Como el phishing y los ataques basados en el correo electrónico son cada vez más populares, tiene que configurar sus ajustes DMARC para solidificar sus defensas contra los ciberataques inminentes. Configurar el protocolo DMARC (Domain-based Message Authentication Reporting and Conformance) es el primer paso para conseguir la conformidad de sus correos electrónicos. La forma más rápida de conseguirlo es crear un registro DNS y publicarlo con la ayuda de su proveedor de alojamiento.
Para configurar DMARCdebe empezar por crear un registro DMARC. Aunque pueda parecer complicado, el proceso de configuración de DMARC es relativamente sencillo.
Explicación de la configuración DMARC
Una configuración DMARC es un proceso de autenticación de correo electrónico que ayuda a las organizaciones a combatir la suplantación de identidad, el phishing y el fraude por correo electrónico. Para validar la autenticidad de las comunicaciones por correo electrónico, la configuración DMARC funciona en concierto con otros sistemas de autenticación de correo electrónico como SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail).
¿Por qué debe configurar DMARC?
El 90% de los ataques de phishing utilizan el correo electrónico como vector, lo que hace indispensable la autenticación del correo electrónico. El Centro de Denuncias de Delitos en Internet del FBI de 2020 (Informe IC3 2020 del FBI) informó de que en EE.UU. se recibieron 28.500 denuncias sobre ataques basados en el correo electrónico. Esto pone inmediatamente a DMARC en primer plano.
¿Sabías que?
- El 75% de los dominios de organizaciones de todo el mundo fueron suplantados en 2020 para enviar correos electrónicos de phishing a las víctimas
- El 74% de esas campañas de phishing tuvieron éxito
- La frecuencia de las BEC ha aumentado un 15% desde el año pasado
- IBM informó de que una de cada 5 empresas en el último año ha sufrido violaciones de datos causadas por correos electrónicos maliciosos
Compruebe su dominio y compruebe hasta qué punto está protegido contra el fraude por correo electrónico.
Requisitos para una configuración DMARC
Si crea un registro DMARC y decide utilizarlo, hay ciertos requisitos previos que debe cumplir antes de pasar a la implementación.
- Necesita acceder a su consola de gestión de DNS
- Asegúrese de reconocer a todos sus remitentes de correo electrónico autorizados
- Registro SPF y/o DKIM publicado en su DNS
Elementos fundamentales de su configuración DMARC: Alineación de SPF y DKIM
Para configurar su política DMARC necesita implementar Sender Policy Framework (SPF) o DomainKeys Identified Mail (DKIM), o ambos.
SPF indica a los servidores de correo qué direcciones IP o fuentes de envío están autorizadas a enviar correo saliente desde su dominio. DKIM añade una firma digital al correo saliente para evitar alteraciones del mensaje. Esto evita que los mensajes de spam y los correos fraudulentos lleguen a sus clientes de correo electrónico suplantando la identidad de su marca en estafas de phishing.
Puede configurar su alineación de dominio para pasar por coincidencias parciales para sus campos de encabezado SPF y DKIM con el dominio From:, o puede optar por una autenticación más estricta optando por una coincidencia exacta en su lugar.
¿Cómo configurar DMARC? Guía paso a paso
Para poner en marcha la configuración DMARC DNS, siga los pasos que se indican a continuación:
Paso 1: Crear el registro DMARC
Empiece por crear un registro DNS que defina su política y establezca la implementación.
Para crear un registro gratuito utilice nuestro generador DMARC como se muestra en la captura de pantalla anterior. Una vez que abra la pantalla de la herramienta habrá algunos criterios obligatorios que deberá rellenar.
Paso 2: Elija una política DMARC adecuada para sus correos electrónicos
La etiqueta de política p= es una etiqueta obligatoria que debe configurarse en su configuración DMARC. Si la omite, el registro no será válido.
La etiqueta de política p= es una etiqueta obligatoria que debe configurarse en su configuración DMARC. Si la omite, el registro no será válido.
