Cómo configurar DMARC para Office 365: Guía paso a paso
por
Tiempo de lectura: 11 min
Microsoft admite y fomenta DMARC para los usuarios de Office 365, lo que les permite adoptar protocolos de autenticación de correo electrónico de forma unánime en todos sus dominios registrados. En este blog explicamos los procesos para configurar DMARC para Office 365 para validar cualquier correo electrónico de Office 365 que tenga:
- Direcciones de correo electrónico en línea con Microsoft
- Dominios personalizados añadidos en el centro de administración
- Dominios aparcados o inactivos, pero registrados
En el segundo trimestre de 2023, varias fuentes señalaron a Microsoft como la marca más suplantada en estafas de phishing. Protocolos como DMARC son imprescindibles para reforzar tu mecanismo de defensa.
Puntos clave
- DMARC es esencial para mejorar la seguridad del correo electrónico e impide la suplantación de dominios y los abusos de phishing.
- La configuración de DMARC requiere la existencia de registros SPF o DKIM para una autenticación óptima del correo electrónico.
- Supervisar y ajustar la política DMARC de ninguno a rechazar es crucial para mejorar gradualmente la seguridad del correo electrónico.
- Incluso los dominios inactivos deberían tener DMARC configurado para evitar actividades de correo electrónico no autorizadas.
- PowerDMARC ofrece funciones avanzadas de elaboración de informes y supervisión que mejoran la eficacia de DMARC en Office 365.
Descubramos cómo DMARC en Office 365 ayuda a prevenir las amenazas sofisticadas del correo electrónico.
Cómo configurar DMARC para Office 365
DMARC o Domain-based Message Authentication, Reporting, and Conformance existe como un registro TXT en el DNS de su dominio. DMARC actúa como defensa principal contra las amenazas transmitidas por correo electrónico que se originan en su propio dominio. Antes de configurar DMARC, su dominio debe contener registros para SPF o DKIM o, mejor aún, ambos, para una protección avanzada.
Si utiliza un dominio personalizado, a continuación se indican los pasos para crear su registro DMARC. Tenga en cuenta que no es obligatorio configurar tanto SPF como DKIM para configurar DMARC. Sin embargo, se recomienda añadir una capa adicional de protección.
¡Simplifique DMARC para Office 365 con PowerDMARC!
Aspectos a tener en cuenta antes de empezar
Según los documentos de documentos de Microsoft:
- Si utiliza MOERA (Microsoft Online Email Routing Address), que debe terminar con onmicrosoft.com, SPF y DKIM ya estarán configurados para ello. Sin embargo, tendrá que crear sus registros DMARC utilizando el centro de administración de Microsoft 365.
- Si utiliza un dominio personalizado como example.com, tendrá que configurar manualmente SPF, DKIM y DMARC para su dominio.
- Para sus dominios aparcados (dominios inactivos), Microsoft recomienda que se asegure de que especifica explícitamente que no se deben enviar correos electrónicos desde ellos. De lo contrario, estos dominios podrían utilizarse en ataques de suplantación de identidad y phishing.
- Para los mensajes reenviados o modificados en tránsito, es esencial que configure ARC. Esto ayuda a preservar las cabeceras originales de autenticación del correo electrónico a pesar de las modificaciones, para una autenticación precisa.
Paso 1: Identifique fuentes de correo electrónico válidas para su dominio
Se trata de las direcciones IP de origen (incluidos terceros) a las que desea permitir que envíen correos electrónicos en su nombre.
Paso 2: Configurar SPF para su dominio
Ahora debe configurar SPF para la verificación del remitente. Para ello, cree un registro SPF TXT que incluya todas sus fuentes de envío válidas, incluidos los proveedores de correo electrónico externos. Puede registrarse en PowerDMARC de forma gratuita y utilizar nuestra herramienta generadora de registros SPF para crear su registro.
Paso 3: Configure DKIM para Office 365 en su dominio
Necesitará tener configurado SPF o DKIM para su dominio para poder habilitar DMARC Office 365. Le recomendamos que configure DKIM y DMARC en Office 365 para dar una capa adicional de seguridad a los correos electrónicos de tu dominio. Puede registrarse en PowerDMARC de forma gratuita y utilizar nuestra herramienta generadora de registros DKIM para crear su registro.
