Fases de implantación de DMARC: Qué esperar y cómo prepararse
Si desea mejorar la seguridad y la entregabilidad del correo electrónico de su organización, debe implantar DMARC.
Domain-based Message Authentication, Reporting, and Conformance (DMARC) es un protocolo de autenticación de correo electrónico diseñado para proteger los nombres de dominio de los ataques basados en el correo electrónico. DMARC ayuda a verificar las fuentes de correo electrónico con la ayuda de SPF y/o DKIM e impide la entrega de correos electrónicos no autorizados.
Las empresas necesitan saber cómo desplegar DMARC correctamente para sus dominios. Configurar DMARC es una tarea que requiere tiempo y experiencia si eres nuevo en la autenticación de correo electrónico. Para simplificarlo, hemos dividido el proceso en 5 fases de implementación de DMARC que le permitirán alcanzar el éxito. Empecemos.
¿Cómo preparar la implantación de DMARC?
Es necesario estar preparado antes de desplegar DMARC. A continuación se ofrece una descripción general de lo que debe hacer antes de iniciar el despliegue de DMARC.
Configurar SPF y DKIM para su dominio
Antes de DMARC, su dominio necesita Sender Policy Framework (SPF) o DomainKeys Identified Mail (DKIM). Los correos electrónicos deben autenticarse con SPF o DKIM antes de llegar a la comprobación DMARC. El despliegue de DMARC sin SPF o DKIM hará que su política DMARC sea ineficaz.
Como no hay ningún registro SPF o DKIM que validar, es probable que todos los correos electrónicos enviados desde tu dominio no pasen las comprobaciones DMARC. Dependiendo de su política DMARC (ninguno, cuarentena o rechazo), los correos electrónicos legítimos podrían ser marcados como spam, puestos en cuarentena o incluso rechazados por los servidores de correo receptores. Además, sin SPF ni DKIM, la implementación de DMARC no evitará la suplantación de identidad, ya que no existe ningún mecanismo de autenticación que impida a los actores maliciosos enviar correos electrónicos que parezcan proceder de su dominio.
Crear un buzón específico para recibir informes
Debe configurar un buzón de correo independiente en el que desee recibir todos sus informes DMARC. Un buzón de correo separado puede ayudar a mantener todos los informes DMARC en un solo lugar. De esta forma, podrá gestionarlos fácilmente y encontrarlos todos en un mismo lugar.
Para los clientes de PowerDMARC, este paso no es necesario. Ayudamos a nuestros clientes a gestionar y supervisar sus informes DMARC directamente en nuestro analizador de informes DMARC basado en la nube, sin tener que configurar un buzón independiente. Esto no sólo evita el desorden en la bandeja de entrada, sino que también ayuda a simplificar los datos DMARC de XML a información legible por humanos.
Obtenga los datos de inicio de sesión del host de su dominio
Si no gestiona el alojamiento de su dominio, tendrá que acceder a su consola de gestión de DNS y encontrar la configuración de DNS. En caso de que tengas algún problema con este paso, ponte en contacto con tu proveedor de alojamiento para que te ayude.
Compruebe si ya existe un registro DMARC
Normalmente, los proveedores de servicios de correo electrónico y los hosts de dominios no configuran DMARC por defecto. Sin embargo, se recomienda que compruebe si su dominio tiene previamente algún registro DMARC DNS TXT configurado en el DNS utilizando una herramienta de búsqueda DMARC. En caso de que su dominio ya tenga DMARC, no configure más de un registro para el mismo dominio. En su lugar, edite el registro existente si es necesario.
Asegúrese de que los proveedores de correo electrónico de terceros están debidamente autenticados
Puede que le sorprenda saber que la mayoría de los correos electrónicos enviados a través de sus proveedores de correo electrónico externos no pasan las comprobaciones SPF y DKIM. Esto se debe a la falta de alineación de los proveedores. Mientras que algunos proveedores pueden tener la configuración de seguridad automatizada habilitada para los clientes, eliminando la necesidad de configuraciones manuales de SPF o DKIM, ¡no todos lo hacen! Por eso debe asegurarse de configurar SPF o DKIM (o preferiblemente ambos) para sus proveedores de correo electrónico.
Aquí tiene algunas guías para configurar SPF y DKIM para algunos de los principales proveedores de servicios de correo electrónico:
- Configuración SPF y DKIM de Mailchimp
- Configuración SPF y DKIM de Cloudflare
- Configuración de Sendgrid SPF y DKIM
- Configuración de SPF y DKIM de Godaddy
Despliegue de DMARC en 5 fases
Ahora ya está listo para desplegar DMARC. Aquí tienes una guía detallada sobre las 5 fases más importantes del despliegue de DMARC:
1. Decidir una política DMARC
El primer paso en la implementación de DMARC es seleccionar el modo de política. Las políticas DMARC especifican la acción que deben tomar los receptores de correo electrónico cuando DMARC falla para un correo electrónico enviado desde su dominio. Analicémoslas brevemente:
Ninguno
La política "p=none" es una política de no acción. El proveedor de buzones reenvía el correo electrónico de forma normal al destinatario incluso si el mensaje falla DMARC. Idealmente, "p=none" es la primera política que debe implementar. Con la política establecida en "none", los propietarios de dominios pueden seguir controlando sus informes DMARC.
