Los propietarios de dominios a menudo cometen el error de asumir que su viaje de autenticación de correo electrónico termina en la aplicación. Lo que no saben es que la vida después de p=reject es una fase importante que determina la solidez general de la postura de seguridad del correo electrónico de su dominio. Para una protección continua contra los ataques de suplantación de identidad y phishing, es imprescindible formular una estrategia de seguridad del correo electrónico que comience justo después de lograr la aplicación.
¿Qué es P=Rechazo?
La página web Política DMARC tiene 3 modos definitivos de aplicación que uno puede desplegar, son:
- p=nada (no se ha realizado ninguna acción)
- p=quarantine (pone en cuarentena los correos que no superan el DMARC)
- p=reject (rechaza los correos electrónicos en caso de DMARC falla)
Rechazar es la máxima política de aplicación para DMARC, y ayuda a los propietarios de dominios a bloquear los correos electrónicos falsificados o de suplantación de identidad antes de que lleguen a las bandejas de entrada de los clientes. Aquellos que deseen aprovechar DMARC para proteger sus dominios contra vectores de ataque basados en correo electrónico pueden encontrar p=reject como un modo de política adecuado.
¿Cómo llegar al modo P=Rechazo?
En la mayoría de los casos, los propietarios de dominios intentan apresurarse en el proceso de despliegue de su protocolo y esperan conseguir el cumplimiento lo antes posible. Sin embargo, esto no es recomendable. Vamos a explicar por qué:
Riesgos asociados a DMARC en el rechazo
- Pasar a la aplicación a un ritmo muy rápido puede provocar problemas de entregabilidad del correo electrónico
- Puede provocar la pérdida de mensajes de correo electrónico legítimos
- Puede dar lugar a fallos de DMARC para los correos electrónicos enviados fuera de su propio dominio
¿Cuál es la práctica recomendada?
Aunque la política de rechazo viene con su propio conjunto de advertencias y descargos de responsabilidad, su eficacia en la prevención de una variedad de ataques de fraude por correo electrónico es innegable. Así que vamos a explorar ahora las formas de cambiar a rechazar de forma segura:
- Empezar con p=ninguno
En lugar de empezar con una política impuesta, es muy recomendable empezar con algo que ofrezca más flexibilidad y libertad: y eso es exactamente lo que hace p=none. Esta política, aunque no hace mucho en términos de protección, puede servir como una excelente herramienta de monitoreo para ayudar en su viaje de implementación.
- Activar informes DMARC
La supervisión de sus canales de correo electrónico puede ayudarle a evitar fallos de entrega no deseados debidos a protocolos mal configurados. Puede permitirle visualizar y detectar errores, y solucionarlos más rápidamente.
Los informes DMARC pueden ayudarle a identificar la eficacia de su política de autentificación del correo electrónico.
Aunque la autenticación del correo electrónico no es una bala de plata, puede ser una herramienta eficaz en su arsenal de seguridad. Con los informes DMARC, puede ver si sus esfuerzos están funcionando y dónde puede necesitar ajustar su estrategia.
Hay dos tipos de informes:
- Aggregate (RUA) está diseñado para ayudarle a rastrear sus fuentes de envío de correo electrónico, las direcciones IP de los remitentes, los dominios de la organización y las geolocalizaciones
- Forensic (RUF) está diseñado para funcionar como informes de alerta de incidentes cuando se produce un evento forense como la suplantación de identidad
- Configure tanto SPF como DKIM junto con DMARC
Demasiados cocineros no estropean el caldo cuando se trata de la implementación de DMARC. Los expertos en seguridad recomiendan combinar DMARC con SPF y DKIM para mejorar la protección y reducir la posibilidad de falsos positivos. También puede evitar fallos de DMARC no deseados.
DMARC necesita SPF o DKIM para pasar la autenticación.
Esto desempeña un papel fundamental para ayudarle a aplicar de forma segura una política de rechazo, garantizando que incluso si SPF falla y DKIM pasa o viceversa, MARC pasará para el mensaje previsto.
- Incluya todas sus fuentes de envío
Omitir las fuentes de envío en tu registro SPF puede ser especialmente perjudicial cuando intentas evitar fallos DMARC no deseados. Es importante hacer una lista de todas sus fuentes de envío de correo electrónico (que incluiría proveedores de correo electrónico de terceros y proveedores de servicios como Gmail, Microsoft O365, Yahoo Mail, Zoho, etc.).
Esto es especialmente importante si sólo utiliza SPF en combinación con DMARC. Cada vez que añada o elimine un origen de envío, su registro SPF debe reflejar los mismos cambios.
Resumir su vida después de p=reject
La supervisión de sus protocolos de autenticación de correo electrónico es una parte esencial de la vida después de p=reject. No solo garantiza el mantenimiento de la eficacia de sus medidas de seguridad, sino que también le ofrece una visión más profunda de sus funcionalidades para determinar qué es lo que mejor le funciona. A analizador DMARC le ayuda a disfrutar de una transición más suave de p=none a reject, a evitar problemas de entregabilidad, a supervisar sus canales de correo electrónico, a actualizar las políticas de protocolo y a solucionar problemas en una única plataforma, fácilmente.
- ¿Cómo encontrar el mejor proveedor de soluciones DMARC para su empresa? - 25 de abril de 2024
- PowerDMARC y Zendata forjan una alianza para mejorar la seguridad de los dominios - 25 de abril de 2024
- PowerDMARC se asocia con CNS para impulsar las prácticas de seguridad del correo electrónico en Oriente Medio - 24 de abril de 2024