Microsoft ha puesto en marcha recientemente los sellos ARC de confianza para autorizar los flujos de correo electrónico indirectos legítimos y, a decir verdad, es un paso excelente. ¿Por qué? He aquí la razón: 

• Sus protocolos de autenticación de correo electrónico básicos (DMARC, SPFy DKIM) se quedan cortos cuando se trata de autenticar los correos electrónicos enviados indirectamente
• Esto puede hacer que sus correos electrónicos legítimos fallen la autenticación 
• Posteriormente, esto conduce a problemas de entrega de correo electrónico 

Es entonces cuando el sello de confianza ARC de Microsoft entra en acción para salvar el día. Al añadir firmas ARC a los mensajes salientes, la fuente del correo electrónico puede ser fácilmente identificada y autorizada durante la verificación del remitente, incluso si su cabecera y contenido han sido alterados por una intermediario de confianza.

Vea el documento de Microsoftaquí.

¿A qué categoría de usuarios se aplica el sello Microsoft Trusted ARC?

Este sello ARC de confianza puede ser desplegado por los usuarios que han iniciado sesión en los siguientes servicios de Microsoft: 

• Protección de Exchange Online
• Microsoft Defender para Office 365 plan 1 y plan 2
• Microsoft 365 Defender

¿Qué es un flujo de correo electrónico directo? 

Es cuando un correo electrónico enviado desde un dominio de origen llega directamente al servidor de correo electrónico de su destinatario. A menos que la comunicación sea interceptada por un tercero malintencionado, el correo electrónico permanece intacto y se conservan las cabeceras del mensaje, con lo que pasa las comprobaciones de autenticación DMARC. 

¿Qué son los flujos de correo indirectos?

Esto ocurre cuando un correo electrónico enviado desde el dominio de origen es enrutado a través de uno o más servidores intermediarios (como en el caso del reenvío de correo electrónico). Estos intermediarios pueden alterar el mensaje haciendo modificaciones en la información de la cabecera y el cuerpo, haciendo que el correo electrónico falle el DMARC.  

¿Por qué es necesario el sello ARC de confianza?

Fallos de autenticación en los flujos de correo electrónico indirectos

A menudo, las empresas pueden subcontratar sus campañas de marketing por correo electrónico a través de un tercero que dirige los mensajes desde el dominio del propietario a los destinatarios a través de un servidor o servidores intermediarios. Esto se nota sobre todo en el reenvío de correos electrónicos o en el uso de listas de correo. 

La información de la cabecera de estos correos electrónicos se altera en el proceso, ya que toma la información de la cabecera del respectivo intermediario. Esto provoca una incoherencia en las cabeceras Mail from: y return-path, por lo que falla el SPF. Los intermediarios también pueden alterar el contenido dentro del cuerpo del correo añadiendo pies de página, lo que romperá aún más el DKIM. 

Aunque este último caso es poco frecuente, ocurre. Cuando tanto SPF como DKIM fallan para los mensajes, DMARC inevitablemente falla y el mensaje (aunque legítimo) se percibe como fraudulento. Si el remitente está en p=reject, ¡estos mensajes legítimos nunca se entregarían! 

Especificación de intermediarios de confianza a través del sello ARC de confianza de Microsoft

Los administradores que hayan iniciado sesión en el portal del defensor de Microsoft 365 pueden añadir intermediarios de confianza en el portal del administrador. Durante la verificación del remitente, Microsoft verificará el DMARC ARC de los correos electrónicos que se envíen desde estos selladores ARC de confianza y les ayudará a pasar las comprobaciones de autenticación y a entregarse de forma segura.

Esto se hace con respecto a cómo ARC preserva la información de autenticación original de los mensajes antes de que se realicen alteraciones por parte de un intermediario, que pueden ser verificadas por los servidores receptores.  

Puntos importantes que hay que recordar al utilizar el sello Trusted ARC

El sello ARC debe ser configurado por los intermediarios de confianza del administrador

Si usted, como administrador del dominio, tiene una lista de intermediarios de confianza a través de los cuales quiere enrutar sus correos electrónicos, debe ponerse en contacto con ellos hoy mismo. Tenga una discusión abierta con ellos, pidiéndoles que configuren ARC para los respectivos dominios intermediarios. 

Cargue esta lista de selladores ARC de confianza en su portal de defensores

Su siguiente paso debería ser entrar en su portal de Microsoft defender y cargar la lista de selladores ARC de confianza. Aquí puede añadir los nombres de dominio de estos intermediarios de confianza que han habilitado ARC en su solicitud. Puede hacerlo dirigiéndose a su página de configuración de autenticación de correo electrónico en el tablero de su portal y haciendo clic en el botón "Añadir".

Alternativamente, 

También puede añadir su lista de selladores ARC de confianza a través de Exchange Online Powershell ejecutando el siguiente script de Powershell mencionado por Microsoft: 

Set-ArcConfig -Identity default -ArcTrustedSealers {seguido de los nombres de dominio de sus intermediarios separados por comas}

Cómo encontrar el nombre de dominio de sus selladores ARC de confianza

Para encontrar el nombre de dominio de sus remitentes ARC de confianza en su buzón de correo de Outlook, siga los pasos siguientes: 

• Abra el correo electrónico haciendo doble clic en él 
• Ir a archivo > Propiedades
• Aparecerá la ventana de propiedades. Puede ver la información de la cabecera del mensaje en el cuadro de cabeceras de Internet
• Aquí encontrará el nombre de dominio mencionado en la etiqueta "d=" de la firma ARC del correo electrónico. Este es el dominio de su sellador ARC de confianza.

También puede utilizar la información del encabezado de su correo electrónico para validar su sello ARC de confianza buscando "pass" en los resultados de su autenticación ARC.

¿Es ARC un sustituto de DMARC? 

Resumiendo: No, no lo es. Para obtener los mejores resultados, ARC debe utilizarse junto con DMARC, SPF y DKIM. ARC es una medida de seguridad adicional que le ayuda a evitar que sus correos electrónicos legítimos fallen en la autenticación cuando el correo electrónico pasa por un servidor intermediario que realiza modificaciones en el encabezado y el contenido. 

Para empezar a aprovechar el sello Trusted ARC de Microsoft, configure DMARC en su organización hoy mismo. Realice una prueba gratuita de prueba de DMARC con PowerDMARC.

Artículos relacionados

• Guía de configuración de DMARC office365
• Configuración de Microsoft Office 365 DKIM
• Configuración del SPF de Microsoft Office 365

• Acerca de
• Últimas publicaciones

Yunes Tarada

Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.

Últimos mensajes de Yunes Tarada (ver todos)

• Explicación de los códigos de error SMTP Yahoo - 1 de mayo de 2024
• SPF Softfail Vs Hardfail: ¿Cuál es la diferencia? - 26 de abril de 2024
• La FTC informa de que el correo electrónico es un medio popular para las estafas de suplantación de identidad - 16 de abril de 2024