Microsoft apoya y anima a los usuarios de Office 365 a adoptar protocolos de autenticación de correo electrónico como DMARC de forma unánime en todos sus dominios registrados. En este blog explicamos los procesos para configurar DMARC con el fin de validar sus correos electrónicos de Office 365 para aquellos que tengan:
- Direcciones de correo electrónico en línea con Microsoft
- Dominios personalizados añadidos en el centro de administración
- Dominios aparcados o inactivos, pero registrados
A partir de diciembre de 2023, los informes sugieren que el número de usuarios activos de Office 365 en todo el mundo superaba las 9 millones de personas al día, con 345 millones de miembros de pago. En el segundo trimestre de 2023, varias fuentes señalaron a Microsoft como la marca más suplantada en estafas de phishing. Los ciberdelincuentes llevan a cabo fraudes por correo electrónico burlando las soluciones de seguridad integradas de Microsoft, que por sí solas no son lo suficientemente fuertes como para prevenir todos los ataques. Por ello, protocolos adicionales como DMARC son imprescindibles para reforzar su mecanismo de defensa.
Averigüemos cómo configurar DMARC Office 365 para evitar amenazas sofisticadas en el correo electrónico.
¿Por qué configurar Office 365 DMARC?
Office 365 incluye soluciones antispam y de seguridad del ya integradas en su paquete de seguridad. Entonces, ¿por qué necesitaría Office 365 DMARC para la autenticación? Esto se debe a que estas soluciones solo protegen contra los correos electrónicos de phishing enviados a su dominio. El protocolo de autenticación DMARC es su solución de prevención de phishing saliente. Permite a los propietarios de dominios especificar a los servidores de correo receptores cómo responder a los correos electrónicos enviados desde su dominio que no superan la autenticación. DMARC también reduce el riesgo de que mensajes legítimos acaben en la carpeta de spam.
DMARC utiliza dos prácticas de autenticación estándar: SPF y DKIM. Estas validan la autenticidad de los correos electrónicos. Su política DMARC en Office 365 puede ofrecer una mayor protección contra los ataques de suplantación de identidad y spoofing.
Configurar DMARC para los correos electrónicos de Office 365 es más importante que nunca en el escenario actual porque:
- Las agencias federales han emitido advertencias contra los hackers que se aprovechan de la ausencia o debilidad de las políticas DMARC. débiles de DMARC
- El cumplimiento de DMARC es obligatorio para remitentes masivos de Yahoo y Google
- En informe IC3 del FBI señala a Estados Unidos como el país más afectado por los ataques de phishing
- IBM informa que una de cada cinco empresas se ve afectada por filtraciones de datos debidas a la pérdida o el robo de credenciales.
¿Necesita realmente DMARC cuando utiliza Office 365?
Existe un error común entre las empresas: creen que Office 365 garantiza la seguridad frente al spam y los correos electrónicos fraudulentos. Sin embargo, en mayo de 2020, una serie de ataques de phishing a varias empresas de seguros de Oriente Medio. Los atacantes utilizaron Office 365, causando importantes pérdidas de datos y brechas de seguridad. Esto es lo que aprendimos de todo esto:
Razón 1: La solución de seguridad de Microsoft no es infalible
Por eso no basta con confiar en las soluciones de seguridad integradas de Microsoft. Hay que hacer esfuerzos externos para proteger su dominio puede ser un gran error.
Razón 2: Debe configurar DMARC Office 365 para protegerse de los ataques salientes
Aunque las soluciones de seguridad integradas de Office 365 pueden ofrecer protección contra las amenazas del correo electrónico entrante y los intentos de suplantación de identidad, sigue siendo necesario asegurarse de que los mensajes salientes enviados desde su propio dominio se autentiquen de forma eficaz antes de llegar a las bandejas de entrada de sus clientes y socios. Aquí es donde DMARC para Office 365 entra en acción.
Razón 3: DMARC le ayudará a supervisar sus canales de correo electrónico
DMARC no sólo protege su dominio contra la suplantación directa de dominio y los ataques de phishing. También le ayuda a supervisar sus canales de correo electrónico. Tanto si aplica una política obligatoria como "rechazar/cuarentena", como si aplica una política más flexible como "ninguna", puede realizar un seguimiento de los resultados de autenticación mediante informes DMARC. Estos informes se envían a su dirección de correo electrónico o a un herramienta de análisis de informes DMARC DMARC. La supervisión garantiza que sus correos electrónicos legítimos se entregan correctamente.
¿Cómo funciona DMARC en Office 365?