Paso 4: Crear un registro DMARC TXT
Puede utilizar el generador de registros DMARC gratuito de PowerDMARC generador de registros DMARC para este paso. Genere un registro al instante con la sintaxis correcta para publicarlo en su DNS y configurar DMARC para su dominio.
Tenga en cuenta que sólo una política de aplicación de rechazar puede prevenir eficazmente los ataques de suplantación de identidad. Le recomendamos que comience con una política ninguno y supervise regularmente el tráfico de correo electrónico. Haga esto durante algún tiempo antes de pasar finalmente a la aplicación.
Para su registro DMARC, defina su modo de política (ninguno/cuarentena/rechazar), y una dirección de correo electrónico en el campo "rua" si desea recibir informes DMARC.
| Política DMARC | Tipo de póliza | Sintaxis | Acción |
|---|---|---|---|
| ninguno | relajado/sin acción/permisivo | p=ninguno; | No realizar ninguna acción contra los mensajes que no superen la autenticación, es decir, entregarlos. |
| cuarentena | obligatorio | p=cuarentena; | Ponga en cuarentena los mensajes que no superen el DMARC |
| rechace | obligatorio | p=rechazar; | Descartar mensajes que no superen DMARC |
La sintaxis de su registro DMARC puede tener este aspecto:
v=DMARC1; p=reject; rua=mailto:[email protected];
Este registro tiene una política aplicada de "rechazar" y tiene activado el informe agregado DMARC para el dominio.
Pasos para agregar un registro DMARC de Office 365 mediante el Centro de administración de Microsoft
Para agregar su registro DMARC Office 365 para dominios MOERA (dominios *onmicrosoft.com)estos son los pasos:
1. Inicie sesión en el centro de administración de Microsoft
2. Vaya a Mostrar todo > Configuración > Dominios
3. Selecciona tu dominio *onmicrosoft.com de la lista de dominios de la página Dominios para abrir la página Detalles del dominio.
4. Haga clic en la pestaña Registros DNS de esta página y seleccione + Añadir registro
5. Aparecerá un cuadro de texto para añadir un nuevo registro DMARC, con varios campos. A continuación se indican los valores que debe rellenar para los campos específicos:
Tipo: TXT
Nombre: _dmarc
TTL: 1 hora
Valor: (pegue el valor del registro DMARC que ha creado)
6. Haga clic en Guardar
Añadir registro DMARC de Office 365 para su dominio personalizado
Si usted tiene un dominio personalizado como example.com, hemos cubierto una guía detallada sobre cómo configurar DMARC. Puede seguir los pasos de nuestra guía para configurar fácilmente el protocolo. Microsoft hace algunas recomendaciones valiosas al configurar DMARC para dominios personalizados. Estamos de acuerdo con estos consejos y también se los sugerimos a nuestros clientes. Veamos cuáles son:
- Cuando configure DMARC, comience con una política none (ninguna)
- Lenta transición a cuarentena y luego rechazo
- También puede mantener un valor de porcentaje (pct) bajo para el impacto de la política empezando por 10 y aumentándolo lentamente hasta 100.
- Asegúrese de tener activados los informes DMARC para supervisar regularmente sus canales de correo electrónico.
Añadir un registro DMARC de Office 365 para dominios inactivos
Hemos cubierto una guía detallada sobre cómo proteger sus dominios inactivos/estacionados con SPF, DKIM y DMARC. Puede seguir los pasos detallados allí, pero para una visión general rápida, incluso sus dominios inactivos necesitan tener DMARC configurado.
Sólo tiene que publicar un registro DMARC accediendo a su consola de gestión de DNS para el dominio inactivo. Si no tiene acceso a su DNS, póngase en contacto hoy mismo con su proveedor de DNS. Este registro puede configurarse para rechazar todos los mensajes procedentes de dominios inactivos que no superen el DMARC:
v=DMARC1; p=rechazar;
Configure DMARC para Office 365 de la forma correcta con PowerDMARC.
