Puestos

¿Sabía que puede recibir informes DMARC fuera de su propio dominio? Sí, es posible enviar tus informes DMARC a una dirección de correo electrónico que no esté dentro del ámbito de tu propio dominio a través de la Verificación de Destino Externa DMARC. Si usted es propietario del dominio empresa.espuede enviar sus informes a una dirección (ejemplo) [email protected]donde empresa.com no tiene autoridad sobre mailreports.net y son dos dominios completamente separados.

Sin embargo, para conseguirlo, el dominio receptor del informe (mailreports.net) tiene que dar su aprobación para recibir informes que contengan los datos DMARC de su dominio (empresa.com).

El método que lo hace posible se denomina "Verificación de dominio externo" y hoy hablaremos de lo que es y de cómo le ayuda en su viaje de autenticación. 

Verificación de dominios externos DMARC - Explicación

Digamos que usted es dueño del dominio empresa.es y tiene DMARC habilitado para su dominio. Ahora quieres recibir información sobre tus fuentes de envío de correo electrónico a través de los informes agregados de DMARC, pero para evitar el spam en la bandeja de entrada de tus dominios y subdominios internos, quieres redirigir esos informes a un destino externo, digamos por ejemplo mailreports.net.

Esta es una táctica común ejercida por las empresas que tienen múltiples dominios registrados, terceros y un flujo masivo de información hacia y desde sus dominios. 

Para ello, su registro DMARC posterior tendría el siguiente aspecto: 

v=DMARC1; p=cuarentena; rua=mailto:[email protected]

[Para crear su registro personalizado de forma gratuita, utilice nuestro generador de registros DMARC herramienta]

La etiqueta rua especifica la dirección de correo electrónico en la que recibirá sus informes DMARC. Ahora bien, tenga en cuenta que el hecho de que tenga un registro publicado en sus DNS solicitando que sus datos se envíen a mailreports.net, no significa que vaya a ser así. No es tan sencillo.

El dominio receptor del informe debe dar su consentimiento digital para recibir los informes de empresa.comde lo contrario no se podrán enviar. Esto se conoce como Verificación de Dominio Externo o Verificación de Destino Externo (como se menciona en RFC 7489 7.1).

¿Por qué es necesaria la verificación del destino externo? Posibles amenazas y vulnerabilidades

Las siguientes razones pueden obligarle a optar por la Verificación de Dominio Externa:

  • Es propietario de un dominio que no gestiona ningún servidor de correo
  • Sin la verificación del dominio externo, los ciberatacantes pueden crear fácilmente un registro DMARC que mencione un dominio externo (de una víctima) para recibir informes. Los informes de todos los correos electrónicos malos enviados por el atacante inundarán ahora la bandeja de entrada de la víctima 

A través de la Verificación de Destino Externo, se puede impedir que los actores de amenazas lleven a cabo sus actos maliciosos, y los propietarios de los dominios pueden dirigir los informes a un dominio externo que opere con servidores de correo. 

¿Cómo funciona la verificación de dominios externos?

Verificación de los destinos de los informes externos 

Cuando un dominio con un registro DMARC publicado envía un correo electrónico, el servidor de recepción de correo electrónico comprueba si el dominio organizativo en el que se ha publicado el registro coincide exactamente con el dominio organizativo mencionado en la etiqueta rua (o ruf) del registro DMARC. 

Si no coincide, y se ha especificado un dominio externo para recibir informes, se inicia el proceso de verificación. 

Para ello, se consulta el DNS del host receptor del informe para verificar si ha dado su consentimiento para recibir los informes. Si se encuentra un registro DMARC que lo atestigua en sus DNS, la comprobación se supera y los informes se envían al dominio externo. Si falla, los informes no se envían. 

A veces, debido al tiempo de espera del DNS y otros problemas menores, puede producirse un error temporal que impida a los servidores de recepción completar el proceso de verificación del destino externo temporalmente. Sin embargo, se vuelve a intentar más tarde. 

Configuraciones de verificación de destino externo para dominios (y subdominios) específicos 

Tomemos nuestro ejemplo anterior para determinar cómo garantizar que su proceso de verificación de destino externo no devuelva un resultado de error para sus dominios y subdominios específicos.  

Ejemplo de nombre de dominio: company.com 

Ejemplo de dominio receptor de informes externos: mailreports.net 

Es necesario publicar un registro DNS DMARC con la siguiente información en el dominio mailreports.net: 

Campo  Descripción Valor
Anfitrión Aquí es donde se publica el registro en empresa.com._informe._dmarc.informesdecorreo.net
Valor El valor de su registro TXT v=DMARC1;

Nota: Sustituya los nombres de dominio por su propio dominio y por cualquier dominio externo en el que quiera recibir sus informes. Este registro NO debe publicarse en su dominio, sino en el dominio externo al que desea enviar sus informes.

Y ya está. Durante la verificación del destino externo, esto informará a los servidores de recepción de correo electrónico de que su dominio externo preferido, mencionado en la etiqueta rua o ruf, consiente de hecho en recibir informes DMARC en nombre de su dominio. 

Configuraciones opcionales para la verificación del destino externo

En lugar de publicar el mencionado registro para dar permiso a dominios específicos para el envío de informes a su dirección, los dominios externos suelen utilizar un registro registro comodín (que comienza con un asterisco "*").

Esto es simplemente un atajo para evitar el esfuerzo adicional, ya que un registro comodín denota esencialmente que el dominio externo está consintiendo recibir informes DMARC de CUALQUIER dominio (y no sólo de su dominio específico).

A continuación se muestra la sintaxis (ejemplo) de un registro comodín utilizado para la verificación de dominios externos: 

Campo  Descripción Valor del registro comodín
Anfitrión Aquí es donde se publica el registro en *._informe._dmarc.dominio.com
Valor El valor de su registro TXT v=DMARC1;

Riesgos potenciales asociados a la utilización de comodines

El uso de entradas comodín para la verificación de dominios externos no es una práctica recomendada y conlleva riesgos potenciales. Esto se debe a que cuando un dominio consiente en recibir informes de cualquier dominio, los malos actores pueden usar esto para enviar spam a las cuentas de correo electrónico con informes masivos de dominios maliciosos sin ningún mecanismo para regular o filtrar los informes. Esto puede ser potencialmente dañino para el dominio que recibe los informes, y también causar problemas para ti que estás usando ese dominio para recibir tus propios informes. 

¿Cómo gestionamos la verificación del dominio externo en PowerDMARC?

Para los clientes que han creado una cuenta PowerDMARC y reciben informes en el analizador de informes DMARC no tienen que preocuparse por la verificación del dominio externo, ya que nosotros nos encargamos de ello. Todos los informes enviados por los receptores se enrutan automáticamente y se envían a nuestra plataforma, perfectamente analizados y organizados para que los pueda ver sin que tenga que publicar registros para agilizar el proceso de verificación del destino externo. Todo lo que tiene que hacer es especificar nuestra dirección rua (o ruf) personalizada en su registro DMARC.

Regístrese ahora para que la validación de destinos externos y el proceso de implementación de DMARC no supongan ningún esfuerzo con una prueba gratuita de prueba de DMARC.