¿Por qué falla DMARC? Solucionar el fallo de DMARC en 2023
El fallo DMARC se produce cuando un correo electrónico entrante no supera las comprobaciones de autenticación DMARC. Significa que el correo electrónico no cumple las políticas establecidas por el propietario del dominio, lo que indica un posible intento de suplantación de identidad o phishing. En caso de fallo DMARC, el servidor de correo electrónico del destinatario puede tomar varias medidas basadas en las políticas definidas por el propietario del dominio, como marcar el correo electrónico como spam, rechazarlo o ponerlo en cuarentena. Un error DMARC puede afectar a sus esfuerzos de marketing por correo electrónico y reducir significativamente sus índices de entregabilidad.
Conceptos básicos sobre el protocolo DMARC
DMARC son las siglas de Domain-based Message Authentication, Reporting, and Conformance. Es un protocolo de autenticación de correo electrónico que proporciona una capa adicional de seguridad al ayudar a prevenir la suplantación de identidad y los ataques de phishing. DMARC permite a los propietarios de dominios publicar políticas en sus registros DNS, indicando a los servidores de correo receptores cómo deben tratar los correos electrónicos que dicen proceder de su dominio.
Permite a los propietarios de dominios especificar si rechazar o poner en cuarentena los correos electrónicos no autorizados, lo que proporciona un mejor control sobre la entrega del correo electrónico. DMARC también genera informes que proporcionan información valiosa sobre los fallos de autenticación del correo electrónico, lo que permite a las organizaciones supervisar y mejorar sus medidas de seguridad del correo electrónico.
En general, DMARC ayuda a mejorar la seguridad del correo electrónico al imponer comprobaciones de autenticación y permitir a las organizaciones proteger la reputación de su marca y a sus usuarios de las amenazas basadas en el correo electrónico.
¿Por qué falla DMARC?
Los fallos de DMARC pueden deberse a varias razones, entre ellas fallos de autenticación SPF y DKIM, desalineación entre el dominio "From", SPFy DKIMproblemas con el reenvío o servicios de terceros que modifican las firmas de correo electrónico, políticas DMARC mal configuradas e intentos de actores maliciosos de suplantar dominios legítimos.
Los fallos de DMARC pueden provocar problemas de autenticación del correo electrónico, posibles problemas de entrega y un mayor riesgo de ataques de phishing. Comprender estas causas e implantar las configuraciones y medidas de autenticación adecuadas puede ayudar a mejorar el cumplimiento de DMARC y aumentar la la seguridad del correo electrónico.
Motivos comunes de fallo de DMARC
Las razones más comunes para que DMARC falle pueden incluir fallos de alineación, desalineación de la fuente de envío, problemas con su firma DKIM, correos electrónicos reenviados, etc. Exploremos cada una de ellas en detalle:
1. Fallos de alineación DMARC
DMARC utiliza la alineación de dominios para autenticar sus correos electrónicos. Esto significa que DMARC verifica si el dominio mencionado en la dirección del remitente (en la cabecera visible) es auténtico comparándolo con el dominio mencionado en la cabecera oculta Return-path (para SPF) y la cabecera de firma DKIM (para DKIM). Si cualquiera de los dos coincide, el correo electrónico pasa DMARC, de lo contrario conduce a DMARC falla.
Por lo tanto, si sus correos electrónicos están fallando DMARC puede ser un caso de desalineación de dominio. Es decir, ni los identificadores SPF ni DKIM están alineados y el correo electrónico parece enviado desde una fuente no autorizada. Sin embargo, ésta es sólo una de las razones por las que falla el DMARC.
Modo de alineación DMARC
Su modo de alineación de protocolo también puede hacer que DMARC falle. Puede elegir entre los siguientes modos de alineación para la autenticación SPF:
- Relajado: Esto significa que si el dominio en la cabecera Return-path y el dominio en la cabecera From es simplemente una coincidencia organizativa, incluso entonces SPF pasará.
