Puestos

La autenticación del correo electrónico es un aspecto crucial del trabajo de un proveedor de correo electrónico. La autenticación del correo electrónico, también conocida como SPF y DKIM, comprueba la identidad de un proveedor de correo electrónico. DMARC se suma al proceso de verificación de un correo electrónico comprobando si un correo electrónico ha sido enviado desde un dominio legítimo a través de la alineación, y especificando a los servidores receptores cómo responder a los mensajes que no superan las comprobaciones de autenticación. Hoy vamos a discutir los diferentes escenarios que responderán a su pregunta sobre por qué falla DMARC.

DMARC es una actividad clave en su política de autenticación de correo electrónico para ayudar a evitar que los correos electrónicos "falsos" pasen los filtros de spam transaccional. Pero es sólo un pilar de un programa antispam general y no todos los informes DM ARC son iguales. Algunos le dirán la acción exacta que los receptores de correo realizaron en cada mensaje, y otros sólo le dirán si un mensaje tuvo éxito o no. Entender por qué un mensaje falló es tan importante como saber si lo hizo. El siguiente artículo explica las razones por las que los mensajes no superan las comprobaciones de autenticación DMARC. Estas son las razones más comunes (algunas de las cuales se pueden arreglar fácilmente) por las que los mensajes pueden fallar las comprobaciones de autenticación DMARC.

Razones comunes por las que los mensajes pueden fallar DMARC

Identificar por qué está fallando el DMARC puede ser complicado. Sin embargo, voy a repasar algunas razones típicas, los factores que contribuyen a ellas, para que usted, como propietario del dominio, pueda trabajar para rectificar el problema más rápidamente.

Fallos de alineación de DMARC

DMARC utiliza la alineación de dominios para autenticar sus correos electrónicos. Esto significa que DMARC verifica si el dominio mencionado en la dirección del remitente (en la cabecera visible) es auténtico comparándolo con el dominio mencionado en la cabecera oculta Return-path (para SPF) y la cabecera de firma DKIM (para DKIM). Si cualquiera de los dos coincide, el correo electrónico pasa el DMARC, o bien el DMARC falla.

Por lo tanto, si sus correos electrónicos están fallando DMARC puede ser un caso de desalineación de dominio. Es decir, ni los identificadores SPF ni DKIM están alineados y el correo electrónico parece ser enviado desde una fuente no autorizada. Sin embargo, ésta es sólo una de las razones por las que falla el DMARC.

Modo de alineación DMARC 

El modo de alineación del protocolo también desempeña un papel importante en la aprobación o no de los mensajes de DMARC. Puede elegir entre los siguientes modos de alineación para la autenticación SPF:

  • Relajado: Esto significa que si el dominio en la cabecera Return-path y el dominio en la cabecera From es simplemente una coincidencia organizativa, incluso entonces SPF pasará.
  • Estricto: Significa que sólo si el dominio en la cabecera Return-path y el dominio en la cabecera From coinciden exactamente, sólo entonces SPF pasará.

Puede elegir entre los siguientes modos de alineación para la autenticación DKIM:

  • Relajado: Esto significa que si el dominio en la firma DKIM y el dominio en la cabecera De es simplemente una coincidencia organizativa, incluso entonces DKIM pasará.
  • Estricto: Esto significa que sólo si el dominio en la firma DKIM y el dominio en la cabecera From coinciden exactamente, sólo entonces DKIM pasará.

Tenga en cuenta que para que los correos electrónicos pasen la autenticación DMARC, es necesario que el SPF o el DKIM estén alineados.  

No configurar la firma DKIM 

Un caso muy común en el que su DMARC puede estar fallando es que no haya especificado una firma DKIM para su dominio. En estos casos, su proveedor de servicios de intercambio de correo electrónico asigna una firma DKIM por defecto a sus correos electrónicos salientes que no se alinea con el dominio en su cabecera De. El MTA receptor no logra alinear los dos dominios y, por lo tanto, DKIM y DMARC fallan para su mensaje (si sus mensajes están alineados con SPF y DKIM).

No añadir fuentes de envío a sus DNS 

Es importante tener en cuenta que cuando se configura DMARC para su dominio, los MTAs receptores realizan consultas de DNS para autorizar sus fuentes de envío. Esto significa que, a menos que tenga todas sus fuentes de envío autorizadas listadas en el DNS de su dominio, sus correos electrónicos fallarán DMARC para aquellas fuentes que no estén listadas, ya que el receptor no podrá encontrarlas en su DNS. Por lo tanto, para asegurarse de que sus correos electrónicos legítimos siempre se entregan, asegúrese de hacer entradas en todos sus proveedores de correo electrónico de terceros autorizados que están autorizados a enviar correos electrónicos en nombre de su dominio, en su DNS.