Para evitar que sus correos electrónicos sean suplantados, debe configurar una política política DMARC de p=quarantine o superior. Sin embargo, puede elegir una política "ninguna" si desea supervisar sus correos electrónicos antes de comprometerse a una aplicación completa.
Paso 3: Activar la generación de informes y hacer clic en "Generar"
El resto de los criterios no son obligatorios, sin embargo, si desea configurar flexibilidades de alineación para DKIM y SPF o habilitar los informes DMARC, puede hacerlo. Los informes RUA y RUF pueden ayudarle a realizar un seguimiento del flujo de correo y de los resultados de autenticación para detectar incoherencias rápidamente.
Por último, haga clic en el botón "generar" para finalizar la configuración DMARC y terminar el proceso de creación de su registro.
Paso 4: Publicar y validar la configuración del registro
Una vez que haya terminado de crear el registro TXT, utilice el botón "copiar" para copiar directamente la sintaxis y, a continuación, diríjase a su consola de gestión de DNS. Pegue el registro en su DNS para finalizar la configuración DMARC.
Lea nuestra guía detallada sobre cómo publicar un registro DMARC en su DNS para obtener más información.
Ejemplo de configuración DMARC
Este es un ejemplo de una configuración DMARC típica:
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:mymail@domain.com; ruf=mailto:mymail@domain.com; pct=100; fo=0;
Nota: Mientras comienza su viaje de autenticación de correo electrónico, puede mantener su política DMARC (p) en ninguno en lugar de rechazar, para supervisar su flujo de correo electrónico y resolver problemas antes de cambiar a una política estricta.
Desacreditar la sintaxis de registro
La sintaxis de su configuración DMARC es la parte más importante de su implementación, ya que determina cómo se autenticarán sus correos electrónicos y la acción que se tomará después de la verificación. Veamos algunos de los principales mecanismos:
- El campo "v" determina la versión del protocolo DMARC que es DMARC1
- El campo "p" es el campo obligatorio de la política DMARC que puede establecerse como ninguno/rechazar/política de cuarentena
- Los campos "rua" comentarios agregados y "ruf" informes forenses son opciones de informes DMARC que ayudan a los ESP receptores a proporcionar comentarios sobre los mensajes de correo electrónico enviados a sus destinatarios, que se enviarían a su dirección de correo electrónico definida o buzón de correo dedicado
Estos son sólo algunos ejemplos, pero puede encontrar más información en nuestro blog detallado sobre etiquetas DMARC.
Verificación de la configuración del registro DMARC
Después de configurar DMARC, debe verificar sus configuraciones para asegurarse de que el protocolo funciona según sus necesidades. Sin las comprobaciones y la supervisión adecuadas, la autenticación de los correos electrónicos puede resultar muy complicada y dar lugar a falsos positivos o fallos, lo que afectaría al rendimiento de la entrega del correo.
Para verificar su configuración, puede utilizar la herramienta de comprobación DMARC de PowerDMARC de forma gratuita. Se trata de una herramienta instantánea y eficaz para validar su registro DNS TXT que no solo muestra el estado de validez de su registro, sino que también resalta los errores y sugiere mejoras para lograr el cumplimiento antes.
Para usarlo:
- Introduzca el nombre de su dominio en la casilla de destino (es decir, si la URL de su sitio web es https://company.com su nombre de dominio será empresa.es)
- Pulse el botón "Búsqueda
- Ver los resultados en la pantalla
Recomendamos este método de verificación como alternativa a la verificación manual para una experiencia más rápida, precisa y sin complicaciones.
¿Se puede configurar DMARC sin DKIM o SPF?
No. Usted necesita configurar cualquiera de los dos para asegurarse de que sus correos electrónicos son autenticados. Puede optar por configurar ambos, que es el enfoque recomendado para la máxima seguridad, sin embargo, eso es completamente opcional.
Hemos tratado en profundidad ambos enfoques en nuestra base de conocimientos.