Para implementar DMARC en Office 365, los propietarios de dominio deben publicar registros DMARC en su configuración DNS. Pueden especificar la directiva que prefieran (ninguna, cuarentena o rechazo). Incluso pueden configurar sus correos electrónicos suplantados de Office 365 para que sean rechazados por los servidores receptores.
Los administradores de Office 365 pueden gestionar la configuración de DMARC a través del centro de administración de Exchange o de comandos PowerShell.
También puedes configurar DMARC Office 365 para solicitar informes sobre cómo terceros gestionan el correo electrónico de tu dominio.
Ahora vamos a ver cómo implementar DMARC Office 365:
Aspectos a tener en cuenta antes de empezar
Según los documentos de documentos de Microsoft:
- Si utiliza MOERA (Microsoft Online Email Routing Address), que debe terminar con onmicrosoft.com, SPF y DKIM ya estarán configurados para ello. Sin embargo, tendrá que crear sus registros DMARC utilizando el centro de administración de Microsoft 365.
- Si utiliza un dominio personalizado como example.com, tendrá que configurar manualmente SPF, DKIM y DMARC para su dominio.
- Para sus dominios aparcados (dominios inactivos), Microsoft recomienda que se asegure de que especifica explícitamente que no se deben enviar correos electrónicos desde ellos. De lo contrario, estos dominios podrían utilizarse en ataques de suplantación de identidad y phishing.
- Para los mensajes reenviados o modificados en tránsito, es esencial que configure ARC. Esto ayuda a preservar las cabeceras originales de autenticación del correo electrónico a pesar de las modificaciones, para una autenticación precisa.
¿Cómo configurar DMARC para Office 365?
DMARC o Domain-based Message Authentication, Reporting, and Conformance existe como un registro TXT en el DNS de su dominio. DMARC actúa como defensa principal contra las amenazas transmitidas por correo electrónico que se originan en su propio dominio. Antes de configurar DMARC, su dominio debe contener registros para SPF o DKIM o, mejor aún, ambos, para una protección avanzada.
Si utiliza un dominio personalizado, a continuación se indican los pasos para crear su registro DMARC. Tenga en cuenta que no es obligatorio configurar tanto SPF como DKIM para configurar DMARC. Sin embargo, se recomienda añadir una capa adicional de protección.
Paso 1: Identifique fuentes de correo electrónico válidas para su dominio
Se trata de las direcciones IP de origen (incluidos terceros) a las que desea permitir que envíen correos electrónicos en su nombre.
Paso 2: Configurar SPF para su dominio
Ahora debe configurar SPF para la verificación del remitente. Para ello, cree un registro SPF TXT que incluya todas sus fuentes de envío válidas, incluidos los proveedores de correo electrónico externos. Puede registrarse en PowerDMARC de forma gratuita y utilizar nuestra herramienta generadora de registros SPF para crear su registro.
Paso 3: Configure DKIM para su dominio
Para habilitar DMARC Office 365 necesita tener configurado SPF o DKIM para su dominio. Recomendamos configurar DKIM para dar una capa adicional de seguridad a los correos electrónicos de tu dominio. Puede registrarse en PowerDMARC de forma gratuita y utilizar nuestra herramienta generadora de registros SPF para crear su registro.
Paso 4: Crear un registro DMARC TXT
Puede utilizar el generador de registros DMARC gratuito de PowerDMARC generador de registros DMARC para este paso. Genere un registro al instante con la sintaxis correcta para publicarlo en su DNS y configurar DMARC para su dominio.
Tenga en cuenta que sólo una política de aplicación de rechazar puede prevenir eficazmente los ataques de suplantación de identidad. Le recomendamos que comience con una política ninguno y supervise regularmente el tráfico de correo electrónico. Haga esto durante algún tiempo antes de pasar finalmente a la aplicación.
Para su registro DMARC, defina su modo de política (ninguno/cuarentena/rechazar), y una dirección de correo electrónico en el campo "rua" si desea recibir informes DMARC.
dirección de correo electrónico en el campo "rua" si desea recibir informes DMARC.
| Política DMARC | Tipo de póliza | Sintaxis | Acción |
|---|---|---|---|
| ninguno | relajado/sin acción/permisivo | p=ninguno; | No realizar ninguna acción contra los mensajes que no superen la autenticación, es decir, entregarlos. |
| cuarentena | obligatorio | p=cuarentena; | Ponga en cuarentena los mensajes que no superen el DMARC |
| rechace | obligatorio | p=rechazar; | Descartar mensajes que no superen DMARC |
La sintaxis de su registro DMARC puede tener este aspecto:
v=DMARC1; p=reject; rua=mailto:reporting@example.com;
Este registro tiene una política aplicada de "rechazar" y tiene activado el informe agregado DMARC para el dominio.