En caso de reenvío de correo electrónico

Durante el reenvío de correo electrónico, el correo electrónico pasa a través de un servidor intermediario antes de ser entregado al servidor receptor. Durante el reenvío de correo electrónico, la comprobación SPF falla, ya que la dirección IP del servidor intermediario no coincide con la del servidor remitente, y esta nueva dirección IP no suele incluirse en el registro SPF del servidor original. Por el contrario, el reenvío de correos electrónicos no suele afectar a la autenticación DKIM del correo electrónico, a no ser que el servidor intermediario o la entidad reenviadora realicen ciertas alteraciones en el contenido del mensaje.

Como sabemos que el SPF falla inevitablemente durante el reenvío de correo electrónico, si en el caso de que la fuente de envío sea neutral en cuanto a DKIM y confíe únicamente en el SPF para la validación, el correo electrónico reenviado se convertirá en ilegítimo durante la autenticación DMARC. Para resolver este problema, debería optar inmediatamente por el cumplimiento total de DMARC en su organización, alineando y autenticando todos los mensajes salientes tanto con SPF como con DKIM, ya que para que un correo electrónico pase la autenticación DMARC, se requeriría que el correo pasara la autenticación y alineación de SPF o DKIM.

Su dominio está siendo suplantado

Si tienes tus protocolos DMARC, SPF y DKIM correctamente configurados para tu dominio, con tus políticas en vigor y registros válidos sin errores, y el problema no es ninguno de los casos mencionados anteriormente, entonces la razón más probable por la que tus correos electrónicos están fallando DMARC es que tu dominio está siendo suplantado o falsificado. Esto ocurre cuando los suplantadores y los actores de amenazas intentan enviar correos electrónicos que parecen provenir de su dominio utilizando una dirección IP maliciosa.

Las recientes estadísticas de fraude por correo electrónico han concluido que los casos de suplantación de identidad por correo electrónico están aumentando en los últimos tiempos y son una gran amenaza para la reputación de su organización. En estos casos, si tiene DMARC implementado en una política de rechazo, fallará y el correo electrónico falsificado no se entregará a la bandeja de entrada de su destinatario. Por lo tanto, la suplantación de dominio puede ser la respuesta a por qué falla el DMARC en la mayoría de los casos.

Le recomendamos que se registre en nuestro Analizador DMARC gratuito y comience su andadura en la elaboración de informes y supervisión de DMARC.

  • Con una política de ausencia de mensajes, puede supervisar su dominio con informes agregados DMARC (RUA) y vigilar de cerca sus correos electrónicos entrantes y salientes, lo que le ayudará a responder a cualquier problema de entrega no deseado
  • A continuación, le ayudamos a cambiar a una política reforzada que, en última instancia, le ayudará a obtener inmunidad contra los ataques de suplantación de dominios y de phishing
  • Puede eliminar las direcciones IP maliciosas y denunciarlas directamente desde la plataforma PowerDMARC para evitar futuros ataques de suplantación de identidad, con la ayuda de nuestro motor de Inteligencia de Amenazas
  • Los informes forenses DMARC (RUF) de PowerDMARC le ayudan a obtener información detallada sobre los casos en los que sus correos electrónicos han fallado DMARC para que pueda llegar a la raíz del problema y solucionarlo

Evite la suplantación de dominios y controle su flujo de correo electrónico con PowerDMARC, hoy mismo.

Cuando un correo electrónico se envía desde el servidor de envío, directamente al servidor de recepción, SPF y DKIM (si están configurados correctamente) autentifican el correo electrónico normalmente y suelen validarlo efectivamente como legítimo o no. Sin embargo, este no es el caso si el correo electrónico pasa por un servidor de correo intermediario antes de ser entregado al destinatario, como en el caso de los mensajes reenviados. Este blog pretende explicar el impacto del reenvío de correo electrónico en los resultados de la autenticación DMARC.

Como ya sabemos, DMARC utiliza dos protocolos estándar de autenticación de correo electrónico, a saber, SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail), para validar los mensajes entrantes. Vamos a hablar de ellos brevemente para comprender mejor su funcionamiento antes de pasar a ver cómo puede afectarles el reenvío.

Marco normativo del remitente

El SPF está presente en su DNS como un registro TXT, mostrando todas las fuentes válidas que están autorizadas a enviar correos electrónicos desde su dominio. Cada correo electrónico que sale de su dominio tiene una dirección IP que identifica a su servidor y al proveedor de servicios de correo electrónico utilizado por su dominio que se alista en su DNS como un registro SPF. El servidor de correo del receptor valida el correo electrónico contra su registro SPF para autenticarlo y, en consecuencia, marca el correo electrónico como SPF aprobado o no aprobado.

