Puestos

La autenticación del correo electrónico es un aspecto crucial del trabajo de un proveedor de correo electrónico. La autenticación del correo electrónico, también conocida como SPF y DKIM, comprueba la identidad de un proveedor de correo electrónico. DMARC se suma al proceso de verificación de un correo electrónico comprobando si un correo electrónico ha sido enviado desde un dominio legítimo a través de la alineación, y especificando a los servidores receptores cómo responder a los mensajes que no superan las comprobaciones de autenticación. Hoy vamos a discutir los diferentes escenarios que responderán a su pregunta sobre por qué falla DMARC.

DMARC es una actividad clave en su política de autenticación de correo electrónico para ayudar a evitar que los correos electrónicos "falsos" pasen los filtros de spam transaccional. Pero es sólo un pilar de un programa antispam general y no todos los informes DM ARC son iguales. Algunos le dirán la acción exacta que los receptores de correo realizaron en cada mensaje, y otros sólo le dirán si un mensaje tuvo éxito o no. Entender por qué un mensaje falló es tan importante como saber si lo hizo. El siguiente artículo explica las razones por las que los mensajes no superan las comprobaciones de autenticación DMARC. Estas son las razones más comunes (algunas de las cuales se pueden arreglar fácilmente) por las que los mensajes pueden fallar las comprobaciones de autenticación DMARC.

Razones comunes por las que los mensajes pueden fallar DMARC

Identificar por qué está fallando el DMARC puede ser complicado. Sin embargo, voy a repasar algunas razones típicas, los factores que contribuyen a ellas, para que usted, como propietario del dominio, pueda trabajar para rectificar el problema más rápidamente.

Fallos de alineación de DMARC

DMARC utiliza la alineación de dominios para autenticar sus correos electrónicos. Esto significa que DMARC verifica si el dominio mencionado en la dirección del remitente (en la cabecera visible) es auténtico comparándolo con el dominio mencionado en la cabecera oculta Return-path (para SPF) y la cabecera de firma DKIM (para DKIM). Si cualquiera de los dos coincide, el correo electrónico pasa el DMARC, o bien el DMARC falla.

Por lo tanto, si sus correos electrónicos están fallando DMARC puede ser un caso de desalineación de dominio. Es decir, ni los identificadores SPF ni DKIM están alineados y el correo electrónico parece ser enviado desde una fuente no autorizada. Sin embargo, ésta es sólo una de las razones por las que falla el DMARC.

Modo de alineación DMARC 

El modo de alineación del protocolo también desempeña un papel importante en la aprobación o no de los mensajes de DMARC. Puede elegir entre los siguientes modos de alineación para la autenticación SPF:

  • Relajado: Esto significa que si el dominio en la cabecera Return-path y el dominio en la cabecera From es simplemente una coincidencia organizativa, incluso entonces SPF pasará.
  • Estricto: Significa que sólo si el dominio en la cabecera Return-path y el dominio en la cabecera From coinciden exactamente, sólo entonces SPF pasará.

Puede elegir entre los siguientes modos de alineación para la autenticación DKIM:

  • Relajado: Esto significa que si el dominio en la firma DKIM y el dominio en la cabecera De es simplemente una coincidencia organizativa, incluso entonces DKIM pasará.
  • Estricto: Esto significa que sólo si el dominio en la firma DKIM y el dominio en la cabecera From coinciden exactamente, sólo entonces DKIM pasará.

Tenga en cuenta que para que los correos electrónicos pasen la autenticación DMARC, es necesario que el SPF o el DKIM estén alineados.  

No configurar la firma DKIM 

Un caso muy común en el que su DMARC puede estar fallando es que no haya especificado una firma DKIM para su dominio. En estos casos, su proveedor de servicios de intercambio de correo electrónico asigna una firma DKIM por defecto a sus correos electrónicos salientes que no se alinea con el dominio en su cabecera De. El MTA receptor no logra alinear los dos dominios y, por lo tanto, DKIM y DMARC fallan para su mensaje (si sus mensajes están alineados con SPF y DKIM).