Ventajas y usos de una configuración DMARC
Una configuración DMARC puede ser útil en las siguientes situaciones:
- Para garantizar que sólo los remitentes autorizados puedan enviar correos electrónicos en nombre de su dominio de correo electrónico
- Para evitar los ataques de suplantación de identidad por correo electrónico y de dominio directo
- Para ver las direcciones IP o las fuentes que envían correos electrónicos en su nombre
- Para evitar que los mensajes de spam lleguen a sus destinatarios
- Mejorar la entregabilidad del tráfico legítimo de correo electrónico
¿Cuáles son las mejores configuraciones DMARC?
La mejor configuración DMARC, si desea la máxima protección contra ataques basados en correo electrónico, es p=reject (donde p es el mecanismo utilizado para especificar su política de registro). Una configuración DMARC adecuada depende del grado de cumplimiento que desee (el grado de rigor con el que desea que los receptores gestionen los correos electrónicos que no superen el DMARC).
Sólo para la supervisión, puede configurar DMARC con una política "ninguna", mientras que puede configurar "cuarentena" si desea revisar los correos electrónicos no autorizados en su carpeta de cuarentena o spam antes de descartarlos o aceptarlos.
Aprovechamiento de DMARC para evitar la falsificación de dominios
Tenga en cuenta que si desea configurar DMARC para evitar que su dominio sea suplantado y mantener a raya los ataques de phishing y BEC, le recomendamos que seleccione el siguiente criterio al generar su registro DMARC:
Establezca su política DMARC en p=rechazar
¿Qué significa esto?
Cuando configuras el cumplimiento de DMARC en tu organización eligiendo "rechazar" la configuración DMARC, esto significa que siempre que un mensaje de correo electrónico enviado desde tu dominio falle la autenticación DMARC, el correo electrónico malicioso es rechazado instantáneamente por el servidor de correo electrónico receptor, en lugar de ser entregado a la bandeja de entrada de tu destinatario de correo electrónico.
¿Cómo desactivar DMARC?
Es importante tener en cuenta que desactivar la autenticación de correo electrónico para sus dominios no se recomienda ni se fomenta, ya que deja sus dominios vulnerables a una amplia gama de ciberataques y proporciona acceso abierto a los ciberdelincuentes para suplantar su dominio. Si aún así quieres desactivar el protocolo, sigue los pasos que se indican a continuación:
- Acceda a la consola de gestión de su registrador DNS
- Navegue hasta el editor DNS avanzado para editar su configuración DNS
- Localice el dominio para el que desea desactivar DMARC
- Eliminar el registro DMARC TXT
- Guarde los cambios y espere un poco a que se reflejen.
También puede ponerse en contacto con el registrador de su dominio para que le ayude a eliminar el registro en caso de que no tenga acceso a la consola.
La eliminación de la entrada DNS para DMARC desactivará automáticamente el protocolo para el dominio en cuestión. Sin embargo, si tiene varios dominios con DMARC activado, deberá eliminar manualmente las entradas DNS de dichos dominios para desactivarlos para su organización.
Configure DMARC fácilmente con PowerDMARC
Cuando crea una cuenta en PowerDMARC, nos encargamos de la implementación y configuración del protocolo por usted. También gestionamos y supervisamos la salud de su dominio y correos electrónicos, analizamos sus informes agregados y organizamos sus resultados de autenticación en un panel dedicado.
Si no quiere pasar por la molestia de una configuración manual, puede automatizar el proceso realizando una prueba gratuita de 15 días con nosotros. Para disfrutar de las ventajas de la autenticación de correo electrónico y configurar DMARC de forma que proteja eficazmente su dominio, regístrese con Analizador DMARC hoy mismo.
- Solucionar el error SPF: Superar el límite de demasiadas búsquedas DNS de SPF - 26 de abril de 2024
- ¿Cómo publicar un registro DMARC en 3 pasos? - 2 de abril de 2024
- ¿Por qué falla DMARC? Solucionar el fallo de DMARC en 2024 - 2 de abril de 2024