- Estricto: Esto significa que sólo si el dominio en la cabecera Return-path y el dominio en la cabecera From coinciden exactamente, entonces SPF pasará.
Puede elegir entre los siguientes modos de alineación para la autenticación DKIM:
- Relajado: Esto significa que si el dominio en la firma DKIM y el dominio en la cabecera From es simplemente una coincidencia organizativa, incluso entonces DKIM pasará.
- Estricto: Esto significa que sólo si el dominio en la firma DKIM y el dominio en la cabecera From coinciden exactamente, entonces DKIM pasará.
Tenga en cuenta que para que los correos electrónicos pasen la autenticación DMARC, es necesario que el SPF o el DKIM estén alineados.
2. No configurar la firma DKIM
Un caso muy común en el que su DMARC puede estar fallando es que no haya especificado una firma DKIM para su dominio. En estos casos, tu proveedor de servicios de intercambio de correo electrónico asigna por defecto una firma firma DKIM predeterminada a los mensajes salientes que no coinciden con el dominio del encabezado "De". El MTA receptor no puede alinear los dos dominios y, por lo tanto, DKIM y DMARC fallan para su mensaje (si sus mensajes están alineados con SPF y DKIM).
3. No añadir fuentes de envío a sus DNS
Es importante tener en cuenta que cuando configura DMARC para su dominio, los MTA receptores realizan consultas DNS para autorizar sus fuentes de envío. Esto significa que a menos que tenga todas sus fuentes de envío autorizadas en el DNS de su dominio, sus correos electrónicos fallarán DMARC para aquellas fuentes que no estén en la lista, ya que el receptor no sería capaz de encontrarlas en su DNS.
Por lo tanto, para asegurarse de que sus correos electrónicos legítimos siempre se entregan, asegúrese de hacer entradas en todos sus proveedores de correo electrónico de terceros autorizados que están autorizados a enviar correos electrónicos en nombre de su dominio, en su DNS.
4. En caso de reenvío de correo electrónico
Durante el reenvío de correo electrónico, el correo electrónico pasa por un servidor intermediario antes de llegar finalmente al servidor receptor. La comprobación SPF falla porque la dirección IP del servidor intermediario no coincide con la del servidor remitente, y esta nueva dirección IP no suele incluirse en el registro SPF del servidor original.
Por el contrario, el reenvío de mensajes de correo electrónico no suele afectar a la autenticación DKIM del correo electrónico, a menos que el servidor intermediario o la entidad reenviadora realicen ciertas alteraciones en el contenido del mensaje.
Para resolver este problema, debe optar inmediatamente por el cumplimiento total de DMARC en su organización alineando y autenticando todos los mensajes salientes tanto con SPF como con DKIM, para que un correo electrónico pase la autenticación DMARC, se requerirá que el correo electrónico pase la autenticación y alineación SPF o DKIM.
Lectura relacionada: Reenvío de correo electrónico y DMARC
5. Su dominio está siendo suplantado
Si todo va bien en el lado de la implementación, sus correos electrónicos pueden estar fallando DMARC como resultado de un ataque de suplantación de identidad. Esto ocurre cuando suplantadores y actores de amenazas intentan enviar correos electrónicos que parecen proceder de su dominio utilizando una dirección IP maliciosa.
Recientes estadísticas de fraude por correo electrónico han concluido que los casos de suplantación de identidad por correo electrónico van en aumento, lo que supone una gran amenaza para la reputación de su organización. En estos casos, si tiene DMARC implementado en una política de rechazo, fallará y el correo electrónico suplantado no se entregará en la bandeja de entrada del destinatario. Por lo tanto, la suplantación de dominio puede ser la respuesta a por qué falla DMARC en la mayoría de los casos.
¿Por qué falla DMARC para los proveedores de buzones de terceros?