¿Por qué configurar DMARC para Office 365?
Office 365 incluye soluciones antispam y de seguridad del ya integradas en su suite de seguridad. Entonces, ¿por qué necesitaría una directiva DMARC en Office 365 para la autenticación? Esto se debe a que estas soluciones solo protegen contra los correos electrónicos de phishing enviados a su dominio. El protocolo de autenticación DMARC es su solución de prevención de phishing saliente. Permite a los propietarios de dominios especificar a los servidores de correo receptores cómo responder a los correos electrónicos enviados desde su dominio que no superan la autenticación. DMARC también reduce el riesgo de que mensajes legítimos acaben en la carpeta de spam.
DMARC utiliza dos prácticas de autenticación estándar: SPF y DKIM. Estas validan la autenticidad de los correos electrónicos. Su política DMARC en Office 365 puede ofrecer una mayor protección contra los ataques de suplantación de identidad y spoofing.
Configurar DMARC para los correos electrónicos empresariales es más importante que nunca en el escenario actual porque:
- Las agencias federales han emitido advertencias contra los hackers que se aprovechan de la ausencia o debilidad de las políticas DMARC. débiles de DMARC
- El cumplimiento de DMARC es obligatorio para remitentes masivos de Yahoo y Google
- En informe IC3 del FBI señala a Estados Unidos como el país más afectado por los ataques de phishing
- IBM informa que una de cada cinco empresas se ve afectada por filtraciones de datos debidas a la pérdida o el robo de credenciales.
¿Necesita realmente DMARC cuando utiliza Office 365?
Existe un error común entre las empresas: creen que Office 365 garantiza la seguridad frente al spam y los correos electrónicos fraudulentos. Sin embargo, en mayo de 2020, una serie de ataques de phishing a varias empresas de seguros de Oriente Medio. Los atacantes utilizaron Office 365, causando importantes pérdidas de datos y brechas de seguridad. Esto es lo que aprendimos de todo esto:
Razón 1: La solución de seguridad de Microsoft no es infalible
Por eso no basta con confiar en las soluciones de seguridad integradas de Microsoft. Hay que hacer esfuerzos externos para proteger su dominio puede ser un gran error.
Razón 2: Debe configurar DMARC para Office 365 para protegerse de los ataques salientes
Aunque las soluciones de seguridad integradas de Office 365 pueden ofrecer protección contra las amenazas del correo electrónico entrante y los intentos de suplantación de identidad, sigue siendo necesario asegurarse de que los mensajes salientes enviados desde su propio dominio se autentiquen de forma eficaz antes de llegar a las bandejas de entrada de sus clientes y socios. Aquí es donde DMARC para Office 365 entra en acción.
Razón 3: DMARC le ayudará a supervisar sus canales de correo electrónico
DMARC no sólo protege su dominio contra la suplantación directa de dominio y los ataques de phishing. También le ayuda a supervisar sus canales de correo electrónico. Tanto si aplica una política obligatoria como "rechazar/cuarentena", o una más flexible como "ninguna", puede realizar un seguimiento de los resultados de autenticación con los siguientes informes informes DMARC. Estos informes se envían a su dirección de correo electrónico o a un herramienta de análisis de informes DMARC DMARC. La supervisión garantiza que sus correos electrónicos legítimos se entregan correctamente.
¿Cómo funciona DMARC en Office 365?
Para implementar DMARC en Office 365, los propietarios de dominio deben publicar registros DMARC en su configuración DNS. Pueden especificar la directiva que prefieran (ninguna, cuarentena o rechazo). Incluso pueden configurar sus correos electrónicos suplantados de Office 365 para que sean rechazados por los servidores receptores.
Los administradores de Office 365 pueden gestionar la configuración de DMARC a través del centro de administración de Exchange o de comandos PowerShell.
También puedes configurar DMARC en Office 365 para solicitar informes sobre cómo terceros gestionan el correo electrónico de tu dominio.
¿Qué ocurre si la directiva DMARC no está activada en Office 365?
Si no activa DMARC para Office 365, corre el riesgo de que su dominio sea suplantado.
