Reglas DMARC

Si eres nuevo en la autenticación de correo electrónico y analizador DMARChay algunas reglas de DMARC que debe seguir a partir de hoy y que pueden suponer un cambio en su viaje de autenticación de correo electrónico. Para resumir algunas de las reglas más básicas:

1. No utilice una política que no permita la autenticación

4. Configure también los registros SPF para su(s) dominio(s)

5. Configure la firma DKIM para su(s) dominio(s)

Ahora profundicemos y exploremos estas reglas DMARC junto con otras, para ayudarle a fortalecer su infraestructura general de autenticación. 

Todos hemos oído hablar de DMARC, pero ¿qué es?

DMARC significa Domain-based Message Authentication, Reporting & Conformance. Es un protocolo de seguridad del correo electrónico que ayuda a garantizar que el correo electrónico se autentifica antes de ser entregado para minimizar la falsificación de dominios. Se creó con el objetivo de prevenir los ataques de phishing y otros ataques por correo electrónico mediante la verificación de que el remitente de un correo electrónico es quien dice ser.

¿Cómo se utiliza DMARC?

Es muy sencillo. En primer lugar, configura los registros DNS de tu dominio para indicar que quieres utilizar DMARC. A continuación, si alguien intenta enviar un correo electrónico desde su dominio sin utilizar DMARC, no podrá enviarlo a menos que tenga una clave pública asociada a su dominio, lo que sólo es posible si está autorizado. Esto garantiza que sólo los correos electrónicos legítimos lleguen a las bandejas de entrada de los destinatarios, a la vez que permite configurar notificaciones para los mensajes que provienen de fuera de su red.

El proceso funciona como sigue: 

  • Un remitente crea un registro DMARC para su dominio con un registro SPF y activa la firma DKIM (opcional pero recomendada) en sus registros DNS.
  • Cuando se envía un mensaje de correo electrónico desde ese dominio, contiene una cabecera con información sobre qué configuración se ha utilizado y cuál se ha establecido. Esta cabecera puede ser utilizada por receptores como Gmail para comprobar si el mensaje se ha enviado según el formato esperado o no. 
  • Si hay un problema con alguna de estas configuraciones, se marcará como fallo o fallo suave, dependiendo de si fue intencionado o no por parte del remitente; si es así, pueden optar por ignorarlo por completo hasta que hayan arreglado lo que lo causó.

Una de las cosas que nos gusta de DMARC es lo fácil que es de configurar: se puede hacer en unos pocos pasos.

Normas DMARC 101 para empresas 

Al configurar una política política DMARChay algunas reglas que debe seguir. A continuación, una lista de las 5 reglas DMARC más importantes:

  1. La política debe ser un registro TXT, y debe estar publicada en su DNS. Si no tiene un registro TXT en su DNS, no ha implementado el protocolo.
  2. La política debe ser p=reject o p=quarantine si quieres bloquear mensajes que no estén autentificados. 
  3. Si utilizas varias políticas y configuras diferentes niveles de autenticación para cada una (como "mi marca" frente a "mi organización"), asegúrate de que todas tienen registros SPF y firmas DKIM únicos. De lo contrario, todas se agruparán bajo una misma regla y no se sincronizarán bien.
  4. DMARC también requiere que configure registros SPF y/o DKIM para su dominio. Esta regla es obligatoria incluso si no quieres usar DMARC porque ayuda a prevenir los ataques de suplantación de identidad, en los que un atacante puede usar la dirección de correo electrónico o el nombre de dominio de otra persona para enviar correos electrónicos de suplantación de identidad que parecen legítimos pero que en realidad no provienen de una fuente autorizada.
  5. Otra regla importante de DMARC requiere que usted publique un registro DMARC que contenga su dirección de correo electrónico para que otras organizaciones puedan informar de cualquier problema relacionado con sus correos electrónicos utilizando este sistema. Esto se conoce como informes DMARC. 

Reglas DMARC adicionales para una mayor protección

  1. Considere la posibilidad de establecer una política DMARC para sus dominios aparcados (dominios inactivos), ya que incluso éstos pueden ser suplantados por los atacantes para hacerse pasar por su marca. 
  2. Se desaconseja estrictamente la creación de varios registros SPF o DMARC para el mismo dominio. Un solo dominio debe contener sólo un registro SPF y DMARC. Sin embargo, puede optar por configurar más de un registro DKIM para el mismo dominio a fin de permitir la rotación periódica de claves para una mejor protección.  
  3. Puede omitir la configuración de una política para sus subdominios a menos que desee implementar un modo diferente de aplicación para ellos. Esto se debe a que las políticas DMARC de su dominio principal son heredadas automáticamente por los subdominios. 
  4. Si quieres recibir informes DMARC fuera de tu dominio (en una dirección de correo electrónico externa que no esté dentro del ámbito de tu propio dominio), tienes que activar la verificación de dominio externo para indicar a los servidores que el dominio externo consiente en recibir esos informes. 
  5. Por último, es importante tener en cuenta que DMARC no es una bala de plata y no le protege contra todos los ataques. Es necesario contar con un antivirus y un cortafuegos fiables junto con DMARC para aumentar la seguridad. 

¿En qué etapa de su proceso de autenticación debe implementar estas reglas DMARC?

Si está empezando, no es necesario que cumpla con todas las reglas DMARC mencionadas al principio de su proceso de autenticación. Por ejemplo, una política p=reject para empezar puede causar complicaciones en la entregabilidad. En su lugar, se recomienda comenzar con una política de no rechazo para supervisar sus canales de correo electrónico antes de comprometerse a la aplicación.

Aquí es donde las cosas pueden complicarse un poco. Es crucial que determine el ritmo que mejor funcione para usted y su empresa. Empieza poco a poco aplicando políticas relajadas para tus protocolos, de modo que puedas tener un control total sobre ellos hasta que estés preparado para optar por la aplicación de la ley.