Correo identificado con DomainKeys

DKIM es un protocolo estándar de autenticación de correo electrónico que asigna una firma criptográfica, creada mediante una clave privada, para validar los correos electrónicos en el servidor receptor, en el que el receptor puede recuperar la clave pública del DNS del remitente para autenticar los mensajes. Al igual que el SPF, la clave pública DKIM también existe como un registro TXT en el DNS del propietario del dominio.

El impacto del reenvío de correo electrónico en sus resultados de autenticación DMARC

Durante el reenvío del correo electrónico, éste pasa por un servidor intermediario antes de llegar al servidor receptor. En primer lugar, es importante tener en cuenta que el reenvío de correo electrónico se puede hacer de dos maneras: o bien los correos electrónicos pueden ser reenviados manualmente, lo que no afecta a los resultados de la autenticación, o bien pueden ser reenviados automáticamente, en cuyo caso el procedimiento de autenticación se ve afectado si el dominio no tiene el registro de la fuente de envío intermediario en su SPF.

Naturalmente, durante el reenvío de correo electrónico la comprobación SPF suele fallar, ya que la dirección IP del servidor intermediario no coincide con la del servidor remitente, y esta nueva dirección IP no suele incluirse en el registro SPF del servidor original. Por el contrario, el reenvío de correos electrónicos no suele afectar a la autenticación DKIM del correo electrónico, a no ser que el servidor intermediario o la entidad reenviadora realicen ciertas alteraciones en el contenido del mensaje.

Tenga en cuenta que para que un correo electrónico pase la autenticación DMARC, se requerirá que el correo electrónico pase la autenticación y alineación SPF o DKIM. Como sabemos que el SPF falla inevitablemente durante el reenvío de correo electrónico, si en caso de que la fuente de envío sea neutral en cuanto a DKIM y confíe únicamente en el SPF para la validación, el correo electrónico reenviado se convertirá en ilegítimo durante la autenticación DMARC.

¿La solución? Muy sencilla. Debe optar inmediatamente por el cumplimiento total de DMARC en su organización, alineando y autenticando todos los mensajes entrantes tanto con SPF como con DKIM.

Lograr el cumplimiento de DMARC con PowerDMARC

Es importante tener en cuenta que para lograr el cumplimiento de DMARC, los correos electrónicos deben ser autenticados contra SPF o DKIM o ambos. Sin embargo, a menos que los mensajes reenviados sean validados contra DKIM, y se basen sólo en SPF para la autenticación, DMARC fallará inevitablemente como se discutió en nuestra sección anterior. Por ello, PowerDMARC le ayuda a lograr el cumplimiento completo de DMARC al alinear y autenticar eficazmente los mensajes de correo electrónico con los protocolos de autenticación SPF y DKIM. De este modo, incluso si los mensajes reenviados auténticos no superan el SPF, la firma DKIM puede utilizarse para validarlo como legítimo y el correo electrónico pasa la autenticación DMARC, llegando posteriormente a la bandeja de entrada del receptor.

Casos excepcionales: ¿Fallo de DKIM y cómo resolverlo?

En ciertos casos, la entidad reenviadora puede alterar el cuerpo del correo haciendo ajustes en los límites MIME, la implementación de programas antivirus o la recodificación del mensaje. En estos casos, tanto la autenticación SPF como la DKIM fallan y los correos legítimos no se entregan.

En caso de que tanto SPF como DKIM fallen, PowerDMARC es capaz de identificar y mostrar eso en nuestras vistas agregadas detalladas y protocolos como Authenticated Received Chain pueden ser aprovechados por los servidores de correo para autenticar dichos correos. En ARC, la cabecera Authentication-Results puede pasarse al siguiente "salto" en la línea de entrega del mensaje, para mitigar eficazmente los problemas de autenticación durante el reenvío del correo electrónico.

En el caso de un mensaje reenviado, cuando el servidor de correo electrónico del receptor recibe un mensaje que ha fallado en la autenticación DMARC, intenta validar el correo electrónico por segunda vez, contra la Cadena Autenticada Recibida proporcionada para el correo electrónico, extrayendo los Resultados de Autenticación ARC del salto inicial, para comprobar si fue validado como legítimo antes de que el servidor intermediario lo reenviara al servidor receptor.

Así pues, regístrese en PowerDMARC hoy mismo y consiga que su organización cumpla con la normativa DMARC.