/rechazo), no puede ordenar a los receptores que bloqueen o desvíen correos electrónicos no autorizados.

¿Cómo puedo evitar que aparezca en los informes la mención "Best Guess Pass"?

El propietario del dominio remitente debe publicar un registro DMARC válido en sus DNS. Si es tu dominio, sigue los pasos de la sección 5.

¿Significa "Best Guess Pass" que mis correos electrónicos son seguros? 

No. Significa que tu dominio carece de una capa crítica de seguridad. Tus correos electrónicos no pueden ser seguros si no tienes un registro DMARC correctamente configurado.

Últimos mensajes de Yunes Tarada (ver todos)
Última actualización:
Phishing industrial: cómo los ataques de phishing se dirigen a distintos sectoresindustria-phishingMigración de su proveedor deMARCMigración de su proveedor DMARC: Una guía práctica y de valor añadido