3 Tipos de políticas DMARC: Ninguna, Cuarentena y Rechazo

La autenticación del correo electrónico se ha convertido en una práctica importante en ciberseguridad, debido a la creciente amenaza de suplantación de organizaciones legítimas y conocidas. Una política DMARC definida en el DNS del remitente, incorporada en un simple registro TXT, puede resolver con éxito estos problemas y mejorar las tasas de entrega de correo del remitente. 

La política DMARC de un dominio contiene instrucciones para los receptores de correo electrónico sobre cómo tratar los mensajes que no superan las comprobaciones de autenticación. Esta política puede especificar tres acciones posibles:

• DMARC ninguno 
• Cuarentena DMARC 
• Rechazo DMARC 

La política DMARC en "rechazar" minimiza significativamente el riesgo de abuso de dominio, suplantación de marca, phishing y ataques de spoofing.

DMARC para autenticación de correo electrónico y protección contra suplantación de identidad

DMARC o Domain-based Message Authentication, Reporting and Conformance, es un protocolo diseñado para autenticar correos electrónicos con la ayuda de otros dos protocolos, a saber, SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail). Los propietarios de dominios pueden configurar DMARC utilizando cualquiera de estos protocolos, o ambos, para una protección más sólida contra los ciberataques.

Para iniciar el proceso de configuración, debe realizar algunos cambios en los DNS e incluir registros DNS para los protocolos. Tras la activación, el registro de la política DMARC valida todos los mensajes enviados desde su nombre de dominio con SPF y DKIM para determinar si proceden de una fuente auténtica y decide qué hacer en caso contrario. 

¿Qué es una política DMARC?

Una política DMARC es una instrucción TXT, denotada por la etiqueta "p" en el registro DMARC, que especifica a los servidores de correo receptores la acción que deben tomar si un correo electrónico no supera la validación DMARC. Un remitente puede optar por diferentes políticas en función del rigor con el que desee que los receptores traten los correos electrónicos no conformes; por ejemplo, una política DMARC impuesta como p=reject es una forma eficaz de reducir amenazas como el phishing, la suplantación de identidad y la suplantación de nombres de dominio, mientras que p=none no tendrá ningún efecto.

3 Tipos de política DMARC: p=reject, p=none, p=quarantine

Dependiendo del nivel de cumplimiento que deseen establecer los propietarios de dominios, existen 3 tipos principales de políticas DMARC: ninguna, cuarentena y rechazo. La principal diferencia entre estas opciones de política viene determinada por la acción que toma el agente de transferencia de correo receptor al adherirse a la política especificada definida por el remitente de correo en su registro DNS. 

. Aquí, p es el parámetro que especifica la política DMARC:

• DMARC Ninguno: Una política de "sólo monitorización" que no ofrece protección - buena para las primeras etapas de su despliegue.
• Cuarentena DMARC: Marca o pone en cuarentena los correos electrónicos no autorizados.
• Rechazo DMARC: Bloquea el acceso a la bandeja de entrada de correos no autorizados.

1. DMARC Ninguna política

La política DMARC none (p=none) es una política DMARC relajada que se implementa durante las etapas iniciales de implementación de DMARC para supervisar las actividades del correo electrónico, y es la más adecuada para las organizaciones que están comenzando su andadura en la autenticación. No proporciona ningún nivel de protección contra ciberataques.

Ejemplo: v=DMARC1; p=none; rua= mailto:(dirección de correo electrónico);

Principales conclusiones: 

• El principal objetivo de los propietarios de dominios que seleccionan la política "ninguna" debería ser recopilar información sobre las fuentes de envío y mantener un control sobre sus comunicaciones y entregabilidad sin inclinarse por una autenticación estricta. Esto puede deberse a que aún no están preparados para comprometerse con el cumplimiento y se están tomando su tiempo para analizar la situación actual. 
• Los sistemas de recepción de correo electrónico tratan los mensajes enviados desde dominios configurados con esta política como "sin acción", lo que significa que aunque estos mensajes no pasen el DMARC, no se tomará ninguna acción para descartarlos o ponerlos en cuarentena. Estos mensajes llegarán correctamente a sus clientes.  
• Los informes DMARC se siguen generando cuando se ha configurado "p=none". Los destinatarios transmiten informes agregados a los propietarios de dominio, proporcionando información detallada sobre el estado de autenticación de los mensajes que parecen proceder de su dominio.

2. Política de cuarentena DMARC

p=quarantine proporciona cierto nivel de protección, ya que el propietario del dominio puede solicitar al receptor que devuelva los correos electrónicos a la carpeta de spam para revisarlos más tarde en caso de DMARC falla.