Pasos para agregar un registro DMARC de Office 365 mediante el Centro de administración de Microsoft
Para agregar su registro DMARC de Office 365 para dominios MOERA (dominios *onmicrosoft.com)estos son los pasos:
1. Inicie sesión en el centro de administración de Microsoft
2. Vaya a Mostrar todo > Configuración > Dominios
3. Selecciona tu dominio *onmicrosoft.com de la lista de dominios de la página Dominios para abrir la página Detalles del dominio.
4. Haga clic en la pestaña Registros DNS de esta página y seleccione + Añadir registro
5. Aparecerá un cuadro de texto para añadir un nuevo registro DMARC, con varios campos. A continuación se indican los valores que debe rellenar para los campos específicos:
Tipo: TXT
Nombre: _dmarc
TTL: 1 hora
Valor: (pegue el valor del registro DMARC que ha creado)
6. Haga clic en Guardar
Añadir registro DMARC de Office 365 para su dominio personalizado
Si usted tiene un dominio personalizado como example.com, hemos cubierto una guía detallada sobre cómo configurar DMARC. Puede seguir los pasos de nuestra guía para configurar fácilmente el protocolo. Microsoft hace algunas recomendaciones valiosas al configurar DMARC para dominios personalizados. Estamos de acuerdo con estos consejos y también se los sugerimos a nuestros clientes. Veamos cuáles son:
- Cuando configure DMARC, comience con una política none (ninguna)
- Lenta transición a cuarentena y luego rechazo
- También puede mantener un valor de porcentaje (pct) bajo para el impacto de la política empezando por 10 y aumentándolo lentamente hasta 100.
- Asegúrese de tener activados los informes DMARC para supervisar regularmente sus canales de correo electrónico.
Añadir registro DMARC de Office 365 para dominios inactivos
Hemos cubierto una guía detallada sobre cómo proteger sus dominios inactivos/estacionados con SPF, DKIM y DMARC. Puede seguir los pasos detallados allí, pero para una visión general rápida, incluso sus dominios inactivos necesitan tener DMARC configurado.
Simplemente publique un registro DMARC accediendo a su consola de gestión de DNS para el dominio inactivo. Si no tiene acceso a su DNS, póngase en contacto hoy mismo con su proveedor de DNS. Este registro puede configurarse para rechazar todos los mensajes procedentes de dominios inactivos que no superen el DMARC:
v=DMARC1; p=rechazar;
¿Qué ocurre si la directiva DMARC no está activada en Office 365?
Si no activa la directiva DMARC de Office 365, corre el riesgo de que su dominio sea suplantado.
DMARC está diseñado para ayudar a proteger su dominio de la suplantación de identidad por parte de remitentes de correo electrónico que quieran acceder a sus sistemas de correo electrónico y utilizarlos para cometer fraude o phishing.
Sin una política definida, su registro es tan bueno como inactivo. Si no habilita una directiva DMARC para los correos electrónicos de Office 365, significa que cualquiera puede enviar correos electrónicos en nombre de su dominio, aunque no tenga permiso para hacerlo. También hace que le resulte imposible determinar quién envió el mensaje y si procedía o no de una fuente autorizada.
Como propietario de un dominio, siempre tiene que estar atento a los actores de amenazas que lanzan ataques de suplantación de dominio y ataques de phishing para utilizar su dominio o nombre de marca para llevar a cabo actividades maliciosas. Independientemente de la solución de intercambio de correo electrónico que utilice, proteger su dominio frente a la suplantación de identidad es imprescindible para garantizar la credibilidad de la marca y mantener la confianza entre su estimada base de clientes.
5 razones por las que necesitas PowerDMARC mientras usas Microsoft Office 365
Microsoft Office 365 proporciona a los usuarios una gran cantidad de servicios y soluciones basados en la nube junto con filtros antispam integrados. Sin embargo, a pesar de las diversas ventajas, estos son los inconvenientes a los que podrías enfrentarte al utilizarlo desde el punto de vista de la seguridad:
- No hay solución para validar los mensajes salientes enviados desde su dominio
- No hay mecanismo de notificación de los correos electrónicos que no superan las comprobaciones de autenticación
- No hay visibilidad en su ecosistema de correo electrónico
- Sin panel de control para gestionar y supervisar el flujo de correo entrante y saliente
- No existe ningún mecanismo que garantice que su registro SPF está siempre por debajo del límite de 10 búsquedas.
Informes y supervisión de DMARC con PowerDMARC
PowerDMARC se integra a la perfección con Office 365 para ofrecer a los propietarios de dominios soluciones de autenticación avanzadas que protegen frente a sofisticados ataques de ingeniería social como BEC y la suplantación directa de dominios.
