¿Qué es la evaluación DMARC?

La seguridad del correo electrónico siempre ha sido un reto. No basta con cifrar los mensajes para evitar que hackers y spammers se aprovechen de ello. Aquí es donde entra en juego el concepto de evaluación DMARC. DMARC utiliza DNS para especificar cómo tratar los correos electrónicos que no logran autenticar SPF, DKIMo ambos.

Este blog tratará sobre qué es DMARC, por qué lo necesita y cómo resolver el error 521 5.2.1 failed DMARC evaluation error.

¿Qué es DMARC?

DMARC es la abreviatura de Domain-based Message Authentication, Reporting & Conformance, un protocolo de autenticación de correo electrónico basado en los protocolos SPF y DKIM. Los mensajes se envían desde servidores autorizados al registro SPF y/o a la firma DKIM del dominio que cumple con DMARC. Si cualquiera de las comprobaciones se realiza correctamente, el mensaje se entrega. Sin embargo, el mensaje se devuelve como no entregado si no supera ambas comprobaciones, ya que no cumple los requisitos SPF o DKIM.

A partir de 2021, el número de políticas DMARC válidas observadas en uso aumentó hasta un 84 %, hasta un total de casi 5 millones de registros únicos, en comparación con 2020.

Qué es el FPS

SPF es la abreviatura de Senders Policy Framework, un protocolo de autenticación de correo electrónico que detecta y proporciona seguridad contra la suplantación de identidad. Le permite crear un registro DNS TXT en el que se enumeran todas las direcciones IP autorizadas a enviar correo electrónico utilizando su dominio. SPF ayuda a los ISP o a los servidores de correo electrónico a validar los mensajes de un dominio concreto.

¿Qué es DKIM?

DKIM son las siglas de Domainkeys Identified Mail, un protocolo que permite firmar digitalmente el correo electrónico. Se realiza mediante un identificador único que utiliza criptografía de clave pública y no una dirección IP. Así, el servidor receptor siempre compara los hashes privado y público para ver si coinciden.

Si coinciden, el mensaje se valida; de lo contrario, se marca como spam.

¿Cómo depende DMARC de SPF y DKIM?

DMARC depende de los protocolos de autenticación de correo electrónico SPF y DKIM. Permite describir cómo deben gestionar los servidores destinatarios los correos electrónicos no autorizados procedentes de su dominio. DMARC define otro registro DNS donde se almacena la clave pública del dominio remitente. Estos registros permiten al servidor de correo electrónico receptor hacer lo siguiente:

• Verifique la autenticación del remitente para enviar correo electrónico desde el dominio de origen utilizando SPF.
• Autentique los correos electrónicos verificando mediante la firma digital establecida mediante el establecimiento de DKIM.
• Decida cómo debe tratar el servidor de correo del destinatario los correos electrónicos no autenticados.

Aunque los administradores de sistemas de correo electrónico intentan ser cautelosos con el correo no autenticado, DMARC les ayuda a decidir cómo tratarlo. Esto funciona estableciendo una de las tres políticas; ninguno, rechazar o poner en cuarentena. 

Sin embargo, debe formar a su equipo sobre cómo prevenir el phishing y los ataques BEC. ataques BEC para mitigar el riesgo.

Cómo limita DMARC mis mensajes

Estos son algunos mensajes que puede ver en una evaluación DMARC fallida.

"521 5.2.1 Error en la evaluación DMARC: Este mensaje falló la evaluación DMARC y está siendo rechazado debido a la política DMARC proporcionada."

"550 5.7.1- No se acepta correo no autenticado de domain.tld debido a la política DMARC del dominio. Por favor, contacta con el administrador del dominio domain.tld si este era un correo legítimo. Visita https://support.google.com/mail/answer/2451690 para obtener más información sobre la iniciativa DMARC. 62si14044909itw.103 - gsmtp"

Usted ve estos mensajes debido a errores DMARC. Esto suele ocurrir cuando los proveedores de buzones de correo no aceptan mensajes en los que el dominio De es una de sus direcciones, y el mensaje se envía desde un proveedor de servicios de dominio de correo no autorizado. 

Por eso, las cuentas de Twilio SendGrid no pueden enviar mensajes utilizando una dirección De de Gmail, AOL o Yahoo a ningún dominio que verifique DMARC de antemano. Estas complicaciones hacen que sea fundamental saber qué es la evaluación DMARC y cómo resolver una evaluación fallida. 

Si quieres seguir enviando correos electrónicos, tendrás que cambiar tu dirección de correo electrónico por otra que no esté protegida. Lo mejor es utilizar tu propio dominio de correo electrónico, ya que es legítimo. También puede utilizar el dominio de correo electrónico legítimo de un proveedor. A continuación, puede establecer el campo Responder-a como la dirección original que se estableció anteriormente como la dirección De.  

Hay que tener en cuenta que los correos electrónicos con evaluación DMARC fallida pueden ser descartados y rastreados como Bloqueado. Si desea enviarlo sin fallos, ajuste su dirección del remitente como se indica más arriba y, a continuación, intente volver a enviarlo desde su extremo.

Error de sintaxis

Mientras aprende qué es la evaluación DMARC, es posible que también desee conocer los errores de sintaxis en los registros DNS. Los errores SMTP comunes comienzan con el código 554 que indica el fallo de la transacción. Es un error permanente, y el servidor no reenvía el mensaje.

• Un 554 5.7.5 error permanente evaluando la política dmarc (Protonmail) dice así; 

La respuesta del servidor remoto fue: 

554 5.7.5 error permanente de evaluación de la política DMARC

• Un error 521 5.2.1 evaluando la política dmarc dice así:

Este mensaje no ha superado la evaluación DMARC y se rechaza debido a la política DMARC proporcionada. 

• Un error 550 5.7.1 que evalúa la política dmarc dice así:

El correo electrónico no autenticado de ejemplo.es no se acepta debido a la política dmarc del dominio

¿Cómo resolver el error 521 5.2.1 Failed Dmarc Evaluation?

¿Qué pasos puede seguir para resolver el mensaje 'este mensaje ha fallado la evaluación DMARC' error?

Para utilizar DMARC, tiene que alinear SPF y una firma DKIM personalizada. A continuación, debe asegurarse de que todos los servidores de correo electrónico que utilizan su dominio están actualizados. Esto incluye también los que su empresa utiliza localmente antes de publicar una política DMARC. Debe actualizar la política si recibe un mensaje de rebote especificando un mensaje que no ha superado la evaluación DMARC debido a la falta de alineación SPF o DKIM. 

Puede consultar a nuestro equipo de expertos en DMARC para obtener la orientación y la configuración adecuadas.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Director de Marketing Digital y Redacción de Contenidos en PowerDMARC

Ahona trabaja como responsable de marketing digital y redacción de contenidos en PowerDMARC. Es una apasionada escritora, bloguera y especialista en marketing de ciberseguridad y tecnologías de la información.

Últimas publicaciones de Ahona Rudra (ver todas)

• ¿Qué es un correo electrónico de phishing? ¡Mantente alerta y evita caer en la trampa! - 31 de mayo de 2023
• Solucionar "Mensaje DKIM none no firmado"- Guía de solución de problemas - 31 de mayo de 2023
• Solucionar el error SPF: Superar el límite de demasiadas búsquedas DNS de SPF - 30 de mayo de 2023