No añadir fuentes de envío a sus DNS 

Es importante tener en cuenta que cuando se configura DMARC para su dominio, los MTAs receptores realizan consultas de DNS para autorizar sus fuentes de envío. Esto significa que, a menos que tenga todas sus fuentes de envío autorizadas listadas en el DNS de su dominio, sus correos electrónicos fallarán DMARC para aquellas fuentes que no estén listadas, ya que el receptor no podrá encontrarlas en su DNS. Por lo tanto, para asegurarse de que sus correos electrónicos legítimos siempre se entregan, asegúrese de hacer entradas en todos sus proveedores de correo electrónico de terceros autorizados que están autorizados a enviar correos electrónicos en nombre de su dominio, en su DNS.

En caso de reenvío de correo electrónico

Durante el reenvío de correo electrónico, el correo electrónico pasa a través de un servidor intermediario antes de ser entregado al servidor receptor. Durante el reenvío de correo electrónico, la comprobación SPF falla, ya que la dirección IP del servidor intermediario no coincide con la del servidor remitente, y esta nueva dirección IP no suele incluirse en el registro SPF del servidor original. Por el contrario, el reenvío de correos electrónicos no suele afectar a la autenticación DKIM del correo electrónico, a no ser que el servidor intermediario o la entidad reenviadora realicen ciertas alteraciones en el contenido del mensaje.

Como sabemos que el SPF falla inevitablemente durante el reenvío de correo electrónico, si en el caso de que la fuente de envío sea neutral en cuanto a DKIM y confíe únicamente en el SPF para la validación, el correo electrónico reenviado se convertirá en ilegítimo durante la autenticación DMARC. Para resolver este problema, debería optar inmediatamente por el cumplimiento total de DMARC en su organización, alineando y autenticando todos los mensajes salientes tanto con SPF como con DKIM, ya que para que un correo electrónico pase la autenticación DMARC, se requeriría que el correo pasara la autenticación y alineación de SPF o DKIM.

Su dominio está siendo suplantado

Si tienes tus protocolos DMARC, SPF y DKIM correctamente configurados para tu dominio, con tus políticas en vigor y registros válidos sin errores, y el problema no es ninguno de los casos mencionados anteriormente, entonces la razón más probable por la que tus correos electrónicos están fallando DMARC es que tu dominio está siendo suplantado o falsificado. Esto ocurre cuando los suplantadores y los actores de amenazas intentan enviar correos electrónicos que parecen provenir de su dominio utilizando una dirección IP maliciosa.

Las recientes estadísticas de fraude por correo electrónico han concluido que los casos de suplantación de identidad por correo electrónico están aumentando en los últimos tiempos y son una gran amenaza para la reputación de su organización. En estos casos, si tiene DMARC implementado en una política de rechazo, fallará y el correo electrónico falsificado no se entregará a la bandeja de entrada de su destinatario. Por lo tanto, la suplantación de dominio puede ser la respuesta a por qué falla el DMARC en la mayoría de los casos.

Le recomendamos que se registre en nuestro Analizador DMARC gratuito y comience su andadura en la elaboración de informes y supervisión de DMARC.

  • Con una política de ausencia de mensajes, puede supervisar su dominio con informes agregados DMARC (RUA) y vigilar de cerca sus correos electrónicos entrantes y salientes, lo que le ayudará a responder a cualquier problema de entrega no deseado
  • A continuación, le ayudamos a cambiar a una política reforzada que, en última instancia, le ayudará a obtener inmunidad contra los ataques de suplantación de dominios y de phishing
  • Puede eliminar las direcciones IP maliciosas y denunciarlas directamente desde la plataforma PowerDMARC para evitar futuros ataques de suplantación de identidad, con la ayuda de nuestro motor de Inteligencia de Amenazas
  • Los informes forenses DMARC (RUF) de PowerDMARC le ayudan a obtener información detallada sobre los casos en los que sus correos electrónicos han fallado DMARC para que pueda llegar a la raíz del problema y solucionarlo

Evite la suplantación de dominios y controle su flujo de correo electrónico con PowerDMARC, hoy mismo.