Ejemplo: v=DMARC1; p=quarantine; rua=mailto:(dirección de correo electrónico);

En lugar de descartar directamente los correos electrónicos no autenticados, la política de "cuarentena" ofrece a los propietarios de dominios la posibilidad de mantener la seguridad a la vez que ofrecen la opción de revisar los correos electrónicos antes de aceptarlos, adoptando el enfoque de "verificar y luego confiar". 

Esto garantiza que los mensajes legítimos que no superen la autenticación DMARC no se perderán antes de inspeccionarlos de cerca. Este enfoque puede considerarse intermedio en términos de aplicación y facilita una transición suave a p=reject, en la que los propietarios de dominios pueden a) evaluar el impacto de DMARC en sus mensajes de correo electrónico y b) tomar decisiones informadas sobre si deben descartar o no los correos marcados.

3. Política de rechazo DMARC

Por último, la política de rechazo DMARC (p=reject) es una política de aplicación que garantiza que los mensajes que no superan la autenticación DMARC son rechazados y descartados por el servidor de correo electrónico del destinatario, proporcionando así la máxima aplicación.

Ejemplo: v=DMARC1; p=reject; rua= mailto:(dirección de correo electrónico);

DMARC reject puede prevenir ataques de phishing, suplantación directa de dominio y otros correos fraudulentos, bloqueando los mensajes que parezcan sospechosos. Si tiene la suficiente confianza como para no dar margen de maniobra a los correos no autorizados desviándolos a una carpeta separada para su revisión, la política de "rechazo" es adecuada para usted. 

Sin embargo, tenga en cuenta lo siguiente: 

• Pruebe y planifique a fondo antes de optar por el rechazo DMARC 
• Asegúrese de que los informes están activados para su dominio
• Lo ideal es optar por una solución DMARC alojada para obtener asistencia experta en la implantación de DMARC y a lo largo de todo el proceso de aplicación.

Ventajas de aplicar su política DMARC

Profundicemos en las ventajas de establecer una política DMARC estricta para su dominio: 

1. Protección directa contra phishing y BEC

Cuando se rechaza DMARC, los correos electrónicos procedentes de fuentes no autenticadas se descartan automáticamente antes de que lleguen a la bandeja de entrada del destinatario, lo que ofrece una protección directa contra los ataques de suplantación de identidad (phishing), los correos electrónicos comerciales comprometidos y los fraudes a directores ejecutivos. 

2. La primera línea de defensa contra el ransomware y el malware

El ransomware y el malware se propagan a menudo a través de correos electrónicos falsos enviados desde nombres de dominio suplantados y pueden infiltrarse y apoderarse completamente de su sistema operativo. Una política DMARC en el rechazo garantiza que los correos electrónicos ingenuos sean bloqueados fuera de la bandeja de entrada de su cliente antes de que tengan la oportunidad de hacer clic en archivos adjuntos dañinos y descargar sin saberlo ransomware o malware en su sistema - actuando así como una línea elemental de defensa contra estos ataques. 

Mejor tipo de política DMARC

DMARC reject es la mejor política DMARC si desea maximizar sus esfuerzos de seguridad del correo electrónico . Esto se debe a que cuando está en p=reject, los propietarios de dominio bloquean activamente los mensajes no autorizados de las bandejas de entrada de sus clientes. Esto proporciona un alto grado de protección contra la suplantación directa de dominio, el phishing y otras formas de amenazas de suplantación de identidad, lo que la convierte en una política antiphishing eficaz.

• Para controlar sus canales de correo electrónico: Si desea simplemente controlar sus transacciones de mensajes y sus fuentes de envío, un DMARC a p=none es suficiente. Sin embargo, esto no le protegerá contra los ciberataques.
• Para protegerse contra los ataques de phishing y spoofing: Si desea proteger su dominio contra los ataques de phishing y la suplantación directa de dominio, DMARC p=reject es imprescindible. Proporciona el nivel más alto de DMARC y minimiza eficazmente los ataques de suplantación de identidad.
• Para revisar los correos sospechosos antes de que sean entregados: Si no desea bloquear directamente los mensajes no autorizados, puede permitir que los destinatarios los revisen en su carpeta de cuarentena. de cuarentena mediante una cuarentena DMARC como mejor opción.

Mitos sobre la política DMARC 

Existen algunos conceptos erróneos comunes sobre las políticas DMARC, algunos de los cuales pueden tener consecuencias terribles en la entrega de su correo. Conozcamos cuáles son y cuál es la verdad detrás de ellos: 

1. DMARC none puede evitar la suplantación de identidad: DMARC none es una política de "no acción" y no puede proteger tu dominio contra ciberataques.

