Puestos

Si no ha seguido todo el debate de DMARC vs SPF, vamos a entender qué son y cómo pueden ayudarte. En caso de que seas nuevo en la autenticación del correo electrónico, es probable que te hayas encontrado con términos fugaces como DMARC y SPF y quieras entenderlos mejor para decidir cuál te conviene más.

Sender Policy Framework, también conocido como SPF, permite almacenar en caché una lista de direcciones IP autorizadas para enviar correos electrónicos a sus clientes en su nombre(RFC 4408). Por otro lado, DMARC ayuda a especificar una política para los correos electrónicos que no se autentiquen, ayudando a los propietarios de dominios a controlar la austeridad de sus protocolos de seguridad implementados. Dicho esto, vamos a profundizar en DMARC frente a SPF. 

He desplegado SPF, ¿todavía necesito DMARC?

El SPF no proporciona a los propietarios de dominios un mecanismo para enviar informes de entregas fallidas e intentos de suplantación. Aquí es donde entra en juego el DMARC. Si habilita los informes DMARC para sus dominios, podrá obtener notificaciones sobre los resultados de su autenticación SPF, que incluye, pero no se limita, a las entregas fallidas y los intentos de suplantación. Esta es una característica importante que debería ser una adición indispensable a su suite de seguridad de correo electrónico, incluso si sólo tiene SPF desplegado para sus dominios.

La monitorización de sus dominios puede ser útil para procesar información sobre el rendimiento de sus correos electrónicos y medir el índice de éxito de sus campañas de marketing por correo electrónico. También le ayuda a responder a los ataques con mayor rapidez y a incluir en la lista negra las direcciones de remitentes sospechosos. 

¿Puedo implementar DMARC sin DKIM?

Sí, es posible publicar un registro DMARC incluso sin la presencia de un registro DKIM en su DNS. Esto se debe a que, para que sus correos electrónicos se consideren conformes con DMARC, deben pasar la autenticación SPF o DKIM y no ambas. Si no tiene un registro DKIM, los MTAs receptores sólo comprueban la alineación SPF que determina la autenticidad de los mensajes, mientras que DKIM falla automáticamente para cada mensaje.

Sin embargo, esta no es una situación ideal. Descubramos por qué:

El problema del reenvío de correo electrónico y las listas de correo

En el caso de los correos electrónicos reenviados, su mensaje pasa por un servidor intermediario antes de llegar a la bandeja de entrada de su receptor. Este servidor tiene una dirección IP diferente que puede no estar incluida en el registro SPF de su dominio. Por lo tanto, los correos electrónicos reenviados rompen el SPF en el lado del receptor.

Si no tiene un registro DKIM, fallar el SPF supondría esencialmente fallar el DMARC. Para una política establecida de rechazo, sus correos electrónicos legítimos enviados a través de listas de correo no llegarían a sus receptores en absoluto. Por este motivo, tener implementados tanto SPF como DKIM para su dominio, y obtener el cumplimiento completo de DMARC alineando sus correos electrónicos con ambos protocolos es la mejor manera de garantizar una entregabilidad sin problemas.

DMARC frente a SPF: para resumir

 

Para resumir la discusión sobre DMARC vs SPF, nuestra recomendación es comenzar publicando un registro TXT para SPF y un registro DMARC manteniendo la política en ninguno mientras se permite la presentación de informes agregados. De este modo, podrá controlar el volumen de correos electrónicos que se reenvían o envían a través de listas de correo. Una política de "ninguno" no tendrá ningún efecto sobre la entregabilidad de sus correos electrónicos y le permitirá supervisar sus dominios de forma eficaz.

Sin embargo, para mejorar sus defensas contra los inminentes ataques de phishing y spoofing necesita una política más reforzada (p=reject/quarantine) para DMARC. La mera implementación de SPF no ofrece ninguna protección contra el fraude por correo electrónico, para lo cual es imprescindible una política DMARC.

Ventajas de una solución de software DMARC

Recomendamos el uso de PowerDMARC's analizador de informes DMARC para obtener el asesoramiento de expertos y sacar el máximo provecho de sus normas de autenticación de correo electrónico hoy en día. Esto le ayudará:

  • Cambie a una política de rechazo a la velocidad más rápida del mercado, sin afectar a su capacidad de entrega 
  • Obtenga el 100% de cumplimiento de DMARC en sus correos electrónicos salientes
  • Supervise sus canales de correo electrónico mientras está en p=none para obtener claridad sobre el volumen de correos electrónicos reenviados 
  • Tome decisiones sobre los modos y configuraciones de su política de protocolo con mayor rapidez y disfrute de un despliegue sin problemas de sus estándares de autenticación de correo electrónico implementados