• Explicación de DMARC RFC: Un estándar básico para la autenticación moderna del correo electrónico

Explicación de DMARC RFC: Un estándar básico para la autenticación moderna del correo electrónico

Blog

Analicemos DMARC RFC 7489, la norma que define políticas, informes y aplicación para reforzar la autenticación del correo electrónico y detener la suplantación de identidad.

por Ayan Bhuiya

Última actualización:
6 Tiempo de lectura: 6 min
Explicación de DMARC RFC: Un estándar básico para la autenticación moderna del correo electrónico
Índice-

Puntos clave

  1. DMARC se describe en el RFC 7489 (un RFC informativo), y el borrador DMARCbis del IETF tiene como objetivo dejarlo obsoleto y sustituirlo como RFC formal de seguimiento de estándares.
  2. Utiliza los resultados de SPF y DKIM para verificar la autenticidad de los mensajes.
  3. Los propietarios de dominios publican políticas DMARC en DNS para controlar la gestión de autenticaciones fallidas.
  4. DMARC admite la generación de informes, lo que ofrece a los propietarios de dominios visibilidad del tráfico de correo electrónico.
  5. DMARC mitiga la suplantación directa de dominios y muchos intentos de phishing que se basan en ella, pero no detiene los dominios falsos ni el abuso de nombres de usuario.
  6. La adopción de DMARC refuerza la reputación de la marca y la entregabilidad del correo electrónico.

DMARC (Domain-based Message Authentication Reporting and Conformance) es un protocolo de autenticación de correo electrónico que se especifica en el RFC 7489 (Informational); su sucesor, el borrador DMARCbis del IETF, actualiza y aclara el protocolo y pretende dejar obsoleto el RFC 7489. 

DMARC se basa en SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) para proteger los dominios de correo electrónico de la suplantación de identidad, el phishing y el uso no autorizado. Mediante la publicación de una política DMARC en DNS, los propietarios de dominios instruyen a los servidores de correo receptores sobre cómo tratar los mensajes que no superan las comprobaciones de autenticación. Esta base técnica convierte a DMARC en la piedra angular de la seguridad y la confianza en el correo electrónico moderno.

¿Qué es la RFC DMARC?

El IETF publicó DMARC como RFC 7489 (Informativo) en marzo de 2015. Define cómo los propietarios de dominios pueden publicar políticas DNS que indiquen a los receptores qué hacer cuando un mensaje no supera la evaluación DMARC.

El protocolo fue desarrollado originalmente por un consorcio de la industria que incluía a Google, Microsoft, Yahoo, PayPal y otros, trabajando bajo la bandera de DMARC.org. Su objetivo era reducir el fraude en el correo electrónico creando una forma común de señalar y aplicar la autenticación a nivel de dominio. IETFque lo publicó como RFC 7489. Aunque el RFC 7489 es un RFC informativo y no un documento de seguimiento de estándares, se ha convertido en la referencia de facto para implementar DMARC.

¿En qué consiste la RFC 7489?

RFC 7489 define el marco completo para DMARC. Aunque el documento en sí es técnico, sus objetivos principales son sencillos:

Proporcionar un mecanismo político

Con DMARC, los propietarios de dominios pueden publicar políticas claras que indiquen a los receptores qué hacer con los correos electrónicos que no superen las comprobaciones de autenticación.

Benefíciese de informes exhaustivos 

DMARC es también un protocolo de información. Esto significa que los propietarios de dominios pueden obtener datos sobre qué correos electrónicos pasan la autenticación y cuáles no. Esto les ayuda a distinguir entre correos legítimos y maliciosos.

Reducir el fraude por correo electrónico

DMARC comprueba si el dominio RFC5322.From coincide con los identificadores autenticados mediante SPF o DKIM. Esto mitiga la suplantación directa de dominios; no evita los dominios de apariencia similar ni el engaño de nombre para mostrar, y puede verse afectado por flujos de correo indirectos. 

Basarse en las normas existentes

DMARC utiliza los resultados de SPF y/o DKIM y añade alineación de identificadores, política (p=) y notificación (rua/ruf). 

Desglose técnico de los requisitos

DMARC evalúa la alineación y aplica la política. Y lo que es más importante, añade un nuevo requisito importante: la alineación de los identificadores.