Si utiliza proveedores de correo externos para enviar correos electrónicos en su nombre, debe activar DMARC, SPF y/o DKIM para ellos. Puede hacerlo poniéndose en contacto con ellos y pidiéndoles que se encarguen de la implementación por usted, o puede tomar el asunto en sus manos y activar manualmente los protocolos. Para ello, debe tener acceso al portal de su cuenta alojada en cada una de estas plataformas (como administrador).
Si no activa estos protocolos para su proveedor de buzones externos, DMARC puede fallar.
En caso de que falle el DMARC para sus mensajes de Gmail, pase el ratón por el registro SPF de su dominio y compruebe si ha incluido _spf.google.com en él. Si no es así, puede ser una de las razones por las que los servidores receptores no identifican Gmail como tu fuente de envío autorizada. Lo mismo se aplica a tus correos electrónicos enviados desde MailChimp, SendGrid y otros.
¿Cómo detectar los mensajes que no pasan el DMARC?
Los fallos de DMARC en los mensajes se pueden detectar fácilmente si tienes activados los informes de DMARC. Como alternativa, puedes realizar un análisis del encabezado del correo electrónico o utilizar el correo electrónico de Gmail; búsqueda en el registro. Veamos cómo:
1. Habilite los informes DMARC para sus dominios
Para detectar fallos DMARC, utilice esta práctica función que ofrece su protocolo DMARC. Puede recibir informes con sus datos DMARC de los ESP simplemente definiendo una etiqueta "rua" en su registro DNS DMARC. Su sintaxis podría ser la siguiente
v=DMARC1; ptc=100; p=reject; rua=mailto:[email protected];
La etiqueta rua debe contener la dirección de correo electrónico en la que desea recibir sus informes.
En PowerDMARC proporcionamos informes simplificados y legibles por humanos que le ayudan a detectar fácilmente los fallos de DMARC y a solucionarlos más rápidamente:
2. Analizar manualmente las cabeceras de correo electrónico o utilizar herramientas de análisis
El fallo de DMARC también puede detectarse analizando las cabeceras de su correo electrónico.
a. Método manual
Puede analizar las cabeceras manualmente como se muestra a continuación
Si utilizas Gmail para enviar correos electrónicos, puedes hacer clic en un mensaje, pulsar en "más" (los 3 puntos de la esquina superior derecha) y, a continuación, en "mostrar original":
Ya puede inspeccionar los resultados de su autenticación DMARC:
b. Herramientas de análisis automatizado
El analizador de encabezados de correo electrónico es una herramienta excelente para la detección instantánea de errores de DMARC y para mitigar el problema de los fallos de DMARC.
Con nosotros, obtendrá un análisis completo del estado de DMARC para sus correos electrónicos, alineaciones y otros cumplimientos, como se muestra a continuación:
3. Utiliza la búsqueda en el registro de correo electrónico de Google
Puedes encontrar información adicional sobre un mensaje concreto que falle DMARC utilizando la búsqueda de registro de correo electrónico de Google. Esto revelará los detalles del mensaje, los detalles posteriores a la entrega del mensaje y los detalles del destinatario. Los resultados se presentan en forma de tabla, como se muestra a continuación: 
¿Cómo solucionar un fallo DMARC?
Para solucionar el fallo de DMARC, le recomendamos que se registre en nuestro Analizador DMARC y comience su viaje de informes y supervisión de DMARC.
Paso 1: Empezar por ninguno
Con una política de ninguno, puede empezar por supervisar su dominio con Informes agregados DMARC (RUA) y vigile de cerca sus correos entrantes y salientes, esto le ayudará a responder a cualquier problema de entrega no deseado.
Paso 2: Pasar a la ejecución
Después de eso, le ayudamos a cambiar a una política aplicada que, en última instancia, le ayudará a ganar inmunidad contra la suplantación de dominios y los ataques de phishing.
Paso 3: Utilice nuestra detección de amenazas basada en IA
Retire las direcciones IP maliciosas y notifíquelas directamente desde la plataforma PowerDMARC para evitar futuros ataques de suplantación de identidad, con la ayuda de nuestro motor de Inteligencia de Amenazas.