Cuarentena
Esta política implica que los correos electrónicos no autenticados deben enviarse a la carpeta de cuarentena del destinatario. Esto ayuda a los receptores a revisar los correos sospechosos antes de aceptarlos como legítimos.
Rechazar
Este debería ser el objetivo final de su despliegue DMARC. Esto significa que los mensajes que no están autenticados con DMARC no se entregan. Estos correos son rechazados y se envía un mensaje de rebote al remitente.
2. Publicar/actualizar su registro TXT
Después de decidir su política DMARC, necesita crear y publicar su registro DMARC. Esta es la fase más importante del despliegue de DMARC.
- El primer paso es crear un registro DMARC TXT. Para ello, puede utilizar una herramienta generadora de registros DMARC. Una vez que abra la herramienta, elija su política DMARC:
Defina la dirección de correo electrónico a su buzón dedicado para recibir sus Informes Agregados DMARC:
Haga clic en "Generar registro DMARC"para crear su registro TXT. Copie este registro:
- Acceda a su configuración DNS en su consola de gestión DNS.
- Añada un nuevo registro TXT en las DNS de su dominio.
Tipo de registro: TXT
Anfitrión: _dmarc
Valor:(pegar el valor del registro)
- Guarde los cambios realizados.
Para los clientes de PowerDMARC, la implantación no supone ningún esfuerzo gracias a nuestro asistente de configuración. Solo se tarda unos minutos en implantar correctamente el protocolo, con la ayuda de expertos durante todo el proceso.
3. Analice y revise sus informes
Después de configurar su registro DMARC, recibirá informes en su buzón. Los informes DMARC ofrecen datos completos sobre los correos electrónicos que han superado o no las comprobaciones de autenticación SPF o DKIM.
Los informes generados están en forma de lenguaje de marcado extensible (XML) sin procesar y son difíciles de leer. Se pueden hacer más fáciles de entender con la herramienta de análisis DMARC de PowerDMARC.
Debe utilizar los datos de su informe DMARC para:
- Supervise sus fuentes de envío
- Supervise la entregabilidad y el tráfico de su correo electrónico
- Detectar fallos de SPF, DKIM y DMARC e investigar el motivo de los mismos.
4. Transición gradual a políticas de obligado cumplimiento
Su política DMARC debe modificarse gradualmente para que la implantación de DMARC sea eficaz. De este modo, podrá aprovechar el tiempo para recopilar y analizar los informes DMARC.
Si se parte de "p=ninguno", todos los mensajes de correo electrónico se entregarán normalmente. Sin embargo, no ofrece ninguna protección contra el fraude por correo electrónico. Puede revisar sus informes durante unas semanas antes de implantar la política "p=cuarentena". Por último, una vez que esté seguro de empezar a rechazar mensajes no autenticados, puede establecer su política en "p=reject". Tenga en cuenta que el despliegue gradual de DMARC es crucial para garantizar que no se enfrenta a problemas de entregabilidad del correo electrónico en políticas aplicadas como "rechazar".
5. Supervise continuamente su tasa de éxito de autenticación
Las nuevas políticas de correo electrónico de Google y Yahoo han hecho necesario supervisar sus índices de éxito de autenticación. Sin la implementación adecuada de protocolos de autenticación de correo electrónico, la entregabilidad de su correo electrónico y la reputación de su dominio pueden verse afectadas.
Es importante utilizar un proveedor de servicios DMARC gestionado de confianza como PowerDMARC, que ha ayudado a más de 2000 organizaciones a implementar DMARC con éxito en todos sus dominios. Las empresas que han completado todas las fases anteriores de despliegue de DMARC tienden a generar un alto retorno de la inversión a través de sus campañas de marketing por correo electrónico, prevenir las violaciones de datos y conservar la confianza de los clientes.
Cómo PowerDMARC simplifica la implantación de DMARC para MSP y usuarios
El despliegue eficaz de DMARC es necesario para las organizaciones que desean proteger sus dominios de correo electrónico de los ciberataques. Si sigue las fases correctamente, podrá configurar su dominio de forma gradual pero eficaz para combatir una serie de sofisticadas amenazas basadas en el correo electrónico. El proceso puede parecer complejo y lento al principio, pero con nuestra guía de 5 pasos y la recomendación de herramientas automatizadas, esperamos habértelo hecho mucho más manejable.
Para empezar a utilizar PowerDMARC reserve una demostración con uno de nuestros expertos en implantación de DMARC.
- 5 tipos de estafas por correo electrónico a la Seguridad Social y cómo prevenirlas - 3 de octubre de 2024
- PowerDMARC obtiene la insignia de líder de otoño 2024 G2 en software DMARC - 27 de septiembre de 2024
- 8 consejos de email marketing seguro para empresas online - 25 de septiembre de 2024