Cómo utiliza DMARC los resultados de SPF y DKIM

DMARC no sólo comprueba si SPF o DKIM pasan; requiere la alineación del identificador con el dominio RFC5322.From.

Alineación SPF

DMARC utiliza el dominio RFC5321.MailFrom (o HELO) autenticado por SPF y requiere que se alinee con el dominio RFC5322.From. Debe ser al menos una coincidencia organizativa en modo relajado (aspf=r, por defecto) o exacta en modo estricto (aspf=s).

Alineación DKIM

DMARC utiliza el dominio DKIM d= y requiere que se alinee con el dominio RFC5322.From. Debe ser al menos una coincidencia organizativa en modo relajado (adkim=r, por defecto) o una coincidencia exacta en modo estricto (adkim=s).

Este requisito de alineación es la superpotencia de DMARC. Vincula directamente los resultados de la autenticación al dominio visible de la marca, lo que cierra una laguna que los atacantes explotaban anteriormente.

Modos de política (p=)

El registro DMARC especifica una de las tres políticas que deben seguir los receptores cuando un correo electrónico no supera las comprobaciones DMARC:

Política-Modos

  • p=ninguno: sólo monitor; solicitar informes.
  • p=cuarentena: señal de que el correo que falla es sospechoso (tratamiento típico: spam/basura).
  • p=rechazar: una señal fuerte de que el correo que falla debe ser rechazado. Aunque la RFC permite excepciones a la política local (por ejemplo, para remitentes conocidos), los principales proveedores suelen respetar esta política estrictamente para intentos de suplantación no autenticados.

Funciones de información (RUA y RUF)

DMARC proporciona información útil a través de dos tipos de informes:

Informes agregados (RUA)

Los informes RUA son resúmenes XML legibles por máquina (normalmente diarios) de los resultados de DMARC. Incluyen datos como la dirección IP remitente, resultados SPF/DKIM, detalles de alineación y el número de mensajes. Sin embargo, estos archivos XML en bruto no son fácilmente legibles por humanos y son difíciles de analizar manualmente sin herramientas especializadas. El sitio Analizador de informes PowerDMARC DMARC automatiza este proceso y convierte datos complejos en tablas y gráficos intuitivos.

Informes de fallos específicos de un mensaje (RUF, a menudo llamados "forenses")

Son opcionales y rara vez se envían por motivos de privacidad. Muchos receptores los redactan o desactivan. DMARCbis documenta estas preocupaciones y hace referencia a un borrador separado de informes de fallos, desaprobando cada vez más los informes RUF.

DMARCbis y próximos cambios

Las normas tecnológicas cambian rápidamente, y DMARC no es una excepción. DMARCbis es la próxima especificación actualizada del protocolo DMARC, formalizada por el IETF. Se inspira en las lecciones aprendidas en los últimos años y pretende que DMARC pase de ser una RFC "Informativa" a una "Norma Propuesta" formal. 

No lo considere una revolución ni un abandono de DMARC, sino una evolución. Los cambios y aclaraciones clave en DMARCbis incluyen:

p=comportamiento de cuarentena

DMARCbis aclara la semántica de la cuarentena y la orientación del receptor, pero sigue permitiendo la discrecionalidad del receptor. 

Nuevos términos y reestructuración

Aunque se basa en el RFC 7489 original, DMARCbis se ha reestructurado y ahora es más fácil de leer para el usuario medio.

La especificación se divide ahora en tres documentos independientes (RFC). Estos son: 

También se han modificado algunos términos y frases para mayor claridad, por ejemplo:

  • "Receptor del informe" en lugar de "consumidor del informe".
  • "Política de evaluación del propietario del dominio" en lugar de "Política DMARC".
  • "Cumplimiento" para p=cuarentena y p=rechazar
  • Modo "Supervisión" para p=ninguno

Presentación de informes

El reenvío puede romper SPF, mientras que las listas de correo a menudo rompen DKIM. DMARCbis ahora desaconseja el uso de una política p=reject si las listas de correo son destinatarios habituales. 

También se están haciendo más estrictas las más estrictasy el formato XML de los informes se ha actualizado para reflejar las nuevas etiquetas.

Desalentar el RUF

DMARCbis desaconseja el uso de informes RUF por motivos de privacidad y hace referencia a los informes de fallos en un borrador aparte.