DMARC está diseñado para ayudar a proteger su dominio de la suplantación de identidad por parte de remitentes de correo electrónico que quieran acceder a sus sistemas de correo electrónico y utilizarlos para cometer fraude o phishing.
Sin una política definida, su registro es tan bueno como inactivo. Si no habilita una directiva DMARC para los correos electrónicos de Office 365, significa que cualquiera puede enviar correos electrónicos en nombre de su dominio, aunque no tenga permiso para hacerlo. También hace que le resulte imposible determinar quién envió el mensaje y si procedía o no de una fuente autorizada.
Como propietario de un dominio, siempre tiene que estar atento a los actores de amenazas que lanzan ataques de suplantación de dominio y ataques de phishing para utilizar su dominio o nombre de marca para llevar a cabo actividades maliciosas. Independientemente de la solución de intercambio de correo electrónico que utilice, proteger su dominio frente a la suplantación de identidad es imprescindible para garantizar la credibilidad de la marca y mantener la confianza entre su estimada base de clientes.
¿Por qué utilizar PowerDMARC con Office 365?
Microsoft Office 365 proporciona a los usuarios una gran cantidad de servicios y soluciones basados en la nube junto con filtros antispam integrados. Sin embargo, a pesar de las diversas ventajas, estos son los inconvenientes a los que podrías enfrentarte al utilizarlo desde el punto de vista de la seguridad:
- No hay solución para validar los mensajes salientes enviados desde su dominio
- No hay mecanismo de notificación de los correos electrónicos que no superan las comprobaciones de autenticación
- No hay visibilidad en su ecosistema de correo electrónico
- Sin panel de control para gestionar y supervisar el flujo de correo entrante y saliente
- No existe ningún mecanismo que garantice que su registro SPF está siempre por debajo del límite de 10 búsquedas.
Informes y supervisión de DMARC con PowerDMARC
PowerDMARC se integra a la perfección con Office 365 para ofrecer a los propietarios de dominios soluciones de autenticación avanzadas que protegen frente a sofisticados ataques de ingeniería social como BEC y la suplantación directa de dominios.
Cuando contrata PowerDMARC, está contratando una plataforma SaaS multiusuario que no sólo reúne todas las mejores prácticas de autenticación de correo electrónico (SPF, DKIM, DMARC, MTA-STSTLS-RPT y BIMI), sino que también proporciona un mecanismo de informes dmarc amplio y detallado, que ofrece una visibilidad completa de su ecosistema de correo electrónico. Informes DMARC en el panel de control de PowerDMARC se generan en dos formatos:
- Informes agregados
- Informes forenses
Nos hemos esforzado por mejorar su experiencia de autenticación resolviendo varios problemas del sector. Garantizamos el cifrado de sus informes forenses DMARC, así como la visualización de informes agregados en 7 vistas diferentes para mejorar la experiencia del usuario y la claridad.
PowerDMARC le ayuda a supervisar el flujo de correo electrónico y los fallos de autenticación, así como a crear poner en la lista negra direcciones IP maliciosas de todo el mundo. Nuestro analizador DMARC le ayuda a configurar DMARC correctamente para su dominio y a pasar de la supervisión a la aplicación en un abrir y cerrar de ojos. Esto puede ayudarle a habilitar DMARC en Office 365 sin preocuparse por las complejidades que conlleva.
Preguntas frecuentes sobre DMARC para Office 365
Revisión de contenidos y verificación de hechos
La información sobre el proceso de configuración de Office 365 DMARC se ha extraído de la documentación oficial de Microsoft. El documento puede actualizarse en el futuro en función de los cambios realizados por los desarrolladores en el portal de Microsoft. Las recomendaciones mencionadas en el artículo se basan en lo que ha funcionado para nuestros clientes en tiempo real y pueden ayudarte a ti también.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.
Últimos mensajes de Yunes Tarada (ver todos)
- Email Salting Attacks: Cómo el texto oculto burla la seguridad - 26 de febrero de 2025
- Aplanamiento del FPS: ¿Qué es y por qué lo necesitas? - 26 de febrero de 2025
- DMARC frente a DKIM: diferencias clave y cómo funcionan juntos - 16 de febrero de 2025