Cuando contrata PowerDMARC, está contratando una plataforma SaaS multiusuario que no sólo reúne todas las mejores prácticas de autenticación de correo electrónico (SPF, DKIM, DMARC, MTA-STSTLS-RPT y BIMI), sino que también proporciona un mecanismo de informes dmarc amplio y detallado, que ofrece una visibilidad completa de su ecosistema de correo electrónico. Informes DMARC en el panel de control de PowerDMARC se generan en dos formatos:
- Informes agregados
- Informes forenses
Nos hemos esforzado por mejorar su experiencia de autenticación resolviendo varios problemas del sector. Garantizamos el cifrado de sus informes forenses DMARC, así como la visualización de informes agregados en 7 vistas diferentes para mejorar la experiencia del usuario y la claridad.
PowerDMARC le ayuda a supervisar el flujo de correo electrónico y los fallos de autenticación, así como a crear poner en la lista negra direcciones IP maliciosas de todo el mundo. Nuestro analizador DMARC le ayuda a configurar DMARC correctamente para su dominio y a pasar de la supervisión a la aplicación en un abrir y cerrar de ojos. Esto puede ayudarle a habilitar DMARC en Office 365 sin preocuparse por las complejidades que conlleva.
Preguntas frecuentes
1. Ya utilizamos una plataforma de seguridad de correo electrónico como Microsoft Defender para Office 365. ¿Por qué necesitamos PowerDMARC?
Mientras que Microsoft Defender para Office 365 es eficaz para la seguridad general del correo electrónico, PowerDMARC ofrece funciones especializadas centradas específicamente en protocolos de autenticación de correo electrónico como DMARC. Proporciona funciones avanzadas de generación de informes, supervisión y alerta adaptadas para combatir la suplantación de identidad, el phishing y otras actividades fraudulentas.
La integración de PowerDMARC con Office 365 mejora la seguridad de su correo electrónico y proporciona una visibilidad completa de su ecosistema de correo electrónico, protegiendo en última instancia la reputación de su marca y reduciendo el riesgo de ataques basados en el correo electrónico.
Con PowerDMARC puedes:
- Genere sus registros DMARC de forma precisa e instantánea
- Ver informes DMARC simplificados de Office 365
- Supervise el tráfico y el comportamiento de su correo electrónico
- Cambie entre los modos de política DMARC sin acceder a su DNS
2. ¿Cuál es la diferencia entre Office365 DMARC y lo que ofrece PowerDMARC?
Las capacidades DMARC nativas de Office 365 proporcionan funcionalidades básicas para la autenticación del correo electrónico, como la posibilidad de publicar registros DMARC y recibir informes agregados. Sin embargo, PowerDMARC va más allá de estas funciones básicas al ofrecer funciones avanzadas de generación de informes, supervisión y alertas.
Proporcionamos análisis detallados e informes forenses, visibilidad completa de su tráfico de correo electrónico y medidas proactivas para asegurar la reputación de su dominio.
Además, PowerDMARC simplifica la implantación y gestión de las políticas DMARC mediante herramientas de automatización y asistencia de expertos.
3. ¿No es DMARC gratuito?
Sí, el propio DMARC es un estándar libre y abierto. Sin embargo, implantar y gestionar DMARC de forma eficaz puede requerir mucho tiempo, recursos y experiencia.
Aunque puede publicar registros DMARC y recibir informes agregados básicos sin coste alguno, las plataformas de gestión DMARC avanzadas como PowerDMARC ofrecen funciones y servicios adicionales, como análisis detallados, supervisión, alertas y asistencia de expertos, que se ofrecen con una cuota de suscripción muy asequible.
Aunque DMARC es gratuito, el uso de una plataforma como PowerDMARC puede agilizar el proceso de implementación, mejorar su postura de seguridad del correo electrónico y proporcionar información valiosa sobre su ecosistema de correo electrónico. Esto cambiará las reglas del juego a la hora de proteger la reputación de su marca y reducir el riesgo de ataques basados en el correo electrónico.
Revisión de contenidos y verificación de hechos
La información sobre el proceso de configuración de Office 365 DMARC se ha extraído de la documentación oficial de Microsoft. El documento puede actualizarse en el futuro en función de los cambios realizados por los desarrolladores en el portal de Microsoft. Las recomendaciones mencionadas en el artículo se basan en lo que ha funcionado para nuestros clientes en tiempo real y pueden ayudarte a ti también.
- ¿Cómo configurar DMARC en Office 365? Guía paso a paso - 6 de mayo de 2024
- Explicación de los códigos de error SMTP Yahoo - 1 de mayo de 2024
- SPF Softfail Vs Hardfail: ¿Cuál es la diferencia? - 26 de abril de 2024