¿Qué política DMARC evita la suplantación de identidad?

Una política DMARC p=reject es la única política DMARC que es efectiva para prevenir ataques de spoofing. Esto se debe a que DMARC reject bloquea los correos electrónicos no autorizados para que no lleguen a la bandeja de entrada de su destinatario, impidiendo así que acepten, abran y lean correos electrónicos maliciosos.

2. No recibirá informes DMARC en p=none: Incluso cuando esté en p=none puede seguir recibiendo informes DMARC diarios simplemente especificando una dirección de correo electrónico válida para el remitente.

3. La "cuarentena" DMARC no es importante: A menudo pasada por alto, la política de cuarentena en DMARC es extremadamente útil para los propietarios de dominios que buscan hacer una transición suave de la no-acción a la máxima aplicación.

4. El rechazo DMARC afecta a la capacidad de entrega: Incluso en caso de rechazo de DMARC, puedes asegurarte de que tus mensajes se entregan sin problemas supervisando y analizando las actividades de tus remitentes y revisando los resultados de autenticación.

Pasos para configurar su política DMARC

Paso 1. Habilite SPF o DKIM para su dominio Habilite SPF o DKIM para su dominio generando su registro libre.

Segundo paso Cree un registro DMARC utilizando nuestro generador DMARC de DMARC. Asegúrese de rellenar el parámetro DMARC p= para definir su política DMARC como en el ejemplo siguiente:

v=DMARC1; pct=100; p=reject; rua=mailto:[email protected];

Paso 3: Publique este registro en su DNS

Solución de errores de política DMARC

Errores de sintaxis

Debe estar atento a cualquier error de sintaxis mientras configura su registro para asegurarse de que su protocolo funciona correctamente.

Errores de configuración

Los errores al configurar la política DMARC son comunes y pueden evitarse utilizando un comprobador DMARC de DMARC.

Política DMARC sp

Si configura una política de rechazo DMARC, pero configura sus políticas de políticas de subdominio a ninguna, no podrá lograr el cumplimiento debido a una anulación de la política en sus correos electrónicos salientes.

"Error "Política DMARC no habilitada

Si se encuentra con este mensaje de error en sus informes, esto apunta a que falta una política de dominio DMARC en su DNS o que está configurada como "ninguna". Edite su registro para incorporar p=reject/quarantine y esto debería solucionar el problema. 

Una forma más segura de actualizar, aplicar y optimizar su política DMARC

Analizador analizador DMARC de PowerDMARC está diseñada para ayudarle a configurar sin esfuerzo el protocolo DMARC, a la vez que proporciona una interfaz nativa en la nube para supervisar y optimizar su registro con solo pulsar un botón. Exploremos sus principales ventajas:

Un cambio suave de p=ninguno a p=rechazar

El amplio mecanismo de informes de PowerDMARC ofrece 7 vistas y mecanismos de filtrado para su DMARC Agregue informes en el panel de control del analizador DMARC para supervisar eficazmente sus flujos de correo electrónico mientras no esté en DMARC.

Actualice y cambie sus modos de política DMARC

Nuestra función DMARC alojada le permite actualizar sus modos de política DMARC, cambiar a p=reject y supervisar su protocolo de forma eficaz y en tiempo real sin entrar en su consola de gestión de DNS.

Asistencia de guante blanco

Nuestro equipo de soporte activo las 24 horas ayuda a orquestar una transición sin problemas de una política DMARC relajada a una reforzada para maximizar su seguridad al tiempo que garantiza la entregabilidad.

Alertas personalizadas 

Configure alertas personalizadas por correo electrónico para detectar cualquier actividad maliciosa y actuar antes contra las amenazas.

Póngase en contacto con nosotros hoy mismo para implantar una política DMARC y supervisar fácilmente sus resultados.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Director de Marketing Digital y Redacción de Contenidos en PowerDMARC

Ahona trabaja como responsable de marketing digital y redacción de contenidos en PowerDMARC. Es una apasionada escritora, bloguera y especialista en marketing de ciberseguridad y tecnologías de la información.

Últimas publicaciones de Ahona Rudra (ver todas)

• Seguridad Web 101 - Mejores Prácticas y Soluciones - 29 de noviembre de 2023
• ¿Qué es el cifrado de correo electrónico y cuáles son sus diversos tipos? - noviembre 29, 2023
• ¿Qué es MTA-STS? Configurar la política MTA-STS adecuada - 25 de noviembre de 2023