Paso 4: Supervisar continuamente
Habilite los informes forenses DMARC (RUF) obteniendo información detallada sobre los casos en los que sus correos electrónicos han fallado DMARC para que pueda llegar a la raíz del problema y solucionarlo más rápidamente.
¿Cómo hacer frente a los mensajes que fallan el DMARC?
Para hacer frente a los mensajes que fallan DMARC, puede optar por una política más relajada de política DMARCCompruebe si hay errores en su registro DNS y combine sus implementaciones DMARC con DKIM y SPF para obtener la máxima seguridad y reducir el riesgo de falsos negativos.
1. Compruebe su registro DMARC
Utilice un comprobador DMARC para encontrar errores sintácticos u otros errores formativos en su registro, como espacios de más, faltas de ortografía, etc.
2. Opte por una política más suave
Siempre puede optar por una política más relajada para DMARC como "ninguna". Esto permitirá que sus mensajes lleguen a sus destinatarios incluso si DMARC falla para ellos. Sin embargo, esto te deja vulnerable a ataques de phishing y spoofing.
3. Utilice la alineación SPF y DKIM
El uso conjunto de DKIM y SPF proporciona un enfoque estratificado de la autenticación del correo electrónico. DKIM verifica la integridad del mensaje, garantizando que no ha sido manipulado, mientras que SPF verifica la identidad del servidor remitente. Juntos, ayudan a establecer la confianza en la fuente del correo electrónico, reduciendo el riesgo de suplantación de identidad, phishing y actividad de correo electrónico no autorizada.
Solucionar fallos DMARC con PowerDMARC
PowerDMARC mitiga los fallos de DMARC ofreciendo una amplia gama de características y funcionalidades. En primer lugar, ayuda a las organizaciones en la correcta implantación de DMARC proporcionando orientación paso a paso y herramientas de automatización. Esto garantiza que los registros DMARC y la autenticación SPF y DKIM estén correctamente configurados, lo que aumenta las posibilidades de éxito de la implantación de DMARC.
Una vez implantado DMARC, PowerDMARC supervisa continuamente el tráfico de correo electrónico y genera informes y alertas en tiempo real sobre los fallos de DMARC. Esta visibilidad permite a las organizaciones identificar rápidamente problemas de autenticación, como fallos de SPF o DKIM, y tomar medidas correctivas.
Además de la supervisión, PowerDMARC integra funciones de inteligencia sobre amenazas de IA. Aprovecha las fuentes de amenazas globales para identificar y analizar las fuentes de ataques de phishing e intentos de suplantación de identidad. Al proporcionar información sobre la actividad sospechosa del correo electrónico, las organizaciones pueden identificar proactivamente las amenazas potenciales y tomar las medidas necesarias para mitigar los riesgos.
Contacte con nosotros ¡para empezar!
Conclusión: Fomentar la seguridad del correo electrónico de la forma correcta
Adoptando un enfoque multicapa de la seguridad del correo electrónico, las organizaciones y los particulares pueden mejorar significativamente sus defensas contra las ciberamenazas en evolución. Esto incluye implementar mecanismos de autenticación robustos, emplear tecnologías de cifrado, educar a los usuarios sobre los ataques de phishing y actualizar periódicamente los protocolos de seguridad.
Además, la integración de herramientas de IA para mejorar las prácticas de seguridad de su correo electrónico es la mejor manera de mantenerse a la vanguardia de los sofisticados ataques organizados por los ciberdelincuentes.
Para evitar fallos DMARC y solucionar otros errores DMARC, regístrese para ponerse en contacto con nuestros expertos en DMARC.
- Métodos para protegerse del robo de identidad - 29 de septiembre de 2023
- El papel del DNS en la seguridad del correo electrónico - 29 de septiembre de 2023
- Amenazas de phishing de la nueva era y cómo anticiparse - 29 de septiembre de 2023