Paseo de los árboles DNS

El método original para determinar el dominio organizativo se basaba en gran medida en la lista pública de sufijos (PSL), que podía estar incompleta. DMARCbis especifica formalmente un algoritmo "DNS Tree Walk" más flexible y fiable para descubrir la política DMARC aplicable.

Etiquetas de registro DMARC nuevas frente a eliminadas

Algunas etiquetas DMARC como "pct", "rf" y "ri" se están eliminando por completo. En su lugar, se están añadiendo nuevas etiquetas de registro DMARC, como "np", "psd" y "t". 

Importancia para las organizaciones

Comprender la RFC DMARC puede ayudar a las organizaciones de varias maneras, entre ellas:

Mayor cumplimiento

Cumplimiento reforzado

Google, Yahoo, Microsoft y Apple Mail exigen ahora remitentes masivos que publiquen un registro DMARC junto con otros controles (SPF/DKIM, alineación, bajos índices de spam, etc.). El incumplimiento puede afectar gravemente a la entregabilidad del correo electrónico.

Evitar errores de configuración

Un malentendido de los conceptos básicos del RFC, especialmente la alineación, puede llevar a bloquear correos electrónicos legítimos. Conocer el RFC 7489 puede ayudarle a solucionar problemas y a configurar sus políticas correctamente desde el principio. 

Para evitar errores, también puede utilizar un generador de registros DMARC para crear una política válida. Si ya tiene un registro y sólo necesita comprobarlo, puede utilizar la herramienta de PowerDMARC Comprobador de registros DMARC de PowerDMARC para asegurarse de que se ha publicado correctamente antes de pasar a una política de aplicación.

Numerosas ventajas de seguridad 

Una política DMARC correctamente aplicada en p=reject es una de las defensas más eficaces contra la suplantación directa de dominio, que es uno de los principales impulsores del Business Email Compromise y de muchos ataques de phishing. Al implementar DMARC, puede proteger a sus empleados, clientes y reputación de marca de una amplia gama de fraudes basados en el correo electrónico.

Resumen

DMARC RFC proporciona un marco fundamental sólido para proteger los dominios contra el fraude por correo electrónico. Esboza normas y directrices claras y directas para la configuración y aplicación de DMARC. Si se siguen al pie de la letra las normas de DMARC RFC, se puede mejorar la seguridad del correo electrónico, proteger la reputación de la marca y mejorar la capacidad de entrega. 

Y lo que es aún mejor, la implantación y gestión eficaz de DMARC no tiene por qué ser un proceso manual. La plataforma PowerDMARC simplifica todo el proceso, desde la configuración rápida hasta la supervisión y el cumplimiento exhaustivos. 

Póngase en contacto con PowerDMARC y deje que los expertos se ocupen de la seguridad de su correo electrónico.

Preguntas frecuentes

¿Cuándo se publicó la RFC 7489?

La RFC 7489 se publicó en marzo de 2015.

¿Quién puede utilizar DMARC?

Cualquier organización o persona que envíe correo electrónico desde un dominio puede y debe utilizar DMARC. No hay cuotas de licencia ni restricciones, lo que lo convierte en un estándar accesible para que todo el mundo proteja su dominio de la suplantación de identidad.

¿Por qué los principales proveedores de correo electrónico exigen DMARC a los remitentes masivos?

El usuario medio normalmente no puede entender si un mensaje o correo electrónico es real o falso. Por eso, los proveedores de buzones tienen que tener cuidado con los correos que dejan llegar a la bandeja de entrada principal. DMARC ayuda a resolver este problema. Permite a remitentes, destinatarios y proveedores de buzones colaborar contra el fraude por correo electrónico. A partir de febrero de 2024, Google/Yahoo exigen autenticación SPF o DKIM, DMARC con p=none o superior, bajos índices de quejas por spam y alineación RFC5322.From.

¿Existen herramientas que faciliten la configuración y aplicación de DMARC?

PowerDMARC ofrece muchas herramientas y servicios de este tipo, como generador DMARC, comprobador, servicios alojados y mucho más.

Últimos comentarios de Ayan Bhuiya (ver todos)
Última actualización:
Ingeniería Social: Reconocer y prevenir ataquesQué es la ingeniería social 01Definición y ejemplos de vulnerabilidad de día cero 01 01Vulnerabilidad de día cero: Ejemplos